Zabezpečení dat pomocí nulová důvěra (Zero Trust)

Pozadí

nulová důvěra (Zero Trust) je strategie zabezpečení používaná k návrhu principů zabezpečení pro vaši organizaci. nulová důvěra (Zero Trust) pomáhá zabezpečit podnikové prostředky implementací následujících principů zabezpečení:

• Ověřte explicitně. Vždy ověřte a autorizujete na základě všech dostupných datových bodů, včetně identity uživatele, umístění, stavu zařízení, služby nebo úlohy, klasifikace dat a anomálií.

• Použijte přístup s nejnižšími oprávněními. Omezte přístup uživatelů pomocí JIT (just-in-Time) a přístupu podle potřeby (JEA), adaptivních zásad založených na rizikech a ochrany dat, které pomáhají zabezpečit data i produktivitu.

• Předpokládejme porušení zabezpečení. Minimalizujte oblast dopadu a segmentujte přístup. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Microsoft Purview navrhuje pět základních prvků pro hloubkovou strategii ochrany dat a implementaci nulová důvěra (Zero Trust) dat:

1. Klasifikace a označování dat
   Pokud nevíte, jaká citlivá data máte místně a v cloudových službách, nemůžete je adekvátně chránit. Objevte a detekujte data v celé organizaci a klasifikujte je podle úrovně citlivosti.

2. Ochrana informací
   Podmíněný a nejnižší přístup k citlivým datům snižuje rizika zabezpečení dat. Použijte mantinely řízení přístupu na základě citlivosti, správu přístupových práv a šifrování tam, kde nejsou dostatečné kontroly prostředí. Používejte označení citlivosti informací ke zvýšení povědomí a dodržování zásad zabezpečení.

3. Ochrana před únikem informací
   Řízení přístupu řeší pouze část problému. Kontrola a řízení rizikových aktivit a přesunů dat, které můžou vést k incidentu zabezpečení dat nebo dodržování předpisů, umožňuje organizacím zabránit nadměrnému sdílení citlivých dat.

4. Insider Risk Management
   Přístup k datům nemusí vždy poskytovat celý příběh. Minimalizujte rizika pro data tím, že povolíte detekci chování z široké škály signálů, a reagujte v organizaci na potenciálně škodlivé a neúmyslné aktivity, které by mohly být prekurzory nebo známky úniku dat.

5. Zásady správného řízení dat
   Proaktivní správa životního cyklu citlivých dat snižuje jejich vystavení. Omezte počet kopií nebo šíření citlivých dat a odstraňte data, která už nejsou potřebná k minimalizaci rizik úniku dat.

Cíle nasazení nulová důvěra (Zero Trust) pro data

Při implementaci komplexní architektury nulová důvěra (Zero Trust) pro data doporučujeme zaměřit se na tyto počáteční cíle nasazení:
Ikona seznamu s jedním zaškrtávacím políčkem	I. Klasifikujte a označte data. Automaticky klasifikujte a označte data, kde je to možné. Ručně použijte tam, kde to není. II.Použijte šifrování, řízení přístupu a označení obsahu. Použijte šifrování, pokud ochrana a řízení přístupu nejsou dostatečné. III.Řízení přístupu k údajům. Řízení přístupu k citlivým datům, aby byly lépe chráněné. Ujistěte se, že rozhodnutí o přístupu a zásadách použití zahrnují citlivost dat.
Při plnění výše uvedených cílů přidejte tyto další cíle nasazení:
Ikona seznamu se dvěma značkami zaškrtnutí	IV.Zabránit úniku dat. Používejte zásady ochrany před únikem informací, které jsou řízené rizikovými signály a citlivostí dat. V. Řízení rizik. Spravujte rizika, která můžou vést k incidentu zabezpečení dat kontrolou rizikových aktivit uživatelů souvisejících se zabezpečením a vzory aktivit dat, které můžou vést k incidentu zabezpečení dat nebo dodržování předpisů. VI.Snižte vystavení dat. Omezení vystavení dat prostřednictvím zásad správného řízení dat a průběžné minimalizace dat

Průvodce nasazením nulová důvěra (Zero Trust) pro data

Tento průvodce vás provede podrobným postupem nulová důvěra (Zero Trust) přístupu k ochraně dat. Mějte na paměti, že tyto položky se budou výrazně lišit v závislosti na citlivosti vašich informací a velikosti a složitosti vaší organizace.

