Zabezpieczanie danych przy użyciu Zero Trust

Kontekst

Zero Trust to strategia zabezpieczeń używana do projektowania zasad zabezpieczeń dla organizacji. Zero Trust pomaga zabezpieczyć zasoby firmowe, wdrażając następujące zasady zabezpieczeń:

• Sprawdź jawnie. Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych, w tym tożsamości użytkownika, lokalizacji, kondycji urządzenia, usługi lub obciążenia, klasyfikacji danych i anomalii.

• Użyj dostępu z najmniejszymi uprawnieniami. Ogranicz dostęp użytkowników za pomocą technologii just in time (JIT) i just-enough-access (JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych, aby zapewnić bezpieczeństwo zarówno danych, jak i produktywności.

• Przyjmij naruszenie. Zminimalizuj promień rażenia i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

Microsoft Purview proponuje pięć podstawowych elementów strategii ochrony danych w głębi systemu i implementację Zero Trust dla danych:

1. Klasyfikacja i etykietowanie danych
   Jeśli nie wiesz, jakie poufne dane masz lokalnie i w usługach w chmurze, nie możesz odpowiednio ich chronić. Odnajdywanie i wykrywanie danych w całej organizacji i klasyfikowanie ich według poziomu poufności.

2. Ochrona informacji
   Warunkowy i najmniej uprzywilejowany dostęp do poufnych danych zmniejsza ryzyko bezpieczeństwa danych. Stosowanie mechanizmów kontroli dostępu opartych na wrażliwości, zarządzania prawami i szyfrowania, gdy mechanizmy kontroli środowiskowej są niewystarczające. Użyj oznaczeń poufności informacji, aby zwiększyć świadomość i zgodność z zasadami zabezpieczeń.

3. Zapobieganie utracie danych
   Kontrola dostępu rozwiązuje tylko część problemu. Sprawdzanie i kontrolowanie ryzykownych działań i przenoszenia danych, które mogą spowodować zdarzenie zabezpieczeń lub zgodności danych, umożliwia organizacjom zapobieganie nadmiernemu udostępnianiu poufnych danych.

4. Zarządzanie ryzykiem niejawnych testerów
   Dostęp do danych może nie zawsze dostarczać całą historię. Zminimalizuj ryzyko związane z danymi, włączając wykrywanie zachowań z szerokiej gamy sygnałów oraz działając na potencjalnie złośliwych i nieumyślnych działaniach w organizacji, które mogą być prekursorami lub wskazaniem naruszenia danych.

5. Zarządzanie danymi
   Proaktywne zarządzanie cyklem życia poufnych danych zmniejsza jego narażenie. Ogranicz liczbę kopii lub propagacji poufnych danych i usuń dane, które nie są już potrzebne, aby zminimalizować ryzyko naruszenia zabezpieczeń danych.

Cele wdrażania Zero Trust dla danych

Zalecamy skoncentrowanie się na tych początkowych celach wdrażania podczas implementowania kompleksowej platformy Zero Trust dla danych:
Ikona listy z jednym znacznikiem wyboru.	I.Klasyfikuj i etykietuj dane. Automatycznie klasyfikuj i etykietuj dane tam, gdzie to możliwe. Zastosuj ręcznie tam, gdzie tego brakuje. II.Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości. Stosowanie szyfrowania, gdy ochrona i kontrola dostępu są niewystarczające. III.Kontrolowanie dostępu do danych. Kontroluj dostęp do poufnych danych, aby były lepiej chronione. Upewnij się, że decyzje dotyczące zasad dostępu i użycia są włącznie z poufnością danych.
W miarę osiągania powyższych celów dodaj następujące dodatkowe cele wdrażania:
Ikona listy z dwoma znacznikami wyboru.	IV. Zapobiegaj wyciekom danych. Używaj zasad DLP, które są sterowane przez ryzykowne sygnały i wrażliwość danych. V.Zarządzanie ryzykiem. Zarządzanie ryzykiem, które może prowadzić do zdarzenia zabezpieczeń danych, sprawdzając ryzykowne działania użytkowników i wzorce aktywności danych, które mogą spowodować zdarzenie dotyczące zabezpieczeń danych lub zgodności. VI.Zmniejsz ekspozycję danych. Zmniejszanie ekspozycji danych poprzez ład danych i ciągłą minimalizację danych

Przewodnik wdrażania Zero Trust dla danych

Ten przewodnik zawiera szczegółowe instrukcje dotyczące Zero Trust podejścia do ochrony danych. Należy pamiętać, że te elementy będą się znacznie różnić w zależności od poufności informacji oraz rozmiaru i złożoności organizacji.

Jako prekursor każdej implementacji zabezpieczeń danych firma Microsoft zaleca utworzenie struktury klasyfikacji danych i taksonomii etykiet poufności definiujących kategorie wysokiego poziomu ryzyka bezpieczeństwa danych. Ta taksonomia będzie używana do uproszczenia wszystkiego - od inwentaryzacji danych czy wniosków dotyczących aktywności, po zarządzanie zasadami i priorytetyzację działań dochodzeniowych.

Aby uzyskać więcej informacji, zobacz:

• Tworzenie dobrze zaprojektowanej struktury klasyfikacji danych

Ikona listy kontrolnej z jednym znacznikiem wyboru.

Początkowe cele wdrożenia

I. Klasyfikowanie, etykietowanie i odnajdywanie poufnych danych

Strategia ochrony informacji musi obejmować całą zawartość cyfrową organizacji.

Klasyfikacje i etykiety poufności umożliwiają zrozumienie, gdzie znajdują się poufne dane, sposób ich przemieszczania i implementowanie odpowiednich mechanizmów kontroli dostępu i użycia zgodnie z zasadami zerowego zaufania:

• Użyj automatycznej klasyfikacji i etykietowania, aby wykrywać poufne informacje i skalować odnajdywanie w infrastrukturze danych.

• Zastosowanie ręcznego etykietowania dokumentów i kontenerów oraz ręcznego opracowywania zestawów danych używanych w analizach, gdzie klasyfikacja i czułość są najlepiej ustalane przez kompetentnych użytkowników.

Wykonaj te kroki:

• Dowiedz się więcej o typach informacji poufnych

• Dowiedz się więcej o klasyfikatorach, które można trenować

• Dowiedz się więcej o etykietach poufności

Po skonfigurowaniu i przetestowaniu klasyfikacji i etykietowania, rozszerzaj proces odkrywania danych w obrębie zbioru danych.

Wykonaj następujące kroki, aby rozszerzyć odnajdywanie poza usługi Microsoft 365:

• Rozpocznij pracę ze skanerem na miejscu Microsoft Purview

• Odnajdywanie i ochrona poufnych informacji w aplikacjach SaaS

• Dowiedz się o skanowaniach i integrowaniu danych w portalu zarządzania Microsoft Purview

Podczas odnajdywania, klasyfikowania i etykietowania danych użyj tych zdobytych informacji, aby zmniejszyć ryzyko i wspierać inicjatywy zarządzania polityką.

Wykonaj te kroki:

• Wprowadzenie do Eksploratora zawartości

• Przeglądanie działań etykietowania za pomocą Eksploratora działań

• Dowiedz się więcej o usłudze Data Insights

II. Stosowanie szyfrowania, kontroli dostępu i oznaczeń zawartości

Uproszczenie implementacji najmniejszych uprawnień przy użyciu etykiet poufności w celu ochrony najbardziej poufnych danych za pomocą szyfrowania i kontroli dostępu. Użyj oznaczeń zawartości, aby zwiększyć świadomość i możliwość śledzenia użytkowników.

Ochrona dokumentów i wiadomości e-mail

Microsoft Purview Information Protection umożliwia dostęp i kontrolę użycia na podstawie etykiet poufności lub uprawnień zdefiniowanych przez użytkownika dla dokumentów i wiadomości e-mail. Można również opcjonalnie stosować oznaczenia i szyfrować informacje, które znajdują się w lub przepływają do mniejszych środowisk zaufania wewnętrznych lub zewnętrznych dla organizacji. Zapewnia ochronę w stanie spoczynku, w ruchu i podczas użycia dla aplikacji oświeconych.

Wykonaj te kroki:

• Przegląd opcji szyfrowania w Microsoft 365
• Ograniczanie dostępu do zawartości i użycia przy użyciu etykiet poufności

Ochrona dokumentów w programie Exchange, SharePoint i OneDrive

W przypadku danych przechowywanych w programie Exchange, SharePoint i OneDrive automatyczna klasyfikacja z etykietami poufności można wdrożyć za pośrednictwem zasad w docelowych lokalizacjach w celu ograniczenia dostępu i zarządzania szyfrowaniem na autoryzowanym ruchu wychodzącym.

Wykonaj ten krok:

• Konfiguruj zasady automatycznego etykietowania dla SharePoint, OneDrive i Exchange

III. Kontrola dostępu do danych

Zapewnienie dostępu do poufnych danych musi być kontrolowane, aby były lepiej chronione. Upewnij się, że decyzje dotyczące zasad dostępu i użycia są włącznie z poufnością danych.

