识别和保护敏感业务数据
作为零信任采用指南的一部分,本文介绍了保护最关键数据资产的业务场景。 此场景侧重于如何识别和保护敏感业务数据。
数字化转型导致组织需要处理越来越多的数据。 但是,合作伙伴、供应商和客户等外部协作者在企业网络之外访问大量这种共享数据。 这种转变创造了复杂的数据格局,尤其是在考虑到混合办公员工和云迁移情况激增、网络威胁不断增加、安全性不断演变以及关于数据治理和保护方式不断变化的法规要求时。
使用混合工作模式时,公司资产和数据不断变化。 组织需要管理在设备上、应用内和合作伙伴处存储和传输数据的位置。 但是,对于现代安全性,企业不能再依赖传统的网络保护控制措施。
| 使用网络控制措施的传统数据保护 | 使用零信任的现代数据保护 |
|---|---|
| 在传统网络中,网络外围控制措施控制关键数据访问,而非数据敏感度。 标签通常手动应用到敏感数据上,这可能会导致数据分类不一致。 | 零信任模型对数据访问请求应用强身份验证,使用策略来验证每个标识,并确保标识有权访问应用和数据。 零信任模型涉及识别敏感数据并应用分类和保护,包括数据丢失防护 (DLP)。 零信任包括保护数据的防御措施,即使数据离开受控环境,也能得到保护。 它还包括自适应保护,可减少内部风险。 除了这些保护措施之外,零信任还包括持续监视和威胁防护,以防止数据泄露并限制数据泄露的范围。 |
在下图中,从左至右,展示了从使用网络控制方式的传统保护(有限的已知位置)到使用零信任的现代保护(未知位置)的转变,后者不受用户和设备所在地的影响,能够对所有位置提供同样的保护。
本文中的指南介绍了如何开始并推进用于识别和保护敏感数据的策略。 如果你的组织遵守保护数据的法规,请阅读本系列中的《满足法规与合规性需求》一文,了解如何应用本文中学到的内容来保护受监管的数据。
企业领导者如何看待保护敏感数据的做法
在开始任何技术性工作之前,请务必了解企业是在哪些不同动机的驱使下,对保护业务数据做出投资,因为这些动机将提供依据,帮助企业制定策略、目标和措施,通往成功。
下表列出全组织各业务主管应投资于基于零信任的数据保护的原因。
| 角色 | 为什么保护敏感数据很重要 |
|---|---|
| 首席执行官 (CEO) | 知识产权是许多组织商业模式的支柱。 防止知识产权泄露,同时实现与授权方就此无缝协作对业务至关重要。 在处理客户个人身份信息 (PII) 的组织中,数据泄露不仅会导致财务处罚,而且会损害公司的声誉。 最后,敏感的业务对话(如兼并和收购、业务重组、策略和法律事务)如果泄露,可能会给组织带来严重损失。 |
| 首席营销官 (CMO) | 产品规划、营销信息、品牌推广和即将发布的产品公告必须在合适的时间发布,并且以恰当的方式最大化其影响。 若这些信息提前泄漏,会减少投资回报,并让竞争对手了解即将推出的计划。 |
| 首席信息官 (CIO) | 保护信息的传统方法依靠限制对信息的访问,而使用现代技术充分保护敏感数据时,可以根据需要与外部各方进行更灵活的协作,而不会增加风险。 IT 部门可以借此顺利履行职责,确保工作效率,同时将风险降到最低。 |
| 首席信息安全官 (CISO) | 作为此角色的主要职责,保护敏感业务数据是信息安全不可或缺的一部分。 此结果直接影响组织更高层面的网络安全策略。 高级安全技术和工具可以监视数据并防止泄漏和丢失。 |
| 首席技术官 (CTO) | 知识产权是区分成功与失败企业的一项重要因素。 防止此类数据被过度共享、未经授权访问和盗窃,是确保组织未来增长的关键。 |
| 首席运营官 (COO) | 运营数据、各种流程和生产计划是组织的关键战略优势。 这些计划也可能出现竞争对手可以利用的战略漏洞。 保护此数据免遭盗窃、过度共享和滥用,对于业务的持续成功至关重要。 |
| 首席财务官 (CFO) | 上市公司有责任在上市之前保护特定的财务数据。 其他财务数据可能暴露计划和战略优势或弱点。 企业必须保护此数据,确保符合现有法规并保持战略优势。 |
| 首席合规官 (CCO) | 世界各地的法规强制保护客户或员工和其他敏感数据的 PII。 CCO 负责确保组织遵守此类法规。 全面的信息保护策略是实现这一目标的关键。 |
| 首席隐私官 (CPO) | CPO 通常负责确保个人数据得到保护。 对于处理大量客户个人数据的组织和在拥有严格隐私法规的地区运营的组织,未能保护敏感数据可能会招致巨额罚款。 这些组织还有可能因此失去客户的信任。 CPO 还必须防止个人数据被以违反客户协议或法律的方式滥用,包括在组织内和与合作伙伴不当共享数据。 |
用于保护关键业务数据的采用周期
本文使用与 Azure 云采用框架相同的生命周期阶段(定义策略、计划、就绪、采用以及治理和管理)来介绍这一业务场景,但会针对零信任进行调整。
下表是示意图的可访问版本。
| 定义策略 | 计划 | 就绪 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 成果 组织遵循情况 战略目标 |
利益干系人团队 技术计划 技能就绪 |
评估 测试 试点 |
在数字资产中逐步实施 | 跟踪和度量 监视和检测 迭代提高成熟度 |
在零信任采用框架概述中详细了解零信任采用周期。
定义策略阶段
在定义策略阶段,我们将明确并正式确定将如何努力解决这个场景提出的挑战, 这至关重要。 在这个阶段,我们将从业务、IT、运营和战略角度了解该场景。 要知道安全是一个循序渐进、不断迭代的历程,并由此定义成果,用于衡量是否在这个场景中取得了成功。
本文列出了与许多组织相关的动机和成果,作为参考建议。 请根据组织的独特需求,使用这些建议来改进组织的策略。
数据保护动机
识别和保护敏感业务数据的动机非常简单,但组织的不同部门会出于不同的激励因素完成这项工作。 下表汇总了其中的部分动机。
| 领域 | 动机 |
|---|---|
| 业务需求 | 保护敏感数据,尤其是在与合作伙伴共享时。 |
| IT 需求 | 可在整个数字资产中一致应用的标准化数据分类架构。 |
| 运营需求 | 尽可能使用自动化,以一致和标准的方式实施数据保护措施。 |
| 战略需求 | 减少可能由内部人员造成(故意或无意)的损失,或获得环境访问权限的恶意行动者造成的损失。 |
请注意,满足法规要求可能是某些组织的主要动机。 如果你的组织也是如此,请继续将此内容添加到组织策略中,并在使用此业务场景时一并参考本系列中的《满足法规与合规性需求》一文。
数据保护成果
将零信任的总体目标“永不信任,始终验证”应用于数据,可以为环境添加一层重要保护。 请务必清楚确定期望取得的成果,以便为参与的所有团队(包括用户)在保护与可用性方面提供适当平衡。 下表列出建议的目标和成果。
| 目标 | 成果 |
|---|---|
| 工作效率 | 用户可以轻松通过协作创建业务数据或使用业务数据发挥其工作职能。 |
| 安全访问 | 对数据和应用的访问在适当的级别受到保护。 高度敏感的数据需要更严格的安全措施,但这些保护措施不应给预期参与或使用此数据的用户带来负担。 敏感业务数据仅限于需要的人使用,你还需要实施控制措施,以限制或阻止用户在预期使用组之外共享或复制此数据。 |
| 支持最终用户 | 保护数据的控制措施已集成到整体零信任体系结构中。 这些控制措施包括单一登录、多重身份验证 (MFA) 和 Microsoft Entra 条件访问,这样用户便不需要频繁处理身份验证和授权请求。 用户会收到有关如何安全分类和共享数据的培训。 用户能够控制其重要数据,在共享信息后可以在需要的情况下撤销访问权限,或跟踪信息的使用情况。 数据保护策略是尽可能自动化的,这可以减轻用户的负担。 |
| 提高安全性 | 在数字资产中添加数据保护措施可以保护这些关键业务资产,并帮助减少数据泄露的潜在损失。 数据保护包括安全措施,以防止当前或以前的员工和合作伙伴故意、无意或因过失造成数据泄露。 |
| 为 IT 部门提供支持 | 帮助 IT 团队清楚了解哪些内容是敏感业务数据。 他们能有一个非常合理的架构,可以用于技术工具和功能,以便实施计划及监视状态和成功。 |
计划阶段
采用计划将零信任策略的目标转化为可行的计划。 所有团队可以共同利用采用计划指导其技术工作,使之与组织的业务策略相符。
你与企业领导者及团队共同确定的动机和成果将解释你的组织“为何使用”该业务场景, 并作为策略的指引。 接下来是对如何实现目标的技术规划。
用于识别和保护敏感业务数据而采用的技术涉及:
- 发现和识别数字资产中的敏感数据。
- 制定分类和保护架构,包括 DLP。
- 在数字资产中推出架构,从 Microsoft 365 中的数据开始,并将保护扩展到本地存储库中的所有 SaaS 应用、云基础设施和数据。 SaaS 应用是不包含在 Microsoft 365 订阅内但与 Microsoft Entra 租户集成的应用。
保护敏感数据还涉及一些相关活动,包括:
- 加密网络通信。
- 管理对 Teams 和共享敏感数据的项目的外部访问权限。
- 在 Microsoft Teams 中为包含高度敏感的业务数据的项目设置和使用专用且隔离的团队,这应该很少见。 大多数组织不需要这种级别的数据安全和隔离。
许多组织可以采取四阶段方法实现这些部署目标,如下图所示。
| 阶段 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 发现和识别敏感业务数据 发现未经批准的 SaaS 应用 加密网络通信 |
开发和测试分类架构 将标签应用于 Microsoft 365 中的数据 引入基本 DLP 策略 设置安全的 Microsoft Teams,以便与业务合作伙伴在内部和外部共享数据 |
向特定标签添加保护(加密和其他保护设置) 在 Office 应用和服务中引入自动和推荐的标签 跨 Microsoft 365 服务扩展 DLP 策略 实施关键内部风险管理策略 |
将标签和保护扩展到 SaaS 应用中的数据,包括 DLP 将自动化分类扩展到所有服务 将标签和保护扩展到本地存储库中的静态数据 保护云基础设施中的组织数据 |
如果这种分阶段的方法适用于组织,则可以使用:
这个可下载的 PowerPoint 演示文稿为企业领导者和其他利益干系人展示和跟踪这些阶段及目标的进度。 以下是用于此业务方案的幻灯片。
此 Excel 工作簿用于分配所有者并跟踪这些阶段、目标及其任务的进度。 以下是用于此业务方案的工作表。
了解你的组织
推荐的分阶段技术实施方法有助于为了解你的组织提供背景信息。 每个组织对保护敏感业务数据的需求以及数据的构成和数据量各不相同。
每个业务场景的零信任采用生命周期的基础步骤包括盘点。 对于此业务场景,你需要盘点组织的数据。
请执行以下操作:
盘点数据。
首先,请盘点所有数据所在的位置,这可能像列出包含数据的应用和存储库一样简单。 部署敏感度标签等技术后,你可能会发现存储敏感数据的其他位置。 这些位置有时称为“暗 IT”(Dark IT) 或“灰色 IT”(Grey IT)。
这也有助于估计计划盘点多少数据(数据量)。 在整个推荐的技术过程中,可以使用该工具集来发现和识别业务数据。 你将了解拥有的数据类型以及此数据在服务和云应用中的位置,从而可以将数据敏感度与其所在位置的风险级别相关联。
例如,Microsoft Defender for Cloud Apps 可帮助识别你可能不知道的 SaaS 应用。 发现敏感数据所在位置的工作从技术实施过程的第 1 阶段开始,贯穿所有四个阶段。
记录目标,根据优先级制定要逐步采用的计划。
建议的四个阶段表示逐步采用的计划。 根据组织的优先事项和数字资产的构成调整此计划。 请务必考虑完成这项工作所需的任何时间里程碑或义务。
盘点需要隔离保护的任何数据集或专用项目(例如访问受限项目或特殊项目)。
并非每个组织都需要隔离保护。
组织规划和调整
保护敏感数据的技术工作跨越多个有交叉的领域和角色:
- 数据
- 应用
- 终结点
- 网络
- 标识
在构建发起计划和项目管理层次结构时,推荐使用下表总结的角色来确定和推动结果。
| 计划主管和技术负责人 | 问责 |
|---|---|
| CISO、CIO 或数据安全总监 | 执行支持 |
| 数据安全性计划主管 | 推动取得更佳成果并促进跨团队协作 |
| 安全架构师 | 针对配置和标准提供建议,特别是在加密、密钥管理和其他基本技术方面 |
| 合规性主管 | 将合规性要求和风险对应到特定控制措施和可用技术 |
| Microsoft 365 管理员 | 针对 OneDrive 和受保护的文件夹实施对 Microsoft 365 租户的更改 |
| 应用程序所有者 | 确定关键业务资产并确保应用程序与经标记、受保护和加密的数据兼容 |
| 数据安全管理员 | 实施配置更改 |
| IT 管理员 | 更新标准和策略文档 |
| 安全治理和/或 IT 管理员 | 进行监视,确保合规性 |
| 用户培训团队 | 确保用户指南反映策略更新,并提供有关用户对标签分类接受情况的见解 |
此采用内容的资源 PowerPoint 幻灯片组包含以下幻灯片,可针对组织情况自行定制其中的项目负责人视图。
技术规划和技能就绪情况
在开始技术工作之前,Microsoft 建议了解这些功能、其协同工作原理以及处理这项工作的最佳做法。 下表包含多个资源,可帮助团队获得技能。
| 资源 | 说明 |
|---|---|
| 部署加速指南:信息保护和数据丢失防护 | 了解 Microsoft 客户参与团队的最佳做法。 本指南引导组织通过一种抓取、演练、运行模型来提高成熟度,该模型与本采用指南中推荐的阶段一致。 |
RaMP 清单:数据保护  |
用于列出推荐的工作(包括项目负责人)并确定其优先级的另一个资源。 |
| Microsoft Purview 数据丢失防护简介(初级) | 在此资源中,你将了解 Microsoft Purview 信息保护中的 DLP。 |
Learn 模块 - Microsoft Purview Microsoft Learn 模块中的信息保护和数据生命周期管理简介的图标。(中间) |
了解 Microsoft 365 信息保护和数据生命周期管理解决方案如何帮助你在整个数据生命周期内保护和治理你的数据,无论数据存于何处或被传送到何处。 |
认证 - Microsoft 认证:信息保护管理员助理认证的图标 |
推荐的学习路径,用于成为认证信息保护管理员助理。 |
阶段 1
阶段 1 部署目标包括盘点数据的过程。 这包括识别组织用于存储、处理和共享数据但未经批准的 SaaS 应用。 可以将这些未批准的应用引入应用管理过程并实施保护措施,或者可以阻止业务数据用于这些应用。
发现和识别敏感业务数据
从 Microsoft 365 开始,用于识别需要保护的敏感信息的一些主要工具是敏感信息类型 (SIT) 和其他分类器,包括可训练的分类器和指纹。 这些标识符有助于查找常见的敏感数据类型(例如信用卡号或政府颁发的身份证号)以及使用机器学习和其他方法识别敏感文档和电子邮件。 还可以创建自定义 SIT 来识别环境特有的数据,包括使用精确数据匹配来区分与特定人员(例如客户 PII)相关、需要特殊保护的数据。
将数据添加到 Microsoft 365 环境或修改数据后,系统会使用租户中当前定义的任何 SIT 自动分析敏感内容。
可以使用 Microsoft Purview 合规门户中的内容浏览器查看环境中检测到的敏感数据的出现情况。 需要为环境自定义或优化 SIT,以便获得更高的准确性时,结果会告知你。 结果还会提供数据库存和信息保护状态的初步概览。 例如,如果你收到 SIT 的误报过多,或者找不到已知数据,则可以创建标准 SIT 的自定义副本并对其进行修改,以便它们更加适用于你的环境。 还可以使用确切的数据匹配来优化这些内容。
此外,可以使用可训练的内置分类器来识别属于某些类别的文档,例如合同或货运文档。 如果你有必须识别并可能保护的特定文档类,则可以使用 Microsoft Purview 合规门户中的示例来训练自己的分类器。 这些示例可用于发现具有类似内容模式的其他文档。
除了内容浏览器外,组织还可以访问内容搜索功能,为环境中的数据生成自定义搜索,包括使用高级搜索条件和自定义筛选器。
下表列出了用于发现敏感业务数据的资源。
| 资源 | 说明 |
|---|---|
| 使用 Microsoft 365 Purview 部署信息保护解决方案 | 引入可用于实现信息保护方面的特定业务目标的框架、流程和功能。 |
| 敏感信息类型 | 从此处开始使用敏感信息类型。 此资料库包含许多用于试验和优化 SIT 的文章。 |
| 内容浏览器 | 扫描 Microsoft 365 环境以查找 SIT 的出现情况,并在内容浏览器工具中查看结果。 |
| 可训练分类器 | 通过可训练的分类器,你可以引入想要发现的内容类型的示例(种子设定),然后让机器学习引擎学习如何发现更多此类数据。 通过验证结果来参与分类器训练,直到准确性得到提高。 |
| 完全数据匹配 | 完全数据匹配使你能够查找与现有记录匹配的敏感数据(例如,客户在业务线应用中记录的 PII),这样你就可以使用信息保护策略精确定位此类数据,从而几乎消除误报。 |
| 内容搜索 | 使用内容搜索进行高级搜索,包括自定义筛选器。 可以使用关键字和布尔搜索运算符。 还可以使用关键字查询语言 (KQL) 生成搜索查询。 |
| RaMP 清单:数据保护:了解数据 | 包含步骤所有者和文档链接的实现步骤清单。 |
发现未经批准的 SaaS 应用
你的组织可能会订阅许多 SaaS 应用,例如 Salesforce 或你的行业的专门应用。 你了解和管理的 SaaS 应用被视为已获批准。 在后续阶段,你将扩展使用 Microsoft 365 创建的数据保护架构和 DLP 策略,以保护这些批准的 SaaS 应用中的数据。
但是,在此阶段,必须发现组织正在使用的未经批准的 SaaS 应用。 这样,便可以监视传入和传出这些应用的流量,以确定组织的业务数据是否共享到这些应用。 如果是,可以从启用 Microsoft Entra ID 的单一登录开始,将这些应用纳入管理并对此数据应用保护。
用于发现组织使用的 SaaS 应用的工具是 Microsoft Defender for Cloud Apps。
| 资源 | 说明 |
|---|---|
| 将适用于零信任的 SaaS 应用与 Microsoft 365 集成 | 此解决方案指南逐步讲解使用零信任原则保护 SaaS 应用的过程。 此解决方案的第一步包括将 SaaS 应用添加到 Microsoft Entra ID 和策略范围。 这是优先事项。 |
| 评估 Microsoft Defender for Cloud Apps | 本指南可帮助你尽快启动并运行 Microsoft Defender for Cloud Apps。 可以在试用阶段和试点阶段发现未经批准的 SaaS 应用。 |
加密网络通信
此目标更像是一种检查,用于确保网络流量已加密。 请与网络团队联系,确保满足这些建议。
| 资源 | 说明 |
|---|---|
| 使用零信任保护网络 - 目标 3:用户到应用的内部流量已加密 | 确保用户到应用的内部流量已加密:
|
| 使用零信任保护网络 - 目标 6:所有流量已加密 | 对虚拟网络之间的应用程序后端流量进行加密。 对本地和云之间的流量进行加密。 |
| 网络升级(连接到云)- 一位架构师的观点 | 对于网络架构师,本文有助于将推荐的网络概念放在透视中。 Microsoft 安全性和符合性架构师 Ed Fisher 介绍了如何通过避免最常见的陷阱来优化云连接网络。 |
阶段 2
盘点并发现敏感数据所在的位置后,转到阶段 2,在其中开发分类架构并开始对组织数据进行测试。 此阶段还包括确定数据或项目需要增强保护的地方。
开发分类架构时,很容易创建许多类别和级别。 但是,最成功的组织将分类层数限制在几个内,例如 3-5 层。 越少越好。
在将组织的分类架构转换为标签和向标签添加保护之前,考虑大局会很有帮助。 在跨组织(尤其是大型数字资产)应用任何类型的保护时,最好尽可能统一。 这也适用于数据。
例如,许多组织通过跨数据、设备和标识的三层保护模型获得良好服务。 在此模型中,大多数数据都可以在基线级别进行保护。 少量数据可能需要增强保护。 某些组织的数据非常少,需要更高级别的保护。 示例包括由于数据或项目极其敏感而受高度管控的贸易机密数据或数据。
