Schützen von Daten mit Zero Trust

Hintergrund

Zero Trust ist eine Sicherheitsstrategie, die zum Entwurf von Sicherheitsgrundsätzen für Ihre Organisation verwendet wird. Zero Trust hilft beim Sichern von Unternehmensressourcen, indem die folgenden Sicherheitsgrundsätze implementiert werden:

  • Explizit überprüfen. Authentifizieren und autorisieren Sie immer anhand aller verfügbaren Datenpunkte, einschließlich der Benutzeridentität, des Standorts, des Gerätestatus, des Diensts oder der Arbeitslast, der Datenklassifizierung und der Anomalien.

  • Verwenden des Zugriffs mit geringsten Berechtigungen.. Beschränken Sie den Benutzerzugriff mit Just-In-Time- (JIT) und Just-Enough-Zugriff (JEA), risikobasierten anpassungsfähigen Richtlinien, um sowohl beim Schutz von Daten als auch von Produktivität zu helfen.

  • Von Sicherheitsverletzungen ausgehen. Minimieren des Auswirkungsgrads und des Segmentzugriffs. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

Microsoft Purview schlägt fünf Kernelemente für eine umfassende Datenschutzstrategie und eine Zero Trust-Implementierung für Daten vor:

  1. Datenklassifizierung und -bezeichnung
    Wenn Sie nicht wissen, welche vertraulichen Daten Sie lokal und in Clouddiensten haben, können Sie sie nicht angemessen schützen. Sie müssen die Daten in Ihrem gesamten Unternehmen erkennen und diese nach Vertraulichkeitsstufe klassifizieren.

  2. Information Protection
    Bedingter Zugriff und Zugriff mit geringsten Berechtigungen auf vertrauliche Daten verringern die Datenschutzrisiken. Wenden Sie vertraulichkeitsbasierte Schutzvorrichtungen für Zugriffssteuerung, Rechteverwaltung und Verschlüsselung an, bei denen Umgebungskontrollen unzureichend sind. Verwenden Sie Vertraulichkeitsmarkierungen für Informationen, um die Einhaltung von Sensibilisierungs- und Sicherheitsrichtlinien zu erhöhen.

  3. Verhindern von Datenverlusten
    Die Zugriffssteuerung behebt nur einen Teil des Problems. Das Überprüfen und Steuern riskanter Datenaktivitäten und -bewegungen, die zu einem Datenschutz- oder Compliancevorfall führen können, ermöglicht es Organisationen, die Weitergabe vertraulicher Daten zu verhindern.

  4. Insider-Risikomanagement
    Der Datenzugriff stellt möglicherweise nicht immer die gesamten Informationen bereit. Minimieren Sie Risiken für Daten, indem Sie die Verhaltenserkennung aus einer breiten Palette von Signalen ermöglichen und auf potenziell böswillige und unbeabsichtigte Aktivitäten in Ihrer Organisation reagieren, die ein Vorläufer oder ein Hinweis auf eine Datenschutzverletzung sein können.

  5. Data Governance
    Die proaktive Verwaltung des Lebenszyklus vertraulicher Daten vermindert die Gefährdung. Beschränken Sie die Anzahl der Kopien oder die Weitergabe vertraulicher Daten, und löschen Sie Daten, die nicht mehr benötigt werden, um Risiken für Datenschutzverletzungen zu minimieren.

Ziele der Bereitstellung von Zero Trust-Daten

Beim Implementieren eines End-to-End Zero Trust-Frameworks für Daten empfehlen wir Ihnen, sich zuerst auf diese anfänglichen Bereitstellungsziele zu konzentrieren:

List icon with one checkmark.

I.Klassifizieren und Bezeichnen von Daten. Automatisches Klassifizieren und Bezeichnen von Daten, sofern möglich. Manuell anwenden, wo dies nicht der Fall ist.

II.Wenden Sie Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen an. Wenden Sie Verschlüsselung dort an, wo Schutz und Zugriffssteuerung unzureichend sind.

III.Steuern des Zugriffs auf Daten. Steuern Sie den Zugriff auf vertrauliche Daten, damit diese besser geschützt sind.

Wenn Sie beim Erreichen der oben genannten Ziele Fortschritte machen, fügen Sie die folgenden zusätzlichen Bereitstellungsziele hinzu:

List icon with two checkmarks.

IV.Verhindern von Datenlecks. Verwenden Sie DLP-Richtlinien, die von riskanten Signalen und der Vertraulichkeit von Daten gesteuert werden.

V.Verwalten von Risiken. Verwalten Sie Risiken, die zu einem Datenschutzvorfall führen können, indem Sie riskante sicherheitsrelevante Benutzeraktivitäten und Datenaktivitätsmuster überprüfen, die zu einem Sicherheits- oder Compliancevorfall führen können.

VI.Verringern der Datenexposition. Verringern der Datenexposition durch Data Governance und kontinuierliche Datenminimierung

Leitfaden für die Zero Trust-Bereitstellung von Daten

Dieser Leitfaden führt Sie Schritt für Schritt durch einen Zero Trust-Ansatz für den Datenschutz. Beachten Sie, dass diese Elemente je nach Vertraulichkeit Ihrer Informationen und Größe und Komplexität Ihrer Organisation stark variieren.

Als Vorläufer für jede Implementierung der Datensicherheit empfiehlt Microsoft, dass Sie einen Datenklassifizierungsrahmen und eine Vertraulichkeitsbezeichnungstaxonomie erstellen, die hochrangige Kategorien für Datensicherheitsrisiken definiert. Diese Taxonomie wird verwendet, um alles zu vereinfachen, angefangen von Datenbestands- oder Aktivitätseinblicken über die Richtlinienverwaltung bis hin zur Untersuchungspriorisierung.

Weitere Informationen finden Sie unter:




Checklist icon with one checkmark.

Anfängliche Bereitstellungsziele

I. Klassifizieren, Bezeichnen und Ermitteln von vertraulichen Daten

Eine Strategie zum Schutz von Informationen muss den gesamten digitalen Inhalt Ihres Unternehmens umfassen.

Klassifizierungen und Vertraulichkeitsbezeichnungen ermöglichen es Ihnen zu verstehen, wo sich Ihre vertraulichen Daten befinden, wie sie verschoben werden und wie geeignete Zugriffs- und Nutzungskontrollen implementiert werden, die im Einklang mit Zero Trust-Grundsätzen sind:

  • Verwenden Sie automatisierte Klassifizierungen und Bezeichnungen, um vertrauliche Informationen zu erkennen und die Ermittlung in Ihrem gesamten Datenbestand zu skalieren.

  • Verwenden Sie manuelle Bezeichnungen für Dokumente und Container, und erstellen Sie Datensätze manuell, die in Analysen verwendet werden, bei denen Klassifizierung und Vertraulichkeit am besten durch sachkundige Benutzer eingerichtet werden.

Führen Sie folgende Schritte aus:

Nachdem Sie die Klassifizierung und Bezeichnung konfiguriert und getestet haben, skalieren Sie die Datenermittlung für Ihren gesamten Datenbestand hoch.

Führen Sie die folgenden Schritte aus, um die Ermittlung über die Microsoft 365-Dienste hinaus zu erweitern:

Verwenden Sie diese Erkenntnisse, wenn Sie Ihre Daten ermitteln, klassifizieren und bezeichnen, um Risiken zu beheben und Ihre Initiativen für die Richtlinienverwaltung zu informieren.

Führen Sie folgende Schritte aus:

II. Anwenden von Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen

Vereinfachen Sie die Implementierung von geringsten Berechtigungen, indem Sie Vertraulichkeitsbezeichnungen verwenden, um Ihre wichtigsten vertraulichen Daten durch Verschlüsselung und Zugriffssteuerung zu schützen. Verwenden Sie Inhaltsmarkierungen, um Sensibilisierung und Rückverfolgbarkeit des Benutzers zu verbessern.

Schutz von Dokumenten und E-Mails

Microsoft Purview Information Protection ermöglicht den Zugriff und die Verwendungskontrolle auf Basis von Vertraulichkeitsbezeichnungen oder benutzerdefinierten Berechtigungen für Dokumente und E-Mails. Es kann optional auch Markierungen anwenden und Informationen verschlüsseln, die sich intern oder extern in Ihrer Organisation in weniger vertrauenswürdigen Umgebungen befinden oder aus ihnen hervorgehen. Es bietet Schutz im Ruhezustand, im Bewegungszustand und in der Verwendung für optimierte Anwendungen.

Führen Sie folgende Schritte aus:

Schutz von Dokumenten in Exchange, SharePoint und OneDrive

Für Daten, die in Exchange, SharePoint und OneDrive gespeichert sind, kann die automatische Klassifizierung mit Vertraulichkeitsbezeichnungen über Richtlinien an Zielspeicherorten bereitgestellt werden, um den Zugriff einzuschränken und die Verschlüsselung für die autorisierte Ausgabe zu verwalten.

Führen Sie diesen Schritt aus:

III. Steuern des Zugriffs auf Daten

Die Bereitstellung des Zugriffs auf vertrauliche Daten muss gesteuert werden, damit sie besser geschützt sind. Stellen Sie sicher, dass Zugriffs- und Nutzungsrichtlinienentscheidungen die Vertraulichkeit von Daten mit einschließen.

Steuern des Datenzugriffs und der Freigabe in Teams, Microsoft 365-Gruppen und SharePoint-Sites

Verwenden Sie Container-Vertraulichkeitsbezeichnungen, um bedingten Zugriff und Freigabeeinschränkungen für Microsoft Teams-, Microsoft 365-Gruppen- oder SharePoint-Sites zu implementieren.

Führen Sie diesen Schritt aus:

Kontrolle des Zugriffs auf Daten in SaaS-Anwendungen

Microsoft Defender for Cloud Apps bietet zusätzliche Funktionen für den bedingten Zugriff und zum Verwalten vertraulicher Dateien in Microsoft 365- und Drittanbieterumgebungen, wie z. B. Box oder Google Workspace, einschließlich:

  • Entfernen von Berechtigungen zum Beheben von überschüssigen Berechtigungen und Verhindern von Datenlecks.

  • Quarantäne von Dateien zur Überprüfung.

  • Anwenden von Bezeichnungen auf vertrauliche Dateien.

Führen Sie folgende Schritte aus:

Tipp

Sehen Sie sich die Integration von SaaS-Apps für Zero Trust in Microsoft 365, um zu erfahren, wie Sie Zero Trust-Grundsätze anwenden, um Sie beim Verwalten Ihrer digitalen Nutzungsressourcen von Cloud-Apps zu unterstützen.

Steuern des Zugriffs auf IaaS/PaaS-Speicher

Bereitstellen von obligatorischen Zugriffssteuerungsrichtlinien für IaaS/PaaS-Ressourcen, die vertrauliche Daten enthalten.

Führen Sie diesen Schritt aus:

IV. Verhindern von Datenlecks

Die Steuerung des Zugriffs auf Daten ist erforderlich, aber nicht ausreichend bei der Ausübung der Kontrolle über Datenverschiebung und bei der Verhinderung versehentlicher oder nicht autorisierter Datenlecks oder Datenverlusts. Dies ist die Rolle der Verhinderung von Datenverlust und des Insider-Risikomanagements, die in Abschnitt IV beschrieben wird.

Verwenden Sie Microsoft Purview DLP-Richtlinien, um in folgenden Bereichen vertrauliche Daten zu identifizieren, zu überprüfen und automatisch zu schützen:

  • Microsoft 365-Dienste wie z. B. Teams, Exchange, SharePoint und OneDrive

  • Office-Anwendungen wie Word, Excel und PowerPoint

  • Endpunkte für Windows 10, Windows 11 und macOS (die drei freigegebenen aktuellen Versionen)

  • Lokale Dateifreigaben und lokales SharePoint

  • Nicht von Microsoft stammende Cloud-Apps.

Führen Sie folgende Schritte aus:

V. Verwalten von Insider-Risiken

Die Implementierungen mit geringsten Berechtigungen tragen dazu bei, bekannte Risiken zu minimieren, aber es ist auch wichtig, zusätzliche sicherheitsbezogene Benutzerverhaltenssignale zu korrelieren, vertrauliche Datenzugriffsmuster zu überprüfen und umfassende Erkennungs-, Untersuchungs- und Suchfunktionen zu ermöglichen.

Führen Sie die folgenden Schritte aus:

VI. Unnötige vertrauliche Informationen löschen

Organisationen können ihre Datenexposition reduzieren, indem sie den Lebenszyklus ihrer vertraulichen Daten verwalten.

Entfernen Sie alle Berechtigungen, indem Sie die vertraulichen Daten selbst löschen, wenn diese Daten für Ihre Organisation keine Wert darstellen oder nicht mehr zulässig ist.

Führen Sie diesen Schritt aus:

Minimieren Sie die Duplizierung von vertraulichen Daten, indem Sie anstelle von Datenübertragungen die direkte Freigabe und Verwendung bevorzugen.

Führen Sie diesen Schritt aus:

In diesem Leitfaden behandelte Produkte

Microsoft Purview

Microsoft Defender für Cloud-Apps

Wenden Sie sich an Ihr Customer Success Team, um weitere Informationen oder Hilfe bei der Implementierung zu erhalten.



Die Leitfadenreihe für die Zero Trust-Bereitstellung

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration