DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。
本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。
使用以下各链接,转到指导的各节。
4 数据
本节包含 Microsoft 对数据支柱中 DoD 零信任活动的指导和建议。 若要了解详细信息,请参阅使用零信任保护网络。
4.1 数据目录风险对齐
Microsoft Purview 解决方案有助于发现、识别、治理、保护和管理其所在地的数据。 Microsoft Purview 提供了三种方法来识别项,以便对其进行分类。 可以由用户手动对项进行分类,通过自动模式识别(例如使用敏感信息类型)对项进行分类,以及通过机器学习对项进行分类。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.1.1 数据分析DoD 组织使用数据分类更新服务和应用程序目录。 每个服务和应用程序均添加了数据标记。。 结果: - 服务目录根据数据分类级别更新了每个应用程序和服务的数据类型 |
Microsoft Purview 在 Microsoft Purview 合规性门户中查看敏感信息类型并规定自定义敏感信息类型。 - Purview 合规性门户中的自定义敏感信息类型 使用 Purview 内容资源管理器或活动资源管理器查看带标签的 Microsoft 365 内容快照,并查看相关的用户活动。 - 内容资源管理器 - 活动资源管理器 Microsoft Defender for Cloud Apps 集成 Microsoft Purview 信息保护,给与策略相配的数据打上敏感标签。 调查所有云端应用程序的敏感数据潜在泄露。 - 集成信息保护 Microsoft Purview 数据目录 浏览 Purview 数据目录以浏览数据资产中的数据。 - Purview 数据目录 |
4.2 DoD 企业数据治理
Microsoft Purview 信息保护使用敏感度标签。 可以创建与组织相关的敏感度标签,管理哪些标签对用户可见,并定义标签范围。 将标签范围限定为文件、电子邮件、会议、Microsoft Teams、SharePoint 网站等。 标签能够保护加密内容、限制外部共享并防止数据丢失。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.2.1 定义数据标记标准DoD Enterprise 与各组织合作,根据行业最佳做法建立数据标记和分类标准。 分类在流程中被批准并实施。 标签将以后的活动分为手动和自动。 结果: - 建立企业数据分类和标记标准 - 组织对齐企业标准并开始实施 |
Microsoft Purview 根据自定义的数据标记标准在 Microsoft Purview 中创建和发布敏感度标签。 - 敏感度标签和策略 - Microsoft 365 的敏感度标签 |
Target 4.2.2 互操作性标准DoD Enterprise 与组织协作建立互操作性标准,将强制性数据权限管理 (DRM) 和保护解决方案与实现 ZT 目标功能所需的技术相结合。 结果: - 企业落实合适的正式数据标准 |
Azure Rights Management 使用 Azure RMS 进行数据权限管理 (DRM),并在与 Microsoft 365 服务协作的 DoD 实体之间实现保护互操作性。 - Azure RMS - 支持敏感度标签的应用程序 |
Target 4.2.3 开发软件定义存储 (SDS) 策略DoD 企业与各组织合作,根据行业最佳做法建立软件定义存储 (SDS) 策略和标准。 DoD 组织评估当前数据存储策略和实现 SDS 所用的技术。 确定可以使用适当的存储技术实现 SDS。 结果: -确定实现 SDS 工具的需求 -在企业和组织级别创建 SDS 策略 |
SharePoint Online 使用 SharePoint Online 和 OneDrive for Business 作为软件设计存储 (SDS) 的标准可互操作解决方案。 使用网站访问限制策略限制访问敏感 SharePoint Online 网站和内容。 应用数据丢失防护 (DLP) 规则,阻止来宾访问文件。 - 限制群组成员的站点访问 - 阻止来宾访问受 DLP 规则管理的文件 - 保护来宾共享 Microsoft Defender for Cloud Apps 使用 Defender for Cloud Apps 阻止对未经授权的云存储服务的访问。 - 治理发现的应用 |
4.3 数据标签和标记
Microsoft Purview 信息保护自动根据自定义的敏感信息类型对数据进行分类。 服务侧和客户侧的标签策略可确保为用户创建的 Microsoft 365 内容打标签并对其提供保护。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.3.1 实现数据标记和分类工具DoD 组织利用企业标准和要求来实现数据标记和分类解决方案。 组织通过 DoD 企业要求确保解决方案支持以后的 ML 和 AI 集成。 结果: - 数据分类和标记工具的要求必须包括对机器学习 (ML) 的集成和/或支持 - 数据分类和标记工具在组织和企业级别实现 |
Microsoft Purview 信息保护 使用 Microsoft Purview 信息保护根据敏感信息类型和经由机器学习 (ML) 训练的分类器对数据进行分类。 - 敏感数据和 Purview - 标签策略 |
Target 4.3.2 手动数据标记第 1 部分根据 DoD Enterprise 数据标记和分类策略及标准,手动标记开始使用基本数据级别属性以满足 ZT 目标功能。 结果: - 手动数据标记从具有基本属性的企业级开始 |
Microsoft Purview 根据自定义的数据标记标准在 Microsoft Purview 中创建和发布敏感度标签。 请参阅 4.2.1 中的 Microsoft 指南。 配置标签策略,要求用户在电子邮件和文档中应用敏感度标签。 - 用户在电子邮件和文档中应用标签 |
Advanced 4.3.3 手动数据标记第 2 部分DoD 组织特定的数据级别属性集成到手动数据标记流程中。 DoD 企业和组织相互合作以确定满足 ZTA 高级功能所需的属性。 在整个企业中标准化并整合 ZTA 高级功能所需的数据级别属性。 结果: - 手动数据标记通过特定属性扩展到项目/组织级别 |
Microsoft Purview 在 Microsoft Purview 合规性门户中查看敏感信息类型。 根据需要规定自定义敏感信息类型。 请参阅 4.1.1 中的 Microsoft 指南。 |
Advanced 4.3.4 自动数据标记和支持第 1 部分DoD 组织使用数据丢失防护、权限管理和/或保护解决方案以对数据存储库进行扫描。 对支持的数据存储库和数据类型应用标准化标记。 确定不受支持的数据存储库和类型。 结果: - 基本自动化从扫描数据存储库和应用标记开始 |
Microsoft Purview 信息保护 为在 Microsoft Office 应用程序中创建的文件和电子邮件配置客户侧标签。 - Office 应用的自动标签 为存储在 Office 365 中的内容配置服务侧标签。 - SharePoint、OneDrive 和 Exchange 的自动标签策略 对容器应用敏感度标签:Microsoft Teams 网站、Microsoft 365 群组和 SharePoint 站点。 - Teams、Microsoft 365、群组和 SharePoint 站点的敏感度标签 扫描环境中满足规定敏感度信息类型的数据值,以查找环境中的为文档和电子邮件。 - 数据匹配敏感信息类型 使用文档指纹查找匹配文档模板和标准格式的内容并为其打标签。 - 文档指纹 Microsoft Purview 在 Microsoft Purview 治理门户中注册数据源、扫描、引入和分类数据。 - Purview 的数据源 - 扫描和引入 - 数据分类 Microsoft Defender for Cloud Apps 在 Microsoft Defender for Cloud Apps 中集成 Purview 信息保护以自动应用敏感度标签、强制执行加密策略并防止数据丢失。 - 集成信息保护 - 应用敏感度标签 - DLP 内容检验 |
Advanced 4.3.5 自动数据标记和支持第 2 部分剩余受支持的数据存储库具有基本和扩展数据标记,这些标记通过机器学习和人工智能进行应用。 扩展数据标记应用于现有存储库。 使用基于风险的方法评估不受支持的数据存储库和数据类型以解除授权。 获批例外使用手动数据标记的方法,数据所有者和/或管理员管理标记。 结果: - 完成完全自动化数据标记 - 将数据标记结果投喂给 ML 算法。 |
Microsoft Purview 信息保护 Purview 的可训练分类器帮助你使用机器学习 (ML) 识别内容。 使用人工挑选和正匹配样本创建和训练分类器。 - 可训练分类器 |
4.4 数据监视和感知
Microsoft Purview 数据丢失防护 (DLP) 策略可防止数据离开组织。 可以将 DLP 策略应用于静态、使用中和运动中的数据。 对保留在云服务、本地文件共享以及 Windows 和 macOS 设备上的数据强制执行 DLP 策略。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.4.1 DLP 执行点日志记录和分析DoD 组织确定数据丢失防护 (DLP) 执行点,例如特定服务和用户终结点。 使用已建立的 DoD Enterprise 网络安全事件响应标准,DoD 组织可确保捕获适宜的数据详细信息。 此外,还开发了保护、检测和响应用例,以更好地确定解决方案的覆盖范围。 结果: - 确定执行点 - 在企业和组织级别强制执行标准化日志记录架构 |
Microsoft Purview 数据丢失防护 在 Purview 合规性中创建 DLP 策略。 强制为 Microsoft 365 应用程序、Windows 和 macOS 终结点以及非 Microsoft 云应用实施 DLP。 - 规划 DLP - 设计 DLP 策略 - 审核日志活动 - Office 365 管理活动 API 架构 Microsoft Defender for Cloud Apps 结合 Purview 信息保护与 Defender for Cloud Apps 以自动应用敏感度标签、强制实施加密策略并防止数据丢失。 请参阅 4.3.4 中的 Microsoft 指南。 |
Target 4.4.2 DLP 执行点日志记录和分析DoD 组织确定数据权限管理 (DRM) 执行点,例如特定服务和用户终结点。 使用已建立的 DoD Enterprise 网络安全事件响应标准,DoD 组织可确保捕获适宜的数据详细信息。 此外,还开发了保护、检测和响应用例,以更好地确定解决方案的覆盖范围。 结果: - 确定执行点 - 在企业和组织级别强制执行标准化日志记录架构 |
Microsoft Purview 信息保护 Purview 数据权限管理 (DRM) 执行点包括 Microsoft 365 和第三方应用程序以及与 Microsoft 信息保护 (MIP) SDK、联机应用和富客户端集成的服务。 - 保护敏感数据 - 使用敏感度标签限制内容访问 - MIP SDK - Microsoft 365 的加密 Microsoft Defender for Cloud Apps 结合 Purview 信息保护和 Defender for Cloud Apps 以自动应用敏感度标签、强制执行加密策略和防止数据丢失。 请参阅 4.3.4 中的 Microsoft 指南。 |
Target 4.4.3 文件活动监视第 1 部分DoD 组织使用文件监视工具来监视应用程序、服务和存储库中最重要的数据分类级别。 向 SIEM 投喂监视分析和基本数据属性以实现 ZT 目标功能。 结果: - 积极监视关键分类的数据和文件 - 落实与 SIEM 等监视系统的基本集成 |
Microsoft Purview 数据丢失防护 DLP 警报显示在 Microsoft Defender XDR 中。 有关创建、标签、打印和共享的文件活动位于统一审核日志中,以及 Microsoft Purview 合规性门户的活动资源管理器中。 - DLP 警报 - 活动资源管理器 - 导出、配置和查看审核日志记录 Microsoft Defender XDR 和 Microsoft Sentinel 集成 Microsoft Defender XDR 与 Sentinel 以查看和调查企业安全事件和事件管理 (SIEM) 系统中的数据丢失防护 (DLP) 警报。 - 集成 SIEM 工具 - Sentinel 的信息保护连接器 - 将 Defender XDR 数据连接到 Sentinel - DLP 调查 |
Target 4.4.4 文件活动监视第 2 部分DoD 组织使用文件监视工具来监视应用程序、服务和存储库中的所有受监管保护的数据(例如 CUI、PII、PHI 等)。 扩展集成用于向合适的支柱间/支柱内解决方案发送数据,例如数据丢失防护、数据权限管理/保护以及用户和实体行为分析。 结果: - 积极监视所有监管分类的数据和文件 - 落实适宜的扩展集成,以便进一步管理风险 |
Microsoft Sentinel 确定需要的敏感度标签并配置自定义 Sentinel 分析规则。 在关键文件活动触发 DLP 警报时创建事件。 关键文件事件包括检测到敏感信息、违反策略行为和其他可疑活动。 - 自定义分析规则以检测威胁 - 使用 playbook 响应威胁 |
Advanced 4.4.5 数据库活动监视DoD 组织采购、实施和使用数据库监视解决方案来监视所有包含监管数据类型(CUI、PII、PHI 等)的数据库。 数据库监视解决方案的日志和分析会投喂到 SIEM 进行监视和响应。 分析投喂给跨支柱活动,例如“企业安全配置文件”和“实时访问”,以更好地指导决策。 结果: - 积极监视适宜的数据库 - 监视技术与 SIEM、PDP 和动态访问控制机制等解决方案集成 |
Microsoft Defender for SQL Defender for SQL 保护 Azure 和其他云中的数据库。 - Defender for SQL - 安全警报 Microsoft Sentinel 将 Microsoft Defender for Cloud 和 Microsoft Defender XDR 的数据连接器连接到 Sentinel。 - 连接 Defender for Cloud 警报, - 将 Defender XDR 连接到 Sentinel 条件访问 要求敏感 SharePoint 站点的身份验证上下文,并使用条件访问保护 Azure SQL 数据库的登录。 - 敏感度标签 - 身份验证上下文 - Azure SQL 数据库和 Azure Synapse Analytics 的条件访问 |
Advanced 4.4.6 综合数据活动监视DoD 组织根据风险措施适当地扩展对数据存储库(包括数据库)的监视。 满足 ZT 高级功能所需的其他数据属性已集成到分析中,以实现其他集成。 结果: - 集成数据活动监视机制以提供跨数据存储库监视的统一视图 - 存在与 SIEM 和 PDP 等解决方案的适宜集成 |
Microsoft Graph API 使用 Microsoft Graph 活动日志对 Microsoft Graph 服务接收的请求和租户处理的请求进行日志审核。 - 活动日志 Microsoft Purview 数据映射 配置 Purview 数据映射以扫描组织数据资产中的敏感文件。 - 管理数据源 Microsoft Sentinel 若要与安全信息和事件管理 (SIEM) 系统集成,请为 Microsoft Defender for Cloud、Microsoft Defender XDR 和 Purview 配置 Sentinel 数据连接器。 请参阅 4.4.5 中的 Microsoft 指南。 条件访问 Microsoft Defender XDR 发现的异常文件访问检测可提高用户风险级别。 用户风险是条件访问中的条件,即 Microsoft Entra ID 的策略决策点(PDP)。 定义条件访问身份验证上下文,用户风险条件无风险。 保护标记的 SharePoint 网站;需要条件访问身份验证上下文。 - 风险检测 - 异常文件访问 - 身份验证上下文示例 |
4.5 数据加密和权限管理
Microsoft 365 服务加密静态数据和传输中的数据。 Microsoft Purview 根据敏感度标签加密策略限制对内容的访问。 Purview 通过另一层对电子邮件和文件的加密来实现目标。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.5.1 实施 DRM 和保护工具第 1 部分DoD 组织按照 DoD 企业标准和要求按需采购和实施 DRM 和保护解决方案。 新实现的 DRM 和保护解决方案通过使用 ZTA 目标级别保护的高风险数据存储库实现。 结果: - 启动 DRM 和保护工具为高风险数据存储库提供基础保护 |
Microsoft 365 加密 Microsoft 365 通过 Windows 安全功能 BitLocker 和分布式密钥管理器 (DKM) 实现卷级别的基线加密。 - 了解加密 Microsoft Purview 使用标签策略根据敏感度标签自动对 Microsoft 365 中的高风险数据应用更多加密。 - 通过敏感度标签限制内容访问 - Microsoft 365 的电子邮件加密 Microsoft Defender for Cloud Apps 集成 Microsoft Purview 信息保护与 Defender for Cloud Apps 以自动应用敏感度标签、 强制执行加密策略并防止数据丢失。 请参阅 4.3.4 中的 Microsoft 指南。 Azure Policy 使用 Azure Policy 要求安全传输层安全性 (TLS) 版本,实现透明数据加密 (TDE),并要求使用客户管理的密钥对静态数据进行加密。 - Azure SQL 数据库和 SQL 托管实例的 Azure Policy 定义 |
Target 4.5.2 实现 DRM 和保护工具第 2 部分拓展 DRM 和保护范围以涵盖范围数据存储库中的所有内容。 自动管理加密密钥,以满足最佳做法(例如 FIPS)。 基于环境分类扩展数据保护属性。 结果: - 为所有可能的存储库启用 DRM 和保护工具 |
Azure 密钥保管库 使用 Azure 密钥保管库托管硬件安全模块 (Azure Key Vault HSM) 来保护使用 FIPS 140-2 级别 3 验证硬件安全模块的应用程序加密密钥。 - Azure 密钥保管库托管 HSM Microsoft Purview 客户密钥 Microsoft 365 为具备客户密钥的内容提供加密层。 - 服务加密 Azure 信息保护租户密钥 Azure 信息保护支持 Microsoft 生成的租户根密钥和自带密钥 (BYOK)。 - 租户密钥 - 双重密钥加密 - BYOK |
Target 4.5.3 通过数据标记和分析强制执行 DRM 第 1 部分数据权限管理 (DRM) 和保护解决方案与 DoD Enterprise 标准定义的基本数据标记集成。 初始数据存储库受到监视并启用保护和响应操作。 静态数据在存储库中加密。 结果: - 数据标记与 DRM 集成,扩展受监视的存储库 - 基于数据标记,数据静态加密 |
Microsoft Purview 信息保护 使用标签策略自动为 Microsoft 365 中的高风险数据按照敏感度标签应用更多加密。 - 使用敏感度标签限制内容访问 Microsoft 365 加密 Microsoft 365 通过 BitLocker 和分布式密钥管理器 (DKM) 实现卷级别的基线加密。 请参阅 4.5.1 中的 Microsoft 指南。 |
Advanced 4.5.4 通过数据标记和分析强制执行 DRM 第 2 部分扩展数据存储库受到 DRM 和保护解决方案的保护。 DoD 组织实施适用于组织与授权企业的扩展数据标记。 使用额外的标记在扩展存储库中加密数据。 结果: - 所有适用的数据存储库均使用 DRM 进行保护 - 使用组织级别的扩展数据标记加密数据 |
Azure 加密 Azure 加密静态和传输中的数据。 - Azure 加密 Azure Policy 启用 Azure Policy 来保护 Azure SQL 数据库 请参阅 Microsoft 指南 4.5.1。 条件访问 对连接到 Azure SQL 的用户使用条件访问策略。 请参阅 4.4.5 中的 Microsoft 指南。 |
Advanced 4.5.5 通过数据标记和分析强制执行 DRM 第 3 部分DRM 和保护解决方案与 AI 和 ML 工具集成,以实现加密、权限管理和保护功能。 结果: - ML/AI 的分析与 DRM 集成,以便更好地实现自动保护 - 加密保护与 AI/ML 集成,并根据需要使用更新的加密方法 |
Microsoft Purview 信息保护 使用 Microsoft Purview 信息保护根据敏感信息类型和机器学习 (ML) 训练的分类器对数据进行分类。 请参阅 4.3.5 中的 Microsoft 指南。 Azure 机器学习 Azure 机器学习和 Azure OpenAI 服务使用能够加密数据的 Azure 存储和 Azure 计算服务。 - 数据加密 - Azure OpenAI 的静态数据加密 条件访问 使用身份保护风险信号定义身份验证上下文。 对标记的 SharePoint 站点和自定义应用程序要求身份验证上下文。 - 身份验证上下文 请参阅 4.4.5 中的 Microsoft 指南。 |
4.6 数据丢失防护 (DLP)
Microsoft Purview 数据丢失防护 (DLP) 策略可防止数据离开组织。 可以将 DLP 策略应用于静态、使用中和运动中的数据。 对保留在云服务、本地文件共享以及 Windows 和 macOS 设备上的数据强制执行 DLP 策略。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.6.1 实现执行点数据丢失防护 (DLP) 解决方案部署到范围内的执行点。 DLP 解决方案设置为“仅监视”和/或“学习”模式限制影响。 对 DLP 解决方案结果进行分析,并微调策略,以将风险管理到可接受的程度。 结果: - 对已确定的执行点部署 DLP 工具并将其设置为使用标准化日志记录的监视模式 |
Microsoft Purview 数据丢失防护 Microsoft 365 应用程序和 Windows 终结点强制实施 DLP 策略。 在 DLP 模拟模式下配置策略。 - DLP 规划 - DLP 模拟模式 在 DLP 中创建策略。 将策略状态设置为“测试”或“使用测试提示测试”。 将策略操作设置为“仅审核”或“阻止并替代”。 - DLP 策略部署 为 Windows 10、11 和 macOS 设备载入终结点数据丢失防护(终结点 DLP) - 终结点 DLP 部署 Microsoft Purview 信息保护扫描程序。 为本地 SQL 数据库、文件共享、网络连接存储 (NAS) 和 SharePoint Server 文档库中的内容打标签并强制执行 DLP 策略。 - DLP 本地存储库 - 信息保护扫描程序 Microsoft Purview 数据丢失防护 集成 Microsoft Purview 信息保护与 Defender for Cloud Apps 以自动应用敏感度标签、强制执行加密策略并防止数据丢失。 请参阅 4.3.4 中的 Microsoft 指南。 条件访问 控制对 Office 365 和其他 Microsoft Entra 集成应用程序的访问。 在启用阻止“访问权限”授予控制的策略之前,使用仅报告模式监视结果。 - 生成策略 - 仅报告模式 - 会话策略:监视所有 |
