Strategi Zero Trust DoD untuk pilar data

Strategi dan Peta Strategi Zero Trust DoD menguraikan jalur bagi komponen Departemen Pertahanan dan mitra Defense Industrial Base (DIB) untuk mengadopsi kerangka kerja keamanan cyber baru berdasarkan prinsip-prinsip Zero Trust. Zero Trust menghilangkan perimeter tradisional dan asumsi kepercayaan, memungkinkan arsitektur yang lebih efisien yang meningkatkan keamanan, pengalaman pengguna, dan performa misi.

Panduan ini memberikan rekomendasi untuk 152 aktivitas Zero Trust dalam Rencana Jalan Pelaksanaan Kemampuan DoD Zero Trust. Bagian sesuai dengan tujuh pilar model DoD Zero Trust.

Gunakan tautan berikut untuk masuk ke bagian panduan.

4 Data

Bagian ini memiliki panduan dan rekomendasi Microsoft untuk aktivitas Zero Trust DoD di pilar data. Untuk mempelajari lebih lanjut, lihat Amankan data dengan Zero Trust untuk informasi lebih lengkap.

4.1 Penyelarasan risiko katalog data

Microsoft Purview solusi membantu menemukan, mengidentifikasi, mengatur, melindungi, dan mengelola data tempatnya berada. Microsoft Purview menyediakan tiga untuk mengidentifikasi item sehingga dapat diklasifikasikan. Item dapat diklasifikasikan secara manual, oleh pengguna, melalui pengenalan pola otomatis, seperti halnya jenis informasi sensitif, dan melalui pembelajaran mesin.

Deskripsi dan Hasil Aktivitas DoD Panduan dan rekomendasi Microsoft

Target 4.1.1 Analisis Data
Organisasi DoD memperbarui katalog layanan dan aplikasi dengan klasifikasi data. Tag data juga ditambahkan ke setiap layanan dan aplikasi.

Hasil:
- Katalog layanan diperbarui dengan jenis data untuk setiap aplikasi dan layanan berdasarkan tingkat klasifikasi data Microsoft Purview
Tinjau jenis informasi sensitif di portal kepatuhan Microsoft Purview dan tentukan jenis informasi sensitif kustom.
- Jenis info sensitif kustom di portal kepatuhan Purview

Gunakan penjelajah konten Purview atau penjelajah aktivitas untuk melihat tangkap layar konten berlabel Microsoft 365 dan melihat aktivitas pengguna terkait.
- Penjelajah Konten
- Penjelajah Aktivitas

Microsoft Defender untuk Aplikasi Cloud
Integrasikan Microsoft Purview Information Protection untuk menerapkan label sensitivitas pada data yang sesuai dengan kebijakan. Selidiki potensi paparan data sensitif di seluruh aplikasi cloud.
- Integrate Information Protection

Microsoft Purview Data Catalog
Browse Data Catalog Purview untuk menjelajahi data di data estate.
- Purview Data Catalog

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.1.1 Analisis Data Organisasi DoD memperbarui katalog layanan dan aplikasi dengan klasifikasi data. Tag data juga ditambahkan ke setiap layanan dan aplikasi. Hasil: - Katalog layanan diperbarui dengan jenis data untuk setiap aplikasi dan layanan berdasarkan tingkat klasifikasi data	Microsoft Purview Tinjau jenis informasi sensitif di portal kepatuhan Microsoft Purview dan tentukan jenis informasi sensitif kustom. - Jenis info sensitif kustom di portal kepatuhan Purview Gunakan penjelajah konten Purview atau penjelajah aktivitas untuk melihat tangkap layar konten berlabel Microsoft 365 dan melihat aktivitas pengguna terkait. - Penjelajah Konten - Penjelajah Aktivitas Microsoft Defender untuk Aplikasi Cloud Integrasikan Microsoft Purview Information Protection untuk menerapkan label sensitivitas pada data yang sesuai dengan kebijakan. Selidiki potensi paparan data sensitif di seluruh aplikasi cloud. - Integrate Information Protection Microsoft Purview Data Catalog Browse Data Catalog Purview untuk menjelajahi data di data estate. - Purview Data Catalog

4.2 Tata kelola data perusahaan DoD

Microsoft Purview Information Protection menggunakan label sensitivitas. Anda dapat membuat label sensitivitas yang relevan dengan organisasi Anda, mengontrol label mana yang terlihat untuk pengguna, dan menentukan cakupan label. Terapkan label cakupan pada file, email, rapat, Microsoft Teams, situs SharePoint, dan lainnya. Label melindungi konten dengan enkripsi, membatasi berbagi eksternal, dan mencegah kehilangan data.

