Определение и защита конфиденциальных бизнес-данных
В рамках руководства по внедрению Нулевого доверия в этой статье описывается бизнес-сценарий защиты наиболее важных ресурсов данных. В этом сценарии основное внимание уделяется определению и защите конфиденциальных бизнес-данных.
Цифровое преобразование привело организации к увеличению объема данных. Однако внешние сотрудники, такие как партнеры, поставщики и клиенты, получают доступ к большей части этих общих данных за пределами корпоративной сети. Этот сдвиг создал сложный ландшафт данных, особенно при рассмотрении распространения гибридных рабочих ресурсов и миграции в облако, растущего киберугроз, развития безопасности и изменения нормативных требований о том, как управляются и защищаются данные.
При использовании гибридных рабочих моделей корпоративные ресурсы и данные находятся на ходу. Ваша организация должна контролировать, где хранятся и передаются данные на устройствах, в приложениях и с партнерами. Однако для современной безопасности вы больше не можете полагаться на традиционные средства управления защитой сети.
| Традиционная защита данных с помощью сетевых элементов управления | Современная защита данных с нулевой доверием |
|---|---|
| В традиционных сетях управление периметром сети управляет критически важным доступом к данным, а не конфиденциальности данных. Обычно метки применяются к конфиденциальным данным вручную, что может привести к несогласованной классификации данных. | Модель нулевого доверия применяет надежную проверку подлинности к запросам доступа к данным, используя политики для проверки каждого удостоверения и обеспечения доступа к приложениям и данным. Модель нулевого доверия включает определение конфиденциальных данных и применение классификации и защиты, включая защиту от потери данных (DLP). Нулевое доверие включает защиту, которая защищает данные даже после того, как она оставила управляемую среду. Она также включает адаптивную защиту для снижения риска предварительной оценки. Помимо этих мер защиты, zero Trust включает непрерывный мониторинг и защиту от угроз, чтобы предотвратить и ограничить область нарушения данных. |
На следующей схеме показан переход от традиционной защиты с сетевыми элементами управления слева (от ограниченных известных расположений) к современной защите с нулевой доверием справа (в неизвестных расположениях), в которой защита применяется независимо от того, где находятся пользователи и устройства.
В этой статье описывается, как приступить к работе и выполнить стратегию выявления и защиты конфиденциальных данных. Если в вашей организации применяются правила, которые защищают данные, используйте статью "Соответствие нормативным требованиям и требованиям к соответствию требованиям" в этой серии, чтобы узнать, как применить то, что вы узнаете в этой статье, чтобы защитить данные, которые регулируются.
Как руководители бизнеса думают о защите конфиденциальных данных
Прежде чем начать любую техническую работу, важно понять различные мотивы для инвестирования в защиту бизнес-данных, так как они помогают информировать стратегию, цели и меры для успеха.
В следующей таблице приведены причины, по которым бизнес-лидеры в организации должны инвестировать в защиту данных на основе нуля доверия.
| Роль | Почему защита конфиденциальных данных важна |
|---|---|
| Главный исполнительный директор (генеральный директор) | Интеллектуальная собственность является основой бизнес-моделей многих организаций. Предотвращение утечки, позволяя легко сотрудничать с авторизованными сторонами, важно для бизнеса. В организациях, занимающихся персональными данными клиентов (PII), риск утечки может привести не только к финансовым штрафам, но и повредить репутацию компании. Наконец, конфиденциальные деловые разговоры (такие как слияния и приобретения, реструктуризация бизнеса, стратегия и юридические вопросы) могут серьезно повредить организации, если утечка. |
| Главный директор по маркетингу (CMO) | Планирование продуктов, обмен сообщениями, фирменной символике и предстоящие объявления о продукте должны быть выпущены в нужное время и в правильном порядке, чтобы максимально повысить эффективность. Незавременная утечка может снизить инвестиционные доходы и советовать конкурентов предстоящим планам. |
| Главный информационный директор (CIO) | Хотя традиционные подходы к защите информации зависят от ограничения доступа к ней, защита конфиденциальных данных надлежащим образом с помощью современных технологий обеспечивает более гибкое сотрудничество с внешними сторонами при необходимости без увеличения риска. ИТ-отделы могут выполнить свой мандат, чтобы обеспечить производительность при минимизации рисков. |
| Главный директор по информационной безопасности (CISO) | Как основная функция этой роли, защита конфиденциальных бизнес-данных является неотъемлемой частью информационной безопасности. Этот результат напрямую влияет на более крупную стратегию кибербезопасности организации. Расширенная технология безопасности и средства обеспечивают возможность мониторинга данных и предотвращения утечки и потери. |
| Главный технический директор (CTO) | Интеллектуальная собственность может отличать успешный бизнес от неудачного. Защита этих данных от чрезмерного доступа, несанкционированного доступа и кражи является ключевым фактором для обеспечения будущего роста организации. |
| Главный операционный директор (COO) | Данные операций, процедуры и рабочие планы являются ключевым стратегическим преимуществом для организации. Эти планы также могут выявить стратегические уязвимости, которые могут быть использованы конкурентами. Защита этих данных от кражи, чрезмерного использования и неправильного использования имеет решающее значение для дальнейшего успеха бизнеса. |
| Главный финансовый директор (CFO) | Публично торгующиеся компании обязаны защищать конкретные финансовые данные до того, как он будет обнародован. Другие финансовые данные могут выявить планы и стратегические сильные стороны или слабые места. Эти данные должны быть защищены для обеспечения соответствия существующим правилам и поддержанию стратегических преимуществ. |
| Главный директор по соответствию требованиям (CCO) | Нормативные акты по всему миру предписывают защиту персональных данных клиентов или сотрудников и других конфиденциальных данных. CCO несет ответственность за обеспечение соблюдения таких правил организацией. Комплексная стратегия защиты информации является ключом к достижению этой цели. |
| Главный директор по конфиденциальности (CPO) | CPO обычно отвечает за защиту персональных данных. В организациях, которые имеют большое количество персональных данных клиентов и организаций, работающих в регионах с строгими правилами конфиденциальности, неспособность защитить конфиденциальные данные может привести к резким штрафам. Эти организации также рискуют потерять доверие клиентов в результате. ЦП также должны препятствовать неправильному использованию персональных данных способами, которые нарушают соглашения клиента или законы, которые могут включать неправильный обмен данными в организации и с партнерами. |
Цикл внедрения для защиты критически важных бизнес-данных
В этой статье описывается этот бизнес-сценарий с использованием тех же этапов жизненного цикла, что и платформа Cloud Adoption Framework для Azure— определение стратегии, планирование, подготовка, принятие и управление и управление ими, но адаптированная для нулевого доверия.
