Skydda data med nollförtroende

  • Artikel
  • 10 minuter för att läsa

Bakgrund

Att skydda data är ett av de primära ansvarsområdena för säkerhets- och efterlevnadsgrupper. Data bör vara skyddade medan de är vil, i bruk och när de lämnar slutpunkter ,appar,infrastruktur och nätverk som finns i organisationenskontroll. För att säkerställa skydd och att dataåtkomsten är begränsad till behöriga användare bör data inventeringar, klassificeras, märkas och, om det behövs, krypteras.

De tre huvuddelarna i en dataskyddsstrategi är:

  1. Känna till dina data

    Om du inte vet vilka känsliga data som finns lokalt och i molntjänster kan du inte tillräckligt skydda dem. Du måste identifiera data i hela organisationen och klassificera alla data efter känslighetsnivå.

  2. Skydda dina data och förhindra dataförlust

    Känsliga data måste skyddas av dataskyddsprinciper som etiketterar och krypterar data eller blockerar överdelning. På så sätt kan endast behöriga användare få åtkomst till data, även när data färdas utanför företagets miljö.

  3. Övervaka och åtgärda

    Du bör kontinuerligt övervaka känsliga data för att upptäcka principfel och riskfyllda användarbeteenden. På så sätt kan du vidta lämpliga åtgärder, till exempel återkalla åtkomst, blockera användare och förfina dina skyddsprinciper.

Översikt över övervakning av aktivering och åtgärder.

När data och känsligt innehåll förstås, etiketteras och klassificeras kan organisationer:

  • Informera och genomdriva principbeslut för att blockera eller ta bort e-postmeddelanden, bifogade filer eller dokument.

  • Kryptera filer med känslighetsetiketter på enhetsslutpunkter.

  • Klassificera innehåll automatiskt med känslighetsetiketter genom princip och maskininlärning.

  • Spåra och övervaka känsligt innehåll med hjälp av principer när innehållet färdas in i och utanför ditt digitala hus.

Distributionsmål för Data Zero Trust

En informationsskyddsstrategi måste omfatta organisationens hela digitala innehåll. Som baslinje måste du definiera etiketter, upptäcka känsliga data och övervaka användningen av etiketter och åtgärder i din miljö. Användning av känslighetsetiketter diskuteras i slutet av den här guiden.

Obs!

Innan många organisationer startar en nollförtroenderesakännetecknas deras datasäkerhet av följande:

  • Access styrs av perimeterkontrollen, inte av datakänslighet.

  • Känslighetsetiketter tillämpas manuellt, med inkonsekvent dataklassificering.

De inledande distributionsmålen för informationsskydd är:

  1. Definiera organisationens etikett taxonomi.

  2. Definiera organisationens informationsskyddsfunktioner som omfattas av distributionen.

  3. Mappa funktionerna i omfattningen till projekttidslinjen.

  4. Gå igenom Microsofts produktöversikt för att vara medveten om funktioner som kommer och som kommer att anpassa till din organisations resa mot informationsskydd.

Ovanstående aktiviteter är konsekventa för alla organisationer som planerar ett informationsskyddsprojekt, inte bara de som fokuserar på att implementera en nollförtroende metod för att skydda data. Vi kommer inte att diskutera de här aktiviteterna mer i den här guiden. Mer information finns i:

När du implementerar ett end-to-end Zero Trust Framework för data rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

Listikon med en bockmarkering.

I.Beslut om Access styrs av kryptering.

II.Data klassificeras och märks automatiskt.

När de är slutförda fokuserar du på följande distributionsmål:

Listikon med två bockmarkeringar.

III.Klassificering utökas av smart machine learning-modeller.

IV.Access-beslut styrs av en molnsäkerhetspolicymotor.

V. Förhindradataläckning genom DLP-principer baserat på känslighetsetikett och innehållsinspektion.

Funktioner

Tabell med funktioner.

Distributionsguide för Data Zero Trust

Den här guiden vägleder dig steg för steg genom en nollförtroende metod för dataskyddsförfall. Tänk på att de här objekten varierar kraftigt beroende på hur känslig din information är och hur stor och komplex din organisation är.




Checklistikon med en bockmarkering.

Mål för inledande distribution

I. Beslut om Access styrs av kryptering

Skydda känsliga data med kryptering för att begränsa åtkomsten till innehåll som känslighetsetiketter tillämpas på.

När ett dokument eller e-postmeddelande krypteras begränsas åtkomsten till innehållet så att den:

  • Krypteras både i vila och under överföring.

  • Förblir krypterad oavsett var filen finns (inom eller utanför organisationen), även om filen har bytt namn.

  • Kan endast dekrypteras av användare som godkänts av etikettens krypteringsinställningar.

Ta det här steget:

II. Data klassificeras och märks automatiskt

Automatisera dataklassificering för att undvika problem med att data inte märks manuellt, eller att etiketter används felaktigt.

Automatiskt märka innehåll i Microsoft 365-applikationer För företag eller Unified Labeling-klient

Ett strategiska klientval för Windows utnyttjar inbyggda informationsskyddsfunktioner i Microsoft Office. Om det inte är möjligt skulle en alternativ lösning vara att använda den enhetliga Azure Information Protection-etikettklienten.

Följ de här anvisningarna:

  1. Lär dig hur du konfigurerar automatisk märkning för Office appar.

  2. Använd känslighetsetiketter på innehåll automatiskt.

Klassificera, märka och skydda verksamhetskritiskt innehåll automatiskt med känslig information lokalt

Du kan använda AIP-skannern (Azure Information Protection) för att automatiskt klassificera och skydda filer för SharePoint 2013 och högre och lokala filservrar.

Ta det här steget:




Checklisteikon med två bockmarkeringar.

Ytterligare distributionsmål

III. Klassificering utökas av smart machine learning-modeller

Företag har stora mängder data som kan vara svåra att hitta en tillräckligt bra etikett för och klassificera. När du har slutfört de första två stegen är nästa steg att använda maskininlärning för smartare klassificering.

Microsoft 365 finns tre sätt att klassificera innehåll, inklusive manuellt och med automatiserad mönstermatchning.

Utbildare (förhandsversion) är en tredje metod som är väl lämpad för innehåll som inte enkelt identifieras med hjälp av manuella eller automatiserade mönstermatchningsmetoder. En klassificerare lär sig att identifiera en typ av innehåll genom att titta på hundratals exempel på innehåll som du är intresserad av att klassificera. Du börjar med att mata in exempel som definitivt ligger i kategorin. När de har bearbetars testar du det genom att ge det en blandning av både matchande och icke-matchande exempel. Klassificeraren gör sedan prognoser om huruvida ett visst objekt faller inom den kategori som du skapar. Sedan bekräftar du resultatet och sorterar positiva resultat, negativa tal, falska positiva och falska negativa resultat för att öka noggrannheten i prognoser. När du publicerar den utbildningade klassificeraren sorteras objekten på platser som SharePoint Online, Exchange och OneDrive, och klassificerar innehållet.

Följ de här anvisningarna:

  1. Lär dig var du kan använda utbildare.

  2. Skapa en utbildare (förhandsversion).

IV. Access-beslut styrs av en molnsäkerhetspolicymotor

För data som lagras Exchange, SharePoint och OneDrive kan automatisk klassificering med känslighetsetiketter distribueras via principer till riktade platser. Med Microsoft Defender för molnappar får du ytterligare funktioner för att hantera känsliga filer, till exempel:

  • Borttagning av medarbetare för att förhindra överflödig behörighet och dataläckor.

  • Placera filer i karantän för ytterligare granskning.

  • Skapa principer som proaktivt använder etiketter på känsliga filer eller i specifika riskfyllda användarscenarier.

Följ de här anvisningarna:

  1. Konfigurera principer för automatisk märkning för SharePoint, OneDrive och Exchange.

  2. Integrera Microsoft Defender för molnappar och Microsoft Information Protection använda det för att skydda data i tredjepartsmiljöer som Box eller G-Suite.

V. Förhindra dataläckning genom DLP-principer baserat på känslighetsetikett och innehållsinspektion

I syfte att följa företagsstandarder och branschföreskrifter måste organisationer skydda känslig information och förhindra att känslig information oavsiktligt informeras. Känslig information kan vara ekonomiska data eller personligt identifierbar information, t.ex kreditkortsnummer, personnummer eller hälsojournaler. Med en DLP-princip (Data Loss Prevention) i säkerhetsefterlevnadscentret i Office 365 kan du identifiera, övervaka och automatiskt skydda känslig & information över Office 365.

Följ de här anvisningarna:

  1. Lär dig hur du skyddar data med DLP-principer.

  2. Skapa, testa och finjustera en DLP-princip.

  3. Använd DLP för att tillämpa åtgärder (t.ex. skydda innehåll, begränsa åtkomst eller, när det gäller e-post, blockera från att skickas) när innehållet matchar en uppsättning villkor.

Traditionella datasäkerhetsmål

Känslighetsetiketter utgör grunden för modellen Noll förtroende för data. Att definiera känslighetsnivåer är en process för att identifiera intressenter för att diskutera och fastställa datatyper som är avgörande för företag och som omfattas av myndighetsförordningen. Sedan kan en taxonomi göras så att den här typen av data kan klassificeras som mycket konfidentiell eller konfidentiell, och de dokument som innehåller dessa data etiketteras i enlighet med detta. På samma sätt bör ett beslut om säkerhetsprinciper fattas om andra känslighetsnivåer av datatyp och dokumentetiketter, till exempel allmänt eller icke-företag. Med principbeslutet slutfört kan du upptäcka filer på alla platser, validera innehållet i filerna, jämföra dem med principbeslutet och märka dokumenten på rätt sätt.

De här aktiviteterna hjälper till att ta itu med risker genom att identifiera och markera känslig information för att förhindra att information delas av misstag med obehöriga enheter. De leder också till minimal produktivitet i och med att datadelningen fortsätter utan avbrott.

Följande vägledning hjälper dig att komma igång med känslighetsetiketter.

Översikt över stegen i fas 5 av de ytterligare distributionsmålen.

Känslighetsetiketter tillämpas manuellt

Att definiera rätt taxonomi för etiketter och skyddsprinciper är det viktigaste steget i en informationsskyddsdistribution, så börja med att skapa en märkningsstrategi som återspeglar organisationens känslighetskrav för information.

Etiketter anger innehållskänslighet och vilka företagspolicyer som gäller. Etiketter är också det huvudsakliga sättet för användare att flagga innehåll som måste skyddas.

En bra etikett taxonomi är intuitiv, lätt att använda och i linje med företagets behov. Det förhindrar dataläckor och missbruk och åtgärdar efterlevnadskrav, men hindrar inte användarna från att göra sitt jobb.

Följ de här anvisningarna:

Upptäcka affärskritiskt innehåll automatiskt med känslig information lokalt

AIP-skannern (Azure Information Protection) hjälper till att upptäcka, klassificera, märka och skydda känslig information på dina lokala lagringsplatser för filer och lokala webbplatser SharePoint 2013+. AIP-skannern ger omedelbar insyn i olika typer av datarisker innan du flyttar till molnet.

Följ de här anvisningarna:

  1. Granska kraven för att installera AIP-skannern.

  2. Konfigurera skannern i Azure Portal.

  3. Installera skannern.

  4. Hämta en Azure AD-token för skannern.

  5. Kör en identifieringscykel och visa rapporter för skannern.

Etiketter och klassificeringar som är Office användare på valfri enhet och tillämpas manuellt på innehåll

När känslighetsetiketter har publicerats från Microsoft 365 Efterlevnadscenter eller motsvarande etikettcenter finns det klientprogram som användare kan utnyttja för att klassificera och skydda data när de skapas eller redigeras, till exempel den inbyggda etiketterklienten i Microsoft Office eller Azure Information Protection Unified Labeling-klienten.

Följ de här anvisningarna:

  1. Jämför märkning av klientfunktioner för Windows datorer och granska stöd för känslighetsetiketter i Office-appar för att avgöra vilka känslighetsfunktioner och plattformskrav som är viktiga för dina scenarier.

  2. Börja använda känslighetsetiketter i Office appar, till exempel Microsoft-gruppwebbplatser, Microsoft 365 grupper (tidigare Office 365 grupper) och SharePoint webbplatser. Känslighetsetiketter kan också användas för att klassificera och märka känsliga data i Power BI och kan tillämpas på datamängder, rapporter, instrumentpaneler och dataflöden.

Standardetikett som används för nytt innehåll som skapats av användare

När du publicerar en etikettprincip kan du identifiera en särskild etikett som ska användas som standard för allt innehåll som skapas av användare och grupper som ingår i principen. Etiketten kan ställa in en skyddsnivå, även om ingen annan åtgärd vidtas av användare eller systeminställningar.

Ta det här steget:

Visuella markeringar för att visa känsliga dokument i appar och tjänster

När en känslighetsetikett skapas och tillämpas på ett e-postmeddelande eller dokument tillämpas alla konfigurerade skyddsinställningar för den etiketten på innehållet. När du använder Office appar kan vattenstämplar tillämpas på sidhuvuden och sidfötter i e-postmeddelanden eller dokument där etiketten används.

Skärmbild av ett Office dokument med en vattenstämpel och ett sidhuvud om konfidentialitet.

Ta det här steget:

Granska data för att förstå användaretiketter, klassificerings- och skyddsbeteenden

När känslighetsetiketter har publicerats i organisationen kan du använda dataklassificering för att identifiera känsligt innehåll, var det finns och exponering från användaraktiviteter.

fliken innehållsutforskaren i kompatibilitetscentret för Microsoft 365 visas data som är i riskabelt läge genom att visa mängden och typerna av känsliga data i ett visst dokument som kan filtreras efter typ av etikett eller känslighet för att få en detaljerad vy över platser där känsliga data lagras. Fliken Aktivitetsutforskaren ger en vy över aktiviteter som är relaterade till känsliga data, känslighet och kvarhållningsetiketter (till exempel minskad skydd på grund av nedgradering eller ändringar av etiketter). Aktivitetsutforskaren kan också undersöka händelser som kan leda till ett scenario med dataläckor (t.ex. borttagning av etiketter). Genom att förstå de här aktiviteterna kan du identifiera rätt principer för skydd mot dataförlust eller skydd mot dataförlust för att säkerställa att dina känsligaste data är säkra.

Följ de här anvisningarna:

  1. Kom igång med Innehållsutforskaren och visa objekten som sammanfattas inbyggt på dataklassificeringsöversiktssidan.

  2. Kom igång med aktivitetsutforskaren för att övervaka historiken för aktiviteter relaterade till märkt innehåll.

Produkter som omfattas av den här guiden

Microsoft Azure

Azure Information Protection med unified Labeling Client och Scanner

Microsoft 365

Microsoft Defender för molnappar

Sammanfattning

Microsoft Information Protection (MIP) är en omfattande, flexibel, integrerad och utökningsbar metod för att skydda känsliga data.

Diagram med Microsoft Information Protection för data med Egress markerat.

Om du vill ha mer information eller hjälp med implementering kan du kontakta ditt team för kundframgång.



Distributionsguideserien Nollförtroende

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, automatisering