Mengamankan data dengan Zero Trust

Latar belakang

Zero Trust adalah strategi keamanan yang digunakan untuk merancang prinsip keamanan untuk organisasi Anda. Zero Trust membantu mengamankan sumber daya perusahaan dengan menerapkan prinsip keamanan berikut:

• Verifikasi secara eksplisit. Selalu melakukan autentikasi dan otorisasi berdasarkan poin data yang tersedia, termasuk identitas pengguna, lokasi, perangkat, layanan atau beban kerja, klasifikasi data, dan anomali.

• Gunakan akses hak istimewa paling sedikit. Batasi akses pengguna dengan just-in-time (JIT) dan just-enough-access (JEA), kebijakan adaptif berbasis risiko, dan perlindungan data untuk membantu mengamankan data dan produktivitas.

• Asumsikan telah terjadi pelanggaran. Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Microsoft Purview mengusulkan lima elemen inti untuk strategi mendalam pertahanan data dan implementasi Zero Trust untuk data:

1. Klasifikasi dan pelabelan data
   Jika Anda tidak tahu data sensitif apa yang Anda miliki di lokal dan di layanan cloud, Anda tidak dapat melindunginya secara memadai. Temukan dan deteksi data di seluruh organisasi Anda dan klasifikasikan berdasarkan tingkat sensitivitas.

2. Perlindungan Informasi
   Akses hak istimewa kondisional dan paling sedikit ke data sensitif mengurangi risiko keamanan data. Terapkan pagar pembatas kontrol akses berbasis sensitivitas, manajemen hak, dan enkripsi di mana kontrol lingkungan tidak mencukup. Gunakan penandaan sensitivitas informasi untuk meningkatkan kesadaran dan kepatuhan kebijakan keamanan.

3. Pencegahan Kehilangan Data
   Kontrol akses hanya menyelesaikan bagian dari masalah. Memeriksa dan mengontrol aktivitas dan pergerakan data berisiko yang dapat mengakibatkan insiden keamanan atau kepatuhan data memungkinkan organisasi untuk mencegah oversharing data sensitif.

4. Manajemen Risiko Orang Dalam
   Akses data mungkin tidak selalu memberikan seluruh cerita. Minimalkan risiko terhadap data dengan mengaktifkan deteksi perilaku dari berbagai sinyal, dan bertindak pada aktivitas yang berpotensi berbahaya dan tidak disengaja di organisasi Anda yang dapat menjadi prekursor atau indikasi pelanggaran data.

5. Tata Kelola Data
   Mengelola siklus hidup data sensitif secara proaktif mengurangi paparannya. Batasi jumlah salinan atau penyebaran data sensitif dan hapus data yang tidak lagi diperlukan untuk meminimalkan risiko pelanggaran data.

Tujuan penerapan Zero Trust pada data

Sebaiknya fokus pada tujuan penyebaran awal ini saat menerapkan kerangka kerja Zero Trust end-to-end untuk data:
Ikon daftar dengan satu tanda centang.	I.Mengklasifikasikan dan memberi label data. Secara otomatis mengklasifikasikan dan memberi label data jika memungkinkan. Terapkan secara manual jika tidak. II.Menerapkan enkripsi, kontrol akses, dan penandaan konten. Terapkan enkripsi di mana perlindungan dan kontrol akses tidak mencukup. III.Mengontrol akses ke data. Mengontrol akses ke data sensitif sehingga terlindungi dengan lebih baik. Pastikan bahwa keputusan kebijakan akses dan penggunaan sudah termasuk sensitivitas data.
Saat Anda membuat kemajuan mencapai tujuan di atas, tambahkan tujuan penyebaran tambahan ini:
Ikon daftar dengan dua tanda centang.	IV.Mencegah kebocoran data. Gunakan kebijakan DLP yang didorong oleh sinyal berisiko dan sensitivitas data. V.Kelola risiko. Kelola risiko yang mungkin menyebabkan insiden keamanan data dengan memeriksa aktivitas pengguna terkait keamanan berisiko dan pola aktivitas data yang dapat mengakibatkan insiden keamanan atau kepatuhan data. VI.Kurangi paparan data. Mengurangi paparan data melalui tata kelola data dan minimisasi data berkelanjutan

Panduan Implementasi Zero Trust untuk Data

Panduan ini akan memandu Anda langkah demi langkah melalui pendekatan Zero Trust perlindungan data. Harap diingat bahwa item-item ini akan sangat bervariasi tergantung pada sensitivitas informasi Anda dan ukuran dan kompleksitas organisasi Anda.