В следующей таблице представлена доступна версия иллюстрации.
| Определение стратегии | Планирование | Ready | Внедрение | Контроль и управление |
|---|---|---|---|---|
| Результаты Выравнивание организации Стратегические цели |
Команда заинтересованных лиц Технические планы отсутствие достаточных навыков; |
Оценить Тест Пилотная программа |
Постепенно реализуйте цифровые активы | Отслеживание и измерение Мониторинг и обнаружение Итерацию для зрелости |
Дополнительные сведения о цикле внедрения "Нулевое доверие" см. в обзоре платформы внедрения "Нулевое доверие".
Определение этапа стратегии
Этап определения стратегии имеет решающее значение для определения и официального оформления наших усилий. Она формализирует "Почему?" этого сценария. На этом этапе вы понимаете сценарий с помощью бизнес-, ИТ- и операционных и стратегических перспектив. Вы определяете результаты, с помощью которых можно оценить успех в сценарии, понимая, что безопасность — это добавочное и итеративное путешествие.
В этой статье приводятся мотивации и результаты, относящиеся ко многим организациям. Используйте эти предложения, чтобы отобразить стратегию для вашей организации на основе уникальных потребностей.
Мотивы защиты данных
Мотивации для выявления и защиты конфиденциальных бизнес-данных просты, но разные части вашей организации имеют различные стимулы для выполнения этой работы. В следующей таблице приведены некоторые из этих мотивов.
| Площадь | Цели |
|---|---|
| Бизнес-потребности | Для защиты конфиденциальных бизнес-данных, особенно при совместном использовании с партнерами. |
| Ит-потребности | Стандартизованная схема классификации данных, которая может применяться последовательно во всем цифровом активе. |
| Операционные потребности | Реализуйте защиту данных в согласованном и стандартном режиме, используя автоматизацию по возможности. |
| Стратегические потребности | Уменьшите ущерб, который может вызвать инсайдер (намеренно или непреднамеренно) или плохим субъектом, который получает доступ к окружающей среде. |
Обратите внимание, что соблюдение нормативных требований может быть основной мотивацией для некоторых организаций. Если это верно для вас, перейдите к стратегии организации и используйте этот бизнес-сценарий вместе со статьей о соответствии нормативным требованиям и требованиям в этой серии.
Результаты защиты данных
Применение общей цели нулевого доверия к "никогда не доверяй" данным добавляет значительный уровень защиты к вашей среде. Важно быть ясным в результатах, которые вы ожидаете достичь, чтобы вы могли достичь правильного баланса защиты и удобства использования для всех участвующих команд, включая ваших пользователей. В следующей таблице приведены предлагаемые цели и результаты.
| Цель | Результат |
|---|---|
| Продуктивность | Пользователи могут легко сотрудничать с созданием бизнес-данных или выполнять свои рабочие функции с помощью бизнес-данных. |
| доступ Сейф | Доступ к данным и приложениям обеспечивается на соответствующем уровне. Для высокочувствительных данных требуются более строгие меры защиты, но эти средства защиты не должны бременить пользователей, которые, как ожидается, будут участвовать в этом или использовать эти данные. Конфиденциальные бизнес-данные ограничены тем, кто нуждается в использовании, и вы создали элементы управления, чтобы ограничить или запретить пользователям предоставлять общий доступ или реплика использовать эти данные за пределами предполагаемой группы использования. |
| Поддержка конечных пользователей | Элементы управления для защиты данных были интегрированы в общую архитектуру нулевого доверия. К этим элементам управления относятся единый вход, многофакторная проверка подлинности (MFA) и условный доступ Microsoft Entra, поэтому пользователи не постоянно оспариваются с запросами на проверку подлинности и авторизацию. Пользователи получают обучение по классификации и безопасному обмену данными. Пользователи могут контролировать свои важные данные, позволяя им отменять доступ в случае необходимости или отслеживать использование информации после предоставления общего доступа. Политики защиты данных автоматизированы, когда это возможно, чтобы уменьшить нагрузку на пользователей. |
| Повышение безопасности | Добавление защиты данных в цифровом активе защищает эти критически важные бизнес-активы и помогает снизить потенциальный ущерб от нарушения данных. Защита данных включает в себя гарантии защиты от преднамеренного, непреднамеренного или небрежного нарушения данных текущими или бывшими сотрудниками и партнерами. |
| Расширение возможностей ИТ-специалистов | Ит-отдел предоставляет четкое представление о том, что считается конфиденциальными бизнес-данными. У них есть хорошо мотивированная схема для согласования с инструментами и возможностями технологии для реализации планов и мониторинга состояния и успеха. |
Этап плана
Планы внедрения преобразуют принципы стратегии нулевого доверия в практический план. Ваши коллективные команды могут использовать план внедрения, чтобы руководствоваться своими техническими усилиями и выравнивать их с бизнес-стратегией вашей организации.
Мотивации и результаты, которые вы определяете вместе с вашими бизнес-лидерами и командами, поддерживают "Почему?" для вашей организации и стать Северной звездой для вашей стратегии. Далее происходит техническое планирование для достижения целей.
Техническое внедрение для выявления и защиты конфиденциальных бизнес-данных включает в себя:
- Обнаружение и идентификация конфиденциальных данных в вашем цифровом активе.
- Проверка схемы классификации и защиты, включая защиту от потери данных.
- Развертывание схемы в цифровом активе, начиная с данных в Microsoft 365 и расширение защиты ко всем приложениям SaaS, облачной инфраструктуре и данным в локальных репозиториях. Приложения SaaS — это приложения, которые находятся за пределами подписки Microsoft 365, но интегрированы с клиентом Microsoft Entra.
Защита конфиденциальных бизнес-данных также включает в себя несколько связанных действий, в том числе:
- Шифрование сетевого взаимодействия.
- Управление внешним доступом к Teams и проектам, где конфиденциальные данные являются общими.
- Настройка и использование выделенных и изолированных команд в Microsoft Teams для проектов с высоким уровнем конфиденциальности бизнес-данных, которые должны быть редкими. Большинству организаций не требуется такой уровень безопасности и изоляции данных.
Многие организации могут использовать четырехэтапный подход к этим целям развертывания, приведенный в следующей таблице.
| Этап 1 | Этап 2 | Этап 3 | Этап 4 |
|---|---|---|---|
| Обнаружение и идентификация конфиденциальных бизнес-данных Обнаружение не санкционированных приложений SaaS Шифрование сетевого взаимодействия |
Разработка и проверка схемы классификации Применение меток к данным в Microsoft 365 Общие сведения о базовых политиках защиты от потери данных Настройка безопасной службы Microsoft Teams для внутреннего и внешнего обмена данными с бизнес-партнерами |
Добавление защиты к определенным меткам (шифрование и другие параметры защиты) Внедрение автоматической и рекомендуемой маркировки в Приложение Office и службах Расширение политик защиты от потери данных в службах Microsoft 365 Реализация политик управления рисками предварительной оценки ключей |
Расширение меток и защиты данных в приложениях SaaS, включая защиту от потери данных Расширение автоматической классификации для всех служб Расширение меток и защиты для неактивных данных в локальных репозиториях Защита данных организации в облачной инфраструктуре |
Если этот поэтапный подход подходит для вашей организации, можно использовать следующее:
Эта скачиваемая презентация слайдов PowerPoint и отслеживание хода выполнения этих этапов и целей для руководителей бизнеса и других заинтересованных лиц. Ниже приведен слайд для этого бизнес-сценария.
Эта книга Excel позволяет назначать владельцев и отслеживать ход выполнения этих этапов, целей и их задач. Ниже приведен лист для этого бизнес-сценария.
Общие сведения о вашей организации
Этот рекомендуемый поэтапный подход к технической реализации может помочь дать контекст для понимания вашей организации. Потребности каждой организации в защите конфиденциальных бизнес-данных и их состав и объем данных отличаются.
Базовый шаг жизненного цикла внедрения нулевого доверия для каждого бизнес-сценария включает в себя инвентаризацию. Для этого бизнес-сценария вы будете инвентаризации данных вашей организации.
Применяются следующие действия:
Инвентаризация данных.
Во-первых, ознакомьтесь с тем, где находятся все данные, что может быть так же просто, как перечисление приложений и репозиториев с данными. После развертывания технологий, таких как метка конфиденциальности, вы можете обнаружить другие расположения, в которых хранятся конфиденциальные данные. Эти расположения иногда называются темными или серыми ИТ.<
Кроме того, полезно оценить, сколько данных планируется инвентаризация (том). На протяжении всего рекомендуемого технического процесса вы используете набор средств для обнаружения и идентификации бизнес-данных. Вы узнаете, какие данные у вас есть и где эти данные находятся в службах и облачных приложениях, что позволяет сопоставлять чувствительность данных с уровнем воздействия расположений, в которых он присутствует.
Например, Microsoft Defender для облака Приложения помогают определить приложения SaaS, о которых вы могли не знать. Работа по обнаружению расположения конфиденциальных данных начинается на этапе 1 технической реализации и каскадов на всех четырех этапах.
Задокументируйте цели и план добавочного внедрения на основе приоритетов.
Четыре этапа, рекомендуемые, представляют план добавочного внедрения. Настройте этот план на основе приоритетов вашей организации и состава цифрового имущества. Обязательно учитывайте все временная шкала вехи или обязательствах по выполнению этой работы.
Инвентаризация любых наборов данных или выделенных проектов, требующих секционной защиты (например, палаточных или специальных проектов).
Не для каждой организации требуется секциоированная защита.
Планирование и выравнивание организации
Техническая работа по защите конфиденциальных бизнес-данных пересекает несколько перекрывающихся областей и ролей:
- Data
- Приложения
- Конечные точки
- Network
- Удостоверения
В этой таблице перечислены роли, которые рекомендуется использовать при создании спонсорской программы и иерархии управления проектами для определения и обеспечения результатов.
| Руководители программ и технические владельцы | Отчетность |
|---|---|
| CISO, CIO или директор по безопасности данных | Поддержка руководства |
| Руководитель программы из отдела безопасности данных | Достижение результатов и совместная работа между командами |
| Архитектор систем безопасности | Советы по настройке и стандартам, особенно по вопросам шифрования, управления ключами и других фундаментальных технологий |
| Должностные лица по обеспечению соответствия | Сопоставление требований и рисков соответствия определенным элементам управления и доступным технологиям |
| Администратор Microsoft 365 | Реализация изменений в клиенте Microsoft 365 для OneDrive и защищенных папок |
| Владельцы приложения | Определение критически важных бизнес-ресурсов и обеспечение совместимости приложений с помеченными, защищенными и зашифрованными данными |
| Администратор безопасности данных | Реализация изменений конфигурации |
| ИТ-администратор | Обновление стандартов и документов политики |
| Управление безопасностью и /или ИТ-Администратор | Мониторинг для обеспечения соответствия |
| Команда по обучению пользователей | Убедитесь, что руководство для пользователей отражает обновления политики и предоставляет аналитические сведения о принятии пользователем таксономии меток |
Палуба ресурсов PowerPoint для этого содержимого внедрения включает следующий слайд с представлением заинтересованных лиц, которые можно настроить для вашей организации.
Техническое планирование и готовность к работе с навыками
Прежде чем приступить к технической работе, корпорация Майкрософт рекомендует узнать о возможностях, способах совместной работы и рекомендациях по подходу к этой работе. В следующей таблице содержится несколько ресурсов, которые помогут командам получить навыки.
| Ресурс | Description |
|---|---|
| Руководство по ускорению развертывания— Защита информации и защита от потери данных | Ознакомьтесь с рекомендациями команд Microsoft Customer Engagement. Это руководство приводит организации к зрелости с помощью обхода, пошагового выполнения модели, которая соответствует рекомендуемому этапу в этом руководстве по внедрению. |
RaMP проверка list: защита данных  |
Другой ресурс для перечисления и приоритета рекомендуемой работы, включая заинтересованных лиц. |
| Общие сведения о Защита от потери данных Microsoft Purview (начинающие) | В этом ресурсе вы узнаете о защиты от потери данных в Защита информации Microsoft Purview. |
Значок модуля Learn для руководства по защите информации и управлению жизненным циклом данных в модуле Microsoft Purview Microsoft Learn. (Промежуточный) |
Узнайте, как решения по управлению жизненным циклом данных и защиты информации Microsoft 365 помогают защитить и управлять данными на протяжении всего жизненного цикла — везде, где она живет и перемещается. |
Значок сертификации для сертифицированного майкрософт: сертификация Администратор istrator Information Protection |
Рекомендуемые схемы обучения для того, чтобы стать сертифицированным партнером по защите информации Администратор istrator. |
Этап 1
Цели развертывания этапа 1 включают процесс инвентаризации данных. К ним относятся идентификация неуправляемых приложений SaaS, которые ваша организация использует для хранения, обработки и совместного использования данных. Эти неуправляемые приложения можно перенести в процесс управления приложениями и применить защиту, или предотвратить использование бизнес-данных с этими приложениями.
Обнаружение и идентификация конфиденциальных бизнес-данных
Начиная с Microsoft 365, некоторые из основных средств, используемых для идентификации конфиденциальной информации, которые необходимо защитить, являются типами конфиденциальной информации (SIT) и другими классификаторами, включая обучаемые классификаторы и отпечатки пальцев. Эти идентификаторы помогают найти распространенные типы конфиденциальных данных, такие как кредитные карта номера или правительственные идентификационные номера, а также идентификация конфиденциальных документов и электронных писем с помощью машинного обучения и других методов. Вы также можете создавать пользовательские SIT для идентификации данных, уникальных для вашей среды, включая использование точного сопоставления данных для отличия данных, относящихся к конкретным людям( например, piI клиента), для которых требуется специальная защита.
Когда данные добавляются в среду Microsoft 365 или изменяются, он автоматически анализируется для конфиденциального содержимого с помощью всех siT, которые в настоящее время определены в вашем клиенте.
Обозреватель содержимого можно использовать в Портал соответствия требованиям Microsoft Purview для просмотра всех обнаруженных конфиденциальных данных в среде. Результаты дают вам знать, нужно ли настраивать или настраивать SIT для вашей среды для повышения точности. Результаты также дают вам первое представление о запасе данных и состоянии защиты информации. Например, если вы получаете слишком много ложных срабатываний для SIT или не находит известные данные, можно создать пользовательские копии стандартных SIT и изменить их, чтобы они работали лучше для вашей среды. Кроме того, их можно уточнить с помощью точного сопоставления данных.
Кроме того, можно использовать встроенные обучаемые классификаторы для идентификации документов, принадлежащих определенным категориям, например контрактам или грузовым документам. Если у вас есть определенные классы документов, которые необходимо определить и потенциально защитить, можно использовать примеры в Портал соответствия требованиям Microsoft Purview для обучения собственных классификаторов. Эти примеры можно использовать для обнаружения присутствия других документов с аналогичными шаблонами содержимого.
Помимо обозревателя контента организации имеют доступ к возможности поиска контента для создания пользовательских поисковых запросов в среде, включая использование расширенных критериев поиска и пользовательских фильтров.
В следующей таблице перечислены ресурсы для обнаружения конфиденциальных бизнес-данных.
| Ресурс | Description |
|---|---|
| Развертывание решения защиты информации с помощью Microsoft 365 Purview | Представляет платформу, процесс и возможности, которые можно использовать для достижения конкретных бизнес-целей для защиты информации. |
| Типы конфиденциальной информации | Запустите здесь, чтобы приступить к работе с типами конфиденциальной информации. Эта библиотека содержит множество статей для экспериментирования и оптимизации SIT. |
| Обозреватель содержимого | Проверьте среду Microsoft 365 для появления SIT и просмотрите результаты в средстве обозревателя содержимого. |
| Обучаемые классификаторы | Обучаемые классификаторы позволяют принести примеры типа содержимого, которое вы хотите обнаружить (сеять), а затем позволить подсистеме машинного обучения узнать, как узнать больше об этих данных. Вы участвуете в обучении классификатора, проверяя результаты до улучшения точности. |
| Точное сопоставление данных | Точное сопоставление данных позволяет находить конфиденциальные данные, соответствующие существующим записям( например, ЛИЧНЫЕ данные клиентов, записанные в бизнес-приложениях, что позволяет точно использовать такие данные с помощью политик защиты информации, практически устраняя ложные срабатывания. |
| Поиск контента | Используйте поиск контента для расширенных поисковых запросов, включая пользовательские фильтры. Можно использовать ключевое слово и логические операторы поиска. Вы также можете создавать поисковые запросы с помощью языка запросов ключевых слов (KQL). |
| RaMP проверка list: защита данных: сведения о данных | Список шагов реализации проверка с владельцами шагов и ссылками на документацию. |
Обнаружение не санкционированных приложений SaaS
Ваша организация, вероятно, подписывается на многие приложения SaaS, такие как Salesforce или приложения, относящиеся к вашей отрасли. Приложения SaaS, о которых вы знаете и управляете, считаются санкционированными. На последующих этапах вы расширяете схему защиты данных и политики защиты от потери данных, создаваемые с помощью Microsoft 365 для защиты данных в этих санкционированных приложениях SaaS.
Однако на этом этапе важно обнаружить не санкционированные приложения SaaS, которые использует ваша организация. Это позволяет отслеживать трафик в эти приложения и из них, чтобы определить, являются ли бизнес-данные организации общими для этих приложений. Если это так, вы можете перенести эти приложения в управление и применить защиту к этим данным, начиная с включения единого входа с помощью идентификатора Microsoft Entra.
Средство обнаружения приложений SaaS, которые использует ваша организация, — это Microsoft Defender для облака приложения.
| Ресурс | Description |
|---|---|
| Интеграция приложений SaaS для нулевого доверия с Microsoft 365 | В этом руководстве по решению рассматривается процесс защиты приложений SaaS с использованием принципов нулевого доверия. Первый шаг в этом решении включает добавление приложений SaaS в идентификатор Microsoft Entra ID и в область политик. Это должно быть приоритетом. |
| Оценка приложений Microsoft Defender для облака | Это руководство поможет вам быстро и быстро запустить приложения Microsoft Defender для облака. Вы можете обнаружить неуправляемые приложения SaaS до начала пробной и пилотной стадии. |
Шифрование сетевого взаимодействия
Эта цель является более проверка, чтобы убедиться, что сетевой трафик зашифрован. Обратитесь к группе сети, чтобы убедиться, что эти рекомендации выполнены.
| Ресурс | Description |
|---|---|
| Безопасные сети с нулевой доверием 3: внутренний трафик между приложениями шифруется | Убедитесь, что внутренний трафик между приложениями шифруется:
|
| Безопасные сети с нулевой целью доверия 6: весь трафик шифруется | Шифрование внутреннего трафика приложения между виртуальными сетями. Шифрование трафика между локальной средой и облаком. |
| Сеть до точки зрения архитектора (в облаке)-One | Для сетевых архитекторов эта статья помогает поставить рекомендуемые сетевые концепции в перспективу. Эд Фишер, архитектор безопасности и соответствия требованиям Майкрософт описывает, как оптимизировать сеть для облачного подключения, избегая наиболее распространенных ошибок. |
Этап 2
После того как вы выполнили инвентаризацию и узнали, где находятся конфиденциальные данные, перейдите к этапу 2, в котором вы разрабатываете схему классификации и начинаете тестировать это с данными организации. Этот этап также включает определение того, где данные или проекты требуют повышенной защиты.
При разработке схемы классификации это заманчиво создавать множество категорий и уровней. Однако организации, наиболее успешные, ограничивают количество уровней классификации небольшим числом, например 3-5. Меньше лучше.
Прежде чем переводить схему классификации организации в метки и добавлять защиту к меткам, полезно подумать о большом рисунке. Лучше всего быть как можно единообразным при применении любого типа защиты в организации и особенно большом цифровом активе. Это также относится к данным.
Например, многие организации хорошо обслуживаются трехуровневой моделью защиты данных, устройств и удостоверений. В этой модели большинство данных можно защитить на базовом уровне. Меньший объем данных может потребовать повышенной защиты. Некоторые организации имеют очень небольшой объем данных, требующих защиты на гораздо более высоком уровне. Примеры включают данные или данные, которые строго регулируются из-за чрезвычайно конфиденциальной природы данных или проектов.
Если для вашей организации работает три уровня защиты, это упрощает перевод этих меток на метки и защиту, которая применяется к меткам.
На этом этапе разработайте метки конфиденциальности и начните использовать их в microsoft 365. Не беспокойтесь о добавлении защиты к меткам, что предпочтительно сделано на более позднем этапе после того, как пользователи станут знакомы с метками и применяли их без проблем относительно их ограничений в течение некоторого времени. Добавление защиты к меткам включается на следующем этапе. Однако рекомендуется также приступить к работе с основными политиками защиты от потери данных. Наконец, на этом этапе вы применяете конкретную защиту к проектам или наборам данных, для которых требуется защита с высокой степенью конфиденциальности.
Разработка и проверка схемы классификации
| Ресурс | Description |
|---|---|
| Метки конфиденциальности | Узнайте о метках конфиденциальности и приступить к работе с ней. Наиболее важным аспектом этого этапа является обеспечение того, чтобы метки соответствовали потребностям бизнеса и языку, используемому пользователями. Если имена меток не интуитивно резонируются с пользователями или их значениями не сопоставляются последовательно с их предполагаемым использованием, внедрение меток может оказаться затрудненным, и точность приложения меток, скорее всего, будет страдать. |
Применение меток к данным в Microsoft 365
| Ресурс | Description |
|---|---|
| Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive | Включите встроенную метку для поддерживаемых файлов Office в SharePoint и OneDrive, чтобы пользователи могли применять метки конфиденциальности в Office для Интернета. |
| Управление метками конфиденциальности в Приложение Office | Затем начните вводить метки для пользователей, где они могут видеть и применять их. Когда вы опубликовали метки конфиденциальности из Портал соответствия требованиям Microsoft Purview, они начинают отображаться в Приложение Office для пользователей для классификации и защиты данных при его создании или изменении. |
| Применение меток к группам Microsoft Teams и Microsoft 365 | Когда вы будете готовы, включите группы Microsoft Teams и Microsoft 365 в область развертывания меток. |
Общие сведения о базовых политиках защиты от потери данных
| Ресурс | Description |
|---|---|
| Предотвращение потери данных | Начало работы с политиками защиты от потери данных. Рекомендуется начать с "мягких" политик защиты от потери данных, которые предоставляют предупреждения, но не блокируют действия или не блокируют действия, позволяя пользователям переопределять политику. Это позволяет оценить влияние этих политик без ущерба для производительности. Вы можете точно настроить политики, чтобы стать более строгими, так как вы получаете уверенность в их точности и совместимости с бизнес-потребностями. |
Настройка безопасных команд для внутреннего и внешнего обмена данными с бизнес-партнерами
Если вы определили проекты или данные, требующие защиты с высокой степенью конфиденциальности, эти ресурсы описывают настройку этих проектов в Microsoft Teams. Если данные хранятся в SharePoint без связанной команды, используйте инструкции в этих ресурсах для параметров SharePoint.
| Ресурс | Description |
|---|---|
| Настройка команд с защитой для конфиденциальных данных | Предоставляет предварительные рекомендации по защите проектов с высокочувствительными данными, включая защиту гостевого доступа и управление ими (партнеры, которые могут сотрудничать с вами в этих проектах). |
Этап 3
На этом этапе вы продолжаете развертывать схему классификации данных, которые вы усовершенствовали. Вы также применяете запланированные меры защиты.
После добавления защиты в метку (например, шифрование и управление правами):
- Все документы, которые недавно получают метку, включают защиту.
- Любой документ, хранящийся в SharePoint Online или OneDrive, который получил метку до добавления защиты, применяет защиту при открытии или скачивании документа.
Файлы, неактивные в службе или на компьютере пользователя, не получают защиту, добавленную в метку после получения этих файлов. Другими словами, если файл был ранее помечен, а затем вы позже добавите защиту к метке, защита не применяется к этим файлам.
Добавление защиты к меткам
| Ресурс | Description |
|---|---|
| Сведения о метках конфиденциальности | В этой статье описано множество способов настройки определенных меток для применения защиты. Рекомендуется начать с базовых политик, таких как "шифровать только" для сообщений электронной почты, и "все сотрудники — полный контроль" для документов. Эти политики обеспечивают надежные уровни защиты, предоставляя простые способы для пользователей при поиске ситуаций, в которых внедрение шифрования приводит к проблемам совместимости или конфликтам с бизнес-требованиями. Вы можете постепенно ужесточить ограничения позже, когда вы получите уверенность и понимание того, как пользователи должны использовать конфиденциальные данные. |
| Распространенные сценарии для меток конфиденциальности | См. этот список сценариев, поддерживаемых метками конфиденциальности. |
Введение автоматической маркировки в Приложение Office
| Ресурс | Description |
|---|---|
| Автоматическое применение метки конфиденциальности к содержимому | Автоматически назначьте метку файлам и сообщениям электронной почты при совпадении условий, указанных вами. Рекомендуется изначально настроить метки, чтобы предоставить пользователям интерактивную рекомендацию по маркировке. Убедившись, что они обычно принимаются, переключитесь на автоматическое применение метки. |
Расширение политик защиты от потери данных в Microsoft 365
| Ресурс | Description |
|---|---|
| Предотвращение потери данных | Продолжайте использовать эти действия, чтобы применить защиту от потери данных в среде Microsoft 365, расширив политики до дополнительных расположений и служб и ужесточив действия правила, удалив ненужные исключения. |
Реализация основных политик управления внутренними рисками
| Ресурс | Description |
|---|---|
| Управление внутренними рисками | Начало работы с рекомендуемыми действиями. Вы можете начать с использования шаблонов политик для быстрого начала работы, включая кражу данных, отправляя пользователей. |
Этап 4
На этом этапе вы расширяете защиту, разработанную в Microsoft 365, на данные в приложениях SaaS. Вы также переходите к автоматизации как можно большей части классификации и управления данными.
Расширение меток и защиты данных в приложениях SaaS, включая защиту от потери данных
| Ресурс | Description |
|---|---|
| Развертывание защиты информации для приложений SaaS | Используя Microsoft Defender для облака Apps, вы расширяете схему классификации, разработанную с помощью возможностей Microsoft 365 для защиты данных в приложениях SaaS. |
Расширение автоматической классификации
| Ресурс | Description |
|---|---|
| Автоматическое применение метки конфиденциальности к содержимому | Продолжайте развертывать автоматизированные методы для применения меток к данным. Расширьте их в неактивных документах в SharePoint, OneDrive и Teams, а также на сообщения электронной почты, отправляемые или полученные пользователями. |
Расширение меток и защиты данных в локальных репозиториях
| Ресурс | Description |
|---|---|
| Сканер Microsoft 365 Purview Information Protection | Сканируйте данные в локальных репозиториях, включая общие папки Microsoft Windows и SharePoint Server. Сканер защиты информации может проверять все файлы, которые могут индексировать Windows. Если метки конфиденциальности настроены для применения автоматической классификации, сканер может пометить обнаруженные файлы для применения этой классификации и при необходимости применить или удалить защиту. |
Защита данных организации в облачной инфраструктуре
| Ресурс | Description |
|---|---|
| Документация по управлению данными Microsoft Purview | Узнайте, как использовать портал управления Microsoft Purview, чтобы ваша организация могли найти, понять, управлять и использовать источники данных. Руководства, справочник по REST API и другая документация показано, как спланировать и настроить репозиторий данных, где можно обнаружить доступные источники данных и управлять использованием прав. |
План внедрения облака
План внедрения является важным требованием для успешного внедрения облака. Ключевыми атрибутами успешного плана внедрения для защиты данных являются следующие:
- Стратегия и планирование согласованы. По мере создания планов тестирования, пилотирования и развертывания возможностей классификации и защиты данных в цифровых активах обязательно следует пересмотреть стратегию и цели, чтобы обеспечить соответствие ваших планов. Это включает приоритет наборов данных, целей защиты данных и целевых вех.
- План является итеративным. По мере развертывания плана вы узнаете много вещей о вашей среде и наборе возможностей, которые вы используете. На каждом этапе развертывания просмотрите результаты по сравнению с целями и точно настройте планы. Это может включать пересмотр предыдущих работ для точной настройки политик, например.
- Обучение сотрудников и пользователей хорошо запланировано: от сотрудников администрирования до технической поддержки и ваших пользователей все обучены успешно с их идентификацией и защитой данных.
Дополнительные сведения из Cloud Adoption Framework для Azure см. в разделе "Планирование внедрения облака".
Этап готовности
Используйте ресурсы, перечисленные ранее, чтобы определить и защитить конфиденциальные данные. Работа по защите конфиденциальных бизнес-данных представляет один из уровней в стратегии развертывания с несколькими уровнями нулевого доверия.
Поэтапный подход, рекомендуемый в этой статье, включает каскадную работу в методичном способе по всей цифровой недвижимости. На этом этапе "Готово" измените эти элементы плана, чтобы убедиться, что все готово к работе:
- Данные, конфиденциальные для вашей организации, хорошо определены. Скорее всего, эти определения будут изменены при поиске данных и анализе результатов.
- У вас есть четкая карта, с которой наборы данных и приложения должны начинаться с и приоритетным планом для увеличения область вашей работы, пока она не охватывает все цифровые активы.
- Были определены и документированы корректировки предписанных технических рекомендаций, которые подходят для вашей организации и среды.
В этом списке приведены общие сведения о высокоуровневом методическом процессе для выполнения этой работы:
- Узнайте о возможностях классификации данных, таких как типы конфиденциальной информации, обучаемые классификаторы, метки конфиденциальности и политики защиты от потери данных.
- Начните использовать эти возможности с данными в службах Microsoft 365. Этот интерфейс помогает уточнить схему.
- Введите классификацию в Приложение Office.
- Перейдите к защите данных на устройствах, экспериментируя с и развертывая конечную точку защиты от потери данных.
- Расширьте возможности, которые вы усовершенствовали в своем пространстве Microsoft 365, к данным в облачных приложениях с помощью Defender для облака Apps.
- Обнаружение и применение защиты к локальным данным с помощью сканера Защита информации Microsoft Purview
- Используйте управление данными Microsoft Purview для обнаружения и защиты данных в облачных службах хранилища данных, включая большие двоичные объекты Azure, Cosmos DB, базы данных SQL и репозитории Amazon Web Services S3.
Этот процесс показан на схеме.
Ваши приоритеты для обнаружения и защиты данных могут отличаться.
Обратите внимание на следующие зависимости от других бизнес-сценариев:
- Для расширения защиты информации на конечных точках устройств требуется координация с Intune (включена в статью " Безопасная удаленная и гибридная работа ").
- Для расширения защиты информации на данные в приложениях SaaS требуется Microsoft Defender для облака Приложения. Пилотирование и развертывание приложений Defender для облака включается в сценарий предотвращения или уменьшения бизнес-ущерба от бизнес-сценария нарушения.
По завершении планов внедрения обязательно вернитесь к руководству по ускорению развертывания Защиты от потери данных и защиты от потери данных, чтобы ознакомиться с рекомендациями и точно настроить стратегию.
Этап внедрения
Корпорация Майкрософт рекомендует каскадный итеративный подход к обнаружению и защите конфиденциальных данных. Это позволяет уточнить стратегию и политики, чтобы повысить точность результатов. Например, начать работу с схемой классификации и защиты при обнаружении и идентификации конфиденциальных данных. Обнаруженные данные сообщают схеме и схеме помогают улучшить средства и методы, используемые для обнаружения конфиденциальных данных. Аналогичным образом, при тестировании и пилотной схеме результаты помогают улучшить созданные ранее политики защиты. Нет необходимости ждать, пока один этап завершится до начала следующего. Ваши результаты более эффективны, если вы выполняете итерацию по пути.
Управление этапами управления и управление ими
Управление данными организации — это итеративный процесс. Создавая схему классификации и развертывая ее в цифровом пространстве, вы создали основу. Используйте следующие упражнения, чтобы приступить к созданию первоначального плана управления для этой основы:
- Определите методологию: создайте базовую методологию для проверки схемы, ее применения в цифровом активе и успешности результатов. Определите, как отслеживать и оценивать успешность протокола защиты информации, включая текущее состояние и будущее состояние.
- Разработка базовых аспектов системы управления. Приступите к работе, используя небольшой и легко реализуемый набор средств управления. Эта основа системы управления называется минимально жизнеспособным продуктом (MVP).
- Улучшение начальной основы системы управления: итеративно добавляйте элементы управления для решения реальных рисков по мере достижения конечного состояния.
Microsoft Purview предоставляет несколько возможностей для управления данными, в том числе:
- Политики хранения
- Возможности хранения и архивирования почтовых ящиков
- Управление записями для более сложных политик хранения и удаления и расписаний
См. статью "Управление данными с помощью Microsoft Purview". Кроме того, обозреватель действий дает представление о том, что содержимое было обнаружено и помечено, и где находится это содержимое. Для приложений SaaS Microsoft Defender для облака Apps предоставляет расширенные отчеты о конфиденциальных данных, которые перемещаются и выходят из приложений SaaS. Ознакомьтесь со многими руководствами в библиотеке содержимого Microsoft Defender для облака Apps.
Next Steps
- Обзор платформы внедрения нулевого доверия
- Быстрая модернизация состояния безопасности
- Безопасная удаленная и гибридная работа
- Предотвращение или уменьшение ущерба для бизнеса из-за нарушения
- Соответствие нормативным требованиям и требованиям к соответствию
Ресурсы отслеживания хода выполнения
Для любого из бизнес-сценариев нулевого доверия можно использовать следующие ресурсы отслеживания хода выполнения.
| Ресурс отслеживания хода выполнения | Это помогает вам... | Целевая аудитория |
|---|---|---|
Скачиваемый файл Visio или PDF-файл планов внедрения плана внедрения 
|
Легко понять улучшения безопасности для каждого бизнес-сценария и уровня усилий для этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Средство отслеживания внедрения нулевого доверия, скачиваемое с помощью слайд-палубы PowerPoint 
|
Отслеживайте ход выполнения этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Задачи и задачи , которые можно скачать в Книге Excel 
|
Назначьте владение и отслеживайте ход выполнения этапов, целей и задач этапа плана. | Руководители проектов бизнес-сценариев, ИТ-руководители и ИТ-реализация. |
Дополнительные ресурсы см. в разделе "Оценка нулевого доверия" и ресурсы отслеживания хода выполнения.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по