Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menyediakan rencana penyebaran untuk membangun keamanan Zero Trust dengan Microsoft 365. Zero Trust adalah model keamanan yang mengasumsikan pelanggaran dan memverifikasi setiap permintaan seolah-olah berasal dari jaringan yang tidak terkontrol. Terlepas dari mana permintaan berasal atau sumber daya apa yang diaksesnya, model Zero Trust mengajarkan kita untuk "jangan pernah percaya, selalu verifikasi."
Gunakan artikel ini bersama dengan poster ini.
Prinsip dan arsitektur Zero Trust
Zero Trust adalah strategi keamanan. Ini bukan produk atau layanan, tetapi pendekatan dalam merancang dan menerapkan serangkaian prinsip keamanan berikut.
| Prinsip | Deskripsi |
|---|---|
| Verifikasi secara eksplisit | Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. |
| Gunakan akses hak istimewa paling sedikit | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. |
| Asumsikan pelanggaran | Memperkecil radius ledakan dan membagi akses. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. |
Panduan dalam artikel ini membantu Anda menerapkan prinsip-prinsip ini dengan menerapkan kemampuan dengan Microsoft 365.
Pendekatan Zero Trust meluas ke seluruh kawasan digital dan berfungsi sebagai filosofi keamanan terintegrasi dan strategi end-to-end.
Ilustrasi ini memberikan representasi elemen utama yang berkontribusi pada Zero Trust.
Dalam ilustrasi:
- Penegakan kebijakan keamanan berada di pusat arsitektur Zero Trust. Ini termasuk autentikasi multifaktor dengan Akses Bersyarat yang memperhitungkan risiko akun pengguna, status perangkat, serta kriteria dan kebijakan lain yang Anda tetapkan.
- Identitas, perangkat, data, aplikasi, jaringan, dan komponen infrastruktur lainnya semuanya dikonfigurasi dengan keamanan yang sesuai. Kebijakan yang dikonfigurasi untuk setiap komponen ini dikoordinasikan dengan strategi Zero Trust Anda secara keseluruhan. Misalnya, kebijakan perangkat menentukan kriteria untuk perangkat yang sehat dan kebijakan Akses Bersyarat memerlukan perangkat yang sehat untuk akses ke aplikasi dan data tertentu.
- Perlindungan ancaman dan inteligensi memantau lingkungan, memunculkan risiko saat ini, dan mengambil tindakan otomatis untuk memulihkan serangan.
Untuk informasi selengkapnya tentang Zero Trust, lihat Pusat Panduan Zero Trust Microsoft.
Menyebarkan Zero Trust untuk Microsoft 365
Microsoft 365 dibangun dengan sengaja dengan banyak kemampuan perlindungan keamanan dan informasi untuk membantu Anda membangun Zero Trust ke lingkungan Anda. Banyak kemampuan dapat diperluas untuk melindungi akses ke aplikasi SaaS lain yang digunakan organisasi Anda dan data dalam aplikasi ini.
Ilustrasi ini mewakili pekerjaan penyebaran kemampuan Zero Trust. Pekerjaan ini selaras dengan skenario bisnis Zero Trust dalam kerangka kerja adopsi Zero Trust.
Dalam ilustrasi ini, pekerjaan penyebaran dikategorikan ke dalam lima jalur renang:
- Pekerjaan jarak jauh dan hibrid yang aman — Pekerjaan ini membangun fondasi perlindungan identitas dan perangkat.
- Mencegah atau mengurangi kerusakan bisnis dari pelanggaran — Perlindungan ancaman memberikan pemantauan real time dan remediasi ancaman keamanan. Defender for Cloud Apps menyediakan penemuan aplikasi SaaS, termasuk aplikasi AI, dan memungkinkan Anda memperluas perlindungan data ke aplikasi ini.
- Identifikasi dan lindungi data bisnis sensitif — Kemampuan perlindungan data memberikan kontrol canggih yang ditargetkan pada jenis data tertentu untuk melindungi informasi Anda yang paling berharga.
