Estrategia de confianza cero de DoD para el pilar de datos

2024-04-17

La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.

Use los vínculos siguientes para ir a las secciones de la guía.

4 Datos

Esta sección contiene orientaciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de datos. Para obtener más información, consulte Protección de datos con Confianza cero.

4.1 Alineación del riesgo del catálogo de datos

Las soluciones de Microsoft Purview ayudan a descubrir, identificar, controlar, proteger y administrar datos allí donde residen. Microsoft Purview proporciona tres de estas soluciones para identificar elementos que se puedan clasificar. Los elementos se pueden clasificar manualmente, por los usuarios, mediante el reconocimiento automatizado de patrones, como sucede con los tipos de información confidencial, y por medio del aprendizaje automático.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 4.1.1 Análisis de datos
Las organizaciones de DD actualizan los catálogos de servicios y aplicaciones con las clasificaciones de datos. Las etiquetas de datos también se agregan a cada servicio y aplicación.

Resultado:
el catálogo de servicios se actualiza con tipos de datos para cada aplicación y servicio en función de los niveles de clasificación de datos. Microsoft Purview
Revise los tipos de información sensible en el portal de cumplimiento Microsoft Purview y defina tipos de información sensible personalizados.
- Tipos de información sensible personalizados en el portal de cumplimiento Purview

Use el explorador de contenido o el explorador de actividades de Purview para ver una instantánea del contenido etiquetado de Microsoft 365 y ver las actividades de usuario asociadas.
- Explorador de contenido
- Explorador de actividades

Microsoft Defender for Cloud Apps
Integre Microsoft Purview Information Protection para aplicar etiquetas de sensibilidad a los datos que coincidan con las directivas. Investigue la posible exposición de datos confidenciales en las aplicaciones en la nube.
- Integre la protección de la información

Catálogo de datos Purview de Microsoft
Explore el catálogo de datos Purview para explorar los datos de su patrimonio de datos.
- Catálogo de datos Purview

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.1.1 Análisis de datos Las organizaciones de DD actualizan los catálogos de servicios y aplicaciones con las clasificaciones de datos. Las etiquetas de datos también se agregan a cada servicio y aplicación. Resultado: el catálogo de servicios se actualiza con tipos de datos para cada aplicación y servicio en función de los niveles de clasificación de datos.	Microsoft Purview Revise los tipos de información sensible en el portal de cumplimiento Microsoft Purview y defina tipos de información sensible personalizados. - Tipos de información sensible personalizados en el portal de cumplimiento Purview Use el explorador de contenido o el explorador de actividades de Purview para ver una instantánea del contenido etiquetado de Microsoft 365 y ver las actividades de usuario asociadas. - Explorador de contenido - Explorador de actividades Microsoft Defender for Cloud Apps Integre Microsoft Purview Information Protection para aplicar etiquetas de sensibilidad a los datos que coincidan con las directivas. Investigue la posible exposición de datos confidenciales en las aplicaciones en la nube. - Integre la protección de la información Catálogo de datos Purview de Microsoft Explore el catálogo de datos Purview para explorar los datos de su patrimonio de datos. - Catálogo de datos Purview

4.2 Gobernanza de datos empresariales de DoD

Microsoft Purview Information Protection usa etiquetas de confidencialidad. Puede crear etiquetas de confidencialidad relevantes para su organización, controlar qué etiquetas son visibles para los usuarios y definir el ámbito de la etiqueta. Limitar las etiquetas a archivos, correos electrónicos, reuniones, Microsoft Teams, sitios de SharePoint, etc. Las etiquetas protegen el contenido con cifrado, limitan el uso compartido externo y evitan la pérdida de datos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.2.1 Definir estándares de etiquetado de datos La empresa del DoD trabaja con organizaciones para establecer estándares de etiquetado y clasificación de datos basados en las mejores prácticas del sector. Las clasificaciones se acuerdan e implementan en procesos. Las etiquetas se identifican como manuales y automatizadas para futuras actividades. Resultados: - Se desarrollan estándares empresariales de clasificación y etiquetado de datos - Las organizaciones se alinean con los estándares empresariales y comienzan su implementación	Microsoft Purview Cree y publique etiquetas de confidencialidad en Microsoft Purview, de acuerdo con las normas de etiquetado de datos que defina. - Etiquetas y políticas de confidencialidad - Etiquetas de confidencialidad en Microsoft 365
`Target` 4.2.2 Normas de interoperabilidad La empresa del DoD, en colaboración con las organizaciones, desarrolla normas de interoperabilidad que integran las soluciones obligatorias de administración y protección de derechos de datos (DRM) con las tecnologías necesarias para permitir la funcionalidad del destino ZT. Resultado: - La empresa dispone de normas formales para los estándares de datos apropiados	Azure Rights Management Usar Azure RMS para la administración de derechos de datos (DRM) y la interoperabilidad de protección en las entidades de DoD que colaboran con los servicios de Microsoft 365. - Azure RMS - Apps que admiten etiquetas de confidencialidad
`Target` 4.2.3 Desarrollar una directiva de almacenamiento definido por software (SDS) La empresa del DoD, en colaboración con otras organizaciones, establece una directiva y unos estándares de almacenamiento definido por software (SDS) basados en las mejores prácticas del sector. Las organizaciones de DoD evalúan la estrategia y la tecnología de almacenamiento de datos actuales para la implementación de SDS. Cuando se identifique la tecnología de almacenamiento adecuada para la implementación de SDS. Resultados: - Determinar la necesidad de implementar la herramienta SDS - Se crea una directiva para SDS a nivel de empresa y de organización.	SharePoint Online Usar SharePoint Online y OneDrive para la empresa como solución estándar interoperable de almacenamiento de diseño de software (SDS). Restringir el acceso a sitios y contenido confidenciales de SharePoint Online con directivas de restricción de acceso al sitio. Impedir el acceso de invitados a los archivos mientras se aplican las reglas de prevención de pérdida de datos (DLP). - Restringir el acceso al sitio a los miembros del grupo - Impedir el acceso de invitados a archivos con reglas DLP - Asegurar el uso compartido de invitados Microsoft Defender for Cloud Apps Usar Defender for Cloud Apps para bloquear el acceso a servicios de almacenamiento en la nube no autorizados. - Controlar aplicaciones descubiertas

