Proteggere i dati con Zero Trust

Background

Zero Trust è una strategia di sicurezza usata per progettare i principi di sicurezza per l'organizzazione. Zero Trust consente di proteggere le risorse aziendali implementando i principi di sicurezza seguenti:

• Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.

• Usare l'accesso con privilegi minimi. Limita l'accesso degli utenti con JIT (Just-In-Time) e JEA (Just-Enough-Access), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.

• Presupporre le violazioni. Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Microsoft Purview propone cinque elementi principali per una strategia di difesa dei dati avanzata e un'implementazione Zero Trust per i dati:

1. Classificazione ed etichettatura dei dati
   Se non si conoscono i dati sensibili presenti in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. Individuare e rilevare i dati nell'intera organizzazione e classificarli in base al livello di riservatezza.

2. Protezione delle informazioni
   L'accesso condizionale e con privilegi minimi ai dati sensibili riduce i rischi per la sicurezza dei dati. Applicare protezioni di controllo degli accessi in base alla riservatezza, gestione dei diritti e crittografia in cui i controlli ambientali non sono sufficienti. Usare i contrassegni di riservatezza delle informazioni per aumentare la consapevolezza e la conformità dei criteri di sicurezza.

3. Prevenzione della perdita dei dati
   Il controllo di accesso risolve solo parte del problema. Il controllo e il controllo di attività e movimenti di dati rischiosi che possono causare un evento imprevisto di sicurezza o conformità dei dati consente alle organizzazioni di impedire l'oversharing dei dati sensibili.

4. Gestione dei rischi Insider
   L'accesso ai dati potrebbe non sempre fornire l'intera storia. Ridurre al minimo i rischi per i dati abilitando il rilevamento comportamentale da un'ampia gamma di segnali e agendo su attività potenzialmente dannose e accidentali nell'organizzazione che potrebbero essere precursori o un'indicazione di una violazione dei dati.

5. Governance dei dati
   La gestione proattiva del ciclo di vita dei dati sensibili riduce l'esposizione. Limitare il numero di copie o propagazione di dati sensibili ed eliminare dati non più necessari per ridurre al minimo i rischi di violazione dei dati.

Obiettivi della distribuzione Zero Trust per i dati

È consigliabile concentrarsi su questi obiettivi di distribuzione iniziale quando si implementa un framework Zero Trust end-to-end per i dati:
	I.Classify e etichettare i dati. Classificare e etichettare automaticamente i dati laddove possibile. Applicare manualmente la posizione in cui non è. II.Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto. Applicare la crittografia in cui la protezione e il controllo di accesso non sono sufficienti. III.Controllare l'accesso ai dati. Controllare l'accesso ai dati sensibili in modo che siano protetti meglio.
Man mano che si procede al raggiungimento degli obiettivi precedenti, aggiungere questi obiettivi di distribuzione aggiuntivi:
	IV.Evitare perdite di dati. Usare criteri di prevenzione della perdita dei dati basati su segnali rischiosi e riservatezza dei dati. V.Gestire i rischi. Gestire i rischi che possono causare un evento imprevisto di sicurezza dei dati controllando le attività utente correlate alla sicurezza rischiose e i modelli di attività dei dati che possono causare un evento imprevisto di sicurezza o conformità dei dati. VI.Ridurre l'esposizione dei dati. Ridurre l'esposizione dei dati tramite la governance dei dati e ridurre al minimo i dati continui

Guida alla distribuzione Zero Trust per i dati

Questa guida illustra in dettaglio un approccio zero trust alla protezione dei dati. Tenere presente che questi elementi variano notevolmente a seconda della riservatezza delle informazioni e delle dimensioni e della complessità dell'organizzazione.

Come precursore di qualsiasi implementazione della sicurezza dei dati, Microsoft consiglia di creare un framework di classificazione dei dati e una tassonomia delle etichette di riservatezza che definisce categorie di alto livello di rischio per la sicurezza dei dati. Tale tassonomia verrà usata per semplificare tutto, dall'inventario dei dati o dalle informazioni dettagliate sulle attività, alla gestione dei criteri per l'analisi delle priorità.

Per altre informazioni, vedi:

• Creare un framework di classificazione dei dati ben progettato

Obiettivi iniziali della distribuzione

I. Classificare, etichettare e individuare dati sensibili

Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione.

Le classificazioni e le etichette di riservatezza consentono di comprendere dove si trovano i dati sensibili, come vengono spostati e implementare controlli di accesso e utilizzo appropriati coerenti con i principi zero trust:

• Usare la classificazione e l'etichettatura automatizzate per rilevare informazioni riservate e ridimensionare l'individuazione nel patrimonio di dati.

• Usare l'etichettatura manuale per documenti e contenitori e curare manualmente i set di dati usati nell'analisi in cui la classificazione e la riservatezza sono meglio stabilite dagli utenti esperti.

Seguire questa procedura:

• Informazioni sui tipi di informazioni sensibili

• Informazioni sui classificatori sottoponibili a training

• Informazioni sulle etichette di riservatezza

Dopo aver configurato e testato la classificazione e l'etichettatura, aumentare l'individuazione dei dati nell'insieme di dati.

Seguire questa procedura per estendere l'individuazione oltre i servizi di Microsoft 365:

• Introduzione allo scanner locale di Microsoft Purview

• Individuare e proteggere le informazioni riservate nelle applicazioni SaaS

• Informazioni sulle analisi e l'inserimento nel portale di governance di Microsoft Purview

Durante l'individuazione, la classificazione e l'etichetta dei dati, usare tali informazioni dettagliate per correggere i rischi e informare le iniziative di gestione dei criteri.