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.2.1 Menentukan Standar Pemberian Tag Data DoD Enterprise bekerja sama dengan organisasi untuk menetapkan standar pemberian tag dan klasifikasi data berdasarkan praktik terbaik industri. Klasifikasi disepakati dan diimplementasikan dalam proses. Tag diidentifikasi sebagai manual dan otomatis untuk aktivitas di masa mendatang. Hasil: - Klasifikasi data perusahaan dan standar pemberian tag dikembangkan - Organisasi selaras dengan standar perusahaan dan memulai implementasi	Microsoft Purview Buat dan terbitkan label sensitivitas di Microsoft Purview, menurut standar penandaan data yang Anda tetapkan. - Label dan kebijakan Sensitivitas - Label Sensitivitas dalam label Microsoft 365
4.2.2 Standar Interoperabilitas DoD Enterprise yang bekerja sama dengan organisasi-organisasi mengembangkan standar interoperabilitas yang mengintegrasikan solusi Manajemen Hak Data (DRM) dan Perlindungan yang diwajibkan dengan teknologi yang diperlukan untuk memungkinkan fungsionalitas target ZT. Hasil: - Standar formal diterapkan oleh perusahaan untuk standar data yang sesuai	Azure Rights Management Gunakan Azure RMS untuk manajemen hak data (DRM) dan interoperabilitas perlindungan di seluruh entitas DoD yang berkolaborasi dengan Microsoft 365 services. - Azure RMS - Apps yang mendukung label sensitivitas
`Target` 4.2.3 Mengembangkan Kebijakan Software Defined Storage (SDS)Perusahaan DoD yang bekerja dengan organisasi menetapkan kebijakan dan standar penyimpanan definisi perangkat lunak (SDS) berdasarkan praktik terbaik industri. Organisasi DoD mengevaluasi strategi dan teknologi penyimpanan data saat ini untuk implementasi SDS. Jika teknologi penyimpanan yang sesuai diidentifikasi untuk implementasi SDS. Hasil: - Menentukan kebutuhan akan implementasi alat SDS- Kebijakan untuk SDS dibuat di tingkat perusahaan dan org	SharePoint Online Gunakan SharePoint Online dan OneDrive for Business sebagai solusi penyimpanan desain perangkat lunak (SDS) standar yang dapat dioperasikan. Batasi akses ke situs dan konten online SharePoint sensitif dengan kebijakan pembatasan akses situs. Mencegah akses tamu ke file saat aturan pencegahan kehilangan data (DLP) diterapkan. - Batasi akses situs ke anggota grup - Cegah akses tamu ke file dengan aturan DLP - Amankan berbagi dengan tamu Microsoft Defender for Cloud Apps Gunakan Microsoft Defender for Cloud Apps untuk memblokir akses ke layanan penyimpanan cloud yang tidak sah. - Kendalikan aplikasi yang ditemukan

4.3 Pelabelan dan pemberian tag data

Microsoft Purview Information Protection secara otomatis mengklasifikasikan data berdasarkan jenis informasi sensitif yang Anda tentukan. Kebijakan untuk pelabelan sisi layanan dan klien memastikan Microsoft 365 konten yang dibuat oleh pengguna Anda diberi label dan dilindungi.

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
4.3.1 Menerapkan Alat Penandaan & Klasifikasi Data Organisasi DoD menggunakan standar dan persyaratan perusahaan untuk menerapkan solusi penandaan dan klasifikasi data. Organisasi memastikan bahwa integrasi ML dan AI di masa mendatang didukung oleh solusi melalui persyaratan perusahaan DoD. Outcomes: - Persyaratan klasifikasi data dan alat pemberian tag harus menyertakan integrasi dan/atau dukungan Machine Learning (ML) - Klasifikasi data dan alat penandaan diimplementasikan di tingkat organisasi dan perusahaan	Microsoft Purview Information Protection Gunakan Microsoft Purview Information Protection untuk mengklasifikasikan data berdasarkan jenis informasi sensitif, dan pengklasifikasi yang dilatih oleh pembelajaran mesin (ML). - Data Sensitif dan Purview - Kebijakan Label
