Sıfır Güven ile verilerin güvenliğini sağlama

Arka Plan

Sıfır Güven, kuruluşunuz için güvenlik ilkeleri tasarlamak için kullanılan bir güvenlik stratejisidir. Sıfır Güven aşağıdaki güvenlik ilkelerini uygulayarak şirket kaynaklarının güvenliğinin güvence altına alınmasına yardımcı olur:

• Açıkça doğrulayın. Kullanıcı kimliği, konum, cihaz durumu, hizmet veya iş yükü, veri sınıflandırması ve anomaliler dahil olmak üzere tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması yapın ve yetki verin.

• En az ayrıcalık erişimi kullanın. Hem verilerin hem de üretkenliğin güvenliğini sağlamaya yardımcı olmak için tam zamanında (JIT) ve yeterli erişim (JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.

• İhlal olduğunu varsayalım. Patlama yarıçapını ve erişim bölümlenmesini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

Microsoft Purview, derin bir veri savunma stratejisi için beş temel öğe ve veriler için Sıfır Güven bir uygulama önerir:

1. Veri sınıflandırma ve etiketleme
   Şirket içinde ve bulut hizmetlerinde hangi hassas verilere sahip olduğunuzu bilmiyorsanız, verileri yeterince koruyamazsınız. Kuruluşunuzun tamamında verileri bulun ve algılayın ve duyarlılık düzeyine göre sınıflandırın.

2. Bilgi Koruma
   Hassas verilere koşullu ve en az ayrıcalık erişimi veri güvenliği risklerini azaltır. Ortam denetimlerinin yetersiz kaldığı durumlarda, duyarlılığa dayalı erişim kontrol önlemleri, yetki yönetimi ve şifreleme uygulayın. Farkındalığı ve güvenlik ilkesi uyumluluğunu artırmak için bilgi duyarlılığı işaretlerini kullanın.

3. Veri Kaybı Önleme
   Erişim denetimi sorunun yalnızca bir bölümünü çözer. Veri güvenliği veya uyumluluk olayına neden olabilecek riskli veri etkinliklerini ve hareketlerini denetleme ve denetleme, kuruluşların hassas verilerin aşırı paylaşımını engellemesine olanak tanır.

4. Insider Risk Management
   Veri erişimi her zaman hikayenin tamamını sağlamayabilir. Çok çeşitli sinyallerden davranış algılamayı etkinleştirerek ve kuruluşunuzda veri ihlalinin öncüsü olabilecek veya veri ihlalinin göstergesi olabilecek kötü amaçlı ve yanlışlıkla olabilecek etkinlikler üzerinde hareket ederek veri risklerini en aza indirin.

5. Veri İdaresi
   Hassas verilerin yaşam döngüsünü proaktif bir şekilde yönetmek, verilerin açığa çıkarma oranını azaltır. Hassas verilerin kopya veya yayılma sayısını sınırlayın ve veri ihlali risklerini en aza indirmek için artık gerekli olmayan verileri silin.

Veri Sıfır Güven dağıtım hedefleri

Veriler için uçtan uca bir Sıfır Güven çerçevesi uygularken bu ilk dağıtım hedeflerine odaklanmanızı öneririz:
Bir onay işareti olan liste simgesi.	I.Verileri sınıflandırma ve etiketleme. Mümkün olduğunda verileri otomatik olarak sınıflandırıp etiketle. Olmadığı yerlere elle uygulayın. II.Şifreleme, erişim denetimi ve içerik işaretlerini uygulayın. Koruma ve erişim denetiminin yetersiz olduğu durumlarda şifreleme uygulayın. III.Verilere erişimi denetleme. Daha iyi korunmaları için hassas verilere erişimi denetleme. Erişim ve kullanım ilkesi kararlarının veri duyarlılığı kapsamında olduğundan emin olun.
Yukarıdaki hedeflere ulaşma konusunda ilerleme kaydettikçe şu ek dağıtım hedeflerini ekleyin:
İki onay işareti olan liste simgesi.	IV.Veri sızıntısını önleyin. Riskli sinyaller ve veri duyarlılığı tarafından yönetilen DLP ilkelerini kullanın. V.Riskleri yönetin. Veri güvenliği veya uyumluluk olayına neden olabilecek riskli güvenlikle ilgili kullanıcı etkinliklerini ve veri etkinliği düzenlerini denetleyerek veri güvenliği olayına yol açabilecek riskleri yönetin. VI.Veri maruziyetini azaltın. Veri idaresi ve sürekli veri en aza indirgemesi ile verilerin açığa çıkarma oranını azaltma

Veriler için Sıfır Güven dağıtım kılavuzu

Bu kılavuz, veri korumasına Sıfır Güven bir yaklaşımda size adım adım yol gösterir. Bu öğelerin, bilgilerinizin duyarlılığına ve kuruluşunuzun boyutuna ve karmaşıklığına bağlı olarak büyük ölçüde değişeceğini unutmayın.

Microsoft, herhangi bir veri güvenliği uygulamasının öncüsü olarak, yüksek düzey veri güvenliği riski kategorilerini tanımlayan bir veri sınıflandırma çerçevesi ve duyarlılık etiketi taksonomisi oluşturmanızı önerir. Bu taksonomi, veri envanterinden etkinlik içgörülerinden ilke yönetimine ve araştırma önceliklendirmesine kadar her şeyi basitleştirmek için kullanılır.

Daha fazla bilgi için bkz.

• İyi tasarlanmış bir veri sınıflandırma çerçevesi oluşturma

Bir onay işareti olan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Hassas verileri sınıflandırma, etiketleme ve bulma

Bir bilgi koruma stratejisinin kuruluşunuzun tüm dijital içeriğini kapsaması gerekir.

Sınıflandırmalar ve duyarlılık etiketleri, hassas verilerinizin nerede olduğunu, nasıl taşınacaklarını anlamanıza ve sıfır güven ilkeleriyle tutarlı uygun erişim ve kullanım denetimleri uygulamanıza olanak sağlar:

• Hassas bilgileri algılamak ve veri varlığınız genelinde bulmayı ölçeklendirmek için otomatik sınıflandırma ve etiketlemeyi kullanın.

• Belgeler ve kapsayıcılar için el ile etiketlemeyi kullanın ve sınıflandırma ve duyarlılığın bilgili kullanıcılar tarafından en iyi şekilde belirlendiği analizlerde kullanılan veri kümelerini el ile seçin.

Şu adımları izleyin:

• Hassas bilgi türleri hakkında bilgi edinin

• Eğitilebilir sınıflandırıcılar hakkında bilgi edinin

• Duyarlılık etiketleri hakkında daha fazla bilgi

Sınıflandırmayı ve etiketlemeyi yapılandırıp test ettikten sonra veri varlığınızda veri bulma ölçeğini genişletin.

Bulmayı Microsoft 365 hizmetlerinin ötesine genişletmek için şu adımları izleyin:

• Microsoft Purview şirket içi tarayıcıyla çalışmaya başlama

• SaaS uygulamalarında hassas bilgileri bulma ve koruma

• Microsoft Purview yönetişim portalında taramalar ve içeri alma hakkında bilgi edinin

Verilerinizi keşfeder, sınıflandırır ve etiketlerken riski düzeltmek ve ilke yönetimi girişimlerinizi bilgilendirmek için bu içgörüleri kullanın.

Şu adımları izleyin:

• İçerik Gezgini'ne başlama

• Etkinlik Gezgini ile etiketleme etkinliğini gözden geçirme

• Data Insights hakkında bilgi edinin

II. Şifreleme, erişim denetimi ve içerik işaretleri uygulama

Şifreleme ve erişim denetimi ile en hassas verilerinizi korumak için duyarlılık etiketlerini kullanarak en düşük ayrıcalık uygulamanızı basitleştirin. Kullanıcı farkındalığını ve izlenebilirliğini geliştirmek için içerik işaretlerini kullanın.

Belgeyi ve e-postaları koruma

Microsoft Purview Information Protection, duyarlılık etiketlerine veya belgeler ve e-postalar için kullanıcı tanımlı izinlere göre erişim ve kullanım denetimi sağlar. Ayrıca isteğe bağlı olarak, kuruluşunuzda bulunan veya kuruluşunuzun içindeki veya dışındaki daha az güvenilir ortamlara akan bilgilere işaretleme yapabilir ve bu bilgileri şifreleyebilir. İleri düzey uygulamalar için dinlenme halinde, hareket halinde ve kullanımda koruma sağlar.

Şu adımları izleyin:

• Microsoft 365
• Duyarlılık etiketlerini kullanarak içeriğe ve kullanıma erişimi kısıtlama

Exchange, SharePoint ve OneDrive belgeleri koruma

Exchange, SharePoint ve OneDrive depolanan veriler için, erişimi kısıtlamak ve yetkili çıkışta şifrelemeyi yönetmek için ilkeler aracılığıyla hedeflenen konumlara duyarlılık etiketleriyle otomatik sınıflandırma dağıtılabilir.

Şu adımı atın:

• SharePoint, OneDrive ve Exchange

III. Verilere erişimi denetleme

Hassas verilere erişim sağlanması, daha iyi korunabilmeleri için denetlenmelidir. Erişim ve kullanım ilkesi kararlarının veri duyarlılığı kapsamında olduğundan emin olun.

Teams, Microsoft 365 Grupları ve SharePoint sitelerinde veri erişimini ve paylaşımını denetleme

Microsoft Teams, Microsoft 365 Grupları veya SharePoint sitelerine koşullu erişim ve paylaşım kısıtlamaları uygulamak için kapsayıcı duyarlılığı etiketlerini kullanın.

Şu adımı atın:

• Duyarlılık etiketlerini Microsoft Teams, Microsoft 365 Grupları ve SharePoint sitelerle kullanın

SaaS uygulamalarında verilere erişimi denetleme

Microsoft Defender for Cloud Apps, koşullu erişim ve Box veya Google Workspace gibi Microsoft 365 ve üçüncü taraf ortamlarındaki hassas dosyaları yönetmeye yönelik ek özellikler sağlar:

• Aşırı ayrıcalığı giderme ve veri sızıntısını önleme izinlerini kaldırma.

• Dosyaları inceleme için karantinaya alma.

• Hassas dosyalara etiket uygulama.

Şu adımları izleyin:

• Integrate Microsoft Purview Information Protection

İpucu

Microsoft 365 ile Sıfır Güven politikaları için SaaS uygulamalarını entegre etmeyi inceleyerek bulut uygulamalarının dijital varlıklarını yönetmeye yardımcı olacak Sıfır Güven ilkelerinin nasıl uygulanacağını öğrenin.

IaaS/PaaS depolama alanına erişimi denetleme

Hassas veriler içeren IaaS/PaaS kaynaklarına zorunlu erişim denetimi ilkeleri dağıtın.

Şu adımı atın:

• Microsoft Purview DevOps ilkeleri hakkında bilgi edinin

IV. Veri sızıntısını önleme

Verilere erişimin denetlenmesi gereklidir, ancak veri taşıma üzerinde denetim uygulamak ve yanlışlıkla veya yetkisiz veri sızıntısını veya kaybını önlemek için yeterli değildir. Bu, bölüm IV'te açıklanan veri kaybı önleme ve içeriden risk yönetiminin rolüdür.

Hassas verileri tanımlamak, denetlemek ve otomatik olarak korumak için Microsoft Purview DLP ilkelerini kullanın:

• Microsoft 365 hizmetleri olan Teams, Exchange, SharePoint ve OneDrive

• Word, Excel ve PowerPoint gibi Office uygulamaları

• Windows 10, Windows 11 ve macOS (en son yayımlanan üç sürüm) uç noktaları

• şirket içi dosya paylaşımları ve şirket içi SharePoint

• Microsoft dışı bulut uygulamaları.

Şu adımları izleyin:

• Veri kaybı önlemeyi planlama

• DLP ilkeleri oluşturma, test ve ayarlama

• Veri kaybı önleme Uyarıları panosu hakkında bilgi edinin

• Etkinlik Gezgini ile veri etkinliğini gözden geçirme

V. Insider risklerini yönetme

En az ayrıcalık uygulamaları bilinen riskleri en aza indirmeye yardımcı olur, ancak güvenlikle ilgili ek kullanıcı davranış sinyallerini ilişkilendirmek, hassas veri erişim düzenlerini denetlemek ve geniş kapsamlı algılama, araştırma ve tehdit avcılığı özellikleriyle ilişkilendirmek de önemlidir.

Şu adımları uygulayın:

• Insider Risk Management hakkında bilgi edinin

• Insider risk yönetimi etkinliklerini araştırma

VI. Gereksiz hassas bilgileri silme

Kuruluşlar, hassas verilerinin yaşam döngüsünü yöneterek verilerin açığa çıkarma süresini azaltabilir.

Mümkün olduğunda, kuruluşunuz için artık değerli olmayan veya izin verilmeyen hassas verileri silerek tüm ayrıcalıkları kaldırın.

Şu adımı atın:

• Veri yaşam döngüsü yönetimi ve kayıt yönetimini dağıtma

Veri aktarımları yerine yerinde paylaşım ve kullanımı destekleyerek hassas verilerin yinelenmesi en aza indirin.

Şu adımı atın:

• Microsoft Purview

Bu kılavuzda ele alınan ürünler

Microsoft Purview

Microsoft Defender for Cloud Apps

Uygulama hakkında daha fazla bilgi veya yardım için lütfen Müşteri Başarısı ekibinize başvurun.

Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağlar için simge

Görünürlük, otomasyon, düzenleme simgesi