通过零信任保护数据

背景

零信任是用于为组织设计安全原则的安全策略。 零信任通过实施以下安全原则来帮助保护公司资源:

  • 显式验证。 始终根据所有可用的数据点进行身份验证和授权,这些数据点包括用户标识、位置、设备运行状况、服务或工作负载、数据分类和异常。

  • 使用最低特权访问。 利用即时访问 (JIT) 和最低足量权限 (JEA)、基于风险的自适应策略和数据保护来限制用户访问,从而帮助保护数据并提高工作效率。

  • 假定存在安全漏洞。 最小化爆炸半径和段访问。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

Microsoft Purview 为数据深度防御策略和针对数据零信任实现提出了五个核心元素:

  1. 数据分类和标记
    如果你不知道本地环境和云服务中有哪些敏感数据,则无法充分地保护这些数据。 发现和检测整个组织中的数据,并按敏感度级别对其进行分类。

  2. 信息保护
    对敏感数据的条件和最低特权访问可降低数据安全风险。 在环境控制不足的情况下,应用基于敏感度的访问控制防护措施、权限管理和加密。 使用信息敏感度标记来提高意识和安全策略合规性。

  3. 数据丢失预防
    访问控制仅解决了部分问题。 检查和控制可能导致数据安全或合规性事件的风险数据活动和移动,使组织能够防止敏感数据的过度共享。

  4. 内部风险管理
    数据访问可能并不总是提供整个故事。 通过启用来自各种信号的行为检测,并针对组织中可能是数据泄露前兆或表明数据泄露的潜在恶意和无意活动采取行动,最大程度地降低数据风险。

  5. 数据管理
    主动管理敏感数据的生命周期可减少其暴露。 限制敏感数据的副本或传播数量,并删除不再需要的数据,以最大程度地降低数据泄露风险。

数据零信任部署目标

在为数据实现端到端零信任框架时,建议重点关注这些初始部署目标:

带有一个复选标记的列表图标。

I.分类和标记数据。 尽可能自动对数据进行分类和标记。 在未应用的位置手动应用。

第二。应用加密、访问控制和内容标记。 在保护和访问控制不足的情况下应用加密。

I.分类和标记数据。 尽可能自动对数据进行分类和标记。 在未应用的位置手动应用。

在实现上述目标方面取得进展时,请添加以下其他部署目标:

带有两个复选标记的列表图标。

四。防止数据泄露。 使用由风险信号和数据敏感度驱动的 DLP 策略。

V.管理风险。 通过检查可能导致数据安全或合规性事件的风险安全相关用户活动和数据活动模式来管理可能导致数据安全事件的风险。

六。减少数据泄露。 通过数据治理和持续数据最小化减少数据泄露

零信任数据部署指南

本指南将逐步引导你完成数据保护零信任方法。 请记住,根据信息的敏感度以及贵组织的规模和复杂性,这些项将会大不相同。

作为任何数据安全实现的前身,Microsoft 建议你创建一个数据分类框架和敏感度标签分类,用于定义高级数据安全风险类别。 该分类将用于简化从数据清单或活动见解到策略管理到调查优先级等所有内容。

有关详细信息,请参阅:




带有一个复选标记的清单图标。

初始部署目标

I. 对敏感数据进行分类、标记和发现

信息保护策略需要涵盖组织的全部数字内容。

通过分类和敏感度标签,可以了解敏感数据的位置、移动方式,并实现符合零信任原则的适当访问和使用控制:

  • 使用自动分类和标记来检测敏感信息,并跨数据资产缩放发现。

  • 对文档和容器使用手动标记,并手动策展分析中使用的数据集,其中分类和敏感度最好由知识渊博的用户建立。

执行以下步骤:

配置并测试分类和标记后,跨数据资产纵向扩展数据发现。

按照以下步骤将发现扩展到 Microsoft 365 服务之外:

发现、分类和标记数据时,使用这些见解修正风险并通知策略管理计划。

执行以下步骤:

II. 应用加密、访问控制和内容标记

使用敏感度标签通过加密和访问控制来保护最敏感的数据,从而简化最低特权实现。 使用内容标记增强用户意识和可跟踪性。

保护文档和电子邮件

Microsoft Purview 信息保护基于敏感度标签或用户定义的文档和电子邮件权限启用访问和使用控制。 它还可以选择性地应用标记和加密驻留或流出到组织内部或外部信任程度较低的环境的信息。 它为启发式应用程序提供静态、运动和使用的保护。

执行以下步骤:

保护 Exchange、SharePoint 和 OneDrive 中的文档

对于存储在 Exchange、SharePoint 和 OneDrive 中的数据,可以通过策略将带有敏感度标签的自动分类部署到目标位置,以限制对授权出口的访问和管理加密。

执行此步骤:

  • [配置自动标记策略] (/microsoft-365/compliance/apply-sensitivity-label-auto#how-to-configure-auto-label-policies-for-sharepoint-onedrive-and-exchange for-sharePoint、OneDrive 和 Exchange。

III. 控制对数据的访问

必须控制对敏感数据的访问,以便更好地保护它们。 确保访问和使用策略决策包括数据敏感度。

控制 Teams、Microsoft 365 组和 SharePoint 网站中的数据访问和共享

使用容器敏感度标签对 Microsoft Teams、Microsoft 365 组或 SharePoint 网站实施条件访问和共享限制。

执行此步骤:

控制对 SaaS 应用程序中数据的访问

Microsoft Defender for Cloud Apps为条件访问以及管理 Microsoft 365 和第三方环境(如 Box 或 Google 工作区)中的敏感文件提供了其他功能,包括:

  • 删除处理过多特权和防止数据泄露的权限。

  • 隔离文件以供审阅。

  • 将标签应用于敏感文件。

执行以下步骤:

提示

查看将适用于零信任的 SaaS 应用与 Microsoft 365 集成,了解如何应用零信任原则来帮助管理云应用的数字资产。

控制对 IaaS/PaaS 存储中的访问

将强制访问控制策略部署到包含敏感数据的 IaaS/PaaS 资源。

执行此步骤:

IV. 防止数据泄漏

控制对数据的访问是必要的,但不足以控制数据移动和防止意外或未经授权的数据泄露或丢失。 这是数据丢失防护和内部风险管理的作用,如第四节所述。

使用 Microsoft Purview DLP 策略识别、检查,并自动保护以下敏感数据:

  • Microsoft 365 服务,例如 Teams、Exchange、SharePoint 和 OneDrive

  • Word、Excel 和 PowerPoint 等 Office 应用程序

  • Windows 10、Windows 11和 macOS (三个最新版本) 终结点

  • 本地文件共享和本地 SharePoint

  • 非 Microsoft 云应用。

执行以下步骤:

V. 管理内部风险

最低特权实现有助于最大程度地降低已知风险,但还必须将其他与安全性相关的用户行为信号、检查敏感数据访问模式以及广泛的检测、调查和搜寻功能相关联。

执行以下步骤:

VI. 删除不必要的敏感信息

组织可以通过管理敏感数据的生命周期来减少数据泄露。

在敏感数据本身对组织不再有价值或不允许时,删除所有权限。

执行此步骤:

通过支持就地共享和使用而不是数据传输,最大限度地减少敏感数据的重复。

执行此步骤:

本指南中涵盖的产品

Microsoft Purview

Microsoft Defender for Cloud Apps

如需获取有关实施的详细信息或帮助,请联系客户成功团队。



零信任部署指南系列

简介图标

标识图标

终结点图标

应用程序图标

数据图标

基础结构的图标

网络图标

可见性、自动化和业务流程的图标