`Target` 4.3.2 Penandaan Data Manual Pt1 Menggunakan penandaan data perusahaan DoD dan kebijakan dan standar klasifikasi, pemberian tag manual mulai menggunakan atribut tingkat data dasar untuk memenuhi fungsionalitas target ZT. Hasil: - Pemberian tag data manual dimulai di tingkat perusahaan dengan atribut dasar	Microsoft PurviewBuat dan terbitkan label sensitivitas di Microsoft Purview, menurut standar penandaan data yang Anda tetapkan.Panduan Microsoft di 4.2.1.Konfigurasi kebijakan pelabelan untuk mengharuskan pengguna menerapkan label sensitivitas ke email dan dokumen.Pengguna menerapkan label ke email dan dokumen
`Advanced` 4.3.3 Penandaan Data Manual Pt2 Atribut tingkat data khusus organisasi DoD diintegrasikan ke dalam proses pemberian tag data manual. Perusahaan dan organisasi DoD berkolaborasi untuk memutuskan atribut mana yang diperlukan untuk memenuhi fungsionalitas lanjutan ZTA. Atribut tingkat data untuk fungsionalitas tingkat lanjut ZTA distandarkan di seluruh perusahaan dan digabungkan. Hasil: - Pemberian tag data manual diperluas ke tingkat program/organisasi dengan atribut tertentu	Microsoft Purview Lihat jenis informasi sensitif di portal kepatuhan Microsoft Purview. Tentukan jenis informasi sensitif kustom sesuai kebutuhan. Lihat Panduan Microsoft di 4.1.1.
`Advanced` 4.3.4 Penandaan Data Otomatis & Dukungan Pt1 Organisasi DoD menggunakan solusi pencegahan kehilangan data, manajemen hak, dan/atau perlindungan untuk melakukan pemindaian repositori data. Tag standar diterapkan ke repositori data dan jenis data yang didukung. Repositori dan jenis data yang tidak didukung diidentifikasi. Hasil: - Otomatisasi dasar dimulai dengan memindai repositori data dan menerapkan tag	Microsoft Purview Information Protection Konfigurasi pelabelan sisi klien untuk file dan email yang dibuat di aplikasi Microsoft Office. - Autolabeling untuk aplikasi Office Konfigurasi pelabelan sisi layanan untuk konten yang disimpan di Office 365. - Autolabeling untuk SharePoint, OneDrive, dan Exchange Labeli sensitivitas aplikasi ke kontainer: situs Microsoft Teams, Microsoft 365 Groups, dan situs SharePoint. - Label Sensitivitas untuk Teams, Microsoft 365, grup, dan situs SharePoint Untuk menemukan dokumen dan email di lingkungan Anda, pindai untuk mendeteksi pencocokan data dalam jenis informasi sensitif yang ditentukan. - Jenis info sensitif pencocokan data Gunakan sidik jari dokumen untuk menemukan dan memberi label konten yang cocok dengan templat dokumen dan formulir. - Cetak jari dokumen Microsoft Purview Registrasi sumber data, memindai, menyerap, dan mengklasifikasikan data di portal tata kelola Microsoft Purview. - Sumber data di Purview - Pemindaian dan penyerapan - Klasifikasi data Microsoft Defender for Cloud Apps Integrasikan Purview Information Protection dengan Defender for Cloud Apps untuk menerapkan label sensitivitas secara otomatis, menerapkan kebijakan enkripsi, dan mencegah kehilangan data. - Integrasikan Information Protection - Label sensitivitas aplikasi - Inspeksi konten DLP
`Advanced` 4.3.5 Penandaan Data Otomatis & Dukungan Pt2 Repositori data yang didukung yang tersisa memiliki tag data dasar dan diperluas yang diterapkan menggunakan pembelajaran mesin dan kecerdasan buatan. Tag data yang diperluas diterapkan ke repositori yang ada. Repositori data dan jenis data yang tidak didukung dievaluasi untuk dinonaktifkan menggunakan pendekatan metodik berbasis risiko. Pengecualian yang disetujui menggunakan pendekatan penandaan data manual bersama pemilik dan/atau penjaga data untuk mengelola penandaan. Hasil: - Otomatisasi penuh pemberian tag data selesai - Hasil pemberian tag data dimasukkan ke dalam algoritma ML.	Pengklasifikasi yang dapat dilatih di Microsoft Purview Information Protection membantu mengenali konten dengan menggunakan pembelajaran mesin (ML). Buat dan latih pengklasifikasi dengan sampel yang dipilih manusia dan dicocokkan secara positif. - Pengklasifikasi yang dapat dilatih

4.4 Pemantauan dan pengiraan data

Microsoft Purview kebijakan Pencegahan Kehilangan Data (DLP) mencegah data keluar dari organisasi Anda. Anda dapat menerapkan kebijakan DLP pada data yang sedang diam, sedang digunakan, dan sedang bergerak. Kebijakan DLP diberlakukan di mana data berada di layanan cloud, berbagi file lokal, juga di perangkat Windows dan macOS.

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.4.1 Pengelogan dan Analisis Titik Penegakan DLPOrganisasi DoD mengidentifikasi titik penegakan pencegahan kehilangan data (DLP) seperti layanan tertentu dan titik akhir pengguna. Dengan menggunakan standar respons insiden keamanan cyber DoD Enterprise yang ditetapkan, organisasi DoD memastikan detail data yang sesuai ditangkap. Selain itu, kasus penggunaan untuk perlindungan, deteksi, dan respons dikembangkan untuk cakupan solusi yang lebih baik. Hasil: - Titik penegakan diidentifikasi - Skema Pengelogan Standar diberlakukan di tingkat perusahaan dan org	Microsoft Purview Pencegahan Kehilangan Data Buat kebijakan DLP untuk mematuhi standar Purview. Terapkan DLP untuk aplikasi Microsoft 365, Windows, dan titik akhir macOS, juga aplikasi cloud non-Microsoft. - Rencana untuk DLP - Desain kebijakan DLP - Aktivitas log Audit - Office 365 Skema API Aktivitas Manajemen Microsoft Defender for Cloud Apps Integrasikan Purview Information Protection dengan Defender for Cloud Apps untuk menerapkan label sensitivitas secara otomatis, menerapkan kebijakan enkripsi, dan mencegah kehilangan data. Lihat panduan Microsoft di 4.3.4.
`Target` 4.4.2 Titik Penegakan DRM: Pengelogan dan Analisis Organisasi DoD mengidentifikasi titik penegakan manajemen hak data (DRM) seperti layanan tertentu dan titik akhir pengguna. Dengan menggunakan standar respons insiden keamanan cyber DoD Enterprise yang ditetapkan, organisasi DoD memastikan detail data yang sesuai ditangkap. Selain itu, kasus penggunaan untuk perlindungan, deteksi, dan respons dikembangkan untuk cakupan solusi yang lebih baik. Hasil: - Titik penegakan diidentifikasi - Skema Pengelogan Standar diberlakukan di tingkat perusahaan dan org	Titik penerapan Microsoft Purview Information Protection Purview data rights management (DRM) mencakup Microsoft 365 dan aplikasi serta layanan pihak ketiga yang terintegrasi dengan Microsoft Information Protection (MIP) SDK, aplikasi online, dan aplikasi klien lengkap. - Lindungi data sensitif - Batasi akses konten dengan label sensitivitas - MIP SDK - Enkripsi di Microsoft 365 Microsoft Defender for Cloud Apps Integrasikan Purview Information Protection dengan Defender for Cloud Apps untuk menerapkan label sensitivitas secara otomatis, menerapkan kebijakan enkripsi, dan mencegah kehilangan data. Lihat panduan Microsoft di 4.3.4.
`Target` 4.4.3 Pemantauan Aktivitas File Pt1 Organisasi DoD menggunakan alat Pemantauan File untuk memantau tingkat klasifikasi data paling penting dalam aplikasi, layanan, dan repositori. Analitik dari pemantauan disalurkan ke SIEM dengan atribut data dasar untuk mencapai fungsionalitas Target ZT. Hasil: - Data dan file klasifikasi penting sedang dipantau secara aktif- Integrasi Dasar tersedia dengan sistem pemantauan seperti SIEM	Microsoft Purview Pencegahan Kehilangan Data Peringatan DLP muncul di Microsoft Defender XDR. Aktivitas file tentang pembuatan, pelabelan, pencetakan, dan berbagi ada di Log Audit Terpadu, dan di penjelajah aktivitas di portal kepatuhan Microsoft Purview. - Peringatan DLP - Penjelajah aktivitas - Ekspor, konfigurasikan, dan lihat catatan log audit Microsoft Defender XDR dan Microsoft Sentinel Mengintegrasikan Microsoft Defender XDR dengan Sentinel untuk melihat dan menyelidiki peringatan pencegahan kehilangan data (DLP) dalam sistem manajemen insiden dan peristiwa keamanan perusahaan (SIEM). - Mengintegrasikan alat SIEM - Konektor Perlindungan Informasi untuk Sentinel - Menghubungkan data Defender XDR ke Sentinel - Penelitian DLP