- Mengamankan aplikasi dan data AI — Lindungi dengan cepat penggunaan aplikasi AI organisasi Anda dan data yang berinteraksi dengannya.
- Penuhi persyaratan peraturan dan kepatuhan — Pahami dan lacak kemajuan Anda untuk mematuhi peraturan yang memengaruhi organisasi Anda.
Artikel ini mengasumsikan Anda menggunakan identitas cloud. Jika Anda memerlukan panduan untuk tujuan ini, lihat Menyebarkan infrastruktur identitas Anda untuk Microsoft 365.
Petunjuk / Saran
Saat memahami langkah-langkah dan proses penyebaran menyeluruh, Anda dapat menggunakan panduan penyebaran tingkat lanjut Menyiapkan model keamanan Microsoft Zero Trust saat masuk ke pusat admin Microsoft 365. Panduan ini memandu Anda menerapkan prinsip Zero Trust untuk pilar teknologi standar dan canggih. Untuk menelusuri panduan tanpa masuk, buka portal Penyiapan Microsoft 365.
Jalur berenang 1 — Mengamankan pekerjaan jarak jauh dan hibrid
Mengamankan pekerjaan jarak jauh dan hibrid melibatkan konfigurasi identitas dan perlindungan akses perangkat. Perlindungan ini berkontribusi pada prinsip Zero Trust dengan verifikasi yang eksplisit.
Menyelesaikan tugas untuk keamanan pekerjaan jarak jauh dan hibrid dalam tiga fase.
Fase 1 — Menerapkan identitas titik awal dan kebijakan akses perangkat
Microsoft merekomendasikan serangkaian kebijakan akses identitas dan perangkat yang komprehensif untuk Zero Trust dalam panduan ini — Identitas Zero Trust dan konfigurasi akses perangkat.
Pada fase 1, mulailah dengan menerapkan tingkat titik awal. Kebijakan ini tidak memerlukan pendaftaran perangkat ke dalam manajemen.
Buka Identitas Zero Trust dan perlindungan akses perangkat untuk panduan preskriptif terperinci. Serangkaian artikel ini menjelaskan serangkaian konfigurasi prasyarat akses identitas dan perangkat dan serangkaian Akses Bersyarat Microsoft Entra, Microsoft Intune, dan kebijakan lainnya untuk mengamankan akses ke aplikasi dan layanan cloud Microsoft 365 untuk perusahaan, layanan SaaS lainnya, dan aplikasi lokal yang diterbitkan dengan proksi aplikasi Microsoft Entra.
| Termasuk | Prasyarat | Tidak termasuk |
|---|---|---|
Kebijakan akses identitas dan perangkat yang direkomendasikan untuk tiga tingkat perlindungan:
Rekomendasi tambahan untuk:
|
Microsoft E3 atau E5 Microsoft Entra ID dalam salah satu mode berikut:
|
Pendaftaran perangkat untuk kebijakan yang memerlukan perangkat yang dikelola. Lihat Mengelola perangkat dengan Intune untuk mendaftarkan perangkat. |
Fase 2 — Mendaftarkan perangkat ke manajemen dengan Intune
Selanjutnya, daftarkan perangkat Anda ke manajemen dan mulai lindungi dengan kontrol yang lebih canggih.
Lihat Mengelola perangkat dengan Intune untuk panduan preskriptif terperinci tentang mendaftarkan perangkat ke manajemen.
| Termasuk | Prasyarat | Tidak termasuk |
|---|---|---|
Mendaftarkan perangkat dengan Intune:
Mengonfigurasi kebijakan:
|
Mendaftarkan endpoint dengan Microsoft Entra ID | Mengonfigurasi kemampuan perlindungan informasi, termasuk:
Untuk kemampuan ini, lihat Jalur berenang 3 — Mengidentifikasi dan melindungi data bisnis sensitif (nanti di artikel ini). |
Untuk informasi selengkapnya, lihat Zero Trust untuk Microsoft Intune.
Fase 3 — Tambahkan identitas Zero Trust dan perlindungan akses perangkat: Kebijakan perusahaan
Dengan perangkat yang terdaftar dalam manajemen, Anda sekarang dapat menerapkan serangkaian lengkap identitas Zero Trust yang direkomendasikan dan kebijakan akses perangkat, yang memerlukan perangkat yang sesuai.
Kembali ke Identitas umum dan kebijakan akses perangkat dan tambahkan kebijakan di tingkat Perusahaan.
Baca selengkapnya tentang cara mengamankan pekerjaan jarak jauh dan hibrid dalam kerangka kerja adopsi Zero Trust — Mengamankan pekerjaan jarak jauh dan hibrid.
Jalur berenang 2 — Mencegah atau mengurangi kerusakan bisnis dari pelanggaran
Microsoft Defender XDR adalah solusi deteksi dan respons yang diperluas (XDR) yang secara otomatis mengumpulkan, menghubungkan, dan menganalisis data sinyal, ancaman, dan pemberitahuan dari seluruh lingkungan Microsoft 365 Anda, termasuk titik akhir, email, aplikasi, dan identitas. Selain itu, Microsoft Defender for Cloud Apps membantu organisasi mengidentifikasi dan mengelola akses ke aplikasi SaaS, termasuk aplikasi GenAI.
Mencegah atau mengurangi kerusakan bisnis dari pelanggaran dengan menguji coba dan menyebarkan Microsoft Defender XDR.
Buka Pilot dan sebarkan Microsoft Defender XDR untuk panduan metodis untuk menguji coba dan menyebarkan komponen Microsoft Defender XDR.
| Termasuk | Prasyarat | Tidak termasuk |
|---|---|---|
Siapkan lingkungan evaluasi dan pilot untuk semua komponen:
Melindungi dari ancaman Menyelidiki dan menanggapi ancaman |
Lihat panduan untuk membaca tentang persyaratan arsitektur untuk setiap komponen Microsoft Defender XDR. | Microsoft Entra ID Protection tidak disertakan dalam panduan solusi ini. Ini termasuk dalam Jalur berenang 1 — Pekerjaan jarak jauh dan hibrid yang aman. |
Baca selengkapnya tentang cara mencegah atau mengurangi kerusakan bisnis dari pelanggaran dalam kerangka kerja adopsi Zero Trust — Mencegah atau mengurangi kerusakan bisnis dari pelanggaran.
Jalur berenang 3 — Mengidentifikasi dan melindungi data bisnis sensitif
Terapkan Perlindungan Informasi Microsoft Purview untuk membantu Anda menemukan, mengklasifikasikan, dan melindungi informasi sensitif di mana pun berada atau bepergian.
Kemampuan Perlindungan Informasi Microsoft Purview disertakan dengan Microsoft Purview dan memberi Anda alat untuk mengetahui data Anda, melindungi data Anda, dan mencegah kehilangan data. Anda dapat memulai pekerjaan ini kapan saja.
Perlindungan Informasi Microsoft Purview menyediakan kerangka kerja, proses, dan kemampuan yang dapat Anda gunakan untuk mencapai tujuan bisnis spesifik Anda.
Untuk informasi selengkapnya tentang cara merencanakan dan menyebarkan perlindungan informasi, lihat Menyebarkan solusi Perlindungan Informasi Microsoft Purview.
Baca selengkapnya tentang cara mengidentifikasi dan melindungi data bisnis sensitif dalam kerangka kerja adopsi Zero Trust — Identifikasi dan lindungi data bisnis sensitif.
Jalur berenang 4 — Mengamankan aplikasi dan data AI
Microsoft 365 menyertakan kemampuan untuk membantu organisasi mengamankan aplikasi AI dengan cepat dan data yang digunakan ini.
Mulailah dengan menggunakan Purview Data Security Posture Management (DSPM) untuk AI. Alat ini berfokus pada bagaimana AI digunakan di organisasi Anda, terutama data sensitif Anda yang berinteraksi dengan alat AI. DSPM untuk AI memberikan wawasan yang lebih mendalam untuk Microsoft Copilots dan aplikasi SaaS pihak ketiga seperti ChatGPT Enterprise dan Google Gemini.
Diagram berikut menunjukkan salah satu tampilan agregat ke dalam dampak penggunaan AI pada data Anda—Interaksi sensitif per aplikasi AI generatif.
Gunakan DSPM untuk AI:
- Dapatkan visibilitas ke dalam penggunaan AI, termasuk data sensitif.
- Tinjau penilaian data untuk mempelajari tentang celah dalam pembagian berlebih yang dapat dimitigasi dengan kontrol oversharing SharePoint.
- Temukan celah dalam cakupan kebijakan Anda untuk label sensitivitas dan kebijakan pencegahan kehilangan data (DLP).
Defender for Cloud Apps adalah alat canggih lainnya untuk menemukan dan mengatur aplikasi dan penggunaan SaaS GenAI. Defender for Cloud Apps mencakup lebih dari seribu aplikasi terkait AI generatif dalam katalog, memberikan visibilitas tentang bagaimana aplikasi AI generatif digunakan di organisasi Anda dan membantu Anda mengelolanya dengan aman.
Selain alat-alat ini, Microsoft 365 menyediakan serangkaian kemampuan komprehensif untuk mengamankan dan mengatur AI. Lihat Menemukan, melindungi, dan mengatur aplikasi dan data AI untuk mempelajari cara memulai kemampuan ini.
Tabel berikut ini mencantumkan kemampuan Microsoft 365 dengan tautan ke informasi selengkapnya di pustaka Keamanan untuk AI.
Jalur berenang 5 - Memenuhi persyaratan peraturan dan kepatuhan
Terlepas dari kompleksitas lingkungan TI organisasi Anda atau ukuran organisasi Anda, persyaratan peraturan baru yang mungkin memengaruhi bisnis Anda terus bertambah. Pendekatan Zero Trust sering melebihi beberapa jenis persyaratan yang diberlakukan oleh peraturan kepatuhan, misalnya, yang mengontrol akses ke data pribadi. Organisasi yang telah menerapkan pendekatan Zero Trust mungkin menemukan bahwa mereka sudah memenuhi beberapa kondisi baru atau dapat dengan mudah membangun arsitektur Zero Trust mereka agar sesuai.
Microsoft 365 mencakup kemampuan untuk membantu kepatuhan terhadap peraturan, termasuk:
- Manajer Kepatuhan
- Penjelajah konten
- Kebijakan retensi, label sensitivitas, dan kebijakan DLP
- Kepatuhan komunikasi
- Manajemen siklus hidup data
- Manajemen Risiko Privasi Priva
Gunakan sumber daya berikut untuk memenuhi persyaratan peraturan dan kepatuhan.
| Sumber Daya | Informasi selengkapnya |
|---|---|
| Kerangka kerja adopsi Zero Trust — Memenuhi persyaratan peraturan dan kepatuhan | Menjelaskan pendekatan metodis yang dapat diikuti organisasi Anda, termasuk menentukan strategi, perencanaan, adopsi, dan tata kelola. |
| Mengatur aplikasi dan data AI untuk kepatuhan terhadap peraturan | Mengatasi kepatuhan terhadap peraturan untuk peraturan terkait AI yang sedang berkembang, termasuk kemampuan khusus yang dapat membantu. |
| Mengelola privasi data dan perlindungan data dengan Microsoft Priva dan Microsoft Purview | Menilai risiko dan mengambil tindakan yang tepat untuk melindungi data pribadi di lingkungan organisasi Anda menggunakan Microsoft Priva dan Microsoft Purview. |
Langkah selanjutnya
Pelajari selengkapnya tentang Zero Trust dengan mengunjungi pusat panduan Zero Trust.