Proteger dados com a Confiança Zero
Background
Confiança Zero é uma estratégia de segurança usada para projetar princípios de segurança para sua organização. O Confiança Zero ajuda a proteger os recursos corporativos implementando os seguintes princípios de segurança:
Verificar explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, local, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anormalidades.
Usar o acesso com privilégios mínimos. Limite o acesso do usuário com acesso Just-In-Time (JIT) e Just-Enough (JEA), políticas adaptáveis baseadas em risco e proteção de dados para ajudar a proteger dados e produtividade.
Presumir a violação. Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
O Microsoft Purview propõe cinco elementos principais para uma estratégia de defesa de dados em profundidade e uma implementação de Confiança Zero para dados:
Classificação e rotulagem de dados
Se não souber quais dados confidenciais você tem localmente e nos serviços de nuvem, não poderá protegê-los adequadamente. Descubra e detecte dados em toda a organização e classifique-os por nível de sensibilidade.Proteção de Informações
O acesso condicional e com privilégios mínimos a dados confidenciais reduz os riscos à segurança dos dados. Aplique guarda-corpos de controle de acesso baseados em sensibilidade, gerenciamento de direitos e criptografia onde os controles ambientais são insuficientes. Utilize marcações de sensibilidade de informações para aumentar a conscientização e a conformidade com a política de segurança.Prevenção contra perda de dados
O controle de acesso resolve apenas parte do problema. A verificação e o controle de atividades e movimentos de dados arriscados que podem resultar em um incidente de segurança ou conformidade de dados permitem que as organizações evitem o compartilhamento excessivo de dados confidenciais.Gerenciamento de riscos para informações privilegiadas
O acesso aos dados pode nem sempre fornecer a história completa. Minimize os riscos aos dados habilitando a detecção comportamental a partir de uma ampla gama de sinais e agindo em atividades potencialmente maliciosas e inadvertidas na sua organização que podem ser precursoras ou uma indicação de uma violação de dados.Governança de dados
O gerenciamento proativo do ciclo de vida de dados confidenciais reduz sua exposição. Limite o número de cópias ou propagação de dados confidenciais e exclua dados que não são mais necessários para minimizar os riscos de violação de dados.
Objetivos de implantação da Confiança Zero nos dados
Recomendamos que você se concentre nesses objetivos iniciais de implantação ao implementar uma estrutura de Confiança Zero de ponta a ponta para dados: |
|
I. Classificar e rotular dados. Classifique e rotule dados automaticamente sempre que possível. Aplique manualmente onde não houver. II. Aplicar criptografia, controle de acesso e marcações de conteúdo. Aplique a criptografia quando a proteção e o controle de acesso forem insuficientes. III. Controlar o acesso a dados. Controle o acesso a dados confidenciais para que eles sejam mais bem protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados. |
|
À medida que você avança atingindo os objetivos acima, adicione estes objetivos de implantação adicionais: |
|
IV. Impedir o vazamento de dados. Use políticas de DLP controladas por sinais de risco e confidencialidade de dados. V. Gerenciar riscos. Gerencie os riscos que podem levar a um incidente de segurança de dados, verificando as atividades arriscadas dos usuários relacionadas à segurança e os padrões de atividade de dados que podem resultar em um incidente de segurança de dados ou de conformidade. VI. Reduzir a exposição de dados. Reduza a exposição de dados por meio da governança de dados e da minimização contínua de dados |
Guia de implantação de Confiança Zero para dados
Este guia vai orientar você passo a passo por meio de uma abordagem de Confiança Zero à proteção de dados. Tenha em mente que esses itens variarão muito dependendo da confidencialidade de suas informações e do tamanho e da complexidade da sua organização.
Como precursor de qualquer implementação de segurança de dados, a Microsoft recomenda que você crie uma estrutura de classificação de dados e taxonomia de rótulo de sensibilidade que defina categorias de alto nível de risco de segurança de dados. Essa taxonomia será usada para simplificar tudo, desde inventário de dados ou insights de atividades, até gerenciamento de políticas e priorização de investigações.
Para saber mais, veja:
|
Objetivos de implantação inicial |
I. Classificar, rotular e descobrir dados confidenciais
Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da organização.
As classificações e os rótulos de confidencialidade permitem que você entenda onde seus dados confidenciais estão localizados, como eles se movem e implemente controles de acesso e uso apropriados consistentes com os princípios de confiança zero:
Utilize a classificação e a rotulagem automatizadas para detectar informações confidenciais e dimensionar a descoberta em todo o seu estado de dados.
Use a rotulagem manual para documentos e contêineres e faça a curadoria manual dos conjuntos de dados usados na análise, onde a classificação e a sensibilidade são mais bem estabelecidas por usuários com conhecimento.
Siga estas etapas:
Depois de configurar e testar a classificação e a rotulagem, aumente a escala da descoberta de dados em todo o seu estado de dados.
