Proteger dados com a Confiança Zero

Background

Confiança Zero é uma estratégia de segurança usada para projetar princípios de segurança para sua organização. O Confiança Zero ajuda a proteger os recursos corporativos implementando os seguintes princípios de segurança:

• Verificar explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, local, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anormalidades.

• Usar o acesso com privilégios mínimos. Limite o acesso do usuário com acesso Just-In-Time (JIT) e Just-Enough (JEA), políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e produtividade.

• Presumir a violação. Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.

O Microsoft Purview propõe cinco elementos principais para uma estratégia de defesa de dados em profundidade e uma implementação de Confiança Zero para dados:

1. Classificação e rotulagem de dados
   Se não souber quais dados confidenciais você tem localmente e nos serviços de nuvem, não poderá protegê-los adequadamente. Descubra e detecte dados em toda a organização e classifique-os por nível de sensibilidade.

2. Proteção de Informações
   O acesso condicional e com privilégios mínimos a dados confidenciais reduz os riscos à segurança dos dados. Aplique guarda-corpos de controle de acesso baseados em sensibilidade, gerenciamento de direitos e criptografia onde os controles ambientais são insuficientes. Utilize marcações de sensibilidade de informações para aumentar a conscientização e a conformidade com a política de segurança.

3. Prevenção contra perda de dados
   O controle de acesso resolve apenas parte do problema. Verificar e controlar atividades e movimentos de dados arriscados que podem resultar em um incidente de segurança ou conformidade de dados permite que as organizações evitem o compartilhamento excessivo de dados confidenciais.

4. Gerenciamento de riscos para informações privilegiadas
   O acesso aos dados nem sempre pode fornecer toda a história. Minimize os riscos aos dados habilitando a detecção comportamental a partir de uma ampla gama de sinais e agindo em atividades potencialmente maliciosas e inadvertidas na sua organização que podem ser precursoras ou uma indicação de uma violação de dados.

5. Governança de dados
   O gerenciamento proativo do ciclo de vida de dados confidenciais reduz sua exposição. Limite o número de cópias ou propagação de dados confidenciais e exclua dados que não são mais necessários para minimizar os riscos de violação de dados.

Objetivos de implantação da Confiança Zero nos dados

Recomendamos que você se concentre nesses objetivos iniciais de implantação ao implementar uma estrutura de Confiança Zero de ponta a ponta para dados:
	I.Classifique e rotule dados. Classifique e rotule automaticamente os dados sempre que possível. Aplique manualmente onde não estiver. II.Aplique criptografia, controle de acesso e marcações de conteúdo. Aplique criptografia onde a proteção e o controle de acesso são insuficientes. III.Controle o acesso aos dados. Controle o acesso a dados confidenciais para que eles estejam mais protegidos.
À medida que você avança atingindo os objetivos acima, adicione estes objetivos de implantação adicionais:
	IV.Evite o vazamento de dados. Utilize políticas DLP orientadas por sinais arriscados e sensibilidade de dados. V.Gerencie riscos. Gerencie os riscos que podem levar a um incidente de segurança de dados verificando as atividades arriscadas do usuário relacionadas à segurança e os padrões de atividade de dados que podem resultar em um incidente de segurança ou conformidade de dados. VI.Reduza a exposição de dados. Reduza a exposição de dados por meio da governança de dados e da minimização contínua de dados

Guia de implantação de Confiança Zero para dados

Este guia vai orientar você passo a passo por meio de uma abordagem de Confiança Zero à proteção de dados. Tenha em mente que esses itens variarão muito dependendo da confidencialidade de suas informações e do tamanho e da complexidade da sua organização.

Como precursor de qualquer implementação de segurança de dados, a Microsoft recomenda que você crie uma estrutura de classificação de dados e taxonomia de rótulo de sensibilidade que defina categorias de alto nível de risco de segurança de dados. Essa taxonomia será usada para simplificar tudo, desde inventário de dados ou insights de atividades, até gerenciamento de políticas e priorização de investigações.

Para saber mais, veja:

• Criar uma estrutura de classificação de dados bem projetada

Objetivos de implantação inicial

I. Classificar, rotular e descobrir dados confidenciais

Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da organização.

As classificações e os rótulos de confidencialidade permitem que você entenda onde seus dados confidenciais estão localizados, como eles se movem e implemente controles de acesso e uso apropriados consistentes com os princípios de confiança zero:

• Utilize a classificação e a rotulagem automatizadas para detectar informações confidenciais e dimensionar a descoberta em todo o seu estado de dados.

• Utilize a etiquetagem manual para documentos e contêineres e organize manualmente os conjuntos de dados usados em análises em que a classificação e a sensibilidade são melhor estabelecidas por usuários experientes.

Siga estas etapas:

• Aprenda sobre tipos de informações confidenciais

• Saiba mais sobre classificadores treináveis

• Saiba mais sobre rótulos de confidencialidade

Depois de configurar e testar a classificação e a rotulagem, aumente a escala da descoberta de dados em todo o seu estado de dados.

Siga estas etapas para estender a descoberta além dos serviços do Microsoft 365:

• Introdução ao mecanismo de varredura local do Microsoft Purview

• Descubra como proteger informações confidenciais em aplicativos SaaS

• Saiba mais sobre varreduras e ingestão no portal de governança do Microsoft Purview

À medida que você descobre, classifica e rotula seus dados, utilize esses insights para corrigir riscos e informar suas iniciativas de gerenciamento de políticas.

Siga estas etapas:

• Introdução ao Explorador de Conteúdos

• Revisar a atividade de rotulagem com o Gerenciador de Atividades

• Saiba mais sobre o Data Insights

II. Aplicar criptografia, controle de acesso e marcações de conteúdo

Simplifique sua implementação de privilégios mínimos utilizando rótulos de confidencialidade para proteger seus dados mais confidenciais com criptografia e controle de acesso. Utilize marcações de conteúdo para melhorar a conscientização e a rastreabilidade do usuário.

Proteja documentos e e-mails

O Microsoft Purview Information Protection permite o acesso e o controle de uso com base em rótulos de confidencialidade ou permissões definidas pelo usuário para documentos e emails. Ele também pode, opcionalmente, aplicar marcações e criptografar informações que residem ou fluem para ambientes de menor confiança, internos ou externos à sua organização. Ele fornece proteção em repouso, em movimento e em uso para aplicações iluminadas.

Siga estas etapas:

• Revise as opções de criptografia no Microsoft 365
• Restringir o acesso ao conteúdo e ao uso usando rótulos de confidencialidade

Proteger documentos no Exchange, SharePoint e OneDrive

Para dados armazenados no Exchange, SharePoint e OneDrive, a classificação automática com rótulos de confidencialidade pode ser implantada por meio de políticas em locais específicos para restringir o acesso e gerenciar a criptografia em saídas autorizadas.

Realize esta etapa:

• Configure políticas de rotulagem automática para SharePoint, OneDrive e Exchange.

III. Controlar o acesso a dados

O fornecimento de acesso a dados sensíveis deve ser controlado para que sejam mais bem protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados.

Controlar o acesso e o compartilhamento de dados nos sites do Teams, do Microsoft 365 Groups e do SharePoint

Utilize rótulos de sensibilidade de contêiner para implementar restrições de acesso condicional e compartilhamento para sites do Microsoft Teams, Microsoft 365 Groups ou SharePoint.

Realize esta etapa:

• Usar rótulos de confidencialidade no Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint

Controlar o acesso aos dados em aplicativos SaaS

O Microsoft Defender for Cloud Apps fornece recursos adicionais para acesso condicional e para gerenciar arquivos confidenciais no Microsoft 365 e em ambientes de terceiros, como o Box ou o Google Workspace, incluindo:

• Remoção de permissões para lidar com privilégios excessivos e evitar o vazamento de dados.

• Colocar arquivos em quarentena para revisão.

• Aplicação de rótulos a arquivos confidenciais.

Siga estas etapas:

• Integrar a proteção de Informações do Microsoft Purview

Dica

Confira Integrar aplicativos SaaS para Confiança Zero com o Microsoft 365 para saber como aplicar os princípios de Confiança Zero para ajudar a gerenciar seu patrimônio digital de aplicativos em nuvem.

Controlar o acesso ao armazenamento IaaS/PaaS

Implante políticas de controle de acesso obrigatórias em recursos IaaS/PaaS que contenham dados confidenciais.

Realize esta etapa:

• Conheça as políticas de DevOps do Microsoft Purview

IV. Impedir o vazamento de dados

O controle de acesso aos dados é necessário, mas insuficiente para exercer controle sobre a movimentação de dados e para evitar vazamento ou perda de dados inadvertidos ou não autorizados. Esse é o papel da prevenção de perda de dados e do gerenciamento de riscos internos, que é descrito na seção IV.

Utilize as políticas DLP do Microsoft Purview para identificar, verificar e proteger automaticamente dados confidenciais em:

• Serviços do Microsoft 365, como Teams, Exchange, SharePoint e OneDrive

• Aplicativos do Office, como Word, Excel e PowerPoint

• Pontos de extremidade do Windows 10, Windows 11 e macOS (três versões mais recentes)

• compartilhamentos de arquivos locais e SharePoint local

• aplicativos na nuvem que não são da Microsoft

Siga estas etapas:

• Planejar a prevenção de perda de dados

• Criar, testa e ajustar políticas DLP

• Saiba mais sobre o painel Alertas de prevenção de perda de dados

• Revisar a atividade de dados com o Gerenciador de Atividades

V. Gerenciar riscos internos

As implementações de privilégios mínimos ajudam a minimizar os riscos conhecidos, mas também é importante correlacionar sinais comportamentais de usuário adicionais relacionados à segurança, verificar padrões de acesso a dados confidenciais e amplos recursos de detecção, investigação e busca.

Execute estas etapas:

• Saiba mais sobre o Gerenciamento de Risco Interno

• Investigar atividades de gerenciamento de risco interno

VI. Excluir informações confidenciais desnecessárias

As organizações podem reduzir sua exposição de dados gerenciando o ciclo de vida de seus dados confidenciais.

Remova todos os privilégios onde puder, excluindo os próprios dados confidenciais quando eles não forem mais valiosos ou permitidos para sua organização.

Realize esta etapa:

• Implementar o gerenciamento de registros e o Gerenciamento do Ciclo de Vida dos Dados

Minimize a duplicação de dados confidenciais, favorecendo o compartilhamento e o uso in-loco em vez de transferências de dados.

Realize esta etapa:

• Saiba mais sobre o compartilhamento de dados in-loco com o Microsoft Purview

Produtos abordados neste guia

Microsoft Purview

Microsoft Defender for Cloud Apps

Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes.

A série de guias de implantação de Confiança Zero