Zabezpečení dat pomocí nulová důvěra (Zero Trust)
Pozadí
nulová důvěra (Zero Trust) je strategie zabezpečení, která slouží k návrhu principů zabezpečení pro vaši organizaci. nulová důvěra (Zero Trust) pomáhá zabezpečit podnikové prostředky implementací následujících principů zabezpečení:
Ověřte explicitně. Vždy ověřte a autorizujete na základě všech dostupných datových bodů, včetně identity uživatele, umístění, stavu zařízení, služby nebo úlohy, klasifikace dat a anomálií.
Použijte přístup s nejnižšími oprávněními. Omezte přístup uživatelů pomocí JIT (just-in-Time) a přístupu podle potřeby (JEA), adaptivních zásad založených na rizikech a ochrany dat, které pomáhají zabezpečit data i produktivitu.
Předpokládejme porušení zabezpečení. Minimalizujte poloměr výbuchu a segmentový přístup. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.
Microsoft Purview navrhuje pět základních prvků pro hloubkovou strategii ochrany dat a implementaci nulová důvěra (Zero Trust) dat:
Klasifikace a označování dat
Pokud nevíte, jaká citlivá data máte místně a v cloudových službách, nemůžete je adekvátně chránit. Objevte a detekujte data v celé organizaci a klasifikujte je podle úrovně citlivosti.Ochrana informací
Podmíněný a nejnižší přístup k citlivým datům snižuje rizika zabezpečení dat. Použijte mantinely řízení přístupu na základě citlivosti, správu přístupových práv a šifrování tam, kde nejsou dostatečné kontroly prostředí. Používejte označení citlivosti informací ke zvýšení povědomí a dodržování zásad zabezpečení.Ochrana před únikem informací
Řízení přístupu řeší pouze část problému. Kontrola a řízení rizikových aktivit a přesunů dat, které můžou vést k incidentu zabezpečení dat nebo dodržování předpisů, umožňuje organizacím zabránit nadměrnému sdílení citlivých dat.Insider Risk Management
Přístup k datům nemusí vždy poskytovat celý příběh. Minimalizujte rizika na data tím, že povolíte detekci chování z široké škály signálů a bude v organizaci reagovat na potenciálně škodlivé a neúmyslné aktivity, které by mohly být prekurzory úniku dat nebo jejich označení.Zásady správného řízení dat
Proaktivní správa životního cyklu citlivých dat snižuje jejich vystavení. Omezte počet kopií nebo šíření citlivých dat a odstraňte data, která už nejsou potřebná k minimalizaci rizik úniku dat.
Cíle nasazení nulová důvěra (Zero Trust) dat
|
Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro data doporučujeme zaměřit se na tyto počáteční cíle nasazení: |
|
|
|
Klasifikovat a označovat data. Automaticky klasifikovat a označovat data tam, kde je to možné. Použijte ručně tam, kde není. II.Použijte šifrování, řízení přístupu a označení obsahu. Použijte šifrování, pokud ochrana a řízení přístupu nejsou dostatečné. III.Řízení přístupu k datům Řízení přístupu k citlivým datům, aby byly lépe chráněné. |
|
Při plnění výše uvedených cílů přidejte tyto další cíle nasazení: |
|
|
|
IV.Zabránit úniku dat. Používejte zásady ochrany před únikem informací, které jsou řízené rizikovými signály a citlivostí dat. V.Manage risks. Spravujte rizika, která mohou vést k incidentu zabezpečení dat kontrolou rizikových aktivit uživatelů souvisejících se zabezpečením a vzory aktivit dat, které můžou vést k incidentu zabezpečení dat nebo dodržování předpisů. VI.Snižte vystavení dat. Omezení vystavení dat prostřednictvím zásad správného řízení dat a průběžné minimalizace dat |
průvodce nasazením nulová důvěra (Zero Trust) pro data
Tento průvodce vás provede podrobným postupem nulová důvěra (Zero Trust) přístupu k ochraně dat. Mějte na paměti, že tyto položky se budou výrazně lišit v závislosti na citlivosti vašich informací a velikosti a složitosti vaší organizace.
Jako prekurzor pro jakoukoli implementaci zabezpečení dat microsoft doporučuje vytvořit architekturu klasifikace dat a taxonomii popisků citlivosti, která definuje vysoké kategorie rizik zabezpečení dat. Tato taxonomie se použije ke zjednodušení všeho od inventáře dat nebo přehledů aktivit až po správu zásad až po stanovení priorit šetření.
Další informace naleznete v tématu:
|
|
Počáteční cíle nasazení |
I. Klasifikace, označování a zjišťování citlivých dat
Strategie ochrany informací musí zahrnovat celý digitální obsah vaší organizace.
Klasifikace a popisky citlivosti umožňují pochopit, kde se nachází citlivá data, jak se přesunují, a implementovat odpovídající řízení přístupu a použití konzistentní s principy nulové důvěryhodnosti:
Pomocí automatizované klasifikace a popisování můžete zjišťovat citlivé informace a škálovat zjišťování v rámci vašich datových aktiv.
Používejte ruční označování pro dokumenty a kontejnery a ručně kurátorujte datové sady používané v analýzách, kde je klasifikace a citlivost nejlépe založena znalostními uživateli.