Siga estas etapas para estender a descoberta além dos serviços do Microsoft 365:
Introdução ao mecanismo de varredura local do Microsoft Purview
Descubra como proteger informações confidenciais em aplicativos SaaS
Saiba mais sobre varreduras e ingestão no portal de governança do Microsoft Purview
À medida que você descobre, classifica e rotula seus dados, utilize esses insights para corrigir riscos e informar suas iniciativas de gerenciamento de políticas.
Siga estas etapas:
II. Aplicar criptografia, controle de acesso e marcações de conteúdo
Simplifique sua implementação de privilégios mínimos utilizando rótulos de confidencialidade para proteger seus dados mais confidenciais com criptografia e controle de acesso. Utilize marcações de conteúdo para melhorar a conscientização e a rastreabilidade do usuário.
Proteja documentos e e-mails
O Microsoft Purview Information Protection permite o acesso e o controle de uso com base em rótulos de confidencialidade ou permissões definidas pelo usuário para documentos e emails. Ele também pode, opcionalmente, aplicar marcações e criptografar informações que residem ou fluem para ambientes de menor confiança, internos ou externos à sua organização. Ele fornece proteção em repouso, em movimento e em uso para aplicações iluminadas.
Siga estas etapas:
- Revise as opções de criptografia no Microsoft 365
- Restringir o acesso ao conteúdo e ao uso usando rótulos de confidencialidade
Proteger documentos no Exchange, SharePoint e OneDrive
Para dados armazenados no Exchange, SharePoint e OneDrive, a classificação automática com rótulos de confidencialidade pode ser implantada por meio de políticas em locais específicos para restringir o acesso e gerenciar a criptografia em saídas autorizadas.
Realize esta etapa:
III. Controlar o acesso a dados
O fornecimento de acesso a dados confidenciais deve ser controlado para que eles sejam mais bem protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados.
Controlar o acesso e o compartilhamento de dados nos sites do Teams, do Microsoft 365 Groups e do SharePoint
Utilize rótulos de sensibilidade de contêiner para implementar restrições de acesso condicional e compartilhamento para sites do Microsoft Teams, Microsoft 365 Groups ou SharePoint.
Realize esta etapa:
Controlar o acesso aos dados em aplicativos SaaS
O Microsoft Defender for Cloud Apps fornece recursos adicionais para acesso condicional e para gerenciar arquivos confidenciais no Microsoft 365 e em ambientes de terceiros, como o Box ou o Google Workspace, incluindo:
Remoção de permissões para lidar com privilégios excessivos e evitar o vazamento de dados.
Colocar arquivos em quarentena para revisão.
Aplicação de rótulos a arquivos confidenciais.
Siga estas etapas:
Dica
Confira Integrar aplicativos SaaS para Confiança Zero com o Microsoft 365 para saber como aplicar os princípios de Confiança Zero para ajudar a gerenciar seu patrimônio digital de aplicativos em nuvem.
Controlar o acesso ao armazenamento IaaS/PaaS
Implante políticas de controle de acesso obrigatórias em recursos IaaS/PaaS que contenham dados confidenciais.
Realize esta etapa:
IV. Impedir o vazamento de dados
O controle de acesso aos dados é necessário, mas insuficiente para exercer controle sobre a movimentação de dados e para evitar vazamento ou perda de dados inadvertidos ou não autorizados. Esse é o papel da prevenção de perda de dados e do gerenciamento de riscos internos, que é descrito na seção IV.
Utilize as políticas DLP do Microsoft Purview para identificar, verificar e proteger automaticamente dados confidenciais em:
Serviços do Microsoft 365, como Teams, Exchange, SharePoint e OneDrive
Aplicativos do Office, como Word, Excel e PowerPoint
Pontos de extremidade do Windows 10, Windows 11 e macOS (três versões mais recentes)
compartilhamentos de arquivos locais e SharePoint local
aplicativos na nuvem que não são da Microsoft
Siga estas etapas:
Saiba mais sobre o painel Alertas de prevenção de perda de dados
Revisar a atividade de dados com o Gerenciador de Atividades
V. Gerenciar riscos internos
As implementações de privilégios mínimos ajudam a minimizar os riscos conhecidos, mas também é importante correlacionar outros sinais comportamentais do usuário relacionados à segurança, verificar padrões de acesso a dados confidenciais e ampliar os recursos de detecção, investigação e busca.
Execute estas etapas:
VI. Excluir informações confidenciais desnecessárias
As organizações podem reduzir sua exposição de dados gerenciando o ciclo de vida de seus dados confidenciais.
Remova todos os privilégios onde for possível, excluindo os próprios dados confidenciais quando eles não forem mais valiosos ou permitidos para sua organização.
Realize esta etapa:
Minimize a duplicação de dados confidenciais, favorecendo o compartilhamento e o uso in-loco em vez de transferências de dados.
Realize esta etapa:
Produtos abordados neste guia
Microsoft Defender for Cloud Apps
Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes.
A série de guias de implantação de Confiança Zero