使用零信任保护数据

背景

零信任是一种安全策略，用于为组织设计安全原则。 零信任通过实施以下安全原则帮助保护公司资源：

• 显式验证。 始终根据所有可用的数据点进行身份验证和授权，这些数据点包括用户身份、位置、设备运行状况、服务或工作负载、数据分类和异常情况。

• 使用最低权限访问。 使用即时(JIT)和恰好足够的访问权限(JEA)、基于风险的自适应策略和数据保护来限制用户访问权限，从而保护数据、确保高效。

• 假定漏洞。 最大限度地减少影响范围，并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

Microsoft Purview 为深度策略的数据防御推荐五个核心元素，并为数据提供零信任实现：

1. 数据分类和标记
   如果你不知道本地环境和云服务中有哪些敏感数据，则无法充分地保护这些数据。 发现和检测整个组织中的数据，并按敏感级别对其进行分类。

2. 信息保护
   对敏感数据的条件和最低权限访问可降低数据安全风险。 在环境控制不足的情况下，应用基于敏感度的访问控制防护措施、权限管理和加密。 使用信息敏感度标记来提高意识和安全策略符合性。

3. 数据丢失防护
   访问控制仅可解决部分问题。 检查和控制可能导致数据安全或合规性事件的高风险数据活动和移动，使组织能够防止敏感数据过度共享。

4. 内部风险管理
   数据访问并非总能提供完整情况。 通过在广泛的信号中启用行为检测，以及针对组织中潜在的恶意和无意活动（可能是数据泄露的萌芽或征兆）来最大程度地降低数据风险。

5. 数据管理
   主动管理敏感数据的生命周期可降低其风险。 限制敏感数据的副本数或传播，并删除不再需要的数据，以最大程度地降低数据泄露风险。

数据零信任部署目标

为数据实施端到端零信任框架时，建议关注以下初始部署目标：
	I.分类和标记数据。尽可能自动对数据进行分类和标记。 无法实现时手动应用。 II.应用加密、访问控制和内容标记。在保护和访问控制不足的情况下应用加密。 III.控制对数据的访问。控制对敏感数据的访问，使其受到更好的保护。
在实现上述目标方面取得进展时，增加以下附加部署目标：
	IV.防止数据泄露。使用由风险信号和数据敏感度驱动的 DLP 策略。 V.管理风险。通过检查可能导致数据安全或合规性事件的高风险相关用户活动和数据活动模式，管理可能导致数据安全事件的风险。 VI.减少数据暴露。通过数据管理和连续的数据最小化减少数据暴露

数据零信任部署指南

本指南将逐步指导你实施零信任数据保护方法。 请记住，根据信息的敏感度以及贵组织的规模和复杂性，这些项将会大不相同。

作为任何数据安全实现的先驱，Microsoft 建议创建数据分类框架和敏感度标签分类，用于定义高级数据安全风险类别。 该分类将用于简化从数据盘存或活动见解到策略管理再到调查优先级的所有内容。

有关详细信息，请参阅：

• 创建妥善设计的数据分类框架

初始部署目标

I. 分类、标记和发现敏感数据

信息保护策略需要涵盖组织的全部数字内容。

通过分类和敏感度标签，可以了解敏感数据所在的位置、移动方式，以及实现符合零信任原则的适当访问和使用控制：

• 使用自动分类和标记检测敏感信息，并跨数据资产缩放发现的范围。

• 对文档和容器使用手动标记，并手动策展在分析中使用的数据集，其中分类和敏感度最好由见多识广的用户建立。

执行以下步骤：

• 了解敏感信息类型

• 了解可训练分类器

• 了解敏感度标签

配置并测试分类和标记后，跨数据资产扩大数据发现范围。

按照以下步骤将发现扩展到 Microsoft 365 服务之外：

• Microsoft Purview 本地扫描程序入门

• 在 SaaS 应用程序中发现和保护敏感信息

• 了解 Microsoft Purview 治理门户中的扫描和引入

在发现、对数据进行分类和标记时，请使用这些见解来修正风险并通知策略管理计划。

执行以下步骤：

• 内容资源管理器入门

• 通过活动资源管理器审查标记活动

• 了解 Data Insights

II. 应用加密、访问控制和内容标记

使用敏感度标签通过加密和访问控制保护最敏感的数据，从而简化最低特权实现。 使用内容标记增强用户意识和可跟踪性。

保护文档和电子邮件

Microsoft Purview 信息保护根据文档和电子邮件的敏感度标签或用户定义的权限启用访问和使用控制。 它还可以选择性地应用标记，并加密驻留在组织内部或外部信任度较低的环境中或从这些环境流出的信息。 它提供静态、运动保护以及启发式应用程序使用的保护。

执行以下步骤：

• 查看 Microsoft 365 中的加密选项
• 使用敏感度标签来限制对内容的访问和使用

保护 Exchange、SharePoint 和 OneDrive 中的文档

对于存储在 Exchange、SharePoint 和 OneDrive 中的数据，可通过策略将使用敏感度标签的自动分类部署到目标位置，以限制对授权出口的访问并管理其加密。

执行此步骤：

• 为 SharePoint、OneDrive 和 Exchange 配置自动标记策略。

III. 控制对数据的访问

必须控制敏感数据的访问授权，以更好地保护它们。 确保访问和使用策略决策包含数据敏感度。

控制 Teams、Microsoft 365 组和 SharePoint 网站中的数据访问和共享

使用容器敏感度标签实现对 Microsoft Teams、Microsoft 365 组或 SharePoint 网站的条件访问和共享限制。

执行此步骤：

• 在 Microsoft Teams、Microsoft 365 组和 SharePoint 站点中使用敏感度标签

在 SaaS 应用程序中控制对数据的访问

Microsoft Defender for Cloud Apps 为条件访问提供附加功能，并可管理 Microsoft 365 和第三方环境（例如 Box 或 Google Workspace）中的敏感文件，包括：

• 移除处理过度特权和防止数据泄露的权限。

• 隔离文件以供审查。

• 对敏感文件应用标签。

执行以下步骤：

• 集成 Microsoft Purview 信息保护

提示

查看集成适用于零信任 的 SaaS 应用与 Microsoft 365，了解如何应用零信任原则以帮助管理云应用的数字资产。

控制对 IaaS/PaaS 存储中的访问

将强制访问控制策略部署到包含敏感数据的 IaaS/PaaS 资源。

执行此步骤：

• 了解 Microsoft Purview DevOps 策略

IV. 防止数据泄漏

控制对数据的访问是必要的，但它不足以控制数据移动并防止无意或未经授权的数据泄露或丢失。 这是数据丢失防护和内部风险管理的角色，在第 IV 节中将会介绍它们。

使用 Microsoft Purview DLP 策略跨以下资源识别、检查并自动保护敏感数据：

• Microsoft 365 服务，例如 Teams、Exchange、SharePoint 和 OneDrive

• Office 应用程序，例如 Word、Excel 和 PowerPoint

• Windows 10、Windows 11 和 macOS（三个最新版本）终结点

• 本地文件共享和本地 SharePoint

• 非 Microsoft 云应用。

执行以下步骤：

• 数据丢失防护计划

• 创建、测试和优化 DLP 策略

• 了解数据丢失防护警报仪表板

• 通过活动资源管理器审查数据活动

V. 管理内部风险

最低特权实现有助于最大程度地降低已知风险，但还必须关联其他与安全性相关的用户行为信号、检查敏感数据访问模式，并扩充检测、调查和搜寻功能。

采取以下步骤：

• 了解内部风险管理

• 调查内部风险管理活动

VI. 删除不必要的敏感信息

组织可以通过管理敏感数据的生命周期来减少其数据暴露。

移除所有特权，在敏感数据本身对组织不再有价值或组织允许的情况下，可以删除这些数据本身。

执行此步骤：

• 实现数据生命周期管理和记录管理

通过赞成就地共享和使用而非数据传输来最大程度地减少敏感数据的重复。

执行此步骤：

• 了解通过 Microsoft Purview 进行的就地数据共享

本指南中涵盖的产品

Microsoft Purview

Microsoft Defender for Cloud Apps

如需获取有关实施的详细信息或帮助，请联系客户成功团队。

零信任部署指南系列