Jako prekurzor pro jakoukoli implementaci zabezpečení dat microsoft doporučuje vytvořit architekturu klasifikace dat a taxonomii popisků citlivosti, která definuje vysoké kategorie rizik zabezpečení dat. Tato taxonomie se použije ke zjednodušení všeho od inventáře dat nebo přehledů aktivit až po správu zásad až po stanovení priorit šetření.

Další informace naleznete v tématu:

• Vytvoření dobře navržené architektury pro klasifikaci dat

Ikona kontrolního seznamu s jednou značkou zaškrtnutí

Počáteční cíle nasazení

I. Klasifikace, označování a zjišťování citlivých dat

Strategie ochrany informací musí zahrnovat celý digitální obsah vaší organizace.

Klasifikace a popisky citlivosti umožňují pochopit, kde se nachází citlivá data, jak se přesunují, a implementovat odpovídající řízení přístupu a použití konzistentní s principy nulové důvěryhodnosti:

• Pomocí automatizované klasifikace a popisování můžete zjišťovat citlivé informace a škálovat zjišťování v rámci vašich datových aktiv.

• Používejte ruční označování pro dokumenty a kontejnery a ručně kurátorujte datové sady používané v analýzách, kde jsou klasifikace a citlivost nejvhodnější pro znalostní uživatele.

Postupujte následovně:

• Informace o typech citlivých informací

• Informace o trénovatelných klasifikátorech

• Informace o popiscích citlivosti

Jakmile nakonfigurujete a otestujete klasifikaci a označování, vertikálně navyšte kapacitu zjišťování dat napříč datovými aktivy.

Pokud chcete rozšířit zjišťování nad rámec služeb Microsoft 365, postupujte takto:

• Začněte s Microsoft Purview místním skenerem

• Zjišťování a ochrana citlivých informací v aplikacích SaaS

• Naučte se o skenech a ingesci v portálu governance Microsoft Purview

Při zjišťování, klasifikaci a označování dat využijte tyto přehledy k nápravě rizik a informování iniciativ správy zásad.

Postupujte následovně:

• Začínáme s Průzkumníkem obsahu

• Kontrola popisovací aktivity pomocí Průzkumníka aktivit

• Další informace o přehledech dat

II. Použití šifrování, řízení přístupu a označení obsahu

Zjednodušte implementaci nejnižších oprávnění pomocí popisků citlivosti k ochraně nejcitlivějších dat pomocí šifrování a řízení přístupu. Pomocí označení obsahu můžete zvýšit povědomí a sledovatelnost uživatelů.

Ochrana dokumentů a e-mailů

Microsoft Purview Information Protection umožňuje přístup a řízení používání na základě popisků citlivosti nebo uživatelsky definovaných oprávnění pro dokumenty a e-maily. Volitelně může také aplikovat označení a šifrovat informace, které se nacházejí v prostředích s nižší úrovní důvěry nebo se do nich dostávají, a to jak interně, tak i externě vůči vaší organizaci. Poskytuje ochranu v klidu, během pohybu a při použití pro pokročilé aplikace.

Postupujte následovně:

• Zkontrolujte možnosti šifrování v Microsoftu 365
• Omezení přístupu k obsahu a použití pomocí popisků citlivosti

Ochrana dokumentů v Exchangi, SharePoint a OneDrive

U dat uložených v Exchangi, SharePoint a OneDrive je možné automatickou klasifikaci s popisky citlivosti nasadit prostřednictvím zásad do cílových umístění, která omezují přístup a spravují šifrování u autorizovaných výchozích přenosů dat.

Proveďte tento krok:

• Konfigurování zásad automatického popisování pro SharePoint, OneDrive a Exchange

III. Řízení přístupu k datům

Poskytnutí přístupu k citlivým datům musí být řízeno tak, aby byly lépe chráněné. Ujistěte se, že rozhodnutí o přístupu a zásadách použití zahrnují citlivost dat.

Řízení přístupu k datům a jejich sdílení v Teams, Skupiny Microsoft 365 a SharePoint webech

Popisky citlivosti kontejneru slouží k implementaci omezení podmíněného přístupu a sdílení pro Microsoft Teams, Skupiny Microsoft 365 nebo SharePoint weby.

Proveďte tento krok:

• Používejte popisky citlivosti v Microsoft Teams, Skupiny Microsoft 365 a na webech SharePoint

Řízení přístupu k datům v aplikacích SaaS

Microsoft Defender for Cloud Apps poskytuje další možnosti podmíněného přístupu a správu citlivých souborů v Microsoft 365 a prostředích třetích stran, jako je Box nebo Google Workspace, včetně:

• Odebrání oprávnění k vyřešení nadměrného oprávnění a zabránění úniku dat

• Umístění souborů do karantény ke kontrole.

• Použití popisků u citlivých souborů

Postupujte následovně:

• Integrovat Microsoft Purview Information Protection

Tip

Podívejte se na článek Jak integrovat aplikace SaaS pro nulová důvěra (Zero Trust) s Microsoft 365 a dozvíte se, jak použít principy nulová důvěra (Zero Trust), které vám pomohou spravovat vaše cloudové aplikace.

Řízení přístupu k úložišti IaaS/PaaS

Nasaďte povinné zásady řízení přístupu do prostředků IaaS/PaaS, které obsahují citlivá data.

Proveďte tento krok:

• Zjistěte více o zásadách Microsoft Purview DevOps

IV. Zabránění úniku dat

Řízení přístupu k datům je nezbytné, ale nestačí při provádění kontroly nad přesunem dat a brání neúmyslným nebo neoprávněným únikům nebo ztrátám dat. To je role ochrany před únikem informací a řízení vnitřních rizik, která je popsaná v části IV.

Pomocí zásad ochrany před únikem informací Microsoft Purview můžete identifikovat, kontrolovat a automaticky chránit citlivá data napříč:

• Microsoft 365 služby, jako jsou Teams, Exchange, SharePoint a OneDrive

• Aplikace Office, jako jsou Word, Excel a PowerPoint

• koncová zařízení Windows 10, Windows 11 a macOS (tři nejnovější verze vydané)

• místní sdílení souborů a místní SharePoint

• cloudové aplikace od jiných společností než Microsoft.

Postupujte následovně:

• Plánování ochrany před únikem informací

• Vytváření, testování a ladění zásad ochrany před únikem informací

• Zjistit více o panelu Upozornění ochrany před únikem dat

• Kontrola aktivity s daty pomocí Průzkumníka aktivit

V. Správa insiderských rizik

Implementace s nejnižšími oprávněními pomáhají minimalizovat známá rizika, ale je také důležité korelovat další signály chování uživatelů související se zabezpečením, kontrolovat vzory přístupu k citlivým datům a široké detekce, vyšetřování a proaktivního vyhledávání.

Postupujte následovně:

• Další informace o správě insiderských rizik

• Zkoumání aktivit pro správu insiderských rizik

VI. Odstranění nepotřebných citlivých informací

Organizace můžou snížit riziko vystavení dat tím, že spravují životní cyklus citlivých dat.

Odeberte všechna oprávnění, kde můžete, odstraněním samotných citlivých dat, pokud už nejsou pro vaši organizaci cenná nebo povolená.

Proveďte tento krok:

• Nasazení správy životního cyklu dat a správy záznamů

Minimalizujte duplicitu citlivých dat tím, že upřednostňujete místní sdílení a použití místo přenosu dat.

Proveďte tento krok:

• Zjistěte více o sdílení dat na místě pomocí Microsoft Purview

Produkty popsané v této příručce

Microsoft Purview

Microsoft Defender for Cloud Apps

Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým úspěchu zákazníka.

Průvodce nasazení nulová důvěra (Zero Trust)

Ikona úvodu

Ikona pro identitu

Ikona pro koncové body

Ikona pro aplikace

Ikona pro data

Ikona infrastruktury

Ikona sítí

Ikona pro viditelnost, automatizaci, orchestraci