Mengamankan data dengan Zero Trust

Latar belakang

Zero Trust adalah strategi keamanan yang digunakan untuk merancang prinsip keamanan untuk organisasi Anda. Zero Trust membantu mengamankan sumber daya perusahaan dengan menerapkan prinsip keamanan berikut:

  • Memverifikasi secara eksplisit. Selalu melakukan autentikasi dan otorisasi berdasarkan poin data yang tersedia, termasuk identitas pengguna, lokasi, perangkat, layanan atau beban kerja, klasifikasi data, dan anomali.

  • Gunakan akses hak istimewa paling sedikit. Batasi akses pengguna dengan just-in-time (JIT) dan just-enough-access (JEA), kebijakan adaptif berbasis risiko, dan perlindungan data untuk membantu mengamankan data dan produktivitas.

  • Menganggap pelanggaran. Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Microsoft Purview mengusulkan lima elemen inti untuk strategi mendalam pertahanan data dan implementasi Zero Trust untuk data:

  1. Klasifikasi dan pelabelan data
    Jika Anda tidak tahu data sensitif apa yang Anda miliki di lokal dan di layanan cloud, Anda tidak dapat melindunginya secara memadai. Temukan dan deteksi data di seluruh organisasi Anda dan klasifikasikan berdasarkan tingkat sensitivitas.

  2. Microsoft Azure Information Protection
    Akses hak istimewa kondisional dan paling sedikit ke data sensitif mengurangi risiko keamanan data. Terapkan pagar pembatas kontrol akses berbasis sensitivitas, manajemen hak, dan enkripsi di mana kontrol lingkungan tidak mencukup. Gunakan penandaan sensitivitas informasi untuk meningkatkan kesadaran dan kepatuhan kebijakan keamanan.

  3. Pencegahan Kehilangan Data
    Kontrol akses hanya menyelesaikan bagian dari masalah. Memeriksa dan mengontrol aktivitas dan pergerakan data berisiko yang dapat mengakibatkan insiden keamanan atau kepatuhan data memungkinkan organisasi untuk mencegah oversharing data sensitif.

  4. Manajemen Risiko Orang Dalam
    Akses data mungkin tidak selalu memberikan seluruh cerita. Minimalkan risiko terhadap data dengan mengaktifkan deteksi perilaku dari berbagai sinyal, dan bertindak pada aktivitas yang berpotensi berbahaya dan tidak disengaja di organisasi Anda yang dapat menjadi prekursor atau indikasi pelanggaran data.

  5. Tata Kelola Data
    Mengelola siklus hidup data sensitif secara proaktif mengurangi paparannya. Batasi jumlah salinan atau penyebaran data sensitif dan hapus data yang tidak lagi diperlukan untuk meminimalkan risiko pelanggaran data.

Tujuan penyebaran Data Zero Trust

Sebaiknya fokus pada tujuan penyebaran awal ini saat menerapkan kerangka kerja Zero Trust end-to-end untuk data:

List icon with one checkmark.

I.Mengklasifikasikan dan memberi label data. Secara otomatis mengklasifikasikan dan memberi label data jika memungkinkan. Terapkan secara manual jika tidak.

II.Terapkan enkripsi, kontrol akses, dan penandaan konten. Terapkan enkripsi di mana perlindungan dan kontrol akses tidak mencukup.

III.Mengontrol akses ke data. Mengontrol akses ke data sensitif sehingga terlindungi dengan lebih baik.

Saat Anda membuat kemajuan mencapai tujuan di atas, tambahkan tujuan penyebaran tambahan ini:

List icon with two checkmarks.

IV.Mencegah kebocoran data. Gunakan kebijakan DLP yang didorong oleh sinyal berisiko dan sensitivitas data.

V.Kelola risiko. Mengelola risiko yang dapat menyebabkan insiden keamanan data dengan memeriksa aktivitas pengguna terkait keamanan berisiko dan pola aktivitas data yang dapat mengakibatkan insiden keamanan atau kepatuhan data.

VI.Kurangi paparan data. Mengurangi paparan data melalui tata kelola data dan minimisasi data berkelanjutan

Panduan penyebaran Zero Trust untuk data

Panduan ini akan memandu Anda selangkah demi selangkah melalui pendekatan Zero Trust untuk perlindungan data. Harap diingat bahwa item-item ini akan sangat bervariasi tergantung pada sensitivitas informasi Anda dan ukuran dan kompleksitas organisasi Anda.

Sebagai prekursor untuk implementasi keamanan data apa pun, Microsoft menyarankan agar Anda membuat kerangka kerja klasifikasi data dan taksonomi label sensitivitas yang menentukan kategori risiko keamanan data tingkat tinggi. Taksonomi itu akan digunakan untuk menyederhanakan segala sesuatu mulai dari inventarisasi data atau wawasan aktivitas, hingga manajemen kebijakan hingga prioritas investigasi.

Untuk informasi selengkapnya, lihat:




Checklist icon with one checkmark.

Tujuan penyebaran awal

I. Mengklasifikasikan, memberi label, dan menemukan data sensitif

Strategi perlindungan informasi perlu mencakup seluruh konten digital organisasi Anda.

Label klasifikasi dan sensitivitas memungkinkan Anda memahami di mana data sensitif Anda berada, cara data bergerak, dan menerapkan kontrol akses dan penggunaan yang sesuai yang konsisten dengan prinsip zero trust:

  • Gunakan klasifikasi dan pelabelan otomatis untuk mendeteksi informasi sensitif dan menskalakan penemuan di seluruh data estate Anda.

