Zabezpieczanie danych przy użyciu zera zaufania

Tło

Zero Trust to strategia zabezpieczeń używana do projektowania zasad zabezpieczeń dla organizacji. Usługa Zero Trust pomaga zabezpieczyć zasoby firmowe, implementując następujące zasady zabezpieczeń:

• Sprawdź jawnie. Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia, usługi lub obciążenia, klasyfikacji danych i anomalii.

• Użyj dostępu z najmniejszymi uprawnieniami. Ogranicz dostęp użytkowników za pomocą technologii just in time (JIT) i just-enough-access (JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych, aby zapewnić bezpieczeństwo zarówno danych, jak i produktywności.

• Przyjmij naruszenie. Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

Usługa Microsoft Purview proponuje pięć podstawowych elementów strategii ochrony danych w głębi systemu i implementację zero trust dla danych:

1. Klasyfikacja i etykietowanie danych
   Jeśli nie wiesz, jakie poufne dane masz lokalnie i w usługach w chmurze, nie możesz odpowiednio ich chronić. Odnajdywanie i wykrywanie danych w całej organizacji i klasyfikowanie ich według poziomu poufności.

2. Ochrona informacji
   Warunkowy i najmniej uprzywilejowany dostęp do poufnych danych zmniejsza ryzyko bezpieczeństwa danych. Stosowanie barier kontroli dostępu opartej na poufności, zarządzania prawami i szyfrowania, w przypadku gdy mechanizmy kontroli środowiska są niewystarczające. Użyj oznaczeń poufności informacji, aby zwiększyć świadomość i zgodność z zasadami zabezpieczeń.

3. Zapobieganie utracie danych
   Kontrola dostępu rozwiązuje tylko część problemu. Sprawdzanie i kontrolowanie ryzykownych działań i przenoszenia danych, które mogą spowodować zdarzenie zabezpieczeń danych lub zgodności, umożliwia organizacjom zapobieganie nadmiernemu udostępnianiu poufnych danych.

4. Zarządzanie ryzykiem niejawnych testerów
   Dostęp do danych może nie zawsze zapewniać całą historię. Zminimalizuj ryzyko związane z danymi, włączając wykrywanie zachowań z szerokiej gamy sygnałów oraz działając na potencjalnie złośliwych i nieumyślnych działaniach w organizacji, które mogą być prekursorami lub wskazaniem naruszenia danych.

5. Ład danych
   Proaktywne zarządzanie cyklem życia poufnych danych zmniejsza jego narażenie. Ogranicz liczbę kopii lub propagacji poufnych danych i usuń dane, które nie są już potrzebne, aby zminimalizować ryzyko naruszenia zabezpieczeń danych.

Cele wdrożenia usługi Data Zero Trust

Zalecamy skoncentrowanie się na tych początkowych celach wdrażania podczas implementowania kompleksowej platformy Zero Trust dla danych:
	I.Klasyfikuj i etykietuj dane. Automatycznie klasyfikuj i etykietuj dane tam, gdzie to możliwe. Zastosuj ręcznie, gdzie nie jest. II.Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości. Stosowanie szyfrowania, gdy ochrona i kontrola dostępu są niewystarczające. III.Kontrolowanie dostępu do danych. Kontroluj dostęp do poufnych danych, aby były lepiej chronione.
W miarę osiągania powyższych celów dodaj następujące dodatkowe cele wdrażania:
	IV.Zapobiegaj wyciekom danych. Używaj zasad DLP, które są sterowane ryzykownych sygnałów i poufności danych. Zarządzanie ryzykiem. Zarządzanie ryzykiem, które może prowadzić do zdarzenia zabezpieczeń danych, sprawdzając ryzykowne działania użytkowników i wzorce aktywności danych, które mogą spowodować zdarzenie dotyczące zabezpieczeń danych lub zgodności. VI.Zmniejsz narażenie na dane. Zmniejszanie narażenia na dane dzięki ładowi danych i ciągłej minimalizacji danych

Przewodnik wdrażania zero trust dla danych

Ten przewodnik przeprowadzi Cię krok po kroku przez podejście Zero Trust do ochrony danych. Należy pamiętać, że te elementy będą się znacznie różnić w zależności od poufności informacji oraz rozmiaru i złożoności organizacji.

Jako prekursor każdej implementacji zabezpieczeń danych firma Microsoft zaleca utworzenie struktury klasyfikacji danych i taksonomii etykiet poufności definiujących kategorie wysokiego poziomu ryzyka bezpieczeństwa danych. Ta taksonomia będzie służyć do uproszczenia wszystkiego, od spisu danych lub szczegółowych informacji o aktywności, do zarządzania zasadami w celu zbadania priorytetyzacji.

Aby uzyskać więcej informacji, zobacz:

• Tworzenie dobrze zaprojektowanej struktury klasyfikacji danych

Początkowe cele wdrożenia

I. Klasyfikowanie, etykietowanie i odnajdywanie poufnych danych

Strategia ochrony informacji musi obejmować całą zawartość cyfrową organizacji.

Klasyfikacje i etykiety poufności umożliwiają zrozumienie, gdzie znajdują się poufne dane, sposób ich przemieszczania i implementowanie odpowiednich mechanizmów kontroli dostępu i użycia zgodnie z zasadami zerowego zaufania:

• Użyj automatycznej klasyfikacji i etykietowania, aby wykrywać poufne informacje i skalować odnajdywanie w infrastrukturze danych.

• Używanie ręcznego etykietowania dokumentów i kontenerów oraz ręcznego curate zestawów danych używanych w analizie, gdzie klasyfikacja i czułość są najlepiej ustalane przez znanych użytkowników.

Wykonaj te kroki:

• Dowiedz się więcej o typach informacji poufnych

• Dowiedz się więcej o klasyfikatorach, które można trenować

• Dowiedz się więcej o etykietach poufności

Po skonfigurowaniu i przetestowaniu klasyfikacji i etykietowania skalowanie w górę odnajdywania danych w obrębie infrastruktury danych.

Wykonaj następujące kroki, aby rozszerzyć odnajdywanie poza usługi Microsoft 365:

• Wprowadzenie do lokalnego skanera usługi Microsoft Purview

• Odnajdywanie i ochrona poufnych informacji w aplikacjach SaaS

• Dowiedz się więcej o skanowaniach i pozyskiwaniu w portalu ładu usługi Microsoft Purview

Podczas odnajdywania, klasyfikowania i etykietowania danych użyj tych szczegółowych informacji, aby skorygować ryzyko i poinformować inicjatywy związane z zarządzaniem zasadami.

Wykonaj te kroki:

• Wprowadzenie do Eksploratora zawartości

• Przeglądanie działań etykietowania za pomocą Eksploratora działań

• Dowiedz się więcej o Szczegółowe informacje danych

II. Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości

Uproszczenie implementacji najmniejszych uprawnień przy użyciu etykiet poufności w celu ochrony najbardziej poufnych danych za pomocą szyfrowania i kontroli dostępu. Użyj oznaczeń zawartości, aby zwiększyć świadomość i możliwość śledzenia użytkowników.

Ochrona dokumentów i wiadomości e-mail

Usługa Microsoft Purview Information Protection umożliwia dostęp i kontrolę użycia na podstawie etykiet poufności lub uprawnień zdefiniowanych przez użytkownika dla dokumentów i wiadomości e-mail. Można również opcjonalnie stosować oznaczenia i szyfrować informacje, które znajdują się w lub przepływają do mniejszych środowisk zaufania wewnętrznych lub zewnętrznych dla organizacji. Zapewnia ochronę magazynowanych, przesyłanych i używanych do obsługi aplikacji.

Wykonaj te kroki:

• Przeglądanie opcji szyfrowania na platformie Microsoft 365
• Ograniczanie dostępu do zawartości i użycia przy użyciu etykiet poufności

Ochrona dokumentów w programach Exchange, SharePoint i OneDrive

W przypadku danych przechowywanych w programach Exchange, SharePoint i OneDrive automatyczna klasyfikacja z etykietami poufności można wdrożyć za pośrednictwem zasad w lokalizacjach docelowych w celu ograniczenia dostępu i zarządzania szyfrowaniem na autoryzowanym ruchu wychodzącym.

Wykonaj ten krok:

• Skonfiguruj zasady automatycznego etykietowania dla programów SharePoint, OneDrive i Exchange.

III. Kontrola dostępu do danych

Zapewnienie dostępu do poufnych danych musi być kontrolowane, aby były lepiej chronione. Upewnij się, że decyzje dotyczące zasad dostępu i użycia są włącznie z poufnością danych.