4.3 Etiquetado de datos

Microsoft Purview Information Protection clasifica automáticamente los datos en función de los tipos de información confidencial que defina. Las directivas para el etiquetado del lado cliente y el servicio garantizan que el contenido de Microsoft 365 creado por los usuarios esté etiquetado y protegido.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.3.1 Implementación de herramientas de etiquetado y clasificación de datos Las organizaciones del Departamento de Defensa utilizan el estándar y los requisitos de la empresa para implementar la(s) solución(es) de etiquetado y clasificación de datos. Las organizaciones se aseguran de que las futuras integraciones de IA y ML estén respaldadas por soluciones a través de los requisitos empresariales del DoD. Resultados: - Un requisito de las herramientas de clasificación y etiquetado de datos debe incluir la integración y/o el soporte del aprendizaje automático (ML) - Las herramientas de clasificación y etiquetado de datos se implementan a nivel de organización y de empresa	Microsoft Purview Information Protection Use Microsoft Purview Information Protection para clasificar datos basándose en tipos de información sensible, y clasificadores entrenados por aprendizaje automático (ML). - Datos sensibles y Purview - Directivas de etiquetado
`Target` 4.3.2 Etiquetado manual de datos Pt1 Uso de la directiva y los estándares de clasificación y etiquetado de datos de la empresa DoD, el etiquetado manual comienza usando atributos básicos de nivel de datos para cumplir con la funcionalidad de destino ZT. Resultado: : el etiquetado manual de datos comienza en el nivel empresarial con atributos básicos	Microsoft Purview Cree y publique etiquetas de confidencialidad en Microsoft Purview, de acuerdo con los estándares de etiquetado de datos que defina. Consulte la guía de Microsoft en 4.2.1. Configure una directiva de etiquetado para exigir a los usuarios que apliquen etiquetas de confidencialidad a los correos electrónicos y documentos. - Los usuarios aplican etiquetas a los correos electrónicos y documentos
`Advanced` 4.3.3 Etiquetado manual de datos Pt2 Los atributos de nivel de datos específicos de la organización se integran en el proceso de etiquetado manual de datos. Las organizaciones y empresas de DoD colaboran para decidir qué atributos son necesarios para satisfacer la funcionalidad avanzada de ZTA. Los atributos de nivel de datos para la funcionalidad avanzada de ZTA se estandarizan en toda la empresa e incorporan. Resultados: : el etiquetado manual de datos se expande a los niveles de programa o organización con atributos específicos	Microsoft Purview Revisar los tipos de información confidencial en el portal de cumplimiento de Microsoft Purview. Defina los tipos de información confidencial personalizados según sea necesario. Consulte la guía de Microsoft en 4.1.1.
`Advanced` 4.3.4 Etiquetado automatizado de datos y soporte técnico Pt1 Organizaciones de DoD usan soluciones de prevención de pérdida de datos, administración de derechos o protección para realizar el examen de repositorios de datos. Las etiquetas estandarizadas se aplican a los repositorios de datos y tipos de datos admitidos. Se identifican repositorios y tipos de datos no admitidos. Resultado: la automatización básica comienza escaneando los repositorios de datos y aplicando etiquetas	Protección de la información de Microsoft Purview Configure el etiquetado del lado del cliente para archivos y correos electrónicos creados en aplicaciones de Microsoft Office. - Etiquetado automático para aplicaciones de Office Configure el etiquetado del lado del servicio para contenido almacenado en Office 365. - Directiva de etiquetado automático para SharePoint, OneDrive y Exchange. Aplique etiquetas de sensibilidad a contenedores: sitios de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint. - Etiquetas de sensibilidad para Teams, Microsoft 365, grupos y sitios de SharePoint. Para encontrar documentos y correos electrónicos en su entorno, analícelos en busca de datos que coincidan con los valores de los tipos de información confidencial definidos. - Huellas digitales de documentos para encontrar y etiquetar contenido que coincida con plantillas de documentos y formularios estándar. - Huellas digitales de documentos Microsoft Purview Registre fuentes de datos, escanee, ingiera y clasifique datos en el portal de gobierno Microsoft Purview. - Fuentes de datos en Purview - Exploraciones e ingesta - Clasificación de datos Microsoft Defender for Cloud Apps Integre Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de sensibilidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. - Integre Information Protection - Aplique etiquetas de sensibilidad - Inspección de contenido DLP
`Advanced` 4.3.5 Etiquetado automatizado de datos y soporte Pt2 Los demás repositorios de datos soportados disponen de etiquetas de datos básicas y ampliadas que se aplican utilizando el aprendizaje automático y la inteligencia artificial. Las etiquetas de datos extendidas se aplican a los repositorios existentes. Los repositorios de datos y los tipos de datos no admitidos se evalúan para la retirada mediante un enfoque metódico basado en riesgos. Las excepciones aprobadas usan enfoques de etiquetado de datos manuales con propietarios de datos o custodios para administrar el etiquetado. Resultados: : se completa la automatización completa del etiquetado de datos : los resultados del etiquetado de datos se introducen en algoritmos de aprendizaje automático.	Protección de la información de Microsoft Purview Los clasificadores entrenables de Purview le ayudan a reconocer contenidos mediante el aprendizaje automático (ML). Cree y entrene clasificadores con ejemplos seleccionados por humanos y coincidentes positivamente. - Clasificadores entrenables

4.4 Supervisión y detección de datos

Las directivas de Prevención de pérdida de datos (DLP) de Microsoft Purview impiden que los datos salgan de su organización. Puede aplicar directivas DLP a los datos en reposo, en uso y en movimiento. Las directivas DLP se aplican cuando los datos residen en servicios en la nube, recursos compartidos de archivos locales, también en dispositivos Windows y macOS.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.4.1 Registro y análisis de puntos de aplicación de la DLP Las organizaciones de la DoD identifican los puntos de aplicación de la prevención de pérdida de datos (DLP), como servicios específicos y puntos de conexión de usuario. Utilizando el estándar de respuesta a incidentes de ciberseguridad empresarial del DoD establecido, las organizaciones del DoD se aseguran de que se captura el detalle apropiado de los datos. Además, los casos de uso de protección, detección y respuesta se desarrollan para describir mejor la cobertura de la solución. Resultados: : se identifican puntos de cumplimiento : el esquema de registro estandarizado se aplica en los niveles de empresa y organización.	Prevención de pérdida de datos de Microsoft Purview Crear directivas DLP en el cumplimiento de Purview. Implemente DLP para aplicaciones de Microsoft 365, puntos de conexión de Windows y macOS, así como aplicaciones en la nube ajenas a Microsoft. - Planifique la DLP - Diseñe la directiva de DLP - Audite las actividades de registro - Esquema de la API de actividades de gestión de Office 365 Microsoft Defender for Cloud Apps Integre Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de sensibilidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Véase la directriz 4.3.4 de Microsoft en 4.3.4.
`Target` 4.4.2 Registro y análisis de puntos de aplicación de DRM Las organizaciones de DoD identifican los puntos de aplicación de la administración de derechos de datos (DRM), como servicios específicos y puntos de conexión de usuarios. Utilizando el estándar de respuesta a incidentes de ciberseguridad empresarial del DoD establecido, las organizaciones del DoD se aseguran de que se captura el detalle apropiado de los datos. Además, los casos de uso de protección, detección y respuesta se desarrollan para describir mejor la cobertura de la solución. Resultados: : se identifican puntos de cumplimiento : el esquema de registro estandarizado se aplica en los niveles de empresa y organización .	Microsoft Purview Information Protection Los puntos de aplicación de la administración de derechos de datos (DRM) de Purview incluyen Microsoft 365 y aplicaciones y servicios de terceros integrados con el SDK de Microsoft Information Protection (MIP), aplicaciones en línea y clientes enriquecidos. - Proteja los datos confidenciales - Restrinja el acceso a los contenidos con etiquetas de sensibilidad - MIP SDK - Encriptación en Microsoft 365 Microsoft Defender for Cloud Apps Integre Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de sensibilidad automáticamente, aplicar políticas de encriptación y evitar la pérdida de datos. Véase la directriz de Microsoft en 4.3.4.
`Target` 4.4.3 Supervisión de la actividad de los archivos Pt1 Las organizaciones de DoD usan herramientas de supervisión de archivos para supervisar los niveles de clasificación de datos más críticos en aplicaciones, servicios y repositorios. Los análisis procedentes de la supervisión se introducen en el SIEM con atributos de datos básicos para lograr la funcionalidad de destino ZT. Resultados: : datos y archivos de clasificación crítica se están supervisando activamente : la integración básica está en vigor con el sistema de supervisión, como SIEM.	Prevención de pérdida de datos de Microsoft Purview Las alertas de DLP aparecen en Microsoft Defender XDR. La actividad de los archivos sobre creación, etiquetado, impresión y uso compartido se encuentra en el registro de auditoría unificado y en el explorador de actividades del portal de cumplimiento de Microsoft Purview. - Alertas de DLP - Explorador de actividades - Exporte, configure y visualice registros del registro de auditoría Microsoft Defender XDR y Microsoft Sentinel Integre Microsoft Defender XDR con Sentinel para ver e investigar alertas de prevención de pérdida de datos (DLP) en un sistema de administración de eventos e incidentes de seguridad (SIEM) de la empresa. - Integre herramientas SIEM - Conector de protección de la información para Sentinel - Conecte los datos de Defender XDR a Sentinel - Investigaciones DLP
`Target` 4.4.4 Supervisión de la actividad de archivos Pt2 Las organizaciones de DoD usan herramientas de supervisión de archivos para supervisar todos los datos protegidos normativos (por ejemplo, CUI, PII, PHI, etc.) en aplicaciones, servicios y repositorios. La integración extendida se usa para enviar datos a soluciones adecuadas entre pilares, como prevención de pérdida de datos, Data Rights Management/Protection y Análisis de comportamiento de usuarios y entidades. Resultados: los datos y los archivos de todas las clasificaciones reguladas se están supervisando activamente : las integraciones extendidas están en vigor según corresponda para administrar aún más el riesgo	Microsoft Sentinel Determinar las etiquetas de confidencialidad necesarias y configurar reglas de análisis personalizadas de Sentinel. Cree un incidente cuando las alertas DLP se desencadenen para eventos críticos de archivo. Los eventos críticos de archivos incluyen la detección de información confidencial, infracciones de directivas y otras actividades sospechosas. - Reglas de análisis personalizadas para detectar amenazas - Respuesta a amenazas con cuadernos de estrategias
`Advanced` 4.4.5 Supervisión de la actividad de las bases de datos Las organizaciones de DoD adquieren, implementan y utilizan soluciones de supervisión de bases de datos para supervisar todas las bases de datos que contengan tipos de datos regulados (CUI, PII, PHI, etc.). Los registros y el análisis de la solución de supervisión de bases de datos se suministran al SIEM para la supervisión y la respuesta. Los análisis se introducen en actividades entre pilares, como "Perfil de seguridad empresarial" y "Acceso en tiempo real" para mejorar la toma de decisiones directa. Resultados: la base de datos adecuada se está supervisando activamente : la tecnología de supervisión se integra con soluciones como SIEM, PDP y mecanismos de control de acceso dinámico	Microsoft Defender for SQL Defender for SQL protege las bases de datos en Azure y otras nubes. - Defender for SQL - Alertas de seguridad Microsoft Sentinel Conecte Microsoft Defender for Cloud y los conectores de datos de Microsoft Defender XDR a Sentinel. - Conectar alertas de Defender for Cloud a Sentinel - Conectar Defender XDR a Sentinel Acceso condicional Requerir contexto de autenticación para sitios sensibles de SharePoint y proteger el inicio de sesión en bases de datos Azure SQL mediante Acceso condicional. - Etiquetas de sensibilidad - Contexto de autenticación - Acceso condicional con Azure SQL Database y Azure Synapse Analytics
`Advanced` 4.4.6 Supervisión completa de la actividad de datos Las organizaciones de DoD amplían la supervisión de repositorios de datos, incluidas las bases de datos según corresponda en función de un enfoque de riesgo metódico. Los atributos de datos adicionales para satisfacer las funcionalidades de ZT Advanced se integran en el análisis de integraciones adicionales. Resultados: : los mecanismos de supervisión de la actividad de datos se integran para proporcionar una vista unificada de la supervisión en los repositorios de datos : existen integraciones adecuadas con soluciones como SIEM y PDP.	API de Microsoft Graph Utilice los registros de actividad de Microsoft Graph para obtener una pista de auditoría de las solicitudes recibidas por el servicio Microsoft Graph y procesadas por el inquilino. - Registros de actividad Microsoft Purview Data Map Configure Purview Data Map para buscar archivos confidenciales en el conjunto de datos de la organización. - Administrar orígenes de datos Microsoft Sentinel Para integrarse con un sistema de administración de eventos e información de seguridad (SIEM), configure los conectores de datos de Sentinel para Microsoft Defender for Cloud, Microsoft Defender XDR y Purview. Véase la guía de Microsoft en 4.4.5. Acceso condicional Las detecciones de acceso inusual a archivos, encontradas por Microsoft Defender XDR, aumentan el nivel de riesgo del usuario. El riesgo de usuario es una condición en el acceso condicional, el punto de decisión de directiva (PDP) para el identificador de Microsoft Entra. Defina un contexto de autenticación de acceso condicional con la condición de riesgo del usuario sin riesgo. Proteger sitios SharePoint etiquetados; requiere contexto de autenticación de acceso condicional. - Detecciones de riesgo - Acceso inusual a archivos - Ejemplo de contexto de autenticación

4.5 Cifrado de datos y administración de derechos

Los servicios de Microsoft 365 cifran los datos en reposo y en tránsito. Microsoft Purview restringe el acceso al contenido según la directiva de cifrado de etiquetas de confidencialidad. Purview logra el objetivo con otra capa de cifrado para el correo electrónico y los archivos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.5.1 Implementar herramientas de DRM y protección Pt1 Las organizaciones de DoD adquieren e implementan soluciones de DRM y protección según sea necesario siguiendo los estándares y requisitos de la empresa DoD. Las soluciones de protección y DRM recién implementadas se implementan con repositorios de datos de alto riesgo mediante protecciones de nivel de destino ZTA. Resultados: : DRM y herramientas de protección están habilitadas para repositorios de datos de alto riesgo con protecciones básicas	Encriptación en Microsoft 365 Microsoft 365 cuenta con una encriptación básica a nivel de volumen con la función de seguridad de Windows BitLocker y Distributed Key Manager (DKM). - Entender el cifrado Microsoft Purview Utilizar directivas de etiquetado para aplicar automáticamente más cifrado a los datos de alto riesgo en Microsoft 365, en función de la etiqueta de sensibilidad. - Restrinja el acceso al contenido con etiquetas de confidencialidad - Cifrado de correo electrónico en Microsoft 365 Microsoft Defender for Cloud Apps Integre Microsoft Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de confidencialidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Véase la guía de Microsoft en 4.3.4. Azure Policy Utilice Azure Policy para requerir una versión segura de Transport Layer Security (TLS), implementar Transparent Data Encryption (TDE) y requerirla con claves administradas por el cliente para cifrar datos en reposo. - Definiciones de Azure Policy para la base de datos Azure SQL y SQL Managed Instance
`Target` 4.5.2 Implementar DRM y herramientas de protección Pt2 La cobertura de DRM y protección se amplía para cubrir todos los repositorios de datos en alcance. Las claves de cifrado se administran automáticamente para cumplir los procedimientos recomendados (por ejemplo, FIPS). Los atributos de protección de datos extendidos se implementan en función de la clasificación del entorno. Resultados: las herramientas de protección y DRM están habilitadas para todos los repositorios posibles	Azure Key Vault Utilice Azure Key Vault Managed Hardware Security Module (Azure Key Vault HSM) para salvaguardar las claves criptográficas de las aplicaciones utilizando módulos de seguridad de hardware validados FIPS 140-2 Nivel 3. - Azure Key Vault Managed HSM Microsoft Purview Customer Key Microsoft 365 ofrece una capa de cifrado para su contenido con Customer Key. - Cifrado de servicios Clave de inquilino de Azure Information Protection Azure Information Protection admite claves raíz de inquilino generadas por Microsoft y BYOK (traiga su propia clave). - Clave de inquilino - Cifrado de doble clave - BYOK
`Target` 4.5.3 Aplicación de DRM mediante etiquetas de datos y análisis Pt1 Las soluciones de administración y protección de derechos de datos (DRM) se integran con etiquetas de datos básicas definidas por la norma empresarial de DoD. Los repositorios de datos iniciales se supervisan y tienen habilitadas las acciones de protección y respuesta. Los datos en reposo se cifran en repositorios. Resultados: : las etiquetas de datos se integran con DRM y los repositorios supervisados se expanden : en función de las etiquetas de datos, los datos se cifran en reposo.	Microsoft Purview Information Protection Use directivas de etiquetado para aplicar más cifrado automáticamente a los datos de alto riesgo, en Microsoft 365, en función de la etiqueta de sensibilidad. - Restringir el acceso al contenido con etiquetas de confidencialidad Cifrado de Microsoft 365 Microsoft 365 dispone de cifrado de línea de base, a nivel de volumen, con BitLocker y Distributed Key Manager (DKM). Véase la guía de Microsoft en 4.5.1.
`Advanced` 4.5.4 Aplicación de DRM mediante etiquetas de datos y análisis Pt2 Los depósitos de datos ampliados están protegidos con soluciones de DRM y protección. Las organizaciones DoD implementan etiquetas de datos extendidas aplicables a las organizaciones frente a las empresas obligatorias. Los datos se cifran en repositorios extendidos mediante etiquetas adicionales. Resultados: todos los repositorios de datos aplicables están protegidos mediante DRM : los datos están cifrados mediante etiquetas de datos ampliadas de los niveles de organización.	Cifrado de Azure. Azure utiliza el cifrado para los datos en reposo y en tránsito. - Cifrado de Azure. Azure Policy. Habilite la Directiva de Azure para proteger las bases de datos Azure SQL. Vea la guía de Microsoft 4.5.1 en esta sección Acceso condicional. Use directivas de Acceso condicional para los usuarios que se conecten a Azure SQL. Véase la guía de Microsoft en 4.4.5.
`Advanced` 4.5.5 Aplicación de DRM mediante etiquetas de datos y análisis Pt3 Las soluciones de DRM y protección se integran con herramientas de IA y ML para las funciones de cifrado, administración de derechos y protección. Resultados: los análisis de ML/AI se integran con DRM para automatizar mejor las protecciones : la protección de cifrado se integra con IA/ML y se utilizan métodos de cifrado actualizados según sea necesario.	Microsoft Purview Information Protection Use Microsoft Purview Information Protection para clasificar datos, basándose en tipos de información confidencial, y por clasificadores entrenados por aprendizaje automático (ML). Véase la guía de Microsoft en 4.3.5. Azure Machine Learning Azure Machine Learning y Azure OpenAI Service utilizan los servicios Azure Storage y Azure Compute que cifran los datos. - Cifrado de datos - Cifrado de datos en reposo de Azure OpenAI Acceso condicional Defina el contexto de autenticación con señales de riesgo de Identity Protection. Requerir contexto de autenticación para los sitios SharePoint etiquetados y las aplicaciones personalizadas. - Contexto de autenticación Véase la guía de Microsoft en 4.4.5.

4.6 Prevención de pérdida de datos (DLP)

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.6.1 Implantar puntos de cumplimiento La solución de prevención de pérdida de datos (DLP) se implementa en los puntos de cumplimiento del ámbito de aplicación. La solución DLP se establece en "solo monitor" o "aprendizaje" que limita el impacto. Los resultados de la solución DLP se analizan y la directiva se ajusta para administrar el riesgo a un nivel aceptable. Resultado: : los puntos de cumplimiento identificados tienen implementada la herramienta DLP y se establecen para supervisar el modo de supervisión con el registro estandarizado	Prevención de pérdida de datos de Microsoft Purview Las aplicaciones de Microsoft 365 y los puntos de conexión de Windows aplican las directivas de DLP. Configurar directivas en modo de simulación de DLP. - Planificar para DLP - Modo de simulación de DLP Crear directivas en DLP. Establezca el estado de la directiva en prueba o prueba con consejos de directiva. Establezca las acciones de la directiva en Solo auditoría o Bloquear con anulación. - Implemente de la directiva DLP Incorpore los dispositivos Windows 10, 11 y macOS a la prevención de pérdida de datos en puntos finales (Endpoint DLP) - Endpoint DLP Implemente el escáner Microsoft Purview Information Protection. Etiquete y aplique directivas de DLP para contenidos en bases de datos SQL locales, archivos compartidos, almacenamiento conectado a red (NAS) y bibliotecas de documentos de SharePoint Server. - DLP en repositorios locales - Escáner de protección de la información Prevención de pérdida de datos de Microsoft Purview Integre Protección de la información de Microsoft Purview con Defender for Cloud Apps para aplicar etiquetas de sensibilidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Vea la orientación de Microsoft en 4.3.4. Acceso condicional Controlar el acceso a Office 365 y otras aplicaciones integradas de Microsoft Entra. Utilice el modo de solo informe para supervisar el resultado antes de activar las directivas con el bloque acceso de control de concesión. - Construir la directiva - Modo de solo informe - Directivas de sesión: supervisar todas
`Target` 4.6.2 Aplicación de DLP mediante etiquetas de datos y análisis Pt1 La solución de prevención de pérdida de datos (DLP) se actualiza del modo de solo monitorización al modo de prevención. Las etiquetas de datos básicas se usan para la solución DLP y se integra el esquema de registro. Resultados: puntos de cumplimiento que se establecen para evitar la integración del esquema de registro y la clasificación manual del entorno de etiquetas.	Prevención de pérdida de datos de Microsoft Purview Creación de directivas DLP en modo de prueba. Cambie el estado a Activado para habilitar el modo de cumplimiento. Si establece las acciones de la directiva en Bloquear, no se permite la actividad del usuario que active DLP. - Acciones en las directivas DLP Habilite la protección Just-In-Time (JIT) para aplicar Punto de conexión DLP a los archivos creados en dispositivos sin conexión. - Dispositivos sin conexión Microsoft Defender for Cloud Apps Habilite la inspección de contenido en Defender for Cloud Apps. - Inspección de contenido de DLP Acceso condicional Después de las pruebas, habilite las directivas de Acceso condicional que aplican controles de sesión, o bien utilice el control de concesión de acceso en bloque. Para evitar el bloqueo de inquilinos, excluya las cuentas de acceso de emergencia. - Cuentas de acceso de emergencia Véase la guía de Microsoft en 4.6.1.
`Advanced` 4.6.3 Aplicación de DLP mediante etiquetas de datos y análisis Pt2 La solución de prevención de pérdida de datos (DLP) se actualiza para incluir etiquetas de datos ampliadas basadas en actividades paralelas de automatización. Resultado: los puntos de control tienen atributos de etiqueta de datos ampliados aplicados para una prevención adicional	Protección de la información de Microsoft Purview Defina tipos de información sensible personalizados. Cree etiquetas y directivas de prevención de pérdida de datos. Véase la guía de Microsoft en 4.1.1.
`Advanced` 4.6.4 Cumplimiento de la DLP mediante etiquetas de datos y análisis Pt3 La solución de prevención de pérdida de datos (DLP) se integra con técnicas automatizadas de etiquetado de datos para incluir cualquier punto de cumplimiento y etiqueta que falte. Resultado: los atributos de etiquetado automatizado se integran con DLP y las métricas resultantes se utilizan para ML	Microsoft Purview Information Protection Use Microsoft Purview Information Protection para clasificar los datos, basándose en los tipos de información sensible y mediante clasificadores entrenados por aprendizaje automático (ML). Véase la guía de Microsoft en 4.3.5.

Control de acceso a datos

Los servicios de Microsoft 365 y Azure Storage se integran con Microsoft Entra ID para la autorización basada en identidades. Microsoft Entra ID admite el control de acceso basado en rol (RBAC) y el control de acceso basado en atributos (ABAC).

Los roles y los grupos de seguridad de Microsoft Entra proporcionan control de acceso basado en roles de las organizaciones. Los grupos de seguridad dinámicos usan atributos definidos en objetos de usuario, grupo y dispositivo para definir la pertenencia, en función de expresiones enriquecidas y conjuntos de reglas.

El control de acceso basado en atributos de Microsoft Entra ID utiliza atributos de seguridad personalizados, que son atributos específicos de la empresa que puede definir y asignar a objetos de Microsoft Entra. Los atributos de seguridad personalizados almacenan información confidencial. El acceso para ver, o modificar, los atributos de seguridad personalizados están restringidos a los roles de administrador de atributos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 4.7.1 Integrar el acceso al DAAS con la directiva SDS Pt1 Utilizando la directiva SDS de la empresa DoD, la directiva DAAS de la organización se desarrolla teniendo en cuenta la integración prevista. La guía de implementación de SDS la desarrollan las organizaciones de DoD debido a la naturaleza específica del entorno. Resultados: la directiva DAAS específica basada en atributos se desarrolla con soporte técnico de nivel empresarial y de organización : el plan de integración de SDS se desarrolla para admitir la directiva DAAS.	Microsoft Entra ID Implementar directivas de datos, recursos, aplicaciones y servicios basados en atributos (DAAS) de Microsoft con mecanismos como el control de acceso basado en atributos de Azure (Azure ABAC), el filtrado personalizado de atributos de seguridad para aplicaciones y grupos de seguridad dinámicos. - Controles basados en atributos Atributos de seguridad personalizados Definir atributos de seguridad personalizados y asignar valor a los usuarios. Configure las condiciones de asignación de roles para Azure ABAC para roles de Azure. Actualmente, esta característica está en versión preliminar para los permisos de la cuenta de Azure Storage. - Azure ABAC - Administrar el acceso a atributos de seguridad personalizados - Administrar atributos con delegación Uso de atributos de seguridad personalizados para la autorización de aplicaciones dinámicas específica. Asigne atributos de seguridad personalizados y use filtros de atributo (versión preliminar) para aplicaciones en directivas de acceso condicional. - Administrar atributos de seguridad personalizados de aplicaciones Grupos de seguridad dinámicos Usar grupos de seguridad dinámicos para asignar acceso a los recursos que admiten grupos de identificadores de Microsoft Entra para conceder permisos. Esto incluye grupos de roles de Microsoft 365, roles de aplicación para aplicaciones de Microsoft Entra ID, roles de Azure y asignaciones de aplicaciones. Las directivas de acceso condicional usan grupos dinámicos y aplican niveles de autorización para los usuarios con varios valores de atributo. - Reglas de pertenencia dinámica a grupos - Emitir notificaciones a partir de condiciones
`Advanced` 4.7.2 Integrar el acceso DAAS con la directiva SDS Pt2 Las organizaciones DAAS implementan la directiva DAAS de forma automatizada. Resultado: directiva DAAS específica basada en atributos implementada de forma automatizada	Microsoft Graph API Automatizar la configuración de directivas de acceso condicional, atributos de seguridad personalizados, grupos de seguridad dinámicos y otras características de Microsoft Entra ID mediante Microsoft Graph API. - API de identidad y acceso
`Advanced` 4.7.3 Integrar el acceso al DAAS con la directiva SDS Pt3 La nueva tecnología y/o funcionalidades SDS implementadas se integran con la directiva DAAS de forma basada en el riesgo. Se debe adoptar un enfoque por fases durante la implementación para medir los resultados y ajustarlos en consecuencia. Resultados: SDS se integra con la funcionalidad de directiva DAAS : todos los datos de todas las aplicaciones están protegidos con una directiva DAAS específica basada en atributos.	Microsoft Defender for Cloud Apps Integrar Microsoft Purview y Defender for Cloud Apps. Cree directivas de archivo para aplicar procesos automatizados mediante las API del proveedor de nube. - Integrar directivas de archivos - de Information Protection
`Target` 4.7.4 Integrar soluciones y directivas con Enterprise IDP Pt1 Organizaciones de DoD desarrollan un plan de integración mediante la directiva SDS y la tecnología o funcionalidad con la solución proveedor de identidades (IdP) empresarial. Resultado: plan de integración entre SDS y el proveedor de identidades autoritativo se desarrolla para admitir el acceso DAAS existente	Microsoft Entra ID los servicios de almacenamiento de Microsoft 365, como SharePoint Online y OneDrive para la empresa, se integran con Microsoft Entra ID. Configure los servicios de Azure Storage para la integración con Microsoft Entra ID para la autorización basada en identidad de las solicitudes a los servicios Blob, File, Queue y Table. - Microsoft Entra ID - Autorizar Azure Storage En la galería de aplicaciones, integre más soluciones de almacenamiento definido por software (SDS) con Microsoft Entra ID. - Galería de aplicaciones
`Advanced` 4.7.5 Integrar soluciones y directivas con Enterprise IDP Pt2 Las funcionalidades y tecnología SDS recién implementadas se integran con Enterprise Identity Provider (IdP) siguiendo el plan de integración. Los atributos de identidad necesarios para cumplir las funcionalidades de ZT Target son necesarios para la integración. Resultado: - Integración completa con las herramientas Enterprise IDP y SDS para admitir todos los accesos DAAS de precisión basados en atributos	Complete las actividades 4.7.1 y 4.7.4.
`Advanced` 4.7.6 Implementar la herramienta SDS y/o integrarla con la herramienta DRM Pt1 Dependiendo de la necesidad de una herramienta de almacenamiento definido por software, se implementa una nueva solución o se identifica una solución existente que cumpla los requisitos de funcionalidad para ser integrada con las soluciones DLP, DRM/Protection y ML. Resultado: si se necesitan herramientas, asegúrese de que hay integraciones compatibles con DLP, DRM y herramientas de ML	Microsoft Purview Administración de derechos digitales (DRM) de Microsoft Purview Information Protection y las características de Prevención de pérdida de datos (DLP) de Microsoft Purview se integran de forma nativa con clientes de Office y servicios de Microsoft 365. Las integraciones están integradas y no requieren más implementación. - Información general de Purview Usar el SDK de Microsoft Information Protection (SDK de MIP) para crear herramientas personalizadas para aplicar etiquetas y protección a los archivos. Consulte la guía de Microsoft en 4.4.2.
`Advanced` 4.7.7 Implementación de la herramienta SDS o integración con la herramienta DRM Pt2 Las organizaciones DoD configuran la funcionalidad y/o solución SDS para integrarse con la infraestructura DLP y DRM/Protection subyacente según corresponda. Las integraciones de nivel inferior permiten una protección y respuesta más eficaces. Resultado: integrar la infraestructura SDS con la infraestructura DLP y DRM existente	Microsoft 365 y Microsoft Purview Microsoft Purview protege el contenido de Microsoft 365 con prevención de pérdida de datos (DLP) y administración de derechos de datos (DRM) sin más infraestructura. - Proteger datos confidenciales

Pasos siguientes

Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD: