Condividi tramite


Proteggere i dati con Zero Trust

Background

Zero Trust è una strategia di sicurezza usata per progettare i principi di sicurezza per l'organizzazione. Zero Trust consente di proteggere le risorse aziendali implementando i principi di sicurezza seguenti:

  • Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.

  • Usare l'accesso con privilegi minimi. Limita l'accesso degli utenti con JIT (Just-In-Time) e JEA (Just-Enough-Access), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.

  • Presupporre le violazioni. Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Microsoft Purview propone cinque elementi principali per una strategia di difesa dei dati avanzata e un'implementazione Zero Trust per i dati:

  1. Classificazione ed etichettatura dei dati
    Se non si conoscono i dati sensibili presenti in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. Individuare e rilevare i dati nell'intera organizzazione e classificarli in base al livello di riservatezza.

  2. Protezione delle informazioni
    L'accesso condizionale e con privilegi minimi ai dati sensibili riduce i rischi per la sicurezza dei dati. Applicare protezioni di controllo degli accessi in base alla riservatezza, gestione dei diritti e crittografia in cui i controlli ambientali non sono sufficienti. Usare i contrassegni di riservatezza delle informazioni per aumentare la consapevolezza e la conformità dei criteri di sicurezza.

  3. Prevenzione della perdita dei dati
    Il controllo di accesso risolve solo parte del problema. Il controllo e il controllo di attività e movimenti di dati rischiosi che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati consente alle organizzazioni di impedire l'oversharing dei dati sensibili.

  4. Gestione dei rischi Insider
    L'accesso ai dati potrebbe non sempre fornire l'intera storia. Ridurre al minimo i rischi per i dati abilitando il rilevamento comportamentale da un'ampia gamma di segnali e agendo su attività potenzialmente dannose e accidentali nell'organizzazione che potrebbero essere precursori o un'indicazione di una violazione dei dati.

  5. Governance dei dati
    La gestione proattiva del ciclo di vita dei dati sensibili riduce l'esposizione. Limitare il numero di copie o propagazione di dati sensibili ed eliminare dati non più necessari per ridurre al minimo i rischi di violazione dei dati.

Obiettivi della distribuzione Zero Trust per i dati

È consigliabile concentrarsi su questi obiettivi di distribuzione iniziale quando si implementa un framework Zero Trust end-to-end per i dati:

Icona elenco con un segno di spunta.

I.Classify e etichettare i dati. Classificare e etichettare automaticamente i dati laddove possibile. Applicare manualmente la posizione in cui non lo è.

II.Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto. Applicare la crittografia in cui la protezione e il controllo di accesso non sono sufficienti.

III.Controllare l'accesso ai dati. Controllare l'accesso ai dati sensibili in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.

Man mano che si procede al raggiungimento degli obiettivi precedenti, aggiungere questi obiettivi di distribuzione aggiuntivi:

Icona elenco con due segni di spunta.

IV.Evitare perdite di dati. Usare criteri di prevenzione della perdita dei dati basati su segnali rischiosi e riservatezza dei dati.

V.Gestire i rischi. Gestire i rischi che potrebbero causare un evento imprevisto di sicurezza dei dati controllando le attività utente correlate alla sicurezza rischiosa e i modelli di attività dei dati che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati.

VI.Ridurre l'esposizione dei dati. Ridurre l'esposizione dei dati tramite la governance dei dati e ridurre al minimo i dati continui

Guida alla distribuzione Zero Trust per i dati

Questa guida illustra in dettaglio un approccio zero trust alla protezione dei dati. Tenere presente che questi elementi variano notevolmente a seconda della riservatezza delle informazioni e delle dimensioni e della complessità dell'organizzazione.

Come precursore di qualsiasi implementazione della sicurezza dei dati, Microsoft consiglia di creare un framework di classificazione dei dati e una tassonomia delle etichette di riservatezza che definisce categorie di alto livello di rischio per la sicurezza dei dati. Tale tassonomia verrà usata per semplificare tutto, dall'inventario dei dati o dalle informazioni dettagliate sulle attività, alla gestione dei criteri per l'analisi delle priorità.

Per altre informazioni, vedi:




Icona elenco di controllo con un segno di spunta.

Obiettivi iniziali della distribuzione

I. Classificare, etichettare e individuare dati sensibili

Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione.

Le classificazioni e le etichette di riservatezza consentono di comprendere dove si trovano i dati sensibili, come vengono spostati e implementare controlli di accesso e utilizzo appropriati coerenti con i principi zero trust:

  • Usare la classificazione e l'etichettatura automatizzate per rilevare informazioni riservate e ridimensionare l'individuazione nel patrimonio di dati.

  • Usare l'etichettatura manuale per documenti e contenitori e curare manualmente i set di dati usati nell'analisi in cui la classificazione e la riservatezza sono meglio stabilite dagli utenti esperti.

Seguire questa procedura:

Dopo aver configurato e testato la classificazione e l'etichettatura, aumentare l'individuazione dei dati nell'insieme di dati.