Seguire questa procedura:

• Introduzione a Esplora contenuto

• Esaminare l'attività di etichettatura con Esplora attività

• Informazioni su Data Insights

II. Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto

Semplificare l'implementazione dei privilegi minimi usando le etichette di riservatezza per proteggere i dati più sensibili con la crittografia e il controllo di accesso. Usare i contrassegni di contenuto per migliorare la consapevolezza e la tracciabilità degli utenti.

Proteggere documenti e messaggi di posta elettronica

Microsoft Purview Information Protection consente di controllare l'accesso e l'utilizzo in base alle etichette di riservatezza o alle autorizzazioni definite dall'utente per documenti e messaggi di posta elettronica. Può anche applicare contrassegni e crittografare le informazioni che risiedono in o passano a ambienti di attendibilità inferiori interni o esterni all'organizzazione. Fornisce protezione inattivi, in movimento e in uso per applicazioni con riconoscimento dei dati aziendali.

Seguire questa procedura:

• Esaminare le opzioni di crittografia in Microsoft 365
• Limitare l'accesso al contenuto e all'utilizzo usando le etichette di riservatezza

Proteggere i documenti in Exchange, SharePoint e OneDrive

Per i dati archiviati in Exchange, SharePoint e OneDrive, la classificazione automatica con etichette di riservatezza può essere distribuita tramite criteri in percorsi di destinazione per limitare l'accesso e gestire la crittografia in uscita autorizzata.

Eseguire questo passaggio:

• Configurare i criteri di etichettatura automatica per SharePoint, OneDrive ed Exchange.

III. Controllare l'accesso ai dati

Fornire l'accesso ai dati sensibili deve essere controllato in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.

Controllare l'accesso e la condivisione dei dati in Teams, Gruppi di Microsoft 365 e siti di SharePoint

Usare le etichette di riservatezza dei contenitori per implementare restrizioni di accesso condizionale e condivisione ai siti di Microsoft Teams, Gruppi di Microsoft 365 o SharePoint.

Eseguire questo passaggio:

• Usare le etichette di riservatezza con Microsoft Teams, Gruppi di Microsoft 365 e siti di SharePoint

Controllare l'accesso ai dati nelle applicazioni SaaS

Microsoft Defender per il cloud Apps offre funzionalità aggiuntive per l'accesso condizionale e la gestione di file sensibili in ambienti di Microsoft 365 e di terze parti, ad esempio Box o Google Workspace, tra cui:

• Rimozione delle autorizzazioni per gestire privilegi eccessivi e impedire la perdita di dati.

• Quarantena dei file da rivedere.

• Applicazione di etichette ai file sensibili.

Seguire questa procedura:

• Integrare Microsoft Purview Information Protection

Suggerimento

Vedere Integrare app SaaS per Zero Trust con Microsoft 365 per informazioni su come applicare i principi Zero Trust per gestire il digital estate delle app cloud.

Controllare l'accesso a nell'archiviazione IaaS/PaaS

Distribuire i criteri di controllo di accesso obbligatori nelle risorse IaaS/PaaS che contengono dati sensibili.

Eseguire questo passaggio:

• Informazioni sui criteri di Microsoft Purview DevOps

IV. Prevenzione della perdita dei dati

Il controllo dell'accesso ai dati è necessario, ma insufficiente nell'esercitare il controllo sullo spostamento dei dati e prevenire perdite o perdite di dati accidentali o non autorizzate. Questo è il ruolo della prevenzione della perdita dei dati e della gestione dei rischi Insider, descritta nella sezione IV.

Usare i criteri di prevenzione della perdita dei dati di Microsoft Purview per identificare, controllare e proteggere automaticamente i dati sensibili tra:

• Servizi di Microsoft 365 come Teams, Exchange, SharePoint e OneDrive

• Applicazioni di Office come Word, Excel e PowerPoint

• Endpoint di Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)

• Condivisioni file locali e SharePoint locale

• app cloud non Microsoft.

Seguire questa procedura:

• Pianificare la prevenzione della perdita dei dati

• Creare, testare e ottimizzare i criteri di prevenzione della perdita dei dati

• Informazioni sul dashboard avvisi di prevenzione della perdita dei dati

• Esaminare l'attività dei dati con Esplora attività

V. Gestire i rischi Insider

Le implementazioni dei privilegi minimi consentono di ridurre al minimo i rischi noti, ma è anche importante correlare segnali comportamentali utente correlati alla sicurezza aggiuntivi, controllare i modelli di accesso ai dati sensibili e a funzionalità di rilevamento, analisi e ricerca generali.

Prova ad eseguire questi passaggi:

• Informazioni sulla gestione dei rischi Insider

• Analizzare le attività di gestione dei rischi Insider

VI. Eliminare informazioni riservate non necessarie

Le organizzazioni possono ridurre l'esposizione dei dati gestendo il ciclo di vita dei dati sensibili.

Rimuovere tutti i privilegi in cui è possibile eliminare i dati sensibili quando non è più prezioso o consentito per l'organizzazione.

Eseguire questo passaggio:

• Implementare la gestione del ciclo di vita dei dati e la gestione dei record

Ridurre al minimo la duplicazione dei dati sensibili favorendo la condivisione sul posto e l'uso anziché i trasferimenti di dati.

Eseguire questo passaggio:

• Informazioni sulla condivisione dei dati sul posto con Microsoft Purview

Prodotti trattati in questa guida

Microsoft Purview

Microsoft Defender for Cloud Apps

Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success.

Serie di guide alla distribuzione Zero Trust