Gegevens beveiligen met Zero Trust

Achtergrond

Zero Trust is een beveiligingsstrategie die wordt gebruikt om beveiligingsprincipes voor uw organisatie te ontwerpen. Zero Trust helpt bij het beveiligen van bedrijfsbronnen door de volgende beveiligingsprincipes te implementeren:

• Controleer dit expliciet. Verifieer en autoriseren altijd op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen.

• Gebruik toegang tot minimale bevoegdheden. Beperk gebruikerstoegang met Just-In-Time (JIT) en Just-Enough-Access (JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging om zowel gegevens als productiviteit te beveiligen.

• Stel dat er sprake is van een schending. Minimaliseer de straalstraal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.

Microsoft Purview stelt vijf kernelementen voor een diepgaande strategie voor gegevensbeveiliging en een Zero Trust-implementatie voor gegevens:

1. Gegevensclassificatie en labelen
   Als u niet weet welke gevoelige gegevens u on-premises en in cloudservices hebt, kunt u deze niet adequaat beveiligen. Gegevens in uw hele organisatie detecteren en detecteren en classificeren op vertrouwelijkheidsniveau.

2. Gegevensbeveiliging
   Voorwaardelijke en minimale toegang tot gevoelige gegevens verminderen risico's voor gegevensbeveiliging. Pas kaders voor toegangsbeheer op basis van gevoeligheid, rechtenbeheer en versleuteling toe, waarbij omgevingsbeheer onvoldoende is. Gebruik vertrouwelijkheidsmarkeringen voor informatie om de naleving van het beveiligingsbeleid te vergroten.

3. Preventie van gegevensverlies
   Toegangsbeheer lost slechts een deel van het probleem op. Door risicovolle gegevensactiviteiten en -verplaatsingen te controleren en te beheren, wat kan leiden tot een gegevensbeveiligings- of nalevingsincident, kunnen organisaties de oversharing van gevoelige gegevens voorkomen.

4. Intern risicobeheer
   Gegevenstoegang biedt mogelijk niet altijd het hele verhaal. Minimaliseer risico's voor gegevens door gedragsdetectie van een breed scala aan signalen mogelijk te maken en te reageren op mogelijk schadelijke en onbedoelde activiteiten in uw organisatie die voorlopers kunnen zijn of een indicatie van een gegevenslek.

5. Gegevensgovernance
   Het proactief beheren van de levenscyclus van gevoelige gegevens vermindert de blootstelling ervan. Beperk het aantal kopieën of doorgifte van gevoelige gegevens en verwijder gegevens die niet meer nodig zijn om risico's voor gegevenslekken te minimaliseren.

Doelstellingen voor implementatie van Data Zero Trust

We raden u aan u te richten op deze eerste implementatiedoelstellingen bij het implementeren van een end-to-end Zero Trust-framework voor gegevens:
	I.Classify and label data. Gegevens automatisch classificeren en labelen waar mogelijk. Pas handmatig toe waar dit niet het is. II.Versleuteling, toegangsbeheer en inhoudsmarkeringen toepassen. Pas versleuteling toe waarbij beveiliging en toegangsbeheer onvoldoende zijn. III.Toegang tot gegevens beheren. De toegang tot gevoelige gegevens beheren, zodat ze beter worden beveiligd.
Als u vooruitgang boekt bij het bereiken van de bovenstaande doelstellingen, voegt u deze aanvullende implementatiedoelstellingen toe:
	IV.Voorkomen dat gegevens lekken. Gebruik DLP-beleid dat wordt aangestuurd door riskante signalen en gegevensgevoeligheid. V.Manage risico's. Beheer risico's die kunnen leiden tot een gegevensbeveiligingsincident door risicovolle beveiligingsgerelateerde gebruikersactiviteiten en gegevensactiviteitspatronen te controleren die kunnen leiden tot een gegevensbeveiligings- of nalevingsincident. VI.Verminder de blootstelling van gegevens. Gegevensblootstelling verminderen via gegevensbeheer en continue gegevensminimalisatie

Implementatiehandleiding voor Zero Trust voor gegevens

Deze handleiding begeleidt u stapsgewijs door een Zero Trust-benadering voor gegevensbescherming. Houd er rekening mee dat deze items sterk variëren, afhankelijk van de gevoeligheid van uw gegevens en de grootte en complexiteit van uw organisatie.