`Target` 4.4.4 Pemantauan Aktivitas File Pt2 Organisasi DoD menggunakan alat Pemantauan File untuk memantau semua data yang dilindungi peraturan (misalnya, CUI, PII, PHI, dll.) dalam aplikasi, layanan, dan repositori. Integrasi yang diperluas digunakan untuk mengirim data ke solusi inter/intra-pilar yang sesuai seperti Pencegahan Kehilangan Data, Manajemen/Perlindungan Hak Data, dan Analitik Perilaku Pengguna & Entitas. Hasil: - Data dan file dari semua klasifikasi yang diatur secara aktif sedang dipantau - Integrasi yang diperluas dilakukan sesuai kebutuhan untuk mengelola risiko lebih lanjut	Tentukan label sensitivitas yang diperlukan dan konfigurasikan aturan analitik kustom untuk Sentinel. Buat insiden saat peringatan DLP memicu kejadian file kritis. Peristiwa file penting termasuk deteksi informasi sensitif, pelanggaran kebijakan, dan aktivitas mencurigakan lainnya. - Aturan analitik kustom untuk mendeteksi ancaman - Respons ancaman dengan playbook
`Advanced` 4.4.5 Pemantauan Aktivitas DatabaseOrganisasi DoD mendapatkan, menerapkan, dan menggunakan solusi Monitor Database untuk memantau semua database yang berisi jenis data yang diatur (CUI, PII, PHI, dll.). Log dan analitik dari solusi pemantauan database disalurkan ke SIEM untuk pemantauan dan respons. Analitik disalurkan ke dalam aktivitas lintas pilar seperti "Profil Keamanan Perusahaan" dan "Akses Real Time" untuk pengambilan keputusan langsung yang lebih baik. Outcomes: - Database yang Sesuai sedang dipantau secara aktif - Teknologi pemantauan terintegrasi dengan solusi seperti SIEM, PDP, dan mekanisme Access Control Dinamis	Microsoft Defender untuk SQL Defender untuk SQL melindungi database di Azure dan cloud lain. - Defender untuk SQL - Peringatan keamanan Microsoft Sentinel Hubungkan konektor data Microsoft Defender for Cloud dan Microsoft Defender XDR ke Sentinel. - Sambungkan Pemberitahuan Defender for Cloud ke Sentinel - Sambungkan Defender XDR ke Sentinel Akses Bersyarat Memerlukan konteks autentikasi untuk situs SharePoint sensitif dan melindungi rincian masuk database Azure SQL menggunakan Akses Bersyarat. - Label Sensitivitas - Konteks Autentikasi - Akses Bersyarat dengan Azure SQL Database dan Azure Synapse Analytics
`Advanced` 4.4.6 Pemantauan Aktivitas Data Komprehensif Organisasi-organisasi DoD memperluas pemantauan repositori data, termasuk basis data yang sesuai, berdasarkan pendekatan risiko metodis. Atribut data tambahan untuk memenuhi fungsionalitas ZT Advanced diintegrasikan ke dalam analitik untuk integrasi tambahan. Hasil: - Mekanisme pemantauan Aktivitas Data terintegrasi untuk memberikan tampilan terpadu pemantauan di seluruh repositori data- Integrasi yang sesuai ada dengan solusi seperti SIEM dan PDP	Microsoft Graph API Gunakan log aktivitas Microsoft Graph untuk jejak audit dari permintaan yang diterima oleh layanan Microsoft Graph dan diproses oleh penyewa. - Log Aktivitas Microsoft Purview Data Map Konfigurasi Microsoft Purview Data Map untuk memindai file sensitif di properti data organisasi. - Kelola sumber data Microsoft Sentinel Untuk berintegrasi dengan sistem manajemen informasi keamanan dan peristiwa (SIEM), konfigurasi konektor data Sentinel untuk Microsoft Defender for Cloud, Microsoft Defender XDR, dan Purview. Lihat panduan Microsoft di 4.4.5. Akses Kondisional Deteksi untuk akses file yang tidak biasa, ditemukan oleh Microsoft Defender XDR, meningkatkan tingkat risiko pengguna. Risiko pengguna adalah kondisi dalam Akses Bersyarat, titik pengambilan keputusan kebijakan (PDP) untuk Microsoft Entra ID. Tentukan konteks autentikasi Akses Bersyarat dengan kondisi risiko pengguna tanpa risiko. Lindungi situs SharePoint berlabel; memerlukan konteks autentikasi Akses Bersyarat. - Deteksi Risiko - Akses file yang tidak biasa - Contoh konteks autentikasi

4.5 Enkripsi data dan manajemen hak

Microsoft 365 layanan mengenkripsi data saat tidak aktif dan saat transit. Microsoft Purview membatasi akses ke konten sesuai dengan kebijakan enkripsi label sensitivitas. Purview mencapai tujuan dengan lapisan enkripsi lain untuk email dan file.

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.5.1 Menerapkan DRM dan Alat Perlindungan Pt1 Organisasi DoD mendapatkan dan menerapkan solusi DRM dan Perlindungan sesuai kebutuhan mengikuti standar dan persyaratan DoD Enterprise. Solusi DRM dan perlindungan yang baru diterapkan diimplementasikan dengan repositori data berisiko tinggi menggunakan perlindungan tingkat target ZTA. Hasil: - DRM dan alat perlindungan diaktifkan untuk repositori data berisiko tinggi dengan perlindungan dasar	enkripsi Microsoft 365 Microsoft 365 memiliki garis dasar, tingkat volume enkripsi dengan fitur keamanan Windows BitLocker dan Distributed Key Manager (DKM). - Memahami enkripsi Microsoft Purview Gunakan kebijakan pelabelan untuk menerapkan enkripsi lebih lanjut secara otomatis terhadap data berisiko tinggi di Microsoft 365, berdasarkan label sensitivitas. - Membatasi akses konten dengan menggunakan label sensitivitas - Enkripsi email di Microsoft 365 Microsoft Defender for Cloud Apps Mengintegrasikan Microsoft Purview Information Protection dengan Defender for Cloud Apps untuk menerapkan label sensitivitas secara otomatis, menerapkan kebijakan enkripsi, dan mencegah kehilangan data. Lihat panduan Microsoft dalam 4.3.4. Azure Policy Gunakan Azure Policy untuk memerlukan versi Transport Layer Security (TLS) yang aman, menerapkan Transparent Data Encryption (TDE), dan memerlukan penggunaan kunci yang dikelola oleh pelanggan untuk mengenkripsi data saat diam. - Definisi Azure Policy untuk database Azure SQL dan SQL Managed Instance
`Target` 4.5.2 Menerapkan DRM dan Alat Perlindungan Pt2 Cakupan DRM dan perlindungan diperluas untuk mencakup semua repositori data yang termasuk dalam cakupan. Kunci enkripsi secara otomatis dikelola untuk memenuhi praktik terbaik (misalnya, FIPS). Atribut perlindungan data yang diperluas diimplementasikan berdasarkan klasifikasi lingkungan. Hasil: - DRM dan alat perlindungan diaktifkan untuk semua repositori yang mungkin	Azure Key Vault Gunakan Modul Keamanan Perangkat Keras Terkelola Azure Key Vault (Azure Key Vault HSM) untuk melindungi kunci kriptografi aplikasi menggunakan Modul Keamanan Perangkat Keras Tervalidasi FIPS 140-2 Level 3.- Microsoft 365 menawarkan lapisan enkripsi untuk konten Anda dengan Kunci Pelanggan.- Azure Information Protection mendukung kunci akar penyewa yang dihasilkan Microsoft dan membawa kunci Anda sendiri (BYOK).- - -
`Target` 4.5.3 Penerapan DRM melalui Tag Data dan Analitik Pt1 Manajemen hak data (DRM) dan solusi perlindungan terintegrasi dengan tag data dasar yang ditentukan oleh standar DoD Enterprise. Repositori data awal dipantau dan mengaktifkan tindakan perlindungan dan respons. Data dalam keadaan diam dienkripsi di repositori. Hasil: - Tag Data terintegrasi dengan DRM dan repositori yang dipantau diperluas - Berdasarkan tag data, data dienkripsi saat tidak aktif	Microsoft Purview Information ProtectionGunakan kebijakan pelabelan untuk menerapkan lebih banyak enkripsi secara otomatis untuk data berisiko tinggi, dalam Microsoft 365, berdasarkan label sensitivitas.Batasi akses konten dengan label sensitivitasenkripsi Microsoft 365Microsoft 365 memiliki enkripsi tingkat volume dasar dengan BitLocker dan Distributed Key Manager (DKM).Lihat panduan Microsoft dalam 4.5.1.
`Advanced` 4.5.4 Penegakan DRM melalui Tag Data dan Analitik Pt2 Repositori data yang diperluas dilindungi dengan solusi DRM dan Perlindungan. Organisasi DoD menerapkan tag data yang diperluas yang berlaku untuk organisasi versus perusahaan yang diamanatkan. Data dienkripsi di repositori yang diperluas menggunakan tag tambahan. Hasil: - Semua repositori data yang berlaku dilindungi menggunakan DRM - Data dienkripsi menggunakan tag data yang diperluas dari tingkat org	Azure enkripsi Azure menggunakan enkripsi saat data diam dan dalam perjalanan. - Azure enkripsi Azure Policy Aktifkan Azure Policy untuk mengamankan database Azure SQL Lihat panduan Microsoft 4.5.1. Akses Bersyarat Gunakan kebijakan akses bersyarat untuk pengguna yang tersambung ke Azure SQL. Lihat panduan Microsoft pada 4.4.5.
`Advanced` 4.5.5 Penegakan DRM melalui Tag Data dan Analitik Pt3 Solusi DRM dan Perlindungan terintegrasi dengan alat AI dan ML untuk fungsi enkripsi, manajemen hak, dan perlindungan. Hasil:- Analitik dari ML/AI terintegrasi dengan DRM untuk mengotomatiskan perlindungan dengan lebih baik- Perlindungan enkripsi terintegrasi dengan AI/ML dan metode enkripsi yang diperbarui digunakan sesuai kebutuhan	Microsoft Purview Information Protection Gunakan Microsoft Purview Information Protection untuk mengklasifikasikan data, berdasarkan jenis informasi sensitif, dan oleh pengklasifikasi yang dilatih oleh pembelajaran mesin (ML). Lihat panduan Microsoft di 4.3.5. Azure Machine Learning Azure Machine Learning dan Azure OpenAI Service menggunakan Azure Storage dan Azure Compute services yang mengenkripsi data. - Data - Enkripsi Azure OpenAI untuk data diam Akses Bersyarat Tetapkan konteks autentikasi dengan sinyal risiko Perlindungan Identitas. Memerlukan konteks autentikasi untuk situs SharePoint berlabel dan aplikasi kustom. - Konteks autentikasi Lihat panduan Microsoft di 4.4.5.

4.6 Pencegahan kehilangan data (DLP)

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.6.1 Menerapkan Titik Penegakan Solusi pencegahan kehilangan data (DLP) disebarkan ke titik penegakan kebijakan dalam cakupan. Solusi DLP diatur ke mode "hanya monitor" dan/atau "pembelajaran" untuk membatasi dampak. Hasil solusi DLP dianalisis, dan kebijakan disempurnakan untuk mengelola risiko ke tingkat yang dapat diterima. Hasil: - Titik penegakan yang diidentifikasi memiliki alat DLP yang disebarkan dan diatur ke mode pemantauan dengan pengelogan standar	Microsoft Purview Pencegahan Kehilangan Data Aplikasi Microsoft 365 dan endpoint Windows menerapkan kebijakan DLP. Konfigurasikan kebijakan dalam mode simulasi DLP. - Rencanakan untuk DLP - mode simulasi DLP Buat kebijakan di DLP. Atur status kebijakan ke pengujian atau uji coba dengan tips kebijakan. Atur tindakan kebijakan ke Audit saja atau Blokir dengan penggantian.Penerapan kebijakan DLPOnboard perangkat Windows 10, 11, dan macOS ke Endpoint Perlindungan Kehilangan Data (Endpoint DLP)Endpoint DLP Terapkan pemindai Microsoft Purview Information Protection. Memberi label dan menegakkan kebijakan DLP untuk konten dalam database SQL lokal, berbagi file, penyimpanan terlampir jaringan (NAS), dan pustaka dokumen SharePoint Server. - DLP repositori lokal - Pemindai Perlindungan Informasi Microsoft Purview Perlindungan Kehilangan Data Integrasikan Microsoft Purview Perlindungan Informasi dengan Defender untuk Cloud Apps untuk menerapkan label sensitivitas secara otomatis, menegakkan kebijakan enkripsi, dan mencegah kehilangan data. Lihat panduan Microsoft pada 4.3.4. Akses Bersyarat Kontrol akses ke Office 365 dan aplikasi lainnya yang terintegrasi dengan Microsoft Entra. Gunakan mode hanya laporan untuk memantau hasil sebelum Anda mengaktifkan kebijakan dengan kontrol pemberian akses blokir. - Bangun kebijakan - Mode hanya laporan - Kebijakan sesi: pantau semua
`Target` 4.6.2 Penerapan DLP melalui Tag Data dan Analitik Pt1 Solusi pencegahan kehilangan data (DLP) diperbarui dari mode hanya monitor ke mode pencegahan. Tag data dasar digunakan untuk solusi DLP dan skema pengelogan terintegrasi. Hasil: - Titik Penegakan yang akan diatur untuk mencegah mode mengintegrasikan skema pengelogan dan klasifikasi lingkungan tag manual.	Microsoft Purview Pencegahan Kehilangan Data Buat kebijakan DLP dalam mode pengujian. Ubah status menjadi Aktif untuk mengaktifkan mode Penegakan. Jika Anda menetapkan tindakan kebijakan ke Block, aktivitas pengguna yang memicu DLP dicegah oleh kebijakan. - Tindakan dalam kebijakan DLP Aktifkan perlindungan just-in-time (JIT) untuk memberlakukan DLP Endpoint untuk file yang dibuat di perangkat offline. - Perangkat offline Microsoft Defender for Cloud Apps Aktifkan inspeksi konten di Defender for Cloud Apps. - Inspeksi konten DLP Conditional Access Setelah pengujian, aktifkan kebijakan Akses Bersyarat yang menerapkan kontrol sesi, atau gunakan kontrol pemberian akses blok. Untuk menghindari terkuncinya penyewa, kecualikan akun akses darurat. Akun akses darurat. Lihat panduan Microsoft pada bagian 4.6.1.
`Advanced` 4.6.3 Pemberlakuan DLP melalui Tag Data dan Analitik Pt2 Solusi pencegahan kehilangan data (DLP) diperbarui untuk menyertakan tag data yang diperluas berdasarkan aktivitas Automation paralel. Hasil: - Titik penegakan telah memperluas atribut tag data yang diterapkan untuk pencegahan tambahan	Microsoft Purview Information Protection Define jenis informasi sensitif kustom. Membuat label dan kebijakan pencegahan kehilangan data. Lihat Panduan Microsoft di 4.1.1.
`Advanced` 4.6.4 Pemberlakuan DLP melalui Tag Data dan Analitik Pt3 Solusi pencegahan kehilangan data (DLP) terintegrasi dengan teknik pemberian tag data otomatis untuk menyertakan titik penegakan dan tag yang hilang. Hasil: - Atribut pemberian tag otomatis terintegrasi dengan DLP dan metrik yang dihasilkan digunakan untuk ML	Microsoft Purview Information ProtectionGunakan Microsoft Purview Information Protection untuk mengklasifikasikan data, berdasarkan jenis informasi sensitif dan pengklasifikator yang dilatih menggunakan machine learning (ML).Lihat panduan Microsoft di 4.3.5.

4.7 Kontrol akses data

layanan Microsoft 365 dan Azure Storage terintegrasi dengan Microsoft Entra ID untuk otorisasi berbasis identitas. Microsoft Entra ID mendukung kontrol akses berbasis peran (RBAC) dan kontrol akses berbasis atribut (ABAC).

Microsoft Entra peran dan kelompok keamanan menyediakan kontrol akses berbasis peran organisasi. Grup keamanan dinamis menggunakan atribut yang ditentukan pada objek pengguna, grup, dan perangkat untuk menentukan keanggotaan, berdasarkan ekspresi kaya dan seperangkat aturan.

Microsoft Entra ID kontrol akses berbasis atribut menggunakan atribut keamanan kustom, yang merupakan atribut khusus bisnis yang dapat Anda tentukan dan tetapkan ke objek Microsoft Entra. Atribut keamanan kustom menyimpan informasi sensitif. Akses untuk melihat, atau memodifikasi, atribut keamanan kustom dibatasi untuk peran Administrator Atribut.

Deskripsi dan Hasil Aktivitas DoD	Panduan dan rekomendasi Microsoft
`Target` 4.7.1 Mengintegrasikan Akses DAAS dengan Kebijakan SDS Bagian 1 Memanfaatkan kebijakan SDS dari perusahaan DoD, kebijakan DAAS organisasi dikembangkan dengan mempertimbangkan integrasi yang dimaksudkan. Panduan implementasi SDS dikembangkan oleh organisasi DoD karena sifat khusus lingkungan. Hasil: - Kebijakan DAAS terperinci berbasis atribut dikembangkan dengan dukungan tingkat perusahaan dan tingkat organisasi - Rencana Integrasi SDS dikembangkan untuk mendukung kebijakan DAAS	Microsoft Entra ID Menerapkan kebijakan data, aset, aplikasi, dan layanan (DAAS) berbasis atribut dengan Microsoft Entra ID dengan mekanisme seperti kontrol akses berbasis atribut Azure (Azure ABAC), pemfilteran atribut keamanan kustom untuk aplikasi, dan grup keamanan dinamis. - Kontrol berbasis atribut Atribut keamanan kustom Tentukan atribut keamanan kustom dan tetapkan nilai kepada pengguna. Konfigurasikan kondisi penetapan peran untuk Azure ABAC, untuk peran Azure. Saat ini, fitur ini dalam pratinjau untuk Azure Storage account permissions. - Azure ABAC - Kelola akses ke atribut keamanan kustom - Manage atribut dengan delegasi Gunakan atribut keamanan kustom untuk otorisasi aplikasi dinamis yang halus. Tetapkan atribut keamanan kustom dan gunakan filter atribut (pratinjau) untuk aplikasi dalam kebijakan Akses Bersyar Kondisional. - Kelola atribut keamanan kustom aplikasi Grup keamanan dinamis Menggunakan grup keamanan dinamis untuk menetapkan akses ke sumber daya yang mendukung grup Microsoft Entra ID untuk memberikan izin. Ini termasuk kelompok peran Microsoft 365, peran aplikasi untuk aplikasi Microsoft Entra ID, peran Azure, dan penugasan aplikasi. Kebijakan Akses Bersyarat menggunakan grup dinamis dan menerapkan tingkat otorisasi untuk pengguna dengan berbagai nilai atribut. - Aturan keanggotaan grup dinamis - Mengeluarkan klaim dari kondisi
`Advanced` 4.7.2 Mengintegrasikan DAAS Access dengan Kebijakan SDS Pt2 Organisasi DoD menerapkan kebijakan DAAS secara otomatis. Hasil: - Kebijakan DAAS berbasis atribut halus yang diterapkan secara otomatis	Microsoft Graph API Otomatiskan konfigurasi kebijakan Akses Bersyarat, atribut keamanan khusus, grup keamanan dinamis, dan fitur lain dari Microsoft Entra ID menggunakan Microsoft Graph API.
`Advanced` 4.7.3 Mengintegrasikan DAAS Access dgn Kebijakan SDS Pt3 Teknologi dan/atau fungsionalitas SDS yang baru diterapkan diintegrasikan dengan kebijakan DAAS secara berbasis risiko. Pendekatan bertahap harus diambil selama implementasi untuk mengukur hasil dan menyesuaikannya. Hasil: - SDS terintegrasi dengan fungsionalitas kebijakan DAAS- Semua data di semua aplikasi dilindungi dengan kebijakan DAAS terperindas berbasis atribut.	Microsoft Defender for Cloud Apps Integrasikan Microsoft Purview dan Defender for Cloud Apps. Buat Kebijakan File untuk menerapkan proses otomatis menggunakan API penyedia cloud. - Integrasikan Perlindungan Informasi - Kebijakan File
`Target` 4.7.4 Mengintegrasikan Solusi dan Kebijakan dengan Enterprise IDP Pt1 DoD Organizations mengembangkan rencana integrasi menggunakan kebijakan dan teknologi/fungsionalitas SDS dengan solusi Penyedia Identitas perusahaan (IdP). Hasil: - Rencana integrasi antara SDS dan Penyedia Identitas otoritatif dikembangkan untuk mendukung akses DAAS yang ada	Microsoft Entra ID Microsoft 365 layanan penyimpanan seperti SharePoint Online dan OneDrive for Business terintegrasi dengan Microsoft Entra ID. Konfigurasikan layanan Azure Storage untuk integrasi dengan Microsoft Entra ID untuk otorisasi permintaan berbasis identitas ke Layanan Blob, File, Antrean, dan Tabel. - Microsoft Entra ID - Authorize Azure Storage Di galeri aplikasi, integrasikan lebih banyak solusi penyimpanan yang ditentukan perangkat lunak (SDS) dengan Microsoft Entra ID. - Galeri aplikasi
`Advanced` 4.7.5 Mengintegrasikan Solusi dan Kebijakan dengan Enterprise IDP Pt2 Teknologi dan/atau fungsionalitas SDS yang baru diimplementasikan terintegrasi dengan Enterprise Identity Provider (IdP) setelah rencana integrasi. Atribut identitas yang diperlukan untuk memenuhi fungsionalitas Target ZT diperlukan untuk integrasi. Hasil: - Integrasi lengkap dengan alat IDP dan SDS Perusahaan untuk mendukung semua akses DAAS terperindas berbasis atribut	Selesaikan aktivitas 4.7.1 dan 4.7.4.
`Advanced` 4.7.6 Menerapkan Alat SDS dan/atau berintegrasi dengan Alat DRM Pt1 Bergantung pada kebutuhan akan alat Penyimpanan yang Ditentukan Perangkat Lunak, solusi baru diterapkan atau solusi yang ada diidentifikasi memenuhi persyaratan fungsionalitas untuk diintegrasikan dengan solusi DLP, DRM/Protection, dan ML. Hasil: - Jika alat diperlukan, pastikan ada integrasi yang didukung dengan alat DLP, DRM, dan ML	fitur Microsoft Purview Microsoft Purview Information Protection digital rights management (DRM) dan Microsoft Purview Data Loss Prevention (DLP) terintegrasi secara langsung dengan klien Office dan layanan Microsoft 365. Integrasi bawaan dan tidak memerlukan deployment tambahan. - Gambaran umum Purview Menggunakan Microsoft Information Protection SDK (MIP SDK) untuk membuat alat kustom untuk menerapkan label dan perlindungan ke file. Lihat panduan Microsoft di 4.4.2.
`Advanced` 4.7.7 Menerapkan Alat SDS dan/atau integrasi dengan Alat DRM Pt2 Organisasi DoD mengonfigurasi fungsionalitas dan/atau solusi SDS untuk diintegrasikan dengan infrastruktur DLP dan DRM/Perlindungan yang sesuai. Integrasi tingkat bawah memungkinkan perlindungan dan respons yang lebih efektif. Hasil: - Mengintegrasikan infrastruktur SDS dengan infrastruktur DLP dan DRM yang ada	Microsoft 365 dan Microsoft Purview Microsoft Purview melindungi konten Microsoft 365 dengan pencegahan kehilangan data (DLP) dan manajemen hak data (DRM) tanpa memerlukan lebih banyak infrastruktur. - Lindungi data sensitif

Langkah berikutnya

Konfigurasikan layanan cloud Microsoft untuk Strategi Zero Trust DoD:

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2026-03-06