Postupujte následovně:
Jakmile nakonfigurujete a otestujete klasifikaci a označování, vertikálně navyšte kapacitu zjišťování dat napříč datovými aktivy.
Pokud chcete rozšířit zjišťování nad rámec služeb Microsoftu 365, postupujte takto:
Při zjišťování, klasifikaci a označování dat využijte tyto přehledy k nápravě rizik a informování iniciativ správy zásad.
Postupujte následovně:
II. Použití šifrování, řízení přístupu a označení obsahu
Zjednodušte implementaci nejnižších oprávnění pomocí popisků citlivosti k ochraně nejcitlivějších dat pomocí šifrování a řízení přístupu. Pomocí označení obsahu můžete zvýšit povědomí a sledovatelnost uživatelů.
Ochrana dokumentů a e-mailů
Microsoft Purview Information Protection umožňuje přístup a řízení používání na základě popisků citlivosti nebo uživatelsky definovaných oprávnění pro dokumenty a e-maily. Volitelně také může použít označení a šifrovat informace, které se nacházejí v prostředích s nižší důvěryhodností nebo mimo ni, interním nebo externím prostředím vaší organizace. Poskytuje ochranu v klidovém stavu, pohybu a používá se pro aplikace s podporou.
Postupujte následovně:
- Kontrola možností šifrování v Microsoftu 365
- Omezení přístupu k obsahu a použití pomocí popisků citlivosti
Ochrana dokumentů v Exchangi, SharePointu a OneDrivu
U dat uložených v Exchangi, SharePointu a OneDrivu je možné automatickou klasifikaci s popisky citlivosti nasadit prostřednictvím zásad do cílových umístění, která omezují přístup a spravují šifrování u autorizovaných výchozích přenosů dat.
Proveďte tento krok:
- Nakonfigurujte zásady automatického popisování pro SharePoint, OneDrive a Exchange.
III. Řízení přístupu k datům
Poskytnutí přístupu k citlivým datům musí být řízeno tak, aby byly lépe chráněné. Ujistěte se, že rozhodnutí o přístupu a zásadách použití zahrnují citlivost dat.
Řízení přístupu k datům a sdílení v Teams, Skupiny Microsoft 365 a sharepointových webech
Popisky citlivosti kontejnerů můžete použít k implementaci omezení podmíněného přístupu a sdílení do Microsoft Teams, Skupiny Microsoft 365 nebo sharepointových webů.
Proveďte tento krok:
Řízení přístupu k datům v aplikacích SaaS
Microsoft Defender for Cloud Apps poskytuje další možnosti podmíněného přístupu a správu citlivých souborů v prostředích Microsoftu 365 a třetích stran, jako je Box nebo Google Workspace, včetně:
Odebrání oprávnění k vyřešení nadměrného oprávnění a zabránění úniku dat
Quarantining soubory ke kontrole.
Použití popisků u citlivých souborů
Postupujte následovně:
Tip
Podívejte se na integraci aplikací SaaS pro nulová důvěra (Zero Trust) s Microsoftem 365 a zjistěte, jak používat principy nulová důvěra (Zero Trust), které vám pomůžou spravovat digitální aktiva cloudových aplikací.
Řízení přístupu k úložišti IaaS/PaaS
Nasaďte povinné zásady řízení přístupu do prostředků IaaS/PaaS, které obsahují citlivá data.
Proveďte tento krok:
IV. Zabránění úniku dat
Řízení přístupu k datům je nezbytné, ale nestačí při provádění kontroly nad přesunem dat a brání neúmyslným nebo neoprávněným únikům nebo ztrátám dat. To je role ochrany před únikem informací a řízení vnitřních rizik, která je popsaná v části IV.
Pomocí zásad ochrany před únikem informací v Microsoft Purview můžete identifikovat, kontrolovat a automaticky chránit citlivá data napříč:
Služby Microsoftu 365, jako jsou Teams, Exchange, SharePoint a OneDrive
aplikace Office lications, jako je Word, Excel a PowerPoint
Koncové body windows 10, Windows 11 a macOS (tři nejnovější vydané verze)
místní sdílené složky a místní SharePoint
cloudové aplikace od jiných společností než Microsoft.
Postupujte následovně:
Vytváření, testování a ladění zásad ochrany před únikem informací
Informace o řídicím panelu Upozornění ochrany před únikem informací
V. Správa insiderských rizik
Implementace s nejnižšími oprávněními pomáhají minimalizovat známá rizika, ale je také důležité korelovat další signály chování uživatelů související se zabezpečením, kontrolovat vzory přístupu k citlivým datům a široké detekce, vyšetřování a proaktivního vyhledávání.
Postupujte následovně:
VI. Odstranění nepotřebných citlivých informací
Organizace můžou snížit riziko vystavení dat tím, že spravují životní cyklus citlivých dat.
Odeberte všechna oprávnění, kde můžete, odstraněním samotných citlivých dat, pokud už nejsou cenná nebo povolená pro vaši organizaci.
Proveďte tento krok:
Minimalizujte duplicitu citlivých dat tím, že upřednostňujete místní sdílení a použití místo přenosu dat.
Proveďte tento krok:
Produkty popsané v této příručce
Microsoft Defender for Cloud Apps
Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým úspěchu zákazníka.
Série průvodce nasazením nulová důvěra (Zero Trust)
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro