Proteja os dados com Zero Trust

Fundo

Zero Trust é uma estratégia de segurança usada para projetar princípios de segurança para sua organização. O Zero Trust ajuda a proteger os recursos corporativos implementando os seguintes princípios de segurança:

• Verifique explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, localização, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anomalias.

• Use o acesso com privilégios mínimos. Limite o acesso do usuário com just-in-time (JIT) e just-enough-access (JEA), políticas adaptativas baseadas em risco e proteção de dados para ajudar a proteger os dados e a produtividade.

• Assuma a violação. Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.

O Microsoft Purview propõe cinco elementos principais para uma estratégia de defesa de dados em profundidade e uma implementação Zero Trust para dados:

1. Classificação e etiquetagem de dados
   Se você não sabe quais dados confidenciais você tem no local e em serviços de nuvem, você não pode protegê-los adequadamente. Descubra e detete dados em toda a sua organização e classifique-os por nível de sensibilidade.

2. Proteção de Informações
   O acesso condicional e com privilégios mínimos a dados confidenciais reduz os riscos de segurança dos dados. Aplique guarda-corpos de controle de acesso baseados em sensibilidade, gerenciamento de direitos e criptografia quando os controles ambientais forem insuficientes. Use marcações de sensibilidade de informações para aumentar a conscientização e a conformidade com a política de segurança.

3. Prevenção contra perda de dados
   O controle de acesso resolve apenas parte do problema. Verificar e controlar atividades e movimentos de dados arriscados que podem resultar em um incidente de segurança ou conformidade de dados permite que as organizações evitem o compartilhamento excessivo de dados confidenciais.

4. Gestão de Risco Insider
   O acesso aos dados nem sempre fornece toda a história. Minimize os riscos para os dados permitindo a deteção comportamental a partir de uma ampla gama de sinais e agindo em atividades potencialmente maliciosas e inadvertidas em sua organização que podem ser precursoras ou uma indicação de uma violação de dados.

5. Gestão de Dados
   O gerenciamento proativo do ciclo de vida de dados confidenciais reduz sua exposição. Limite o número de cópias ou propagação de dados confidenciais e exclua os dados que não são mais necessários para minimizar os riscos de violação de dados.

Objetivos de implantação do Data Zero Trust

Recomendamos que você se concentre nestes objetivos iniciais de implantação ao implementar uma estrutura Zero Trust completa para dados:
	I.Classificar e rotular dados. Classifique e rotule automaticamente os dados sempre que possível. Aplique manualmente onde não estiver. II.Aplique criptografia, controle de acesso e marcações de conteúdo. Aplique criptografia onde a proteção e o controle de acesso são insuficientes. III.Controle o acesso aos dados. Controle o acesso a dados confidenciais para que eles fiquem mais protegidos.
À medida que você avança alcançando os objetivos acima, adicione estes objetivos de implantação adicionais:
	IV.Evite o vazamento de dados. Use políticas de DLP orientadas por sinais de risco e sensibilidade de dados. V.Gerir riscos. Gerencie os riscos que podem levar a um incidente de segurança de dados verificando atividades de usuário relacionadas à segurança arriscadas e padrões de atividade de dados que podem resultar em um incidente de segurança de dados ou conformidade. VI.Reduza a exposição de dados. Reduza a exposição de dados por meio da governança de dados e da minimização contínua de dados

Guia de implantação do Zero Trust para dados

Este guia irá guiá-lo passo a passo através de uma abordagem Zero Trust para a proteção de dados. Tenha em mente que esses itens variam muito, dependendo da sensibilidade de suas informações e do tamanho e complexidade de sua organização.

Como precursor de qualquer implementação de segurança de dados, a Microsoft recomenda que você crie uma estrutura de classificação de dados e taxonomia de rótulo de sensibilidade que defina categorias de alto nível de risco de segurança de dados. Essa taxonomia será usada para simplificar tudo, desde inventário de dados ou insights de atividades até gerenciamento de políticas e priorização de investigações.

Para obter mais informações, consulte:

• Crie uma estrutura de classificação de dados bem projetada

Objetivos iniciais da implementação

I. Classifique, rotule e descubra dados confidenciais

Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da sua organização.

As classificações e rótulos de sensibilidade permitem que você entenda onde seus dados confidenciais estão localizados, como eles se movem e implemente controles de acesso e uso apropriados consistentes com os princípios de confiança zero:

• Use a classificação e a rotulagem automatizadas para detetar informações confidenciais e dimensionar a descoberta em todo o seu conjunto de dados.

• Use a rotulagem manual para documentos e contêineres e faça a curadoria manual de conjuntos de dados usados em análises onde a classificação e a sensibilidade são melhor estabelecidas por usuários experientes.

Siga estes passos:

• Saiba mais sobre tipos de informações confidenciais

• Saiba mais sobre classificadores treináveis

• Saiba mais sobre as etiquetas de confidencialidade

Depois de configurar e testar a classificação e a rotulagem, aumente a descoberta de dados em todo o seu conjunto de dados.

Siga estas etapas para estender a descoberta além dos serviços do Microsoft 365:

• Introdução ao mecanismo de varredura local Microsoft Purview

• Descubra e proteja informações confidenciais em aplicativos SaaS

• Saiba mais sobre verificações e ingestão no portal de governança do Microsoft Purview

À medida que você descobre, classifica e rotula seus dados, use esses insights para remediar riscos e informar suas iniciativas de gerenciamento de políticas.

Siga estes passos:

• Introdução ao Content Explorer

• Revisar a atividade de rotulagem com o Activity Explorer

• Saiba mais sobre o Data Insights

II. Aplique criptografia, controle de acesso e marcações de conteúdo

Simplifique sua implementação de privilégios mínimos usando rótulos de sensibilidade para proteger seus dados mais confidenciais com criptografia e controle de acesso. Use marcações de conteúdo para aumentar a conscientização e rastreabilidade do usuário.

Proteja documentos e e-mails

O Microsoft Purview Information Protection permite o controle de acesso e uso com base em rótulos de sensibilidade ou permissões definidas pelo usuário para documentos e e-mails. Ele também pode, opcionalmente, aplicar marcações e criptografar informações que residem ou fluem para ambientes de menor confiança internos ou externos à sua organização. Ele fornece proteção em repouso, em movimento e em uso para aplicações iluminadas.

Siga estes passos:

• Rever as opções de encriptação no Microsoft 365
• Restringir o acesso ao conteúdo e ao uso usando rótulos de sensibilidade

Proteger documentos no Exchange, SharePoint e OneDrive

Para dados armazenados no Exchange, SharePoint e OneDrive, a classificação automática com rótulos de sensibilidade pode ser implantada por meio de políticas em locais de destino para restringir o acesso e gerenciar a criptografia na saída autorizada.

Dê este passo:

• Configure políticas de rotulagem automática para SharePoint, OneDrive e Exchange.

III. Controlar o acesso aos dados

O acesso a dados sensíveis deve ser controlado para que estejam mais bem protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados.

Controle o acesso e o compartilhamento de dados no Teams, Grupos do Microsoft 365 e sites do SharePoint

Use rótulos de sensibilidade de contêiner para implementar restrições de acesso condicional e compartilhamento para sites do Microsoft Teams, Microsoft 365 Groups ou SharePoint.

Dê este passo:

• Usar rótulos de sensibilidade com sites do Microsoft Teams, Microsoft 365 Groups e SharePoint

Controle o acesso aos dados em aplicativos SaaS

O Microsoft Defender for Cloud Apps fornece recursos adicionais para acesso condicional e para gerenciar arquivos confidenciais no Microsoft 365 e em ambientes de terceiros, como Box ou Google Workspace, incluindo:

• Remoção de permissões para lidar com privilégios excessivos e evitar vazamento de dados.

• Colocar ficheiros em quarentena para revisão.

• Aplicação de etiquetas a ficheiros sensíveis.

Siga estes passos:

• Integre o Microsoft Purview Information Protection

Gorjeta

Confira Integrar aplicativos SaaS para Zero Trust com o Microsoft 365 para saber como aplicar os princípios do Zero Trust para ajudar a gerenciar seu patrimônio digital de aplicativos na nuvem.

Controle o acesso ao armazenamento IaaS/PaaS

Implante políticas obrigatórias de controle de acesso em recursos IaaS/PaaS que contenham dados confidenciais.

Dê este passo:

• Saiba mais sobre as políticas de DevOps do Microsoft Purview

IV. Evitar fugas de dados

O controle do acesso aos dados é necessário, mas insuficiente para exercer controle sobre a movimentação de dados e para evitar vazamentos ou perdas de dados inadvertidos ou não autorizados. Esse é o papel da prevenção da perda de dados e da gestão de riscos iniciados, que é descrito na secção IV.

Use as políticas de DLP do Microsoft Purview para identificar, verificar e proteger automaticamente dados confidenciais:

• Serviços do Microsoft 365, como Teams, Exchange, SharePoint e OneDrive

• Aplicativos do Office, como Word, Excel e PowerPoint

• Pontos finais Windows 10, Windows 11 e macOS (três versões mais recentes)

• compartilhamentos de arquivos locais e SharePoint local

• aplicativos na nuvem que não são da Microsoft.

Siga estes passos:

• Planejar a prevenção contra perda de dados

• Criar, testar e ajustar políticas de DLP

• Saiba mais sobre o painel Alertas de prevenção contra perda de dados

• Revisar a atividade de dados com o Activity Explorer

V. Gerencie riscos internos

As implementações de privilégios mínimos ajudam a minimizar os riscos conhecidos, mas também é importante correlacionar sinais comportamentais adicionais do usuário relacionados à segurança, verificar padrões de acesso a dados confidenciais e amplos recursos de deteção, investigação e caça.

Efetue estes passos:

• Saiba mais sobre o Insider Risk Management

• Investigar atividades de gestão de risco de iniciados

VI. Excluir informações confidenciais desnecessárias

As organizações podem reduzir a exposição de seus dados gerenciando o ciclo de vida de seus dados confidenciais.

Remova todos os privilégios onde puder excluindo os próprios dados confidenciais quando eles não forem mais valiosos ou permitidos para sua organização.

Dê este passo:

• Implementar o gerenciamento do ciclo de vida dos dados e o gerenciamento de registros

Minimize a duplicação de dados confidenciais, favorecendo o compartilhamento e o uso in-loco em vez de transferências de dados.

Dê este passo:

• Saiba mais sobre o compartilhamento de dados in-loco com o Microsoft Purview

Produtos abrangidos por este guia

Microsoft Purview

Aplicativos do Microsoft Defender para Nuvem

Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success.

Série de guias de implementação da Zero Trust