Gegevens beveiligen met Zero Trust
Achtergrond
Zero Trust is een beveiligingsstrategie die wordt gebruikt om beveiligingsprincipes voor uw organisatie te ontwerpen. Zero Trust helpt bij het beveiligen van bedrijfsbronnen door de volgende beveiligingsprincipes te implementeren:
Controleer dit expliciet. Verifieer en autoriseren altijd op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen.
Gebruik toegang tot minimale bevoegdheden. Beperk gebruikerstoegang met Just-In-Time (JIT) en Just-Enough-Access (JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging om zowel gegevens als productiviteit te beveiligen.
Stel dat er sprake is van een schending. Minimaliseer de straalstraal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.
Microsoft Purview stelt vijf kernelementen voor een diepgaande strategie voor gegevensbeveiliging en een Zero Trust-implementatie voor gegevens:
Gegevensclassificatie en labelen
Als u niet weet welke gevoelige gegevens u on-premises en in cloudservices hebt, kunt u deze niet adequaat beveiligen. Gegevens in uw hele organisatie detecteren en detecteren en classificeren op vertrouwelijkheidsniveau.Gegevensbeveiliging
Voorwaardelijke en minimale toegang tot gevoelige gegevens verminderen risico's voor gegevensbeveiliging. Pas kaders voor toegangsbeheer op basis van gevoeligheid, rechtenbeheer en versleuteling toe, waarbij omgevingsbeheer onvoldoende is. Gebruik vertrouwelijkheidsmarkeringen voor informatie om de naleving van het beveiligingsbeleid te vergroten.Preventie van gegevensverlies
Toegangsbeheer lost slechts een deel van het probleem op. Door risicovolle gegevensactiviteiten en -verplaatsingen te controleren en te controleren, wat kan leiden tot een gegevensbeveiligings- of nalevingsincident, kunnen organisaties de overbelasting van gevoelige gegevens voorkomen.Intern risicobeheer
Gegevenstoegang biedt mogelijk niet altijd het hele verhaal. Minimaliseer risico's voor gegevens door gedragsdetectie van een breed scala aan signalen mogelijk te maken en te reageren op mogelijk schadelijke en onbedoelde activiteiten in uw organisatie die voorlopers kunnen zijn of een indicatie van een gegevenslek.Gegevensgovernance
Het proactief beheren van de levenscyclus van gevoelige gegevens vermindert de blootstelling ervan. Beperk het aantal kopieën of doorgifte van gevoelige gegevens en verwijder gegevens die niet meer nodig zijn om risico's voor gegevenslekken te minimaliseren.
We raden u aan u te richten op deze eerste implementatiedoelstellingen bij het implementeren van een end-to-end Zero Trust-framework voor gegevens: |
|
I. Gegevens classificeren en labelen. Gegevens automatisch classificeren en labelen waar mogelijk. Pas handmatig toe waar dit niet is. II. Versleuteling, toegangsbeheer en inhoudsmarkeringen toepassen. Pas versleuteling toe waarbij beveiliging en toegangsbeheer onvoldoende zijn. III. Toegang tot gegevens beheren. De toegang tot gevoelige gegevens beheren, zodat ze beter worden beveiligd. Zorg ervoor dat beslissingen over toegangs- en gebruiksbeleid inclusief vertrouwelijkheid van gegevens zijn. |
|
Als u vooruitgang boekt bij het bereiken van de bovenstaande doelstellingen, voegt u deze aanvullende implementatiedoelstellingen toe: |
|
IV. Voorkomen dat gegevens lekken. Gebruik DLP-beleid dat wordt aangestuurd door riskante signalen en gegevensgevoeligheid. V. Risico's beheren. Beheer risico's die kunnen leiden tot een gegevensbeveiligingsincident door risicovolle beveiligingsgerelateerde gebruikersactiviteiten en gegevensactiviteitspatronen te controleren die kunnen leiden tot een gegevensbeveiligings- of nalevingsincident. VI. Verminder de blootstelling van gegevens. Gegevensblootstelling verminderen via gegevensbeheer en continue gegevensminimalisatie |
Deze handleiding begeleidt u stapsgewijs door een Zero Trust-benadering voor gegevensbescherming. Houd er rekening mee dat deze items sterk variëren, afhankelijk van de gevoeligheid van uw gegevens en de grootte en complexiteit van uw organisatie.
Als voorloper van elke implementatie van gegevensbeveiliging raadt Microsoft u aan een gegevensclassificatieframework en taxonomie van vertrouwelijkheidslabels te maken waarmee categorieën van gegevensbeveiligingsrisico's op hoog niveau worden gedefinieerd. Deze taxonomie wordt gebruikt om alles te vereenvoudigen, van gegevensinventaris- of activiteitsinzichten tot beleidsbeheer tot prioriteitsbepaling.
Zie voor meer informatie:
|
Initiële implementatiedoelstellingen |
Een strategie voor gegevensbeveiliging moet de volledige digitale inhoud van uw organisatie omvatten.
Met classificaties en vertrouwelijkheidslabels kunt u begrijpen waar uw gevoelige gegevens zich bevinden, hoe deze worden verplaatst en de juiste besturingselementen voor toegang en gebruik implementeren die consistent zijn met nul vertrouwensprincipes:
Gebruik geautomatiseerde classificatie en labels om gevoelige informatie te detecteren en detectie in uw gegevensomgeving te schalen.
