Gegevens beveiligen met Zero Trust

Achtergrond

Zero Trust is een beveiligingsstrategie die wordt gebruikt om beveiligingsprincipes voor uw organisatie te ontwerpen. Zero Trust helpt bij het beveiligen van bedrijfsresources door de volgende beveiligingsprincipes te implementeren:

• Controleer expliciet. Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen.

• Gebruik toegang met minimale bevoegdheden. Beperk gebruikerstoegang met Just-In-Time (JIT) en just-enough-access (JEA), adaptief beleid op basis van risico's en gegevensbescherming om zowel gegevens als productiviteit te beveiligen.

• Ga ervan uit dat de inbreuk is geschonden. Minimaliseer de straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyses om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.

Microsoft Purview stelt vijf kernelementen voor een diepgaande strategie voor gegevensbeveiliging en een Zero Trust-implementatie voor gegevens voor:

1. Gegevensclassificatie en labelen
   Als u niet weet welke gevoelige gegevens u on-premises en in cloudservices hebt, kunt u deze niet voldoende beveiligen. Ontdek en detecteer gegevens in uw hele organisatie en classificeer deze op gevoeligheidsniveau.

2. Information Protection
   Voorwaardelijke en minimale toegangsrechten tot gevoelige gegevens verminderen de beveiligingsrisico's voor gegevens. Pas op gevoeligheid gebaseerde kaders voor toegangsbeheer, rechtenbeheer en versleuteling toe wanneer omgevingsbeheer onvoldoende is. Gebruik vertrouwelijkheidsmarkeringen voor informatie om de naleving van het beveiligingsbeleid te vergroten.

3. Preventie van gegevensverlies
   Met toegangsbeheer wordt slechts een deel van het probleem opgelost. Het controleren en controleren van riskante gegevensactiviteiten en -verplaatsingen die kunnen leiden tot een incident voor gegevensbeveiliging of naleving, stelt organisaties in staat om oversharing van gevoelige gegevens te voorkomen.

4. Intern risicobeheer
   Gegevenstoegang biedt mogelijk niet altijd het hele verhaal. Minimaliseer risico's voor gegevens door gedragsdetectie van een breed scala aan signalen in te schakelen en te reageren op mogelijk schadelijke en onbedoelde activiteiten in uw organisatie die voorlopers of een indicatie van een gegevenslek kunnen zijn.

5. Gegevensbeheer
   Het proactief beheren van de levenscyclus van gevoelige gegevens vermindert de blootstelling ervan. Beperk het aantal kopieën of doorgifte van gevoelige gegevens en verwijder gegevens die niet meer nodig zijn om de risico's van gegevenslekken te minimaliseren.

Doelstellingen voor de implementatie van gegevens Zero Trust

We raden u aan u te richten op deze initiële implementatiedoelstellingen bij het implementeren van een end-to-end Zero Trust framework voor gegevens:
	I.Gegevensclassificeren en labelen. Gegevens waar mogelijk automatisch classificeren en labelen. Handmatig toepassen waar dit niet het kenmerk is. II.Pas versleuteling, toegangsbeheer en inhoudsmarkeringen toe. Pas versleuteling toe wanneer beveiliging en toegangsbeheer onvoldoende zijn. III.Toegang tot gegevens beheren. De toegang tot gevoelige gegevens beheren, zodat ze beter worden beveiligd.
Wanneer u de bovenstaande doelstellingen bereikt, voegt u deze aanvullende implementatiedoelstellingen toe:
	IV.Voorkom het lekken van gegevens. Gebruik DLP-beleid dat wordt aangestuurd door riskante signalen en gegevensgevoeligheid. V.Risico's beheren. Beheer risico's die kunnen leiden tot een gegevensbeveiligingsincident door riskante beveiligingsgerelateerde gebruikersactiviteiten en gegevensactiviteitspatronen te controleren die kunnen leiden tot een incident voor gegevensbeveiliging of naleving. VI.Verminder de gegevensblootstelling. Gegevensblootstelling verminderen door gegevensbeheer en continue gegevensminimalisatie

Zero Trust implementatiehandleiding voor gegevens

In deze handleiding wordt u stapsgewijs begeleid bij een Zero Trust benadering van gegevensbeveiliging. Houd er rekening mee dat deze items sterk variëren, afhankelijk van de gevoeligheid van uw informatie en de grootte en complexiteit van uw organisatie.

Als voorloper voor elke implementatie van gegevensbeveiliging raadt Microsoft u aan een framework voor gegevensclassificatie en taxonomie van vertrouwelijkheidslabels te maken waarmee categorieën van gegevensbeveiligingsrisico's op hoog niveau worden gedefinieerd. Deze taxonomie wordt gebruikt om alles te vereenvoudigen, van gegevensinventaris of inzichten in activiteiten, tot beleidsbeheer tot het prioriteren van onderzoek.

Zie voor meer informatie:

• Een goed ontworpen framework voor gegevensclassificatie maken

Initiële implementatiedoelstellingen

I. Gevoelige gegevens classificeren, labelen en detecteren

Een strategie voor gegevensbeveiliging moet de volledige digitale inhoud van uw organisatie omvatten.

Met classificaties en vertrouwelijkheidslabels kunt u begrijpen waar uw gevoelige gegevens zich bevinden, hoe deze zich verplaatsen en passende besturingselementen voor toegang en gebruik implementeren die consistent zijn met zero trust-principes:

• Gebruik geautomatiseerde classificatie en labeling om gevoelige informatie te detecteren en detectie in uw gegevensdomein te schalen.

• Gebruik handmatige labels voor documenten en containers en cureer handmatig gegevenssets die worden gebruikt in analyses waarbij classificatie en gevoeligheid het beste tot stand kunnen worden gebracht door goed geïnformeerde gebruikers.

Volg deze stappen:

• Meer informatie over typen gevoelige informatie

• Meer informatie over trainbare classificaties

• Meer informatie over vertrouwelijkheidslabels

Nadat u classificatie en labeling hebt geconfigureerd en getest, schaalt u de gegevensdetectie op in uw gegevensdomein.

Volg deze stappen om de detectie uit te breiden buiten Microsoft 365-services:

• Aan de slag met de on-premises scanner van Microsoft Purview

• Gevoelige informatie in SaaS-toepassingen detecteren en beveiligen

• Meer informatie over scans en opname in de Microsoft Purview-beheerportal

Wanneer u uw gegevens ontdekt, classificeert en labelt, gebruikt u deze inzichten om risico's te verhelpen en uw beleidsbeheerinitiatieven te informeren.

Volg deze stappen:

• Aan de slag met Inhoudsverkenner

• Labelactiviteit controleren met Activiteitenverkenner

• Meer informatie over Data Insights

II. Versleuteling, toegangsbeheer en inhoudsmarkeringen toepassen

Vereenvoudig de implementatie met minimale bevoegdheden door vertrouwelijkheidslabels te gebruiken om uw meest gevoelige gegevens te beveiligen met versleuteling en toegangsbeheer. Gebruik inhoudsmarkeringen om het bewustzijn en de traceerbaarheid van gebruikers te verbeteren.

Document en e-mailberichten beveiligen

Microsoft Purview Informatiebeveiliging maakt toegangs- en gebruiksbeheer mogelijk op basis van vertrouwelijkheidslabels of door de gebruiker gedefinieerde machtigingen voor documenten en e-mailberichten. Het kan ook optioneel markeringen toepassen en informatie versleutelen die zich in of stroomt naar omgevingen met minder vertrouwen, intern of extern in uw organisatie. Het biedt bescherming in rust, in beweging en in gebruik voor geavanceerde toepassingen.

Volg deze stappen:

• Versleutelingsopties bekijken in Microsoft 365
• Toegang tot inhoud en gebruik beperken met behulp van vertrouwelijkheidslabels

Documenten beveiligen in Exchange, SharePoint en OneDrive

Voor gegevens die zijn opgeslagen in Exchange, SharePoint en OneDrive, kan automatische classificatie met vertrouwelijkheidslabels via beleid worden geïmplementeerd op doellocaties om de toegang te beperken en versleuteling bij geautoriseerde uitgaande gegevens te beheren.

Voer deze stap uit:

• Configureer beleid voor automatisch labelen voor SharePoint, OneDrive en Exchange.

III. Toegang tot gegevens beheren

Toegang tot gevoelige gegevens moet worden beheerd, zodat ze beter worden beschermd. Zorg ervoor dat beslissingen over toegangs- en gebruiksbeleid inclusief vertrouwelijkheid van gegevens zijn.

Toegang tot en delen van gegevens beheren in Teams, Microsoft 365 Groepen en SharePoint-sites

Gebruik vertrouwelijkheidslabels voor containers om beperkingen voor voorwaardelijke toegang en delen te implementeren voor Microsoft Teams, Microsoft 365 Groepen of SharePoint-sites.

Voer deze stap uit:

• Vertrouwelijkheidslabels gebruiken met Microsoft Teams, Microsoft 365 Groepen en SharePoint-sites

Toegang tot gegevens in SaaS-toepassingen beheren

Microsoft Defender for Cloud Apps biedt aanvullende mogelijkheden voor voorwaardelijke toegang en voor het beheren van gevoelige bestanden in Microsoft 365 en omgevingen van derden, zoals Box of Google Workspace, waaronder:

• Machtigingen verwijderen om overmatige bevoegdheden aan te pakken en het lekken van gegevens te voorkomen.

• In quarantaine plaatsen van bestanden ter beoordeling.

• Labels toepassen op gevoelige bestanden.

Volg deze stappen:

• Integreren Microsoft Purview Informatiebeveiliging

Tip

Bekijk SaaS-apps integreren voor Zero Trust met Microsoft 365 voor meer informatie over het toepassen van Zero Trust principes om uw digitale activa van cloud-apps te beheren.

Toegang beheren tot in IaaS/PaaS-opslag

Implementeer verplicht toegangsbeheerbeleid voor IaaS-/PaaS-resources die gevoelige gegevens bevatten.

Voer deze stap uit:

• Meer informatie over Microsoft Purview DevOps-beleid

IV. Gegevenslekken voorkomen

Het beheren van de toegang tot gegevens is noodzakelijk, maar onvoldoende om controle uit te oefenen over gegevensverplaatsing en om onbedoeld of ongeoorloofd lekken of verlies van gegevens te voorkomen. Dat is de rol van preventie van gegevensverlies en intern risicobeheer, die wordt beschreven in sectie IV.

Gebruik DLP-beleid van Microsoft Purview om gevoelige gegevens te identificeren, controleren en automatisch te beveiligen in:

• Microsoft 365-services zoals Teams, Exchange, SharePoint en OneDrive

• Office-toepassingen zoals Word, Excel en PowerPoint

• Windows 10-, Windows 11- en macOS-eindpunten (drie nieuwste versies)

• on-premises bestandsshares en on-premises SharePoint

• niet-Microsoft-cloud-apps.

Volg deze stappen:

• Plannen voor preventie van gegevensverlies

• DLP-beleid maken, testen en afstemmen

• Meer informatie over het dashboard Waarschuwingen voor preventie van gegevensverlies

• Gegevensactiviteit controleren met Activiteitenverkenner

V. Interne risico's beheren

Implementaties met minimale bevoegdheden helpen bekende risico's te minimaliseren, maar het is ook belangrijk om aanvullende beveiligingsgerelateerde gedragssignalen van gebruikers te correleren, gevoelige gegevenstoegangspatronen te controleren en uitgebreide detectie-, onderzoeks- en opsporingsmogelijkheden te bieden.

Voer de volgende stappen uit:

• Meer informatie over Insider Risk Management

• Activiteiten voor intern risicobeheer onderzoeken

VI. Onnodige gevoelige informatie verwijderen

Organisaties kunnen hun gegevensblootstelling verminderen door de levenscyclus van hun gevoelige gegevens te beheren.

Verwijder waar mogelijk alle bevoegdheden door de gevoelige gegevens zelf te verwijderen wanneer deze niet langer waardevol of toegestaan zijn voor uw organisatie.

Voer deze stap uit:

• Levenscyclusbeheer voor gegevens en recordbeheer implementeren

Minimaliseer duplicatie van gevoelige gegevens door in-place delen en gebruiken te bevorderen in plaats van gegevensoverdracht.

Voer deze stap uit:

• Meer informatie over in-place gegevens delen met Microsoft Purview

Producten die in deze handleiding worden behandeld

Microsoft Purview

Microsoft Defender for Cloud Apps

Neem contact op met uw Customer Success-team voor meer informatie of hulp bij de implementatie.

De reeks implementatiehandleidingen voor Zero Trust