Proteja os dados com Zero Trust
Fundo
Zero Trust é uma estratégia de segurança usada para projetar princípios de segurança para sua organização. O Zero Trust ajuda a proteger os recursos corporativos implementando os seguintes princípios de segurança:
Verifique explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, localização, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anomalias.
Use o acesso com privilégios mínimos. Limite o acesso do usuário com just-in-time (JIT) e just-enough-access (JEA), políticas adaptativas baseadas em risco e proteção de dados para ajudar a proteger os dados e a produtividade.
Assuma a violação. Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.
O Microsoft Purview propõe cinco elementos principais para uma estratégia de defesa de dados em profundidade e uma implementação Zero Trust para dados:
Classificação e etiquetagem de dados
Se você não sabe quais dados confidenciais você tem no local e em serviços de nuvem, você não pode protegê-los adequadamente. Descubra e detete dados em toda a sua organização e classifique-os por nível de sensibilidade.Proteção de Informações
O acesso condicional e com privilégios mínimos a dados confidenciais reduz os riscos de segurança dos dados. Aplique guarda-corpos de controle de acesso baseados em sensibilidade, gerenciamento de direitos e criptografia quando os controles ambientais forem insuficientes. Use marcações de sensibilidade de informações para aumentar a conscientização e a conformidade com a política de segurança.Prevenção contra perda de dados
O controle de acesso resolve apenas parte do problema. Verificar e controlar atividades e movimentos de dados arriscados que podem resultar em um incidente de segurança ou conformidade de dados permite que as organizações evitem o compartilhamento excessivo de dados confidenciais.Gestão de Risco Insider
O acesso aos dados pode nem sempre fornecer toda a história. Minimize os riscos para os dados permitindo a deteção comportamental a partir de uma ampla gama de sinais e agindo em atividades potencialmente maliciosas e inadvertidas em sua organização que podem ser precursoras ou uma indicação de uma violação de dados.Gestão de Dados
O gerenciamento proativo do ciclo de vida de dados confidenciais reduz sua exposição. Limite o número de cópias ou propagação de dados confidenciais e exclua os dados que não são mais necessários para minimizar os riscos de violação de dados.
Recomendamos que você se concentre nestes objetivos iniciais de implantação ao implementar uma estrutura Zero Trust completa para dados: |
|
I. Classificar e rotular os dados. Classifique e rotule automaticamente os dados sempre que possível. Aplique manualmente onde não estiver. II. Aplicar criptografia, controle de acesso e marcações de conteúdo. Aplique criptografia onde a proteção e o controle de acesso são insuficientes. III. Controlar o acesso aos dados. Controle o acesso a dados confidenciais para que eles fiquem mais protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados. |
|
À medida que você avança alcançando os objetivos acima, adicione estes objetivos de implantação adicionais: |
|
IV. Evitar fugas de dados. Use políticas de DLP orientadas por sinais de risco e sensibilidade de dados. V. Gerir riscos. Gerencie os riscos que podem levar a um incidente de segurança de dados verificando atividades de usuário relacionadas à segurança arriscadas e padrões de atividade de dados que podem resultar em um incidente de segurança de dados ou conformidade. VI. Reduzir a exposição dos dados. Reduza a exposição de dados por meio da governança de dados e da minimização contínua de dados |
Este guia irá guiá-lo passo a passo através de uma abordagem Zero Trust para a proteção de dados. Tenha em mente que esses itens variam muito, dependendo da sensibilidade de suas informações e do tamanho e complexidade de sua organização.
Como precursor de qualquer implementação de segurança de dados, a Microsoft recomenda que você crie uma estrutura de classificação de dados e taxonomia de rótulo de sensibilidade que defina categorias de alto nível de risco de segurança de dados. Essa taxonomia será usada para simplificar tudo, desde inventário de dados ou insights de atividades até gerenciamento de políticas e priorização de investigações.
Para obter mais informações, consulte:
|
Objetivos iniciais da implementação |
Uma estratégia de proteção de informações precisa abranger todo o conteúdo digital da sua organização.
As classificações e rótulos de sensibilidade permitem que você entenda onde seus dados confidenciais estão localizados, como eles se movem e implemente controles de acesso e uso apropriados consistentes com os princípios de confiança zero:
Use a classificação e a rotulagem automatizadas para detetar informações confidenciais e dimensionar a descoberta em todo o seu conjunto de dados.
Use a rotulagem manual para documentos e contêineres e faça a curadoria manual de conjuntos de dados usados em análises onde a classificação e a sensibilidade são melhor estabelecidas por usuários experientes.
Siga estes passos:
Depois de configurar e testar a classificação e a rotulagem, aumente a descoberta de dados em todo o seu conjunto de dados.
Siga estas etapas para estender a descoberta além dos serviços do Microsoft 365:
Introdução ao mecanismo de varredura local Microsoft Purview
Descubra e proteja informações confidenciais em aplicativos SaaS
Saiba mais sobre verificações e ingestão no portal de governança do Microsoft Purview
À medida que você descobre, classifica e rotula seus dados, use esses insights para remediar riscos e informar suas iniciativas de gerenciamento de políticas.
Siga estes passos:
Simplifique sua implementação de privilégios mínimos usando rótulos de sensibilidade para proteger seus dados mais confidenciais com criptografia e controle de acesso. Use marcações de conteúdo para aumentar a conscientização e rastreabilidade do usuário.
O Microsoft Purview Information Protection permite o controle de acesso e uso com base em rótulos de sensibilidade ou permissões definidas pelo usuário para documentos e e-mails. Ele também pode, opcionalmente, aplicar marcações e criptografar informações que residem ou fluem para ambientes de menor confiança internos ou externos à sua organização. Ele fornece proteção em repouso, em movimento e em uso para aplicações iluminadas.
Siga estes passos:
- Rever as opções de encriptação no Microsoft 365
- Restringir o acesso ao conteúdo e ao uso usando rótulos de sensibilidade
Para dados armazenados no Exchange, SharePoint e OneDrive, a classificação automática com rótulos de sensibilidade pode ser implantada por meio de políticas em locais de destino para restringir o acesso e gerenciar a criptografia na saída autorizada.
Dê este passo:
O fornecimento de acesso a dados confidenciais deve ser controlado para que eles sejam mais bem protegidos. Certifique-se de que as decisões de política de acesso e uso incluam a sensibilidade dos dados.
Controle o acesso e o compartilhamento de dados no Teams, Grupos do Microsoft 365 e sites do SharePoint
Use rótulos de sensibilidade de contêiner para implementar restrições de acesso condicional e compartilhamento para sites do Microsoft Teams, Microsoft 365 Groups ou SharePoint.
Dê este passo:
O Microsoft Defender for Cloud Apps fornece recursos adicionais para acesso condicional e para gerenciar arquivos confidenciais no Microsoft 365 e em ambientes de terceiros, como Box ou Google Workspace, incluindo:
Remoção de permissões para lidar com privilégios excessivos e evitar vazamento de dados.
Colocar ficheiros em quarentena para revisão.
Aplicação de etiquetas a ficheiros sensíveis.
Siga estes passos:
Gorjeta
Confira Integrar aplicativos SaaS para Zero Trust com o Microsoft 365 para saber como aplicar os princípios do Zero Trust para ajudar a gerenciar seu patrimônio digital de aplicativos na nuvem.
Implante políticas obrigatórias de controle de acesso em recursos IaaS/PaaS que contenham dados confidenciais.
Dê este passo:
O controle do acesso aos dados é necessário, mas insuficiente para exercer controle sobre a movimentação de dados e para evitar vazamentos ou perdas de dados inadvertidos ou não autorizados. Esse é o papel da prevenção da perda de dados e da gestão de riscos iniciados, que é descrito na secção IV.
Use as políticas de DLP do Microsoft Purview para identificar, verificar e proteger automaticamente dados confidenciais:
Serviços do Microsoft 365, como Teams, Exchange, SharePoint e OneDrive
Aplicativos do Office, como Word, Excel e PowerPoint
Pontos finais Windows 10, Windows 11 e macOS (três versões mais recentes)
compartilhamentos de arquivos locais e SharePoint local
aplicativos na nuvem que não são da Microsoft.
Siga estes passos:
As implementações de privilégios mínimos ajudam a minimizar os riscos conhecidos, mas também é importante correlacionar sinais comportamentais adicionais do usuário relacionados à segurança, verificar padrões de acesso a dados confidenciais e amplos recursos de deteção, investigação e busca.
Efetue estes passos:
As organizações podem reduzir a exposição de seus dados gerenciando o ciclo de vida de seus dados confidenciais.
Remova todos os privilégios onde puder, excluindo os próprios dados confidenciais quando eles não forem mais valiosos ou permitidos para sua organização.
Dê este passo:
Minimize a duplicação de dados confidenciais, favorecendo o compartilhamento e o uso in-loco em vez de transferências de dados.
Dê este passo:
Aplicativos do Microsoft Defender para Nuvem
Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success.
Série de guias de implementação da Zero Trust