如果三层保护对你的组织有效,这有助于简化将其转换为标签的方式以及应用于标签的保护。
在此阶段,请开发敏感度标签并开始在 Microsoft 365 中的数据中使用它们。 目前不要担心向标签添加保护的问题,这最好在后续阶段完成,即当用户已熟悉标签,一直在应用这些标签,而且在一段时间内不必担心其约束时。 向标签添加保护在下一阶段完成。 但是,建议也开始使用基本 DLP 策略。 最后,在此阶段,将特定保护应用于需要高度敏感保护的项目或数据集。
开发和测试分类架构
| 资源 | 说明 |
|---|---|
| 敏感度标签 | 了解并开始使用敏感度标签。 此阶段最关键的考虑因素是确保标签既反映业务需求,又反映用户使用的语言。 如果标签的名称不直观地与用户产生共鸣,或者其含义不能一致地反映其预期用途,则标签的采用最终可能会受到阻碍,标签应用程序的准确性可能会受到影响。 |
将标签应用于 Microsoft 365 中的数据
| 资源 | 说明 |
|---|---|
| 在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签 | 为 SharePoint 和 OneDrive 中支持的 Office 文件启用内置标签,以便用户可以在 Office 网页版中应用敏感度标签。 |
| 管理 Office 应用中的敏感度标签 | 接下来,开始向用户介绍用户可在哪里查看和应用标签。 从 Microsoft Purview 合规门户发布敏感度标签后,标签便开始出现在 Office 应用中,以便用户在创建或编辑数据时对数据进行分类和保护。 |
| 将标签应用于 Microsoft Teams 和 Microsoft 365 组 | 准备就绪后,请将 Microsoft Teams 和 Microsoft 365 组添加到标签部署的范围内。 |
引入基本 DLP 策略
| 资源 | 说明 |
|---|---|
| 防止数据丢失 | 开始使用 DLP 策略。 建议从“软”DLP 策略开始,该策略提供警告但不阻止操作,或者最多在允许用户替代策略时阻止操作。 这使你可以在不损害生产力的情况下衡量这些策略的影响。 如果对策略的准确性和与业务需求的兼容性有信心,可以微调策略,使其更加严格。 |
设置安全的团队,以便与业务合作伙伴在内部和外部共享数据
如果已确定需要高度敏感保护的项目或数据,请查看这些资源,了解如何在 Microsoft Teams 中设置。 如果数据存储在 SharePoint 中而没有关联的团队,请使用这些资源中的说明进行 SharePoint 设置。
| 资源 | 说明 |
|---|---|
| 配置具有高度敏感数据保护的团队 | 提供用于保护具有高度敏感数据的项目的规范性建议,包括保护和管理来宾访问(比如可能正在与你协作处理这些项目的合作伙伴)。 |
阶段 3
在此阶段,继续推出优化的数据分类架构。 还可以应用规划的保护。
向标签添加保护后(例如加密和权限管理):
- 新接收标签的所有文档都包含保护。
- 在用户打开或下载存储在 SharePoint Online 或 OneDrive 中且在添加保护之前收到标签的任何文档时,都会对该文档应用保护。
服务中的静态文件或在用户计算机上的文件不会收到在这些文件收到标签后添加到标签中的保护。 换句话说,如果文件之前已被标记,然后你在这之后向标签添加保护,则保护不会应用于这些文件。
向标签添加保护
| 资源 | 说明 |
|---|---|
| 了解敏感度标签 | 有关配置特定标签以应用保护的多种方法,请参阅本文。 建议从电子邮件的基本策略(如“仅加密”)和文档的“所有员工 - 完全控制”等基本策略开始。 这些策略提供强大的保护级别,同时在用户发现引入加密会导致兼容性问题或与业务需求冲突的情况时,为用户提供简单的应对方法。 有信心并理解用户需要使用敏感数据的方式后,可以逐步收紧限制。 |
| 敏感度标签的常见场景 | 请参阅敏感度标签支持的此场景列表。 |
在 Office 应用中引入自动标记
| 资源 | 说明 |
|---|---|
| 将敏感度标签自动应用到内容 | 当标签与指定的条件匹配时,自动将标签分配给文件和电子邮件。 建议一开始将标签配置为向用户提供交互式标记建议。 确认这些已普遍被接受后,请将其切换为自动应用标签。 |
跨 Microsoft 365 扩展 DLP 策略
| 资源 | 说明 |
|---|---|
| 防止数据丢失 | 继续使用这些步骤在 Microsoft 365 环境中应用 DLP,将策略扩展到更多位置和服务,并通过删除不必要的例外来收紧规则操作。 |
实施基本内部风险管理策略
| 资源 | 说明 |
|---|---|
| 内部风险管理 | 开始使用推荐的操作。 首先,可以使用策略模板快速开始,包括离职用户导致的数据盗窃。 |
阶段 4
在此阶段,将在 Microsoft 365 中开发的保护扩展到 SaaS 应用中的数据。 还可以过渡到尽可能多的数据分类和治理的自动化。
将标签和保护扩展到 SaaS 应用中的数据,包括 DLP
| 资源 | 说明 |
|---|---|
| 为 SaaS 应用部署信息保护 | 使用 Microsoft Defender for Cloud Apps 扩展用 Microsoft 365 功能开发的分类架构,以保护 SaaS 应用中的数据。 |
扩展自动分类
| 资源 | 说明 |
|---|---|
| 将敏感度标签自动应用到内容 | 继续推出向数据应用标签的自动化方法。 将这些方法扩展到 SharePoint、OneDrive 和 Teams 中的静态文档,以及用户发送或接收的电子邮件。 |
将标签和保护扩展到本地存储库中的数据
| 资源 | 说明 |
|---|---|
| Microsoft 365 Purview 信息保护扫描程序 | 扫描本地存储库中的数据,包括 Microsoft Windows 文件共享和 SharePoint Server 中的数据。 信息保护扫描程序可以检查 Windows 可索引的任何文件。 如果你已配置应用自动分类的敏感度标签,则扫描程序可以标记已发现的文件以应用这种分类,并可选择性地应用或删除保护。 |
保护云基础设施中的组织数据
| 资源 | 说明 |
|---|---|
| Microsoft Purview 数据治理文档 | 了解如何使用 Microsoft Purview 治理门户来让组织能够查找、了解、治理和使用数据源。 教程、REST API 参考和其他文档介绍了如何规划和配置数据存储库 - 你可在此存储库中发现可用数据源和管理适当使用情况。 |
云采用计划
采用计划是云采用成功的基本要求。 用于保护数据的成功采用计划的关键属性包括:
- 一致的策略和规划: 在制定在整个数字资产中测试、试点和推出数据分类和保护功能的计划时,请务必重新审视你的策略和目标,以确保你的计划与其保持一致。 这包括数据集的优先级、数据保护目标以及目标里程碑。
- 不断迭代的计划:开始推出计划时,你将了解你的环境和正在使用的功能。 在推出的每个阶段,重新查看与目标相比的结果,并微调计划。 例如,这包括重新查看早期工作以微调策略。
- 精心规划对员工和用户的培训:从管理人员到支持人员和用户,每个人都接受数据识别和保护责任的培训。
有关 Azure 云采用框架的详细信息,请参阅云采用计划。
就绪阶段
使用前面列出的资源确定识别和保护敏感数据的计划的优先级。 保护敏感业务数据的工作表示多层零信任部署策略中的一层。
本文中建议的分阶段方法包括跨数字资产以有条不紊的方式对工作进行级联。 在此就绪阶段,重新查看计划的以下部分,以确保一切准备就绪:
- 组织敏感数据的定义非常明确。 搜索数据并分析结果时,可能会调整这些定义。
- 你明确知道从哪些数据集和应用开始,并有一个优先计划,用于增加工作范围,直到包含全部数字资产。
- 已确定并记录适用于你的组织和环境的规范性技术指南的调整。
此列表总结了用于执行此操作的有条理过程的概要:
- 了解数据分类功能,例如敏感信息类型、可训练的分类器、敏感度标签和 DLP 策略。
- 在 Microsoft 365 服务中开始使用这些功能。 此体验可帮助你优化架构。
- 将分类引入 Office 应用。
- 通过试验并推出端点 DLP,继续保护设备上的数据。
- 使用 Defender for Cloud Apps 将 Microsoft 365 资产中优化的功能扩展到云应用中的数据。
- 使用 Microsoft Purview 信息保护发现本地数据并对其应用保护
- 使用 Microsoft Purview 数据管理发现和保护云数据存储服务中的数据,包括 Azure Blob、Cosmos DB、SQL 数据库和 Amazon Web Services S3 存储库。
下面是该过程的示意图。
数据发现和保护的优先级可能有所不同。
请注意其他业务场景的以下依赖关系:
- 将信息保护扩展到端点设备需要与 Intune 协调(请参阅《保护远程和混合工作》一文)。
- 将信息保护扩展到 SaaS 应用中的数据需要 Microsoft Defender for Cloud Apps。 试验和部署 Defender for Cloud Apps 包括在防止或减少数据泄露造成的业务损失业务方案中。
完成采用计划时,请务必再次阅读《信息保护和数据丢失防护部署加速指南》,以查看建议并微调策略。
采用阶段
Microsoft 建议采用级联、迭代的方法来发现和保护敏感数据。 这样,就可以优化战略和策略,以提高结果的准确性。 例如,在发现和识别敏感数据时,开始处理分类和保护架构。 发现的数据会通知架构,随后架构帮助改进用于发现敏感数据的工具和方法。 同样,在测试和试点架构时,结果有助于改进之前创建的保护策略。 在开始下一阶段之前,无需等到当前阶段完成。 如果一直迭代,结果会更有效。
治理和管理阶段
组织数据的治理是一个迭代过程。 通过深思熟虑创建分类架构并将其推广到数字资产中,便是创建了一个基础。 以下练习可以帮助你为此基础开始制定初始治理计划:
- 建立方法:建立用于查看架构、如何在数字资产中应用架构以及获得成功结果的基本方法。 确定如何监视和评估信息保护协议的成功,包括当前状态和未来状态。
- 建立初始治理基础:使用小且易于实现的治理工具集开始进行治理。 此初始治理基础称为“最小可行性产品 (MVP)”。
- 改善初始治理基础:在生成最终状态的过程中,反复添加治理控制措施以应对有形风险。
Microsoft Purview 提供了多种功能来帮助治理数据,包括:
- 保留策略
- 邮箱保留和存档功能
- 用于更复杂的保留和删除策略和计划的记录管理
请参阅《使用 Microsoft Purview 管理数据》。 此外,活动资源管理器展示已发现和已标记的内容,以及内容的位置。 对于 SaaS 应用,Microsoft Defender for Cloud Apps 为要移入和移出 SaaS 应用的敏感数据提供丰富的报告。 请参阅 Microsoft Defender for Cloud Apps 内容库中的多个教程。
后续步骤
进度跟踪资源
对于任何零信任业务方案,都可以使用以下进度跟踪资源。
| 进度跟踪资源 | 有助于… | 面向的对象 |
|---|---|---|
采用方案计划阶段网格 - 可下载的 Visio 文件或 PDF 
|
轻松了解每个业务方案的安全增强,以及“计划”阶段的各个阶段和目标的工作量。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
零信任采用跟踪器 - 可下载的 PowerPoint 幻灯片 
|
跟踪“计划”阶段的各个阶段和目标的进度。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
业务方案目标和任务 - 可下载的 Excel 工作簿 
|
分配所有权并跟踪“计划”阶段的各个阶段、目标和任务的进度。 | 业务方案项目负责人、IT 负责人和 IT 实现者。 |
有关其他资源,请参阅零信任评估和进度跟踪资源。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