RaMP 清单 — 数据保护
此快速现代化计划 (RaMP) 清单可以帮助你保护内部部署和云数据免受意外和恶意的访问。
当用户获得基于其角色和职责而不应该拥有的数据访问权限时,会发生意外访问。 结果可能是意外的数据泄露、数据破坏或违反数据安全和隐私法规。
当外部攻击者或恶意内部人员有意尝试访问数据时,会发生恶意访问。 恶意内部人员可以使用你的数据牟利或损害组织。 外部攻击者可以删除、更改、外泄和加密最敏感数据,从而使你面临勒索软件攻击。
对于这两种类型的攻击,必须采取必要的步骤来识别数据、保护数据、防止其遭到破坏或外泄,并确保只有具有业务目的的用户才能访问数据。
保护数据是“假定漏洞”零信任原则的一部分。 即使采取了所有用户帐户和设备保护,也必须假设攻击者可以找到入侵方法并开始遍历你的环境,搜索你组织最有价值的数据。
因此,你必须:
了解数据
了解数据环境,并跨云和本地环境识别重要信息。
保护数据
通过应用链接到保护操作(例如加密、访问限制、视觉标记等)的敏感度标签,在整个生命周期内保护敏感数据。
防止数据丢失
跨云、本地环境和终结点应用一组一致的数据丢失防护策略,以监视、防止和修正与敏感数据有关的风险活动。
使用最低权限访问
应用最小权限,包括允许访问的人员以及为满足业务和生产力要求而允许他们对数据执行的操作。
计划和项目成员责任
下表描述了你的组织数据在倡导/计划管理/项目管理层次结构方面的整体防护情况,帮助确定和推动取得更佳成果。
| Lead | 所有者 | 问责 |
|---|---|---|
| CISO、CIO 或数据安全总监 | 执行支持 | |
| 数据安全性计划主管 | 推动取得更佳成果并促进跨团队协作 | |
| 安全架构师 | 有关配置和标准的建议 | |
| Microsoft 365 管理员 | 针对 OneDrive 和受保护的文件夹实施对 Microsoft 365 租户的更改 | |
| 数据安全工程师和/或基础结构安全工程师 | 启用基础结构备份 | |
| 应用程序所有者 | 确定关键业务资产 | |
| 数据安全管理员 | 实施配置更改 | |
| IT 管理员 | 更新标准和策略文档 | |
| 安全治理和/或 IT 管理员 | 进行监视,确保合规性 | |
| 用户培训团队 | 确保用户指南反映策略更新 |
部署目标
满足这些部署目标以保护零信任中的数据。
| 已完成 | 部署目标 | 所有者 |
|---|---|---|
| 1.了解数据 | 数据安全架构师 | |
| 2.保护数据 | 数据安全工程师 | |
| 3.防止数据丢失 | 数据安全工程师 | |
| 4.使用最低权限访问 | 数据安全工程师 |
1.了解数据
执行这些实现步骤以实现“了解数据”的部署目标。
| 已完成 | 实现步骤 | 所有者 | 文档 |
|---|---|---|---|
| 1. 确定数据分类级别。 | 数据安全架构师 | 了解 | |
| 2. 确定内置和自定义敏感信息类型。 | 数据安全架构师 | 了解 | |
| 3. 确定预先训练和自定义可训练分类器的使用。 | 数据安全架构师 | 了解 | |
| 4. 发现敏感数据并进行分类。 | 数据安全架构师和/或数据安全工程师 | 了解 |
2.保护数据
执行这些实现步骤以实现“保护数据”的部署目标。
| 已完成 | 实现步骤 | 所有者 | 文档 |
|---|---|---|---|
| 1.确定敏感度标签的使用和设计。 | 安全架构师 | 入门 | |
| 2.标记和保护 Microsoft 365 应用和服务的项。 | 数据安全工程师 | 管理敏感度标签 | |
| 3.启用并配置 Microsoft Defender for Cloud Apps。 | 数据安全工程师 | 入门 | |
| 4.发现、标记和保护驻留在云中数据存储的敏感项。 | 数据安全工程师 | 最佳实践 | |
| 5.发现、标记和保护驻留在内部部署数据存储的敏感项。 | 数据安全工程师 | 信息保护扫描程序 | |
| 6.使用 Microsoft Purview 数据映射将敏感度标签扩展到 Azure | 数据安全工程师 | Microsoft Purview 数据映射中的标记 |
3.防止数据丢失
执行这些实现步骤以实现“防止数据丢失”的部署目标。
| 已完成 | 实现步骤 | 所有者 | 文档 |
|---|---|---|---|
| 1.设计并创建数据丢失防护 (DLP) 策略。 | 安全架构师 | 了解 | |
| 2.启用和配置终结点数据丢失防护。 | 数据安全工程师 | 了解 | |
| 3.为 Microsoft Defender for Cloud Apps 条件访问应用控制配置访问策略。 | 数据安全工程师 | 概述 |
4.使用最低权限访问
执行这些实现步骤,确保用户和管理员实现“使用最低权限访问”的部署目标。
| 已完成 | 实现步骤 | 所有者 |
|---|---|---|
| 1.从“了解数据”的部署目标中,查看敏感和关键信息的位置的权限。 | 数据安全工程师 | |
| 2. 在满足协作和业务要求的同时,对敏感和关键信息实现最小权限,并通知受影响的用户。 | 数据安全工程师 | |
| 3.为员工执行变更管理,以便未来创建和维护具有最小权限的敏感和关键信息的位置。 | 用户培训团队 | |
| 4. 审核并监视敏感和关键信息的位置,以确保未授予其宽泛权限。 | 数据安全工程师和/或安全治理管理员 |
结果
完成这些部署目标后,你将生成零信任体系结构的“数据”部分。
