Proteggere i dati con Zero Trust
Background
Zero Trust è una strategia di sicurezza usata per progettare i principi di sicurezza per l'organizzazione. Zero Trust consente di proteggere le risorse aziendali implementando i principi di sicurezza seguenti:
Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.
Usare l'accesso con privilegi minimi. Limita l'accesso degli utenti con JIT (Just-In-Time) e JEA (Just-Enough-Access), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.
Presupporre le violazioni. Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Microsoft Purview propone cinque elementi principali per una strategia di difesa dei dati avanzata e un'implementazione Zero Trust per i dati:
Classificazione ed etichettatura dei dati
Se non si conoscono i dati sensibili presenti in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. Individuare e rilevare i dati nell'intera organizzazione e classificarli in base al livello di riservatezza.Protezione delle informazioni
L'accesso condizionale e con privilegi minimi ai dati sensibili riduce i rischi per la sicurezza dei dati. Applicare protezioni di controllo degli accessi in base alla riservatezza, gestione dei diritti e crittografia in cui i controlli ambientali non sono sufficienti. Usare i contrassegni di riservatezza delle informazioni per aumentare la consapevolezza e la conformità dei criteri di sicurezza.Prevenzione della perdita dei dati
Il controllo di accesso risolve solo parte del problema. Il controllo e il controllo di attività e movimenti di dati rischiosi che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati consente alle organizzazioni di impedire l'oversharing dei dati sensibili.Gestione dei rischi Insider
L'accesso ai dati potrebbe non sempre fornire l'intera storia. Ridurre al minimo i rischi per i dati abilitando il rilevamento comportamentale da un'ampia gamma di segnali e agendo su attività potenzialmente dannose e accidentali nell'organizzazione che potrebbero essere precursori o un'indicazione di una violazione dei dati.Governance dei dati
La gestione proattiva del ciclo di vita dei dati sensibili riduce l'esposizione. Limitare il numero di copie o propagazione di dati sensibili ed eliminare dati non più necessari per ridurre al minimo i rischi di violazione dei dati.
Obiettivi della distribuzione Zero Trust per i dati
È consigliabile concentrarsi su questi obiettivi di distribuzione iniziale quando si implementa un framework Zero Trust end-to-end per i dati: |
|
|
I.Classify e etichettare i dati. Classificare e etichettare automaticamente i dati laddove possibile. Applicare manualmente la posizione in cui non lo è. II.Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto. Applicare la crittografia in cui la protezione e il controllo di accesso non sono sufficienti. III.Controllare l'accesso ai dati. Controllare l'accesso ai dati sensibili in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati. |
Man mano che si procede al raggiungimento degli obiettivi precedenti, aggiungere questi obiettivi di distribuzione aggiuntivi: |
|
|
IV.Evitare perdite di dati. Usare criteri di prevenzione della perdita dei dati basati su segnali rischiosi e riservatezza dei dati. V.Gestire i rischi. Gestire i rischi che potrebbero causare un evento imprevisto di sicurezza dei dati controllando le attività utente correlate alla sicurezza rischiosa e i modelli di attività dei dati che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati. VI.Ridurre l'esposizione dei dati. Ridurre l'esposizione dei dati tramite la governance dei dati e ridurre al minimo i dati continui |
Guida alla distribuzione Zero Trust per i dati
Questa guida illustra in dettaglio un approccio zero trust alla protezione dei dati. Tenere presente che questi elementi variano notevolmente a seconda della riservatezza delle informazioni e delle dimensioni e della complessità dell'organizzazione.
Come precursore di qualsiasi implementazione della sicurezza dei dati, Microsoft consiglia di creare un framework di classificazione dei dati e una tassonomia delle etichette di riservatezza che definisce categorie di alto livello di rischio per la sicurezza dei dati. Tale tassonomia verrà usata per semplificare tutto, dall'inventario dei dati o dalle informazioni dettagliate sulle attività, alla gestione dei criteri per l'analisi delle priorità.
Per altre informazioni, vedi:
|
Obiettivi iniziali della distribuzione |
I. Classificare, etichettare e individuare dati sensibili
Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione.
Le classificazioni e le etichette di riservatezza consentono di comprendere dove si trovano i dati sensibili, come vengono spostati e implementare controlli di accesso e utilizzo appropriati coerenti con i principi zero trust:
Usare la classificazione e l'etichettatura automatizzate per rilevare informazioni riservate e ridimensionare l'individuazione nel patrimonio di dati.
Usare l'etichettatura manuale per documenti e contenitori e curare manualmente i set di dati usati nell'analisi in cui la classificazione e la riservatezza sono meglio stabilite dagli utenti esperti.
Seguire questa procedura:
Dopo aver configurato e testato la classificazione e l'etichettatura, aumentare l'individuazione dei dati nell'insieme di dati.
Seguire questa procedura per estendere l'individuazione oltre i servizi di Microsoft 365:
Individuare e proteggere le informazioni riservate nelle applicazioni SaaS
Informazioni sulle analisi e l'inserimento nel portale di governance di Microsoft Purview
Durante l'individuazione, la classificazione e l'etichetta dei dati, usare tali informazioni dettagliate per correggere i rischi e informare le iniziative di gestione dei criteri.
Seguire questa procedura:
II. Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto
Semplificare l'implementazione dei privilegi minimi usando le etichette di riservatezza per proteggere i dati più sensibili con la crittografia e il controllo di accesso. Usare i contrassegni di contenuto per migliorare la consapevolezza e la tracciabilità degli utenti.
Proteggere documenti e messaggi di posta elettronica
Microsoft Purview Information Protection consente di controllare l'accesso e l'utilizzo in base alle etichette di riservatezza o alle autorizzazioni definite dall'utente per documenti e messaggi di posta elettronica. Può anche applicare contrassegni e crittografare le informazioni che risiedono in o passano a ambienti di attendibilità inferiori interni o esterni all'organizzazione. Fornisce protezione inattivi, in movimento e in uso per applicazioni con riconoscimento dei dati aziendali.
Seguire questa procedura:
- Esaminare le opzioni di crittografia in Microsoft 365
- Limitare l'accesso al contenuto e all'utilizzo usando le etichette di riservatezza
Proteggere i documenti in Exchange, SharePoint e OneDrive
Per i dati archiviati in Exchange, SharePoint e OneDrive, la classificazione automatica con etichette di riservatezza può essere distribuita tramite criteri in percorsi di destinazione per limitare l'accesso e gestire la crittografia in uscita autorizzata.
Eseguire questo passaggio:
III. Controllare l'accesso ai dati
Fornire l'accesso ai dati sensibili deve essere controllato in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.
Controllare l'accesso e la condivisione dei dati in Teams, Gruppi di Microsoft 365 e siti di SharePoint
Usare le etichette di riservatezza dei contenitori per implementare restrizioni di accesso condizionale e condivisione ai siti di Microsoft Teams, Gruppi di Microsoft 365 o SharePoint.
Eseguire questo passaggio:
- Usare le etichette di riservatezza con Microsoft Teams, Gruppi di Microsoft 365 e siti di SharePoint
Controllare l'accesso ai dati nelle applicazioni SaaS
Microsoft Defender per il cloud Apps offre funzionalità aggiuntive per l'accesso condizionale e la gestione di file sensibili in ambienti di Microsoft 365 e di terze parti, ad esempio Box o Google Workspace, tra cui:
Rimozione delle autorizzazioni per gestire privilegi eccessivi e impedire la perdita di dati.
Quarantena dei file da rivedere.
Applicazione di etichette ai file sensibili.
Seguire questa procedura:
Suggerimento
Vedere Integrare app SaaS per Zero Trust con Microsoft 365 per informazioni su come applicare i principi Zero Trust per gestire il digital estate delle app cloud.
Controllare l'accesso a nell'archiviazione IaaS/PaaS
Distribuire i criteri di controllo di accesso obbligatori nelle risorse IaaS/PaaS che contengono dati sensibili.
Eseguire questo passaggio:
IV. Prevenzione della perdita dei dati
Il controllo dell'accesso ai dati è necessario, ma insufficiente nell'esercitare il controllo sullo spostamento dei dati e prevenire perdite o perdite di dati accidentali o non autorizzate. Questo è il ruolo della prevenzione della perdita dei dati e della gestione dei rischi Insider, descritta nella sezione IV.
Usare i criteri di prevenzione della perdita dei dati di Microsoft Purview per identificare, controllare e proteggere automaticamente i dati sensibili tra:
Servizi di Microsoft 365 come Teams, Exchange, SharePoint e OneDrive
Applicazioni di Office come Word, Excel e PowerPoint
Endpoint di Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
Condivisioni file locali e SharePoint locale
app cloud non Microsoft.
Seguire questa procedura:
Creare, testare e ottimizzare i criteri di prevenzione della perdita dei dati
Informazioni sul dashboard avvisi di prevenzione della perdita dei dati
V. Gestire i rischi Insider
Le implementazioni con privilegi minimi consentono di ridurre al minimo i rischi noti, ma è anche importante correlare segnali comportamentali utente correlati alla sicurezza aggiuntivi, controllare i modelli di accesso ai dati sensibili e funzionalità di rilevamento, analisi e ricerca su vasta scala.
Prova ad eseguire questi passaggi:
VI. Eliminare informazioni riservate non necessarie
Le organizzazioni possono ridurre l'esposizione dei dati gestendo il ciclo di vita dei dati sensibili.
Rimuovere tutti i privilegi in cui si è in grado di eliminare i dati sensibili quando non è più prezioso o consentito per l'organizzazione.
Eseguire questo passaggio:
Ridurre al minimo la duplicazione dei dati sensibili favorendo la condivisione sul posto e l'uso anziché i trasferimenti di dati.
Eseguire questo passaggio:
Prodotti trattati in questa guida
Microsoft Defender for Cloud Apps
Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success.
Serie di guide alla distribuzione Zero Trust
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per