Seguire questa procedura per estendere l'individuazione oltre i servizi di Microsoft 365:

Durante l'individuazione, la classificazione e l'etichetta dei dati, usare tali informazioni dettagliate per correggere i rischi e informare le iniziative di gestione dei criteri.

Seguire questa procedura:

II. Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto

Semplificare l'implementazione dei privilegi minimi usando le etichette di riservatezza per proteggere i dati più sensibili con la crittografia e il controllo di accesso. Usare i contrassegni di contenuto per migliorare la consapevolezza e la tracciabilità degli utenti.

Proteggere documenti e messaggi di posta elettronica

Microsoft Purview Information Protection consente di controllare l'accesso e l'utilizzo in base alle etichette di riservatezza o alle autorizzazioni definite dall'utente per documenti e messaggi di posta elettronica. Può anche applicare contrassegni e crittografare le informazioni che risiedono in o passano a ambienti di attendibilità inferiori interni o esterni all'organizzazione. Fornisce protezione inattivi, in movimento e in uso per applicazioni con riconoscimento dei dati aziendali.

Seguire questa procedura:

Proteggere i documenti in Exchange, SharePoint e OneDrive

Per i dati archiviati in Exchange, SharePoint e OneDrive, la classificazione automatica con etichette di riservatezza può essere distribuita tramite criteri in percorsi di destinazione per limitare l'accesso e gestire la crittografia in uscita autorizzata.

Eseguire questo passaggio:

III. Controllare l'accesso ai dati

Fornire l'accesso ai dati sensibili deve essere controllato in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.

Controllare l'accesso e la condivisione dei dati in Teams, Gruppi di Microsoft 365 e siti di SharePoint

Usare le etichette di riservatezza dei contenitori per implementare restrizioni di accesso condizionale e condivisione ai siti di Microsoft Teams, Gruppi di Microsoft 365 o SharePoint.

Eseguire questo passaggio:

Controllare l'accesso ai dati nelle applicazioni SaaS

Microsoft Defender per il cloud Apps offre funzionalità aggiuntive per l'accesso condizionale e la gestione di file sensibili in ambienti di Microsoft 365 e di terze parti, ad esempio Box o Google Workspace, tra cui:

  • Rimozione delle autorizzazioni per gestire privilegi eccessivi e impedire la perdita di dati.

  • Quarantena dei file da rivedere.

  • Applicazione di etichette ai file sensibili.

Seguire questa procedura:

Suggerimento

Vedere Integrare app SaaS per Zero Trust con Microsoft 365 per informazioni su come applicare i principi Zero Trust per gestire il digital estate delle app cloud.

Controllare l'accesso a nell'archiviazione IaaS/PaaS

Distribuire i criteri di controllo di accesso obbligatori nelle risorse IaaS/PaaS che contengono dati sensibili.

Eseguire questo passaggio:

IV. Prevenzione della perdita dei dati

Il controllo dell'accesso ai dati è necessario, ma insufficiente nell'esercitare il controllo sullo spostamento dei dati e prevenire perdite o perdite di dati accidentali o non autorizzate. Questo è il ruolo della prevenzione della perdita dei dati e della gestione dei rischi Insider, descritta nella sezione IV.

Usare i criteri di prevenzione della perdita dei dati di Microsoft Purview per identificare, controllare e proteggere automaticamente i dati sensibili tra:

  • Servizi di Microsoft 365 come Teams, Exchange, SharePoint e OneDrive

  • Applicazioni di Office come Word, Excel e PowerPoint

  • Endpoint di Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)

  • Condivisioni file locali e SharePoint locale

  • app cloud non Microsoft.

Seguire questa procedura:

V. Gestire i rischi Insider

Le implementazioni con privilegi minimi consentono di ridurre al minimo i rischi noti, ma è anche importante correlare segnali comportamentali utente correlati alla sicurezza aggiuntivi, controllare i modelli di accesso ai dati sensibili e funzionalità di rilevamento, analisi e ricerca su vasta scala.

Prova ad eseguire questi passaggi:

VI. Eliminare informazioni riservate non necessarie

Le organizzazioni possono ridurre l'esposizione dei dati gestendo il ciclo di vita dei dati sensibili.

Rimuovere tutti i privilegi in cui si è in grado di eliminare i dati sensibili quando non è più prezioso o consentito per l'organizzazione.

Eseguire questo passaggio:

Ridurre al minimo la duplicazione dei dati sensibili favorendo la condivisione sul posto e l'uso anziché i trasferimenti di dati.

Eseguire questo passaggio:

Prodotti trattati in questa guida

Microsoft Purview

Microsoft Defender for Cloud Apps

Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success.



Serie di guide alla distribuzione Zero Trust

Icona per l'introduzione

Icona per l'identità

Icona per gli endpoint

Icona per le applicazioni

Icona per i dati

Icona per l'infrastruttura

Icona per le reti

Icona per visibilità, automazione, orchestrazione