Skydda data med Nolltillit
Bakgrund
Nolltillit är en säkerhetsstrategi som används för att utforma säkerhetsprinciper för din organisation. Nolltillit hjälper till att skydda företagsresurser genom att implementera följande säkerhetsprinciper:
Verifiera explicit. Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter, inklusive användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser.
Använd åtkomst med minsta möjliga behörighet. Begränsa användaråtkomst med just-in-time (JIT) och just-enough-access (JEA), riskbaserade adaptiva principer och dataskydd för att skydda både data och produktivitet.
Anta intrång. Minimera explosionsradien och segmentåtkomsten. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.
Microsoft Purview föreslår fem kärnelement för en djupgående strategi för dataförsvar och en Nolltillit implementering av data:
Dataklassificering och etikettering
Om du inte vet vilka känsliga data du har lokalt och i molntjänster kan du inte skydda dem tillräckligt. Identifiera och identifiera data i hela organisationen och klassificera dem efter känslighetsnivå.Informationsskydd
Villkorlig och lägsta behörighet för åtkomst till känsliga data minskar risken för datasäkerhet. Tillämpa känslighetsbaserade skyddsmekanismer för åtkomstkontroll, rättighetshantering och kryptering där miljökontrollerna inte räcker till. Använd känslighetsmarkeringar för information för att öka medvetenheten och efterlevnaden av säkerhetsprinciper.Dataförlustskydd
Åtkomstkontroll löser endast en del av problemet. Genom att kontrollera riskfyllda dataaktiviteter och rörelser som kan leda till en datasäkerhets- eller efterlevnadsincident kan organisationer förhindra överdelning av känsliga data.Hantering av insiderrisk
Dataåtkomst kanske inte alltid ger hela historien. Minimera riskerna för data genom att aktivera beteendeidentifiering från en mängd olika signaler och agera på potentiellt skadliga och oavsiktliga aktiviteter i din organisation som kan vara prekursorer till eller en indikation på ett dataintrång.Datastyrning
Proaktiv hantering av livscykeln för känsliga data minskar exponeringen. Begränsa antalet kopior eller spridning av känsliga data och ta bort data som inte längre behövs för att minimera risken för dataintrång.
Distributionsmål för data Nolltillit
|
Vi rekommenderar att du fokuserar på dessa inledande distributionsmål när du implementerar ett Nolltillit ramverk för data från slutpunkt till slutpunkt: |
|
|
|
I.Classify och etikettdata. Klassificera och märka data automatiskt där det är möjligt. Använd manuellt där det inte är. II.Tillämpa kryptering, åtkomstkontroll och innehållsmarkeringar. Tillämpa kryptering där skydd och åtkomstkontroll är otillräckliga. III.Kontrollera åtkomsten till data. Kontrollera åtkomsten till känsliga data så att de skyddas bättre. |
|
När du gör framsteg med att uppnå ovanstående mål lägger du till följande ytterligare distributionsmål: |
|
|
|
IV.Förhindra dataläckage. Använd DLP-principer som drivs av riskfyllda signaler och datakänslighet. V.Hantera risker. Hantera risker som kan leda till en datasäkerhetsincident genom att kontrollera riskfyllda säkerhetsrelaterade användaraktiviteter och dataaktivitetsmönster som kan leda till en datasäkerhets- eller efterlevnadsincident. VI.Minska dataexponeringen. Minska dataexponeringen genom datastyrning och kontinuerlig dataminimering |
Nolltillit distributionsguide för data
Den här guiden vägleder dig steg för steg genom en Nolltillit metod för dataskydd. Tänk på att dessa objekt varierar kraftigt beroende på informationens känslighet och organisationens storlek och komplexitet.
Som en föregångare till en implementering av datasäkerhet rekommenderar Microsoft att du skapar ett ramverk för dataklassificering och taxonomi för känslighetsetiketter som definierar kategorier av datasäkerhetsrisker på hög nivå. Den taxonomi används för att förenkla allt från datainventering eller aktivitetsinsikter till principhantering till prioritering av undersökningar.
Mer information finns i:
|
|
Initiala distributionsmål |
I. Klassificera, märka och identifiera känsliga data
En informationsskyddsstrategi måste omfatta hela organisationens digitala innehåll.
Med klassificeringar och känslighetsetiketter kan du förstå var dina känsliga data finns, hur de flyttas och implementera lämpliga åtkomst- och användningskontroller som överensstämmer med noll förtroendeprinciper:
Använd automatiserad klassificering och etikettering för att identifiera känslig information och skala identifiering i din dataegendom.
Använd manuell etikettering för dokument och containrar och manuellt kurera datauppsättningar som används i analys där klassificering och känslighet bäst fastställs av kunniga användare.
Följ de här stegen:
När du har konfigurerat och testat klassificering och etikettering skalar du upp dataidentifiering i din dataegendom.
Följ dessa steg för att utöka identifieringen utöver Microsoft 365-tjänster:
När du upptäcker, klassificerar och etiketterar dina data använder du dessa insikter för att åtgärda risker och informera dina principhanteringsinitiativ.
Följ de här stegen:
II. Tillämpa kryptering, åtkomstkontroll och innehållsmarkeringar
Förenkla implementeringen av minsta möjliga privilegier genom att använda känslighetsetiketter för att skydda dina känsligaste data med kryptering och åtkomstkontroll. Använd innehållsmarkeringar för att öka användarnas medvetenhet och spårbarhet.
Skydda dokument och e-postmeddelanden
Microsoft Purview Information Protection möjliggör åtkomst- och användningskontroll baserat på känslighetsetiketter eller användardefinierade behörigheter för dokument och e-postmeddelanden. Du kan också använda markeringar och kryptera information som finns i eller flödar ut till mindre betrodda miljöer som är interna eller externa för din organisation. Det ger skydd i vila, i rörelse och används för upplysta program.
Följ de här stegen:
- Granska krypteringsalternativ i Microsoft 365
- Begränsa åtkomsten till innehåll och användning med hjälp av känslighetsetiketter
Skydda dokument i Exchange, SharePoint och OneDrive
För data som lagras i Exchange, SharePoint och OneDrive kan automatisk klassificering med känslighetsetiketter distribueras via principer till målplatser för att begränsa åtkomst och hantera kryptering vid auktoriserad utgående trafik.
Ta det här steget:
- Konfigurera principer för automatisk etikettering för SharePoint, OneDrive och Exchange.
III. Kontrollera åtkomst till data
Åtkomst till känsliga data måste kontrolleras så att de skyddas bättre. Se till att beslut om åtkomst- och användningsprinciper omfattar datakänslighet.
Kontrollera dataåtkomst och delning i Teams, Microsoft 365-grupper- och SharePoint-webbplatser
Använd känslighetsetiketter för containrar för att implementera begränsningar för villkorlig åtkomst och delning för Microsoft Teams, Microsoft 365-grupper eller SharePoint-webbplatser.
Ta det här steget:
Kontrollera åtkomsten till data i SaaS-program
Microsoft Defender för molnet Apps ger ytterligare funktioner för villkorlig åtkomst och för att hantera känsliga filer i Microsoft 365- och tredjepartsmiljöer som Box eller Google Workspace, inklusive:
Ta bort behörigheter för att hantera överdriven behörighet och förhindra dataläckage.
Quarantining-filer för granskning.
Tillämpa etiketter på känsliga filer.
Följ de här stegen:
Dricks
Kolla in Integrera SaaS-appar för Nolltillit med Microsoft 365 för att lära dig hur du tillämpar Nolltillit principer för att hantera din digitala egendom för molnappar.
Kontrollera åtkomsten till i IaaS/PaaS-lagring
Distribuera obligatoriska principer för åtkomstkontroll till IaaS/PaaS-resurser som innehåller känsliga data.
Ta det här steget:
IV. Förhindra dataläckage
Att kontrollera åtkomsten till data är nödvändigt men otillräckligt för att utöva kontroll över dataflytt och för att förhindra oavsiktligt eller obehörigt dataläckage eller förlust. Det är rollen för dataförlustskydd och hantering av insiderrisk, som beskrivs i avsnitt IV.
Använd Microsoft Purview DLP-principer för att identifiera, kontrollera och automatiskt skydda känsliga data över:
Microsoft 365-tjänster som Teams, Exchange, SharePoint och OneDrive
Office-appen som Word, Excel och PowerPoint
Slutpunkter för Windows 10, Windows 11 och macOS (tre senaste versioner)
lokala filresurser och lokal SharePoint
molnappar som inte kommer från Microsoft.
Följ de här stegen:
V. Hantera insiderrisker
Implementeringar med minsta möjliga privilegier hjälper till att minimera kända risker, men det är också viktigt att korrelera ytterligare säkerhetsrelaterade användarbeteendesignaler, kontrollera mönster för åtkomst till känsliga data och till breda identifierings-, undersöknings- och jaktfunktioner.
Ta dessa steg:
VI. Ta bort onödig känslig information
Organisationer kan minska sin dataexponering genom att hantera livscykeln för känsliga data.
Ta bort alla behörigheter där du kan genom att ta bort själva känsliga data när de inte längre är värdefulla eller tillåtna för din organisation.
Ta det här steget:
Minimera duplicering av känsliga data genom att gynna delning och användning på plats i stället för dataöverföringar.
Ta det här steget:
Produkter som beskrivs i den här guiden
Microsoft Defender för molnet-appar
Kontakta kundframgångsteamet om du vill ha mer information eller hjälp med implementeringen.
Distributionsguideserien för Nolltillit
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för