Als voorloper van elke implementatie van gegevensbeveiliging raadt Microsoft u aan een gegevensclassificatieframework en taxonomie van vertrouwelijkheidslabels te maken waarmee categorieën van gegevensbeveiligingsrisico's op hoog niveau worden gedefinieerd. Deze taxonomie wordt gebruikt om alles te vereenvoudigen, van gegevensinventaris- of activiteitsinzichten tot beleidsbeheer tot prioriteitsbepaling.

Zie voor meer informatie:

• Een goed ontworpen framework voor gegevensclassificatie maken

Initiële implementatiedoelstellingen

i. Gevoelige gegevens classificeren, labelen en detecteren

Een strategie voor gegevensbeveiliging moet de volledige digitale inhoud van uw organisatie omvatten.

Met classificaties en vertrouwelijkheidslabels kunt u begrijpen waar uw gevoelige gegevens zich bevinden, hoe deze worden verplaatst en de juiste besturingselementen voor toegang en gebruik implementeren die consistent zijn met nul vertrouwensprincipes:

• Gebruik geautomatiseerde classificatie en labels om gevoelige informatie te detecteren en detectie in uw gegevensomgeving te schalen.

• Gebruik handmatig labelen voor documenten en containers en cureer handmatig gegevenssets die worden gebruikt in analyses, waarbij classificatie en gevoeligheid het best tot stand worden gebracht door deskundige gebruikers.

Volg vervolgens deze stappen:

• Meer informatie over typen gevoelige informatie

• Meer informatie over trainbare classificaties

• Meer informatie over vertrouwelijkheidslabels

Zodra u classificatie en labeling hebt geconfigureerd en getest, schaalt u de gegevensdetectie omhoog in uw gegevensomgeving.

Volg deze stappen om de detectie verder uit te breiden dan Microsoft 365-services:

• Aan de slag met de on-premises scanner van Microsoft Purview

• Gevoelige informatie detecteren en beveiligen in SaaS-toepassingen

• Meer informatie over scans en opname in de Microsoft Purview-beheerportal

Wanneer u uw gegevens ontdekt, classificeert en labelt, gebruikt u deze inzichten om risico's op te lossen en uw beleidsbeheerinitiatieven te informeren.

Volg vervolgens deze stappen:

• Aan de slag met Content Explorer

• Labelactiviteit controleren met Activity Explorer

• Meer informatie over gegevensinzichten

II. Versleuteling, toegangsbeheer en inhoudsmarkeringen toepassen

Vereenvoudig de implementatie van minimale bevoegdheden met behulp van vertrouwelijkheidslabels om uw meest gevoelige gegevens te beveiligen met versleuteling en toegangsbeheer. Gebruik inhoudsmarkeringen om gebruikersbewustzijn en traceerbaarheid te verbeteren.

Document en e-mailberichten beveiligen

Microsoft Purview Informatiebeveiliging maakt toegangs- en gebruiksbeheer mogelijk op basis van vertrouwelijkheidslabels of door de gebruiker gedefinieerde machtigingen voor documenten en e-mailberichten. Het kan ook optioneel markeringen toepassen en informatie versleutelen die zich in of uitstroomt naar omgevingen met minder vertrouwen binnen of buiten uw organisatie. Het biedt bescherming in rust, in beweging en in gebruik voor toepassingen met verlichting.

Volg vervolgens deze stappen:

• Versleutelingsopties controleren in Microsoft 365
• Toegang tot inhoud en gebruik beperken met behulp van vertrouwelijkheidslabels

Documenten beveiligen in Exchange, SharePoint en OneDrive

Voor gegevens die zijn opgeslagen in Exchange, SharePoint en OneDrive, kunnen automatische classificatie met vertrouwelijkheidslabels worden geïmplementeerd via beleid op gerichte locaties om de toegang te beperken en versleuteling te beheren voor geautoriseerd uitgaand verkeer.

Voer deze stap uit:

• Configureer beleid voor automatisch labelen voor SharePoint, OneDrive en Exchange.

III. Toegang tot gegevens beheren

Het verlenen van toegang tot gevoelige gegevens moet worden beheerd, zodat ze beter worden beveiligd. Zorg ervoor dat beslissingen over toegangs- en gebruiksbeleid inclusief vertrouwelijkheid van gegevens zijn.

Toegang tot gegevens beheren en delen in Teams, Microsoft 365 Groepen en SharePoint-sites

Gebruik vertrouwelijkheidslabels voor containers om beperkingen voor voorwaardelijke toegang en delen te implementeren voor Microsoft Teams, Microsoft 365 Groepen of SharePoint-sites.

Voer deze stap uit:

• Vertrouwelijkheidslabels gebruiken met Microsoft Teams, Microsoft 365 Groepen en SharePoint-sites

Toegang tot gegevens in SaaS-toepassingen beheren

Microsoft Defender voor Cloud Apps biedt aanvullende mogelijkheden voor voorwaardelijke toegang en voor het beheren van gevoelige bestanden in Microsoft 365- en externe omgevingen, zoals Box of Google Workspace, waaronder:

• Het verwijderen van machtigingen om overmatige bevoegdheden aan te pakken en gegevenslekken te voorkomen.

• Quarantieren van bestanden voor revisie.

• Labels toepassen op gevoelige bestanden.

Volg vervolgens deze stappen:

• Microsoft Purview Informatiebeveiliging integreren

Tip

Bekijk SaaS-apps integreren voor Zero Trust met Microsoft 365 voor meer informatie over het toepassen van Zero Trust-principes om uw digitale activa van cloud-apps te beheren.

Toegang tot IaaS-/PaaS-opslag beheren

Implementeer verplicht toegangsbeheerbeleid voor IaaS-/PaaS-resources die gevoelige gegevens bevatten.

Voer deze stap uit:

• Meer informatie over Microsoft Purview DevOps-beleid

IV. Gegevenslekken voorkomen

Het beheren van de toegang tot gegevens is noodzakelijk, maar onvoldoende bij het uitoefenen van controle over gegevensverplaatsing en het voorkomen van onbedoelde of onbevoegde gegevenslekken of -verlies. Dat is de rol van preventie van gegevensverlies en intern risicobeheer, dat wordt beschreven in sectie IV.

Gebruik DLP-beleid van Microsoft Purview om gevoelige gegevens te identificeren, te controleren en automatisch te beveiligen in:

• Microsoft 365-services zoals Teams, Exchange, SharePoint en OneDrive

• Office-app licaties zoals Word, Excel en PowerPoint

• Eindpunten voor Windows 10, Windows 11 en macOS (drie meest recente versies)

• on-premises bestandsshares en on-premises SharePoint

• niet-Microsoft-cloud-apps.

Volg vervolgens deze stappen:

• Preventie van gegevensverlies plannen

• DLP-beleid maken, testen en afstemmen

• Meer informatie over het dashboard waarschuwingen voor preventie van gegevensverlies

• Gegevensactiviteit controleren met Activity Explorer

V. Insider-risico's beheren

Implementaties met minimale bevoegdheden helpen bekende risico's te minimaliseren, maar het is ook belangrijk om aanvullende beveiligingsgerelateerde gebruikersgedragssignalen te correleren, patronen voor gevoelige gegevenstoegang te controleren en om brede detectie-, onderzoeks- en opsporingsmogelijkheden te bieden.

Voer deze stappen uit:

• Meer informatie over Insider Risk Management

• Activiteiten voor intern risicobeheer onderzoeken

VI. Onnodige gevoelige informatie verwijderen

Organisaties kunnen hun blootstelling aan gegevens verminderen door de levenscyclus van hun gevoelige gegevens te beheren.

Verwijder alle bevoegdheden waar u kunt door de gevoelige gegevens zelf te verwijderen wanneer deze niet langer waardevol of toegestaan zijn voor uw organisatie.

Voer deze stap uit:

• Gegevenslevenscyclusbeheer en recordbeheer implementeren

Minimaliseer duplicatie van gevoelige gegevens door in-place delen te bevorderen en te gebruiken in plaats van gegevensoverdracht.

Voer deze stap uit:

• Meer informatie over het delen van in-place gegevens met Microsoft Purview

Producten die in deze handleiding worden behandeld

Microsoft Purview

Microsoft Defender voor Cloud-apps

Neem contact op met uw klantenteam voor meer informatie of hulp bij de implementatie.

De reeks Zero Trust-implementatiehandleidingen