Sebagai prekursor untuk implementasi keamanan data apa pun, Microsoft menyarankan agar Anda membuat kerangka kerja klasifikasi data dan taksonomi label sensitivitas yang menentukan kategori risiko keamanan data tingkat tinggi. Taksonomi itu akan digunakan untuk menyederhanakan segala sesuatu mulai dari inventarisasi data atau wawasan aktivitas, hingga manajemen kebijakan hingga prioritas investigasi.

Untuk informasi selengkapnya, lihat:

• Membuat kerangka kerja klasifikasi data yang dirancang dengan baik

Ikon daftar periksa dengan satu tanda centang.

Tujuan penyebaran awal

I. Mengklasifikasikan, memberi label, dan menemukan data sensitif

Strategi perlindungan informasi perlu mencakup seluruh konten digital organisasi Anda.

Label klasifikasi dan sensitivitas memungkinkan Anda memahami di mana data sensitif Anda berada, cara data bergerak, dan menerapkan kontrol akses dan penggunaan yang sesuai yang konsisten dengan prinsip zero trust:

• Gunakan klasifikasi dan pelabelan otomatis untuk mendeteksi informasi sensitif dan menskalakan penemuan di seluruh data estate Anda.

• Gunakan pelabelan manual untuk dokumen dan kontainer, dan kurasi himpunan data yang digunakan secara manual dalam analitik di mana klasifikasi dan sensitivitas paling baik dibuat oleh pengguna yang berpengetahuan luas.

Ikuti langkah-langkah ini:

• Mempelajari tentang jenis informasi sensitif

• Pelajari tentang pengklasifikasi yang dapat dilatih

• Pelajari tentang label sensitivitas

Setelah Anda mengonfigurasi dan menguji klasifikasi dan pelabelan, tingkatkan penemuan data di seluruh data estate Anda.

Ikuti langkah-langkah ini untuk memperluas penemuan di luar layanan Microsoft 365:

• Mulai dengan pemindai lokal Microsoft Purview

• Menemukan dan melindungi informasi sensitif dalam aplikasi SaaS

• Pelajari tentang pemindaian dan penyerapan di portal tata kelola Microsoft Purview

Saat Anda menemukan, mengklasifikasikan, dan memberi label data Anda, gunakan wawasan tersebut untuk memulihkan risiko dan menginformasikan inisiatif manajemen kebijakan Anda.

Ikuti langkah-langkah ini:

• Mulai menggunakan Content Explorer

• Meninjau aktivitas pelabelan dengan Activity Explorer

• Pelajari tentang Wawasan Data

II. Menerapkan enkripsi, kontrol akses, dan penandaan konten

Sederhanakan implementasi hak istimewa paling sedikit Anda dengan menggunakan label sensitivitas untuk melindungi data Anda yang paling sensitif dengan enkripsi dan kontrol akses. Gunakan penandaan konten untuk meningkatkan kesadaran dan keterlacakan pengguna.

Melindungi dokumen dan email

Microsoft Purview Information Protection memungkinkan kontrol akses dan penggunaan berdasarkan label sensitivitas atau izin yang ditentukan pengguna untuk dokumen dan email. Ini juga dapat secara opsional menerapkan penandaan dan mengenkripsi informasi yang berada di atau mengalir ke lingkungan dengan tingkat kepercayaan yang lebih rendah, baik secara internal maupun eksternal dari organisasi Anda. Ini memberikan perlindungan dalam keadaan diam, bergerak, dan aktif untuk aplikasi yang cerdas.

Ikuti langkah-langkah ini:

• Tinjau opsi enkripsi di Microsoft 365
• Membatasi akses ke konten dan penggunaan dengan menggunakan label sensitivitas

Melindungi dokumen di Exchange, SharePoint, dan OneDrive

Untuk data yang disimpan di Exchange, SharePoint, dan OneDrive, klasifikasi otomatis dengan label sensitivitas dapat disebarkan melalui kebijakan ke lokasi yang ditargetkan untuk membatasi akses dan mengelola enkripsi pada keluar yang diotorisasi.

Lakukan langkah ini:

• Konfigurasi kebijakan pelabelan otomatis untuk SharePoint, OneDrive, dan Exchange

III. Mengontrol akses ke data

Menyediakan akses ke data sensitif harus dikontrol sehingga terlindungi dengan lebih baik. Pastikan bahwa keputusan kebijakan akses dan penggunaan sudah termasuk sensitivitas data.

Mengontrol akses dan berbagi data di situs Teams, Grup Microsoft 365, dan SharePoint

Gunakan label sensitivitas kontainer untuk menerapkan pembatasan akses dan berbagi kondisional ke situs Microsoft Teams, Grup Microsoft 365, atau SharePoint.

Lakukan langkah ini:

• Gunakan label sensitivitas dengan situs Microsoft Teams, Grup Microsoft 365, dan SharePoint

Mengontrol akses ke data dalam aplikasi SaaS

Microsoft Defender for Cloud Apps menyediakan kemampuan tambahan untuk akses bersyarah dan mengelola file sensitif di lingkungan Microsoft 365 dan pihak ketiga seperti Box atau Google Workspace, termasuk:

• Menghapus izin untuk mengatasi hak istimewa yang berlebihan dan mencegah kebocoran data.

• Mengkarantina file untuk ditinjau.

• Menerapkan label ke file sensitif.

Ikuti langkah-langkah ini:

• Integrate Microsoft Purview Information Protection

Tip

Periksa Integrasi Aplikasi SaaS untuk Zero Trust dengan Microsoft 365 untuk memahami cara menerapkan prinsip-prinsip Zero Trust guna membantu mengelola aset digital aplikasi cloud Anda.

Mengontrol akses ke dalam penyimpanan IaaS/PaaS

Sebarkan kebijakan kontrol akses wajib ke sumber daya IaaS/PaaS yang berisi data sensitif.

Lakukan langkah ini:

• Pelajari tentang kebijakan Microsoft Purview DevOps

IV. Mencegah kebocoran data

Mengontrol akses ke data diperlukan tetapi tidak cukup dalam mengerahkan kontrol atas pergerakan data dan dalam mencegah kebocoran atau kehilangan data yang tidak disengaja atau tidak sah. Itulah peran pencegahan kehilangan data dan manajemen risiko orang dalam, yang dijelaskan di bagian IV.

Gunakan kebijakan DLP Microsoft Purview untuk mengidentifikasi, memeriksa, dan melindungi data sensitif secara otomatis di seluruh:

• layanan Microsoft 365 seperti Teams, Exchange, SharePoint, dan OneDrive

• Aplikasi Office seperti Word, Excel, dan PowerPoint

• Windows 10, Windows 11, dan macOS (tiga versi terbaru yang dirilis) titik akhir

• berbagi file lokal dan SharePoint lokal

• aplikasi cloud non-Microsoft.

Ikuti langkah-langkah ini:

• Merencanakan pencegahan kehilangan data

• Membuat, menguji, dan menyetel kebijakan DLP

• Pelajari tentang dasbor Pemberitahuan pencegahan kehilangan data

• Meninjau aktivitas data dengan Activity Explorer

V. Mengelola risiko orang dalam

Implementasi hak istimewa terkecil membantu meminimalkan risiko yang diketahui, tetapi penting juga untuk menghubungkan sinyal perilaku pengguna terkait keamanan tambahan, memeriksa pola akses data sensitif, dan untuk kemampuan deteksi, investigasi, dan perburuan yang luas.

Ambil langkah-langkah berikut:

• Pelajari tentang Manajemen Risiko Insider

• Menyelidiki aktivitas manajemen risiko orang dalam

VI. Menghapus informasi sensitif yang tidak perlu

Organisasi dapat mengurangi paparan data mereka dengan mengelola siklus hidup data sensitif mereka.

Hapus semua hak istimewa di mana Anda dapat, dengan menghapus data sensitif itu sendiri ketika tidak lagi berharga atau diizinkan untuk organisasi Anda.

Lakukan langkah ini:

• Menyebarkan manajemen siklus hidup data dan manajemen rekaman

Minimalkan duplikasi data sensitif dengan mendukung berbagi dan penggunaan langsung daripada memindahkan data.

Lakukan langkah ini:

• Pelajari tentang berbagi data di tempat dengan Microsoft Purview

Produk yang tercakup dalam panduan ini

Microsoft Purview

Microsoft Defender for Cloud Apps

Untuk informasi lebih lanjut atau bantuan terkait implementasi, silakan hubungi tim Keberhasilan Pelanggan Anda.

Seri panduan penerapan Zero Trust

Ikon untuk pengenalan

Ikon untuk identitas

Ikon untuk titik akhir

Ikon untuk aplikasi

Ikon untuk data

Ikon untuk infrastruktur

Ikon untuk jaringan

Ikon untuk visibilitas, otomatisasi, orkestrasi