Kontrolowanie dostępu do danych i ich udostępniania w usłudze Teams, Grupy Microsoft 365 i witrynach programu SharePoint

Użyj etykiet poufności kontenerów, aby zaimplementować ograniczenia dostępu warunkowego i udostępniania w usłudze Microsoft Teams, Grupy Microsoft 365 lub witrynach programu SharePoint.

Wykonaj ten krok:

• Używanie etykiet poufności w usłudze Microsoft Teams, Grupy Microsoft 365 i witrynach programu SharePoint

Kontrolowanie dostępu do danych w aplikacjach SaaS

Microsoft Defender dla Chmury Apps zapewnia dodatkowe możliwości dostępu warunkowego i zarządzania poufnymi plikami w środowiskach platformy Microsoft 365 i innych firm, takich jak Box lub Google Workspace, w tym:

• Usuwanie uprawnień w celu rozwiązania nadmiernego poziomu uprawnień i zapobiegania wyciekom danych.

• Pliki kwarantowania do przeglądu.

• Stosowanie etykiet do poufnych plików.

Wykonaj te kroki:

• Integrowanie usługi Microsoft Purview Information Protection

Napiwek

Zapoznaj się z tematem Integrowanie aplikacji SaaS for Zero Trust z platformą Microsoft 365 , aby dowiedzieć się, jak zastosować zasady zero trustu, aby ułatwić zarządzanie zasobami cyfrowymi aplikacji w chmurze.

Kontrolowanie dostępu do magazynu IaaS/PaaS

Wdróż obowiązkowe zasady kontroli dostępu do zasobów IaaS/PaaS zawierających poufne dane.

Wykonaj ten krok:

• Dowiedz się więcej o zasadach usługi Microsoft Purview DevOps

IV. Zapobieganie wyciekowi danych

Kontrola dostępu do danych jest niezbędna, ale niewystarczająca kontrola nad przenoszeniem danych oraz zapobieganie nieumyślnym lub nieautoryzowanym wyciekom lub utracie danych. Jest to rola zapobiegania utracie danych i zarządzania ryzykiem poufnym, które opisano w sekcji IV.

Użyj zasad DLP usługi Microsoft Purview, aby identyfikować, sprawdzać i automatycznie chronić poufne dane w następujących obszarach:

• Usługi platformy Microsoft 365, takie jak Teams, Exchange, SharePoint i OneDrive

• aplikacja pakietu Office licacje, takie jak Word, Excel i PowerPoint

• Punkty końcowe systemów Windows 10, Windows 11 i macOS (trzy najnowsze wersje)

• lokalne udziały plików i lokalny program SharePoint

• aplikacje w chmurze firmy innej niż Microsoft.

Wykonaj te kroki:

• Planowanie zapobiegania utracie danych

• Tworzenie, testowanie i dostrajanie zasad DLP

• Dowiedz się więcej o pulpicie nawigacyjnym alertów ochrony przed utratą danych

• Przeglądanie działań dotyczących danych za pomocą Eksploratora działań

V. Zarządzanie ryzykiem niejawnych testerów

Implementacje najmniejszych uprawnień pomagają zminimalizować znane zagrożenia, ale ważne jest również, aby skorelować dodatkowe sygnały behawioralne użytkowników związane z zabezpieczeniami, sprawdzić wzorce dostępu do poufnych danych oraz szerokie możliwości wykrywania, badania i wyszukiwania zagrożeń.

Podejmij te kroki:

• Dowiedz się więcej o zarządzaniu ryzykiem niejawnych testerów

• Badanie działań związanych z zarządzaniem ryzykiem wewnętrznych

VI. Usuwanie niepotrzebnych informacji poufnych

Organizacje mogą zmniejszyć narażenie na dane, zarządzając cyklem życia poufnych danych.

Usuń wszystkie uprawnienia, w których można usunąć dane poufne, gdy nie są już cenne lub dopuszczalne dla organizacji.

Wykonaj ten krok:

• Implementowanie zarządzania cyklem życia danych i zarządzania rekordami

Zminimalizuj duplikowanie poufnych danych, preferując udostępnianie i używanie w miejscu, a nie transferów danych.

Wykonaj ten krok:

• Dowiedz się więcej o udostępnianiu danych w miejscu w usłudze Microsoft Purview

Produkty omówione w tym przewodniku

Microsoft Purview

aplikacje Microsoft Defender dla Chmury

Aby uzyskać więcej informacji lub pomoc dotyczącą implementacji, skontaktuj się z zespołem ds. sukcesu klienta.

Seria przewodników wdrażania zero trust