Kontrolowanie dostępu do danych i ich udostępniania w usłudze Teams, witrynach Grupy Microsoft 365 i SharePoint

Etykiety poufności kontenerów pozwalają zaimplementować ograniczenia dostępu warunkowego i udostępniania dla Microsoft Teams, Grupy Microsoft 365 lub witryn SharePoint.

Wykonaj ten krok:

• Używaj etykiet poufności wraz z Microsoft Teams, Grupy Microsoft 365 i witrynami SharePoint

Kontrolowanie dostępu do danych w aplikacjach SaaS

Microsoft Defender for Cloud Apps zapewnia dodatkowe możliwości dostępu warunkowego oraz zarządzanie poufnymi plikami w środowiskach Microsoft 365 i innych firm, takich jak Box lub Google Workspace, w tym:

• Usuwanie uprawnień w celu rozwiązania nadmiernego poziomu uprawnień i zapobiegania wyciekom danych.

• Poddawanie plików kwarantannie w celu przeglądu.

• Stosowanie etykiet do poufnych plików.

Wykonaj te kroki:

• Integrate Microsoft Purview Information Protection

Wskazówka

Zapoznaj się z Integracja aplikacji SaaS zgodnych z Zero Trust z Microsoft 365, aby dowiedzieć się, jak zastosować zasady Zero Trust, aby zarządzać cyfrową infrastrukturą aplikacji w chmurze.

Kontrola dostępu do magazynu w IaaS/PaaS

Wdróż obowiązkowe zasady kontroli dostępu do zasobów IaaS/PaaS zawierających poufne dane.

Wykonaj ten krok:

• Dowiedz zasady Microsoft Purview DevOps

IV. Zapobieganie wyciekowi danych

Kontrola dostępu do danych jest niezbędna, ale niewystarczająca do skutecznego zarządzania ruchem danych oraz zapobiegania nieumyślnym lub nieautoryzowanym wyciekom bądź utracie danych. Jest to rola zapobiegania utracie danych i zarządzania ryzykiem poufnym, które opisano w sekcji IV.

Użyj Microsoft Purview zasad DLP, aby identyfikować, sprawdzać i automatycznie chronić poufne dane w następujących obszarach:

• usługi Microsoft 365, takie jak Teams, Exchange, SharePoint i OneDrive

• Aplikacje pakietu Office, takie jak Word, Excel i PowerPoint

• punkty końcowe Windows 10, Windows 11 i macOS (trzy najnowsze wydane wersje)

• lokalne udziały plików i lokalny SharePoint

• aplikacje w chmurze firmy innej niż Microsoft.

Wykonaj te kroki:

• Planowanie zapobiegania utracie danych

• Tworzenie, testowanie i dostrajanie zasad DLP

• Dowiedz się więcej o pulpicie nawigacyjnym alertów ochrony przed utratą danych

• Przeglądanie działań związanych z danymi za pomocą Eksploratora Aktywności

V. Zarządzanie ryzykiem wewnętrznym

Implementacje zasady najmniejszych uprawnień pomagają zminimalizować znane zagrożenia, ale ważne jest również korelowanie dodatkowych sygnałów behawioralnych związanych z zabezpieczeniami użytkowników, sprawdzanie wzorców dostępu do poufnych danych oraz posiadanie szeroko zakrojonych zdolności do wykrywania, badania i śledzenia zagrożeń.

Podejmij te kroki:

• Dowiedz się więcej o zarządzaniu ryzykiem niejawnych testerów

• Badanie działań związanych z zarządzaniem ryzykiem wewnętrznych

VI. Usuwanie niepotrzebnych informacji poufnych

Organizacje mogą zmniejszyć narażenie na dane, zarządzając cyklem życia poufnych danych.

Usuń wszystkie uprawnienia, gdzie to możliwe, usuwając same poufne dane, gdy nie są już cenne lub dopuszczalne dla organizacji.

Wykonaj ten krok:

• Wdrażanie zarządzania cyklem życia danych i zarządzanie rekordami

Zminimalizuj duplikowanie poufnych danych, preferując udostępnianie i używanie w miejscu, a nie transferów danych.

Wykonaj ten krok:

• Dowiedz się o udostępnianiu danych w miejscu za pomocą Microsoft Purview

Produkty omówione w tym przewodniku

Microsoft Purview

Microsoft Defender for Cloud Apps

Aby uzyskać więcej informacji lub pomoc dotyczącą implementacji, skontaktuj się z zespołem ds. sukcesu klienta.

Seria przewodników wdrażania Zero Trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji