背景
零信任是一种安全策略,用于为组织设计安全原则。 零信任通过实施以下安全原则来帮助保护公司资源:
显式验证。 始终根据所有可用的数据点进行身份验证和授权,这些数据点包括用户身份、位置、设备运行状况、服务或工作负载、数据分类和异常情况。
使用最低权限访问。 使用即时访问 (JIT) 和恰好足够访问权限 (JEA)、基于风险的自适应策略以及数据保护来限制用户访问,以保护数据和生产力。
假定漏洞。 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。
Microsoft Purview为深度防御数据策略建议五个核心元素,并为数据提供零信任实现:
数据分类和标记
如果你不知道本地环境和云服务中有哪些敏感数据,则无法充分地保护这些数据。 发现和检测整个组织中的数据,并按敏感级别对其进行分类。信息保护
对敏感数据的条件和最低权限访问可降低数据安全风险。 在环境控制不足的情况下,应用基于敏感度的访问控制防护措施、权限管理和加密。 使用信息敏感度标记来提高意识和安全策略符合性。数据丢失防护
访问控制仅可解决部分问题。 检查和控制可能导致数据安全或合规性事件的风险数据活动和移动,使组织能够防止敏感数据过度共享。内部风险管理
数据访问可能并不总是提供完整信息。 在广泛的信号中启用行为检测,并对组织内可能导致数据泄露的恶意或无意活动采取措施,以最大程度地降低数据风险。数据管理
主动管理敏感数据的生命周期可降低其风险。 限制敏感数据的副本数或传播,并删除不再需要的数据,以最大程度地降低数据泄露风险。
数据零信任部署目标
|
在实现数据的端到端零信任框架时,建议重点关注这些初始部署目标: |
|
|
带有一个复选标记的列表图标。 |
I.对数据进行分类和标记。尽可能自动对数据进行分类和标记。 在不适用的地方,请手动应用。 II.应用加密、访问控制和内容标记。在保护和访问控制不足时应用加密。 III.控制对数据的访问。控制对敏感数据的访问,以更好地保护它们。 确保访问和使用策略决策包含数据敏感度。 |
|
在实现上述目标方面取得进展时,增加以下附加部署目标: |
|
|
带有两个复选标记的列表图标。 |
IV.防止数据泄漏。使用由风险信号和数据敏感度驱动的 DLP 策略。 V.管理风险。通过检查可能导致数据安全或合规性事件的风险安全相关的用户活动和数据活动模式,管理可能导致数据安全事件的风险。 VI.减少数据暴露。通过数据管理和持续的数据最小化来减少数据暴露 |
数据零信任部署指南
本指南将逐步引导您采用零信任的数据保护方法。 请记住,根据信息的敏感度以及贵组织的规模和复杂性,这些项将会大不相同。
作为任何数据安全实现的先驱,Microsoft 建议创建数据分类框架和敏感度标签分类,用于定义高级数据安全风险类别。 该分类将用于简化从数据盘存或活动见解到策略管理再到调查优先级的所有内容。
有关详细信息,请参阅:
- 创建妥善设计的数据分类框架
|
带有一个复选标记的清单图标。 |
初始部署目标 |
一. 分类、标记和发现敏感数据
信息保护策略需要涵盖组织的全部数字内容。
通过分类和敏感度标签,可以了解敏感数据所在的位置、移动方式,以及实现符合零信任原则的适当访问和使用控制:
使用自动分类和标记来检测敏感信息,并在整个数据资产中扩大发现的覆盖范围。
对文档和容器使用手动标记,并手动整理用于分析的数据集,其中分类和敏感度最好由熟悉情况的用户规定。
执行以下步骤:
了解敏感信息类型
了解可训练分类器
了解敏感度标签
配置并测试分类和标记后,跨数据资产扩大数据发现范围。
按照以下步骤将发现扩展到Microsoft 365服务之外:
在 SaaS 应用程序中发现和保护敏感信息
在发现、对数据进行分类和标记时,请使用这些见解来修正风险并通知策略管理计划。
执行以下步骤:
内容资源管理器入门
通过活动资源管理器审查标记活动
了解数据洞察
II. 应用加密、访问控制和内容标记
使用敏感度标签通过加密和访问控制保护最敏感的数据,从而简化最低特权实现。 使用内容标记增强用户意识和可跟踪性。
保护文档和电子邮件
Microsoft Purview 信息保护基于敏感度标签或用户定义文档和电子邮件的权限启用访问和使用控制。 它还可以选择性地应用标记,并加密驻留在组织内部或外部信任度较低的环境中或从这些环境流出的信息。 它为静态、动态和使用中的先进应用程序提供保护。
执行以下步骤:
- 查看 Microsoft 365 中的加密选项
- 使用敏感度标签来限制对内容的访问和使用
保护 Exchange、SharePoint 和 OneDrive 中的文档
对于存储在 Exchange、SharePoint和OneDrive中的数据,可以通过策略将敏感度标签自动分类部署到目标位置,以限制对已授权出口的访问和管理加密。
执行此步骤:
三 控制对数据的访问
必须控制对敏感数据的访问,以便更好地对其进行保护。 确保访问和使用策略决策包含数据敏感度。
控制 Teams、Microsoft 365 组 和 SharePoint 网站中的数据访问和共享
使用容器敏感度标签对Microsoft Teams、Microsoft 365 组或SharePoint站点实施条件访问和共享限制。
执行此步骤:
在 SaaS 应用程序中控制对数据的访问
Microsoft Defender for Cloud Apps为条件访问提供其他功能,以及管理Microsoft 365和第三方环境(例如 Box 或 Google Workspace)中的敏感文件,包括:
移除权限以解决过度特权问题并防止数据泄露。
隔离文件以供审查。
对敏感文件应用标签。
执行以下步骤:
提示
请查看 使用 Microsoft 365 集成 SaaS 应用以实现零信任,学习如何应用零信任原则来帮助管理您的云应用数字资产。
控制 IaaS/PaaS 存储的访问权限
将强制访问控制策略部署到包含敏感数据的 IaaS/PaaS 资源。
执行此步骤:
IV. 防止数据泄漏
控制对数据的访问是必要的,但它不足以控制数据移动并防止无意或未经授权的数据泄露或丢失。 这是数据丢失防护和内部风险管理的角色,在第 IV 节中将会介绍它们。
使用 Microsoft Purview DLP 策略识别、检查和自动保护跨以下各项的敏感数据:
Microsoft 365 Teams、Exchange、SharePoint 和 OneDrive 等服务
Office 应用程序,如 Word、Excel 和 PowerPoint
Windows 10、Windows 11 和 macOS 终端(包含这三个操作系统的最新发行版本)
本地文件共享和本地 SharePoint
非 Microsoft 云应用。
执行以下步骤:
数据丢失防护计划
创建、测试和优化 DLP 策略
了解数据丢失防护警报仪表板
通过活动资源管理器审查数据活动
V. 管理内部风险
最低特权实现有助于最大程度地降低已知风险,但还必须关联其他与安全性相关的用户行为信号、检查敏感数据访问模式以及广泛的检测、调查和搜寻功能。
采取以下步骤:
了解内部风险管理
调查内部风险管理活动
VI. 删除不必要的敏感信息
组织可以通过管理敏感数据的生命周期来减少其数据暴露。
在可能的情况下,通过删除对组织不再有价值或不允许的敏感数据本身,移除所有与之相关的特权。
执行此步骤:
- 部署数据生命周期管理和记录管理
通过尽量选择就地共享和使用而非数据传输来减少敏感数据的重复。
执行此步骤:
本指南中涵盖的产品
Microsoft Defender for Cloud Apps
如需获取有关实施的详细信息或帮助,请联系客户成功团队。
零信任 部署指南系列
简介图标
标识图标
终结点图标
应用程序图标
数据图标
基础结构的图标
网络图标
可见性、自动化和编排的图标