Gebruik handmatig labelen voor documenten en containers en cureer handmatig gegevenssets die worden gebruikt in analyses, waarbij classificatie en gevoeligheid het best worden ingesteld door deskundige gebruikers.
Volg vervolgens deze stappen:
Zodra u classificatie en labeling hebt geconfigureerd en getest, schaalt u de gegevensdetectie omhoog in uw gegevensomgeving.
Volg deze stappen om de detectie verder uit te breiden dan Microsoft 365-services:
Aan de slag met de on-premises scanner van Microsoft Purview
Gevoelige informatie detecteren en beveiligen in SaaS-toepassingen
Meer informatie over scans en opname in de Microsoft Purview-beheerportal
Wanneer u uw gegevens ontdekt, classificeert en labelt, gebruikt u deze inzichten om risico's op te lossen en uw beleidsbeheerinitiatieven te informeren.
Volg vervolgens deze stappen:
Vereenvoudig de implementatie van minimale bevoegdheden met behulp van vertrouwelijkheidslabels om uw meest gevoelige gegevens te beveiligen met versleuteling en toegangsbeheer. Gebruik inhoudsmarkeringen om gebruikersbewustzijn en traceerbaarheid te verbeteren.
Microsoft Purview Informatiebeveiliging maakt toegangs- en gebruiksbeheer mogelijk op basis van vertrouwelijkheidslabels of door de gebruiker gedefinieerde machtigingen voor documenten en e-mailberichten. Het kan ook optioneel markeringen toepassen en informatie versleutelen die zich in of uitstroomt naar omgevingen met minder vertrouwen binnen of buiten uw organisatie. Het biedt bescherming in rust, in beweging en in gebruik voor toepassingen met verlichting.
Volg vervolgens deze stappen:
- Versleutelingsopties controleren in Microsoft 365
- Toegang tot inhoud en gebruik beperken met behulp van vertrouwelijkheidslabels
Voor gegevens die zijn opgeslagen in Exchange, SharePoint en OneDrive, kunnen automatische classificatie met vertrouwelijkheidslabels worden geïmplementeerd via beleid op gerichte locaties om de toegang te beperken en versleuteling te beheren voor geautoriseerd uitgaand verkeer.
Voer deze stap uit:
Het verlenen van toegang tot gevoelige gegevens moet worden beheerd, zodat ze beter worden beveiligd. Zorg ervoor dat beslissingen over toegangs- en gebruiksbeleid inclusief vertrouwelijkheid van gegevens zijn.
Gebruik vertrouwelijkheidslabels voor containers om beperkingen voor voorwaardelijke toegang en delen te implementeren voor Microsoft Teams, Microsoft 365 Groepen of SharePoint-sites.
Voer deze stap uit:
Microsoft Defender voor Cloud Apps biedt aanvullende mogelijkheden voor voorwaardelijke toegang en voor het beheren van gevoelige bestanden in Microsoft 365- en externe omgevingen, zoals Box of Google Workspace, waaronder:
Het verwijderen van machtigingen om overmatige bevoegdheden aan te pakken en gegevenslekken te voorkomen.
Quarantieren van bestanden voor revisie.
Labels toepassen op gevoelige bestanden.
Volg vervolgens deze stappen:
Tip
Bekijk SaaS-apps integreren voor Zero Trust met Microsoft 365 voor meer informatie over het toepassen van Zero Trust-principes om uw digitale activa van cloud-apps te beheren.
Implementeer verplicht toegangsbeheerbeleid voor IaaS-/PaaS-resources die gevoelige gegevens bevatten.
Voer deze stap uit:
Het beheren van de toegang tot gegevens is noodzakelijk, maar onvoldoende bij het uitoefenen van controle over gegevensverplaatsing en het voorkomen van onbedoelde of onbevoegde gegevenslekken of -verlies. Dat is de rol van preventie van gegevensverlies en intern risicobeheer, dat wordt beschreven in sectie IV.
Gebruik DLP-beleid van Microsoft Purview om gevoelige gegevens te identificeren, te controleren en automatisch te beveiligen in:
Microsoft 365-services zoals Teams, Exchange, SharePoint en OneDrive
Office-app licaties zoals Word, Excel en PowerPoint
Eindpunten voor Windows 10, Windows 11 en macOS (drie meest recente versies)
on-premises bestandsshares en on-premises SharePoint
niet-Microsoft-cloud-apps.
Volg vervolgens deze stappen:
Implementaties met minimale bevoegdheden helpen bekende risico's te minimaliseren, maar het is ook belangrijk om aanvullende beveiligingsgerelateerde gebruikersgedragssignalen te correleren, patronen voor gevoelige gegevenstoegang te controleren en uitgebreide detectie-, onderzoeks- en opsporingsmogelijkheden te bieden.
Voer deze stappen uit:
Organisaties kunnen hun blootstelling aan gegevens verminderen door de levenscyclus van hun gevoelige gegevens te beheren.
Verwijder alle bevoegdheden waar u in staat bent door de gevoelige gegevens zelf te verwijderen wanneer deze niet meer waardevol of toegestaan zijn voor uw organisatie.
Voer deze stap uit:
Minimaliseer duplicatie van gevoelige gegevens door in-place delen te bevorderen en te gebruiken in plaats van gegevensoverdracht.
Voer deze stap uit:
Microsoft Defender voor Cloud-apps
Neem contact op met uw klantenteam voor meer informatie of hulp bij de implementatie.
De reeks Zero Trust-implementatiehandleidingen