Target 4.6.2 通过数据标记和分析强制执行 DLP 第 1 部分数据丢失防护 (DLP) 解决方案从仅监视模式更新为预防模式。 将基本数据标记用于 DLP 解决方案,并集成日志记录架构。 结果: - 执行点设置为阻止模式,集成日志记录架构和手动标记环境分类。 |
Microsoft Purview 数据丢失防护 在测试模式下创建 DLP 策略。 将状态更改为“开启”以启用强制模式。 如果将策略操作设置为“阻止”,则策略会阻止触发 DLP 的用户活动。 - DLP 策略中的操作 启用实时 (JIT) 保护,以强制对脱机设备上创建的文件执行终结点 DLP。 - 脱机设备 Microsoft Defender for Cloud Apps 启用 Defender for Cloud Apps 中的内容检查。 - DLP 内容检查 条件访问 测试完成后,启用应用会话控制的条件访问策略,或使用阻止访问权限授予控制。 若要避免租户锁定,请排除紧急访问帐户。 - 紧急访问帐户 请参阅 4.6.1 中的 Microsoft 指南。 |
Advanced 4.6.3 通过数据标记和分析强制执行 DLP 第 2 部分更新数据丢失防护 (DLP) 以基于并行自动化活动纳入扩展数据标记。 结果: - 执行点应用扩展数据标记属性以实现额外的防护 |
Microsoft Purview 信息保护 规定自定义敏感信息类型。 创建标签和数据丢失防护策略。 请参阅 4.1.1 中的 Microsoft 指南。 |
Advanced 4.6.4 通过数据标记和分析强制执行 DLP 第 3 部分数据丢失防护 (DLP) 解决方案与自动化数据标记技术进行集成,以包括任何缺失的执行点和标记。 结果: - 自动化标记属性与 DLP 集成,生成的指标用于 ML |
Microsoft Purview 信息保护 使用 Microsoft Purview 信息保护根据敏感信息类型和经由机器学习 (ML) 训练的分类器对数据进行分类。 请参阅 4.3.5 中的 Microsoft 指南。 |
4.7 数据访问控制
Microsoft 365 和 Azure 存储服务与 Microsoft Entra ID 集成,以实现基于身份的授权。 Microsoft Entra ID 支持基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC)。
Microsoft Entra 角色和安全组为组织提供基于角色的访问控制。 动态安全组使用用户、群组和设备对象上定义的属性来根据大量表达式和规则集定义成员身份。
Microsoft Entra ID 基于属性的访问控制使用自定义安全属性,后者是可以自定义并分配给 Microsoft Entra 对象的业务属性。 自定义安全属性存储敏感信息。 对查看或修改自定义安全属性的访问权限仅限于“属性管理员”角色。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target 4.7.1 集成 DAAS 访问和 SDS 策略第 1 部分利用 DoD 企业 SDS 策略,在考虑到预期集成的情况下制定组织 DAAS 策略。 SDS 实施指南是由 DoD 组织针对特定环境开发的。 结果: - 基于属性的细粒度 DAAS 策略在企业和组织级别的支持下进行发开 - SDS 集成计划旨在支持 DAAS 策略 |
Microsoft Entra ID 通过 Microsoft Entra ID 和 Azure 基于属性的访问控制 (Azure ABAC)、应用程序的自定义安全属性筛选、动态安全组等机制,实施基于属性的数据、资产、应用程序和服务 (DAAS) - 基于属性的控件 自定义安全属性 定义自定义安全属性并为用户赋值。 为 Azure ABAC 的 Azure 角色配置角色分配条件。 目前,此功能以预览版向 Azure 存储帐户权限提供。 - Azure ABAC - 管理对自定义安全属性的访问权限, - 管理属性和委派 使用自定义安全属性进行精细的动态应用程序授权。 为条件访问策略中的应用程序分配自定义安全属性并使用属性筛选器(预览版)。 - 管理应用程序的自定义安全属性 动态安全组 使用动态安全组授予对支持 Microsoft Entra ID 群组的资源访问权限。 包括 Microsoft 365 角色群、Microsoft Entra ID 应用程序的应用角色、Azure 角色和应用程序分配。 条件访问策略使用动态组,并为不同属性值的用户应用授权级别。 - 动态组成员身份规则 - 从条件发出声明 |
Advanced 4.7.2 集成 DAAS 访问和 SDS 策略第 2 部分DoD 组织以自动化方式实现 DAAS 策略。 结果: - 以自动化方式实现基于属性的精细 DAAS 策略 |
Microsoft Graph API 使用 Microsoft Graph API 自动配置条件访问策略、自定义安全属性、动态安全组和其他 Microsoft Entra ID 功能。 - 标识和访问 API |
Advanced 4.7.3 集成 DAAS 访问和 SDS 策略第 3 部分新实现的 SDS 技术和/或功能以基于风险的方式与 DAAS 策略集成。 应在实施过程中采取分阶段方法来衡量结果并进行相应调整。 结果: - SDS 与 DAAS 策略功能集成 - 所有应用程序中的全部数据均受到基于属性的精细 DAAS 策略的保护。 |
Microsoft Defender for Cloud Apps 集成 Microsoft Purview 和 Defender for Cloud Apps。 创建文件策略以使用云提供商 API 强制实施自动化进程。 - 集成信息保护 - 文件策略 |
Target 4.7.4 通过企业 IDP 集成解决方案和策略第 1 部分DoD 组织制定一项集成计划,通过企业标识提供者 (IdP) 解决方案使用 SDS 策略和技术/功能。 结果: - 开发 SDS 与权威标识提供者的集成计划,以支持现有的 DAAS 访问 |
Microsoft Entra ID SharePoint Online 和 OneDrive for Business 等 Microsoft 365 存储服务与 Microsoft Entra ID 集成。 配置 Azure 存储服务与 Microsoft Entra ID 集成,以便进行基于标识的授权,从而请求 Blob、文件、队列和表服务。 - Microsoft Entra ID - 授权 Azure 存储 在应用程序库中,将更多软件定义存储(SDS) 解决方案与 Microsoft Entra ID 集成。 - 应用程序库 |
Advanced 4.7.5 通过企业 IDP 集成解决方案和策略第 2 部分按照集成计划将新实现的 SDS 技术和/或功能与企业标识提供者 (IdP) 相集成。 集成需要有实现 ZT 目标功能所需的标识属性。 结果: - 完成与企业 IDP 和 SDS 工具的集成,以支持所有基于属性的精细 DAAS 访问 |
完成 4.7.1 和 4.7.4 的活动。 |
Advanced 4.7.6 实现 SDS 工具和/或集成 DRM 工具第 1 部分根据对软件定义存储工具的需求,实现一项新的解决方案,或确定满足功能需求的现有方案,以便与 DLP、DRM/保护和 ML 解决方案集成。 结果: - 如果需要用工具,请确保支持与 DLP、DRM 和 ML 工具的集成 |
Microsoft Purview Microsoft Purview 信息保护数字权限管理 (DRM) 和 Microsoft Purview 数据丢失防护 (DLP) 功能与 Office 客户端和 Microsoft 365 服务在本机集成。 集成是内置的,不需要其他部署。 - Purview 概述 使用 Microsoft 信息保护 SDK (MIP SDK) 生成自定义工具以将对文件应用标签和保护。 请参阅 4.4.2 中的 Microsoft 指南。 |
Advanced 4.7.7 实现 SDS 工具和/或集成 DRM 工具第 2 部分DoD 组织以适当的方式配置 SDS 功能和/或解决方案,以便与基础 DLP 和 DRM/保护基础结构集成。 低级别集成的保护和响应更有效。。 结果: - 将 SDS 基础结构与现有 DLP 和 DRM 基础结构集成 |
Microsoft 365 和 Microsoft Purview Microsoft Purview 通过数据丢失防护 (DLP) 和数据权限管理 (DRM) 来保护 Microsoft 365 内容,而无需其余基础结构。 - 保护敏感数据 |
后续步骤
为 DoD 零信任策略配置 Microsoft 云服务: