Schützen von Daten mit Zero Trust

Hintergrund

Zero Trust ist eine Sicherheitsstrategie, die zum Entwerfen von Sicherheitsgrundsätzen für Ihre Organisation verwendet wird. Zero Trust hilft bei der Sicherung von Unternehmensressourcen durch die Implementierung der folgenden Sicherheitsgrundsätze:

• Explizite Verifizierung. Führen Sie stets eine Authentifizierung und Autorisierung basierend auf allen verfügbaren Datenpunkten durch, einschließlich Benutzeridentität, Standort, Geräteintegrität, Dienst oder Workload, Datenklassifizierung und Anomalien.

• Verwenden Sie den Zugriff mit den geringsten Rechten. Einschränken des Benutzerzugriffs mit Just-in-Time (JIT) und Just-Enough-Access (JEA), risikobasierten adaptiven Richtlinien und Datenschutz, um sowohl Daten als auch Produktivität zu schützen.

• Annahme von Sicherheitsverletzungen. Minimieren Sie den Strahlradius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.

Microsoft Purview schlägt fünf Kernelemente für eine Strategie zur Datenverteidigung und eine Zero Trust Implementierung für Daten vor:

1. Datenklassifizierung und -bezeichnung
   Wenn Sie nicht wissen, welche vertraulichen Daten Sie lokal und in Clouddiensten haben, können Sie sie nicht angemessen schützen. Ermitteln und erkennen Sie Daten in Ihrer gesamten Organisation und klassifizieren Sie sie nach Vertraulichkeitsgrad.

2. Information Protection
   Bedingter Zugriff auf vertrauliche Daten und der Zugriff mit den geringsten Rechten verringern die Risiken der Datensicherheit. Wenden Sie vertraulichkeitsbasierte Zugriffssteuerungsleitplanken, Rechteverwaltung und Verschlüsselung an, wenn die Umgebungskontrollen nicht ausreichen. Verwenden Sie Vertraulichkeitsmarkierungen für Informationen, um das Bewusstsein und die Einhaltung von Sicherheitsrichtlinien zu erhöhen.

3. Verhindern von Datenverlusten
   Die Zugriffssteuerung löst nur einen Teil des Problems. Das Überprüfen und Steuern riskanter Datenaktivitäten und -bewegungen, die zu einem Sicherheits- oder Compliancevorfall führen können, ermöglicht Es Organisationen, die übermäßige Freigabe vertraulicher Daten zu verhindern.

4. Insider-Risikomanagement
   Der Datenzugriff bietet möglicherweise nicht immer die gesamte Geschichte. Minimieren Sie die Risiken für Daten, indem Sie die Verhaltenserkennung aus einer breiten Palette von Signalen aktivieren und bei potenziell böswilligen und versehentlichen Aktivitäten in Ihrer Organisation handeln, die Vorläufer oder ein Hinweis auf eine Datenverletzung sein könnten.

5. Datengovernance
   Die proaktive Verwaltung des Lebenszyklus vertraulicher Daten reduziert deren Gefährdung. Beschränken Sie die Anzahl von Kopien oder Weitergaben vertraulicher Daten und löschen Sie Daten, die nicht mehr benötigt werden, um das Risiko von Datenverletzungen zu minimieren.

Ziele der Bereitstellung von Zero Trust-Daten

Es wird empfohlen, sich bei der Implementierung eines End-to-End-Zero Trust Frameworks für Daten auf diese anfänglichen Bereitstellungsziele zu konzentrieren:
	I.Klassifizieren und Bezeichnen von Daten. Automatisches Klassifizieren und Beschriften von Daten nach Möglichkeit. Manuell anwenden, wo nicht. II.Wenden Sie Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen an. Wenden Sie die Verschlüsselung an, wenn Schutz und Zugriffssteuerung unzureichend sind. I.Klassifizieren und Bezeichnen von Daten. Automatisches Klassifizieren und Beschriften von Daten nach Möglichkeit. Manuell anwenden, wo nicht.
Fügen Sie bei der Erreichung der oben genannten Ziele die folgenden zusätzlichen Bereitstellungsziele hinzu:
	IV.Verhindern von Datenlecks. Verwenden Sie DLP-Richtlinien, die von riskanten Signalen und Datensensibilität gesteuert werden. V.Risikenverwalten. Verwalten Sie Risiken, die zu einem Sicherheitsvorfall führen können, indem Sie riskante sicherheitsbezogene Benutzeraktivitäten und Datenaktivitätsmuster überprüfen, die zu einem Datensicherheits- oder Compliancevorfall führen können. VI.Reduzieren Sie die Datenexposition. Verringern der Datenexposition durch Datengovernance und kontinuierliche Datenminimierung

Zero Trust Bereitstellungshandbuch für Daten

In diesem Leitfaden werden Sie Schritt für Schritt durch einen Zero Trust Ansatz zum Schutz von Daten führen. Beachten Sie, dass diese Elemente je nach Vertraulichkeit Ihrer Informationen und Größe und Komplexität Ihrer Organisation stark variieren.

Als Vorstufe zu jeder Datensicherheitsimplementierung empfiehlt Microsoft, ein Datenklassifizierungsframework und eine Vertraulichkeitsbezeichnungstaxonomie zu erstellen, die allgemeine Kategorien von Datensicherheitsrisiken definiert. Diese Taxonomie wird verwendet, um alles von Datenbestand oder Aktivitätserkenntnissen über die Richtlinienverwaltung bis hin zur Untersuchungspriorisierung zu vereinfachen.

Weitere Informationen finden Sie unter:

• Erstellen eines gut gestalteten Datenklassifizierungsframeworks

Anfängliche Bereitstellungsziele

I. Klassifizieren, Beschriften und Ermitteln vertraulicher Daten

Eine Strategie zum Schutz von Informationen muss den gesamten digitalen Inhalt Ihres Unternehmens umfassen.

Mit Klassifizierungen und Vertraulichkeitsbezeichnungen können Sie verstehen, wo sich Ihre vertraulichen Daten befinden, wie sie sich bewegen und geeignete Zugriffs- und Nutzungskontrollen implementieren, die mit Nullvertrauensprinzipien übereinstimmen:

• Verwenden Sie die automatisierte Klassifizierung und Bezeichnung, um vertrauliche Informationen zu erkennen und die Ermittlung in Ihrem gesamten Datenbestand zu skalieren.

• Verwenden Sie manuelle Bezeichnungen für Dokumente und Container, und erstellen Sie datensätze, die in Analysen verwendet werden, bei denen Klassifizierung und Vertraulichkeit am besten von sachkundigen Benutzern festgelegt werden.

Folgen Sie diesen Schritten:

• Weitere Informationen zu vertraulichen Informationen

• Informationen zu trainierbaren Klassifizierern

• Informationen zu Vertraulichkeitsbezeichnungen

Nachdem Sie Klassifizierung und Bezeichnung konfiguriert und getestet haben, können Sie die Datenermittlung in Ihrem gesamten Datenbestand hochskalieren.

Führen Sie die folgenden Schritte aus, um die Ermittlung über Microsoft 365-Dienste hinaus zu erweitern:

• Erste Schritte mit dem lokalen Microsoft Purview-Scanner

• Ermitteln und Schützen vertraulicher Informationen in SaaS-Anwendungen

• Informationen zu Scans und Erfassung im Microsoft Purview-Governanceportal

Wenn Sie Ihre Daten ermitteln, klassifizieren und kennzeichnen, verwenden Sie diese Erkenntnisse, um Risiken zu beheben und Ihre Richtlinienverwaltungsinitiativen zu informieren.

Folgen Sie diesen Schritten:

• Erste Schritte mit dem Inhalts-Explorer

• Überprüfen der Beschriftungsaktivität mit dem Aktivitäts-Explorer

• Weitere Informationen zu Data Insights

II. Anwenden von Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen

Vereinfachen Sie Ihre Implementierung mit den geringsten Rechten, indem Sie Vertraulichkeitsbezeichnungen verwenden, um Ihre vertraulichsten Daten mit Verschlüsselung und Zugriffssteuerung zu schützen. Verwenden Sie Inhaltsmarkierungen, um das Bewusstsein und die Rückverfolgbarkeit der Benutzer zu verbessern.

Schützen von Dokumenten und E-Mails

Microsoft Purview Information Protection ermöglicht zugriffs- und nutzungssteuerung basierend auf Vertraulichkeitsbezeichnungen oder benutzerdefinierten Berechtigungen für Dokumente und E-Mails. Optional kann es auch Markierungen anwenden und Informationen verschlüsseln, die sich in internen oder externen Umgebungen mit geringerer Vertrauenswürdigstellung befinden oder in umgebungen mit geringerer Vertrauenswürdigstellung ausfließen. Es bietet Schutz im Ruhezustand, in Bewegung und im Einsatz für aufgeklärte Anwendungen.

Folgen Sie diesen Schritten:

• Überprüfen der Verschlüsselungsoptionen in Microsoft 365
• Einschränken des Inhalts- und Nutzungszugriffs mithilfe von Vertraulichkeitsbezeichnungen

Schützen von Dokumenten in Exchange, SharePoint und OneDrive

Für in Exchange, SharePoint und OneDrive gespeicherte Daten kann die automatische Klassifizierung mit Vertraulichkeitsbezeichnungen über Richtlinien an Zielstandorten bereitgestellt werden, um den Zugriff auf autorisierte ausgehende Daten einzuschränken und die Verschlüsselung zu verwalten.

Führen Sie diesen Schritt aus:

• [Konfigurieren von Richtlinien für automatische Bezeichnungen] (/microsoft-365/compliance/apply-sensitivity-label-automatically#how-to-configure-auto-labeling-policies-for-sharepoint-onedrive-and-exchange for SharePoint, OneDrive und Exchange.

III. Steuern des Zugriffs auf Daten

Die Bereitstellung des Zugriffs auf vertrauliche Daten muss so gesteuert werden, dass sie besser geschützt werden. Stellen Sie sicher, dass Zugriffs- und Nutzungsrichtlinienentscheidungen die Vertraulichkeit der Daten einschließen.

Steuern des Datenzugriffs und der Freigabe in Teams, Microsoft 365-Gruppen- und SharePoint-Websites

Verwenden Sie Containersensitivitätsbezeichnungen, um Einschränkungen für bedingten Zugriff und die Freigabe für Microsoft Teams, Microsoft 365-Gruppen oder SharePoint-Websites zu implementieren.

Führen Sie diesen Schritt aus:

• Verwenden von Vertraulichkeitsbezeichnungen mit Microsoft Teams-, Microsoft 365-Gruppen- und SharePoint-Websites

Steuern des Zugriffs auf Daten in SaaS-Anwendungen

Microsoft Defender for Cloud Apps bietet zusätzliche Funktionen für bedingten Zugriff und zum Verwalten vertraulicher Dateien in Microsoft 365- und Drittanbieterumgebungen wie Box oder Google Workspace, einschließlich:

• Entfernen von Berechtigungen, um übermäßige Berechtigungen zu beheben und Datenlecks zu verhindern.

• Quarantäne von Dateien zur Überprüfung.

• Anwenden von Bezeichnungen auf vertrauliche Dateien.

Folgen Sie diesen Schritten:

• Integrieren Microsoft Purview Information Protection

Tipp

Unter Integrieren von SaaS-Apps für Zero Trust in Microsoft 365 erfahren Sie, wie Sie Zero Trust Prinzipien anwenden, um Ihren digitalen Bestand an Cloud-Apps zu verwalten.

Steuern des Zugriffs auf in IaaS/PaaS-Speicher

Stellen Sie obligatorische Zugriffssteuerungsrichtlinien für IaaS/PaaS-Ressourcen bereit, die vertrauliche Daten enthalten.

Führen Sie diesen Schritt aus:

• Informationen zu Microsoft Purview DevOps-Richtlinien

IV. Verhindern von Datenlecks

Die Kontrolle des Datenzugriffs ist notwendig, aber nicht ausreichend, um die Kontrolle über Datenverschiebungen auszuüben und versehentliche oder nicht autorisierte Datenlecks oder -verluste zu verhindern. Dies ist die Rolle der Verhinderung von Datenverlust und des Insider-Risikomanagements, die in Abschnitt IV beschrieben wird.

Verwenden Sie Microsoft Purview DLP-Richtlinien, um vertrauliche Daten zu identifizieren, zu überprüfen und automatisch zu schützen:

• Microsoft 365-Dienste wie Teams, Exchange, SharePoint und OneDrive

• Office-Anwendungen wie Word, Excel und PowerPoint

• endpunkte Windows 10, Windows 11 und macOS (drei neueste Versionen)

• lokale Dateifreigaben und lokale SharePoint

• Nicht-Microsoft-Cloud-Apps.

Folgen Sie diesen Schritten:

• Planen der Verhinderung von Datenverlust

• Erstellen, Testen und Optimieren von DLP-Richtlinien

• Informationen zum Dashboard für Warnungen zur Verhinderung von Datenverlusten

• Überprüfen der Datenaktivität mit dem Aktivitäts-Explorer

V. Verwalten von Insiderrisiken

Implementierungen mit geringsten Rechten helfen, bekannte Risiken zu minimieren, aber es ist auch wichtig, zusätzliche sicherheitsbezogene Benutzerverhaltenssignale zu korrelieren, Zugriffsmuster für vertrauliche Daten zu überprüfen und umfassende Erkennungs-, Untersuchungs- und Suchfunktionen zu verwenden.

Führen Sie diese Schritte aus:

• Informationen zum Insider-Risikomanagement

• Untersuchen von Insider-Risikomanagementaktivitäten

VI. Löschen unnötiger vertraulicher Informationen

Organisationen können ihre Datenexposition verringern, indem sie den Lebenszyklus ihrer vertraulichen Daten verwalten.

Entfernen Sie alle Berechtigungen, wo Sie können, indem Sie die vertraulichen Daten selbst löschen, wenn sie für Ihre Organisation nicht mehr nützlich oder zulässig sind.

Führen Sie diesen Schritt aus:

• Implementieren von Datenlebenszyklusverwaltung und Datensatzverwaltung

Minimieren Sie die Duplizierung vertraulicher Daten, indem Sie die direkte Freigabe und Verwendung anstelle von Datenübertragungen bevorzugen.

Führen Sie diesen Schritt aus:

• Erfahren Sie mehr über die direkte Datenfreigabe mit Microsoft Purview

In diesem Leitfaden behandelte Produkte

Microsoft Purview

Microsoft Defender für Cloud-Apps

Wenden Sie sich an Ihr Customer Success Team, um weitere Informationen oder Hilfe bei der Implementierung zu erhalten.

Die Leitfadenreihe für die Zero Trust-Bereitstellung