  • Gunakan pelabelan manual untuk dokumen dan kontainer, dan kurasi himpunan data yang digunakan secara manual dalam analitik di mana klasifikasi dan sensitivitas paling baik dibuat oleh pengguna yang berpengetahuan luas.

Ikuti langkah-langkah ini:

Setelah Anda mengonfigurasi dan menguji klasifikasi dan pelabelan, tingkatkan penemuan data di seluruh data estate Anda.

Ikuti langkah-langkah berikut untuk memperluas penemuan di luar layanan Microsoft 365:

Saat Anda menemukan, mengklasifikasikan, dan memberi label data Anda, gunakan wawasan tersebut untuk memulihkan risiko dan menginformasikan inisiatif manajemen kebijakan Anda.

Ikuti langkah-langkah ini:

II. Menerapkan enkripsi, kontrol akses, dan penandaan konten

Sederhanakan implementasi hak istimewa paling sedikit Anda dengan menggunakan label sensitivitas untuk melindungi data Anda yang paling sensitif dengan enkripsi dan kontrol akses. Gunakan penandaan konten untuk meningkatkan kesadaran dan keterlacakan pengguna.

Melindungi dokumen dan email

Perlindungan Informasi Microsoft Purview memungkinkan kontrol akses dan penggunaan berdasarkan label sensitivitas atau izin yang ditentukan pengguna untuk dokumen dan email. Ini juga dapat secara opsional menerapkan penandaan dan mengenkripsi informasi yang berada di atau mengalir ke lingkungan kepercayaan yang lebih rendah secara internal atau eksternal untuk organisasi Anda. Ini memberikan perlindungan saat istirahat, bergerak, dan digunakan untuk aplikasi yang tercerahkan.

Ikuti langkah-langkah ini:

Memproteksi dokumen di Exchange, SharePoint, dan OneDrive

Untuk data yang disimpan di Exchange, SharePoint, dan OneDrive, klasifikasi otomatis dengan label sensitivitas dapat disebarkan melalui kebijakan ke lokasi yang ditargetkan untuk membatasi akses dan mengelola enkripsi pada keluar resmi.

Lakukan langkah ini:

III. Mengontrol akses ke data

Menyediakan akses ke data sensitif harus dikontrol sehingga terlindungi dengan lebih baik. Pastikan bahwa keputusan kebijakan akses dan penggunaan sudah termasuk sensitivitas data.

Mengontrol akses dan berbagi data di situs Teams, Grup Microsoft 365, dan SharePoint

Gunakan label sensitivitas kontainer untuk menerapkan pembatasan akses bersyarkat dan berbagi ke situs Microsoft Teams, Grup Microsoft 365, atau SharePoint.

Lakukan langkah ini:

Mengontrol akses ke data dalam aplikasi SaaS

Microsoft Defender untuk Cloud Apps menyediakan kemampuan tambahan untuk akses bersyarah dan mengelola file sensitif di Microsoft 365 dan lingkungan pihak ketiga seperti Box atau Google Workspace, termasuk:

  • Menghapus izin untuk mengatasi hak istimewa yang berlebihan dan mencegah kebocoran data.

  • Mengkarantina file untuk ditinjau.

  • Menerapkan label ke file sensitif.

Ikuti langkah-langkah ini:

Tip

Lihat Mengintegrasikan aplikasi SaaS untuk Zero Trust dengan Microsoft 365 untuk mempelajari cara menerapkan prinsip Zero Trust untuk membantu mengelola properti digital aplikasi cloud Anda.

Mengontrol akses ke dalam penyimpanan IaaS/PaaS

Sebarkan kebijakan kontrol akses wajib ke sumber daya IaaS/PaaS yang berisi data sensitif.

Lakukan langkah ini:

IV. Mencegah kebocoran data

Mengontrol akses ke data diperlukan tetapi tidak cukup dalam mengerahkan kontrol atas pergerakan data dan dalam mencegah kebocoran atau kehilangan data yang tidak disengaja atau tidak sah. Itulah peran pencegahan kehilangan data dan manajemen risiko orang dalam, yang dijelaskan di bagian IV.

Gunakan kebijakan DLP Microsoft Purview untuk mengidentifikasi, memeriksa, dan melindungi data sensitif secara otomatis di seluruh:

  • Layanan Microsoft 365 seperti Teams, Exchange, SharePoint, dan OneDrive

  • aplikasi Office likasi seperti Word, Excel, dan PowerPoint

  • Titik akhir Windows 10, Windows 11, dan macOS (tiga versi terbaru yang dirilis)

  • berbagi file lokal dan SharePoint lokal

  • aplikasi cloud non-Microsoft.

Ikuti langkah-langkah ini:

V. Mengelola risiko orang dalam

Implementasi hak istimewa terkecil membantu meminimalkan risiko yang diketahui, tetapi penting juga untuk menghubungkan sinyal perilaku pengguna terkait keamanan tambahan, memeriksa pola akses data sensitif, dan untuk deteksi luas, kemampuan investigasi dan perburuan.

Ambil langkah-langkah berikut:

VI. Menghapus informasi sensitif yang tidak perlu

Organisasi dapat mengurangi paparan data mereka dengan mengelola siklus hidup data sensitif mereka.

Hapus semua hak istimewa di mana Anda dapat dengan menghapus data sensitif itu sendiri ketika tidak lagi berharga atau diizinkan untuk organisasi Anda.

Lakukan langkah ini:

Minimalkan duplikasi data sensitif dengan mendukung berbagi di tempat dan menggunakan daripada transfer data.

Lakukan langkah ini:

Produk yang tercakup dalam panduan ini

Microsoft Purview

Aplikasi Microsoft Defender untuk Cloud

Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Keberhasilan Pelanggan Anda.



Seri panduan penyebaran Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration