DoD Zero Trust策略和路线图概述了国防部组件和国防工业基地(DIB)合作伙伴基于Zero Trust原则采用新的网络安全框架的路径。 Zero Trust消除了传统的外围和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。
本指南针对 DoD Zero Trust 功能执行路线图中的 152 个Zero Trust活动提供了建议。 这些部分对应于 DoD Zero Trust 模型的七大支柱。
使用以下各链接,转到指导的各节。
4 数据
本部分针对数据支柱中的 DoD Zero Trust活动提供了Microsoft指导和建议。 若要了解详细信息,请参阅 Secure data with Zero Trust。
4.1 数据目录风险匹配
Microsoft Purview解决方案有助于发现、识别、治理、保护和管理驻留的数据。 Microsoft Purview提供了三个用于标识项目的功能,以进行分类。 可以由用户手动对项进行分类,通过自动模式识别(例如使用敏感信息类型)对项进行分类,以及通过机器学习对项进行分类。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.1.1 数据分析DoD 组织使用数据分类更新服务和应用程序目录。 每个服务和应用程序均添加了数据标记。。 结果: - 服务目录根据数据分类级别更新了每个应用程序和服务的数据类型 |
Microsoft Purview 在 Microsoft Purview 合规性门户中查看敏感信息类型,并定义自定义敏感信息类型。 - Purview 合规性门户中的自定义敏感信息类型 使用 Purview 内容浏览器或活动浏览器查看 Microsoft 365 内容的标记快照,并查看关联的用户活动。 - 内容浏览器 - 活动浏览器 Microsoft Defender for Cloud Apps 集成 Microsoft Purview 信息保护,将敏感度标签应用于与策略匹配的数据。 调查跨云应用程序的潜在敏感数据泄露。 - 整合信息保护 Microsoft Purview 数据目录 浏览 Purview 数据目录以探索您的数据资产。 - Purview 数据目录 |
4.2 DoD 企业数据治理
Microsoft Purview Information Protection使用敏感度标签。 可以创建与组织相关的敏感度标签,管理哪些标签对用户可见,并定义标签范围。 将标签范围限定为文件、电子邮件、会议、Microsoft Teams、SharePoint网站等。 标签能够保护加密内容、限制外部共享并防止数据丢失。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.2.1 定义数据标记标准DoD Enterprise 与各组织合作,根据行业最佳做法建立数据标记和分类标准。 分类在流程中被批准并实施。 标签被识别为手动和自动,以用于将来的活动。 结果: - 建立企业数据分类和标记标准 - 组织对齐企业标准并开始实施 |
Microsoft Purview 在 Microsoft Purview 中,根据您定义的数据标记标准创建和发布敏感度标签。 - 敏感度标签和策略 - Microsoft 365 中的敏感度标签 |
Target
4.2.2 互操作性标准DoD Enterprise 与组织协作建立互操作性标准,将强制性数据权限管理 (DRM) 和保护解决方案与实现 ZT 目标功能所需的技术相结合。 结果: - 企业落实合适的正式数据标准 |
|
Target
4.2.3 开发软件定义存储 (SDS) 策略DoD 企业与各组织合作,根据行业最佳做法建立软件定义存储 (SDS) 策略和标准。 DoD 组织评估当前数据存储策略和实现 SDS 所用的技术。 为了实现 SDS,需要确定适当的存储技术。 结果: -确定实现 SDS 工具的需求 -在企业和组织级别创建 SDS 策略 |
SharePoint Online 将SharePoint Online 和OneDrive for Business用作标准可互作软件设计存储(SDS)解决方案。 使用网站访问限制策略限制对敏感SharePoint Online 网站和内容的访问权限。 在应用数据丢失防护(DLP)规则时防止来宾访问文件。 - 限制站点访问仅限于组成员 - 使用 DLP 规则防止来宾访问文件 - 安全来宾共享 Microsoft Defender for Cloud Apps 使用 Defender for Cloud Apps 阻止访问未经授权的云存储服务。 - 管理发现的应用 |
4.3 数据标签和标记
Microsoft Purview Information Protection根据定义的敏感信息类型自动对数据进行分类。 用于服务和客户端标记的策略可确保Microsoft 365用户创建的内容进行标记和保护。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.3.1 实现数据标记和分类工具DoD 组织利用企业标准和要求来实现数据标记和分类解决方案。 组织通过 DoD 企业要求确保解决方案支持以后的 ML 和 AI 集成。 结果: - 必须要求数据分类和标记工具包括对机器学习(ML)的集成和/或支持 - 数据分类和标记工具在组织和企业级别得到实施 |
Microsoft Purview Information Protection 使用 Microsoft Purview Information Protection 基于敏感信息类型和机器学习(ML)训练的分类器对数据进行分类。 - 敏感数据和 Purview - 标签策略 |
Target
4.3.2 手动数据标记第 1 部分根据 DoD Enterprise 数据标记和分类策略及标准,手动标记开始使用基本数据级别属性以满足 ZT 目标功能。 结果: - 手动数据标记从具有基本属性的企业级开始 |
Microsoft Purview 在 Microsoft Purview 中创建和发布灵敏度标签,遵循您定义的数据标记标准。 请参阅 Microsoft 指南中的 4.2.1 。 配置标签策略,要求用户在电子邮件和文档中应用灵敏度标签。 - 用户在电子邮件和文档中应用标签 |
Advanced
4.3.3 手动数据标记第 2 部分DoD 组织特定的数据级别属性集成到手动数据标记流程中。 DoD 企业和组织相互合作以确定满足 ZTA 高级功能所需的属性。 在整个企业中标准化并整合 ZTA 高级功能所需的数据级别属性。 结果: - 手动数据标记通过特定属性扩展到项目/组织级别 |
Microsoft Purview 在Microsoft Purview合规性门户中查看敏感信息类型。 根据需要规定自定义敏感信息类型。 请参阅 4.1.1 中的 Microsoft 指南。 |
Advanced
4.3.4 自动数据标记和支持第 1 部分DoD 组织使用数据丢失防护、权限管理和/或保护解决方案以对数据存储库进行扫描。 对支持的数据存储库和数据类型应用标准化标记。 确定不受支持的数据存储库和类型。 结果: - 基本自动化从扫描数据存储库和应用标记开始 |
Microsoft Purview 信息保护 配置 Microsoft Office 应用程序中创建的文件和电子邮件的客户端标记。 - Office 应用的自动标记 配置存储在 Office 365 中的内容的服务端标记。 - 自动标记策略,适用于 SharePoint、OneDrive 和 Exchange 对容器应用敏感度标签:Microsoft Teams 网站、Microsoft 365 组和 SharePoint 网站。 - Teams、Microsoft 365、组和 SharePoint 网站的敏感度标签 在环境中查找文档和电子邮件,扫描其中匹配定义的敏感信息类型的数据。 - 数据匹配敏感信息类型 使用文档指纹查找并标记与文档模板和标准表单匹配的内容。 - 文档指纹识别 Microsoft Purview 注册数据源,扫描、引入和分类 Microsoft Purview 中的治理门户中的数据。 - Purview 中的数据源 - 扫描和引入 - 数据分类 Microsoft Defender for Cloud Apps 将 Purview 信息保护与 Microsoft Defender for Cloud Apps 集成,自动应用敏感度标签,强制执行加密策略,并防止数据丢失。 - 集成信息保护 - 应用敏感度标签 - DLP 内容检查 |
Advanced
4.3.5 自动数据标记和支持第 2 部分剩余受支持的数据存储库具有基本和扩展数据标记,这些标记通过机器学习和人工智能进行应用。 扩展数据标记应用于现有存储库。 对于不受支持的数据存储库和数据类型,使用基于风险的系统性方法进行评估以弃用。 获批的例外情况使用手动数据标记方法,由数据所有者和/或管理人员进行标记管理。 结果: - 完成完全自动化数据标记 - 将数据标记结果投喂给 ML 算法。 |
Purview 中的 Microsoft Purview Information Protection 可训练的分类器可帮助你使用机器学习(ML)识别内容。 使用人工挑选和正匹配样本创建和训练分类器。 - 可训练分类器 |
4.4 数据监视和感知
Microsoft Purview数据丢失防护(DLP)策略可防止数据离开组织。 可以将 DLP 策略应用于静态、使用中和运动中的数据。 DLP 策略在数据驻留的云服务、本地文件共享上,以及 Windows 和 macOS 设备上强制执行。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.4.1 DLP 执行点日志记录和分析DoD 组织确定数据丢失防护 (DLP) 执行点,例如特定服务和用户终结点。 使用已建立的 DoD Enterprise 网络安全事件响应标准,DoD 组织可确保捕获适宜的数据详细信息。 此外,还开发了保护、检测和响应用例,以更好地确定解决方案的覆盖范围。 结果: - 确定执行点 - 在企业和组织级别强制执行标准化日志记录架构 |
Microsoft Purview 数据丢失防护 在 Purview 合规中心中创建 DLP 策略。 为 Microsoft 365 应用程序、Windows 和 macOS 终端以及非 Microsoft 云应用强制实施 DLP。 制定 DLP 计划- 设计 DLP 策略 - 审计日志活动 - Office 365 管理活动 API 架构 Microsoft Defender for Cloud Apps- 将 Purview 信息保护与 Defender for Cloud Apps 集成,以自动应用敏感度标签,强制执行加密策略,防止数据丢失。请参阅 Microsoft 指南 4.3.4。 |
Target
4.4.2 数字版权管理执行点的日志记录和分析DoD 组织识别数据权限管理 (DRM) 执行点,例如特定服务和用户终端。 使用已建立的 DoD Enterprise 网络安全事件响应标准,DoD 组织可确保捕获适宜的数据详细信息。 此外,还开发了保护、检测和响应用例,以更好地确定解决方案的覆盖范围。 结果: - 确定执行点 - 在企业和组织级别强制执行标准化日志记录架构 |
Microsoft Purview 信息保护 Purview 数据权限管理(DRM)强制执行点包括与 Microsoft Information Protection(MIP)SDK 集成的 Microsoft 365 及第三方应用程序和服务、在线应用程序和丰富客户端。 - 保护敏感数据 - 使用敏感度标签限制内容访问 - MIP SDK - Microsoft 365 中的加密 Microsoft Defender for Cloud Apps 将 Purview 信息保护与 Defender for Cloud Apps 集成,以自动应用敏感度标签、强制执行加密策略并防止数据丢失。请参阅 Microsoft 指南 4.3.4。 |
Target
4.4.3 文件活动监视第 1 部分DoD 组织使用文件监视工具来监视应用程序、服务和存储库中最重要的数据分类级别。 向 SIEM 输入监控分析和基本数据属性,以实现 ZT 目标功能。 结果: - 积极监视关键分类的数据和文件 - 落实与 SIEM 等监视系统的基本集成 |
Microsoft Purview数据丢失防护 DLP 警报显示在Microsoft Defender XDR中。 有关创建、标记、打印和共享的文件活动位于统一审核日志中,并在Microsoft Purview符合性门户的活动资源管理器中。 - DLP 警报 - 活动资源管理器 - 导出、配置和查看审核日志记录 Microsoft Defender XDR 和 Microsoft Sentinel 将 Microsoft Defender XDR 与 Sentinel 集成,以在企业安全事件和事件管理 (SIEM) 系统中查看和调查数据丢失防护 (DLP) 警报。 - 集成 SIEM 工具 - Sentinel 的信息保护连接器 - 将 Defender XDR 数据连接到 Sentinel - DLP 调查 |
Target
4.4.4 文件活动监视第 2 部分DoD 组织使用文件监视工具来监视应用程序、服务和存储库中的所有受监管保护的数据(例如 CUI、PII、PHI 等)。 扩展集成用于向合适的支柱间/支柱内解决方案发送数据,例如数据丢失防护、数据权限管理/保护以及用户和实体行为分析。 结果: - 积极监视所有监管分类的数据和文件 - 落实适宜的扩展集成,以便进一步管理风险 |
Microsoft Sentinel 确定所需的敏感度标签,并配置自定义 Sentinel 分析规则。 当关键文件事件触发 DLP 警报时,创建一个事件。 关键文件事件包括检测到敏感信息、违反策略行为和其他可疑活动。 - 自定义分析规则以检测威胁 - 使用 playbook 响应威胁 |
Advanced
4.4.5 数据库活动监视DoD 组织采购、实施和使用数据库监视解决方案来监视所有包含监管数据类型(CUI、PII、PHI 等)的数据库。 数据库监视解决方案的日志和分析会传输到 SIEM 进行监视和响应。 分析被整合到跨支柱活动中,例如“企业安全配置文件”和“实时访问”,以便更好地指导决策。 成果: - 适当的数据库正在被积极监控 - 监控技术已与 SIEM、PDP 和动态访问控制机制等解决方案集成 |
Microsoft Defender for SQL Defender for SQL 保护 Azure 和其他云中的数据库。 - Defender for SQL - 安全警报 Microsoft Sentinel 将 Microsoft Defender for Cloud 和 Microsoft Defender XDR 的数据连接器连接到 Sentinel。 - 已连接的 Defender for Cloud 警报发送到 Sentinel - 将 Defender XDR 连接到 Sentinel 条件访问 要求对敏感 SharePoint 网站进行身份验证上下文,并使用条件访问来保护 Azure SQL 数据库登录。 - 灵敏度标签 - 身份验证上下文 - 使用 Azure SQL 数据库和 Azure Synapse Analytics 的条件访问 |
Advanced
4.4.6 综合数据活动监视DoD 组织根据风险措施适当地扩展对数据存储库(包括数据库)的监视。 满足 ZT 高级功能所需的其他数据属性已集成到分析中,以实现其他集成。 结果: - 集成数据活动监视机制以提供跨数据存储库监视的统一视图 - 存在与 SIEM 和 PDP 等解决方案的适宜集成 |
- 风险检测 - 异常的文件访问 - 身份验证上下文示例 |
4.5 数据加密和权限管理
Microsoft 365服务加密静态和传输中的数据。 Microsoft Purview根据敏感度标签加密策略限制对内容的访问。 Purview 通过另一层对电子邮件和文件的加密来实现目标。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.5.1 实施 DRM 和保护工具第 1 部分DoD 组织按照 DoD 企业标准和要求按需采购和实施 DRM 和保护解决方案。 新实现的 DRM 和保护解决方案通过使用 ZTA 目标级别保护的高风险数据存储库实现。 结果: - 启动 DRM 和保护工具为高风险数据存储库提供基础保护 |
Microsoft 365 加密 Microsoft 365 配有基线级和卷级加密,使用 Windows 安全功能 BitLocker 和分布式密钥管理器 (DKM)。 - 了解加密 Microsoft Purview 使用标记策略根据敏感度标签自动为 Microsoft 365 中的高风险数据应用更多加密。 - 使用敏感度标签限制内容访问 - Microsoft 365 中的电子邮件加密 Microsoft Defender for Cloud Apps 将 Microsoft Purview 信息保护与 Defender for Cloud Apps 集成,以自动应用敏感度标签,强制执行加密策略,防止数据丢失。 请参阅 Microsoft 指导 4.3.4。 Azure Policy 使用 Azure Policy 要求安全传输层安全 (TLS) 版本,实施透明数据加密 (TDE),并要求使用客户管理的密钥来加密静态数据。 - Azure SQL 数据库和 SQL 管理实例的 Azure Policy 定义 |
Target
4.5.2 实现 DRM 和保护工具第 2 部分拓展 DRM 和保护范围以涵盖范围数据存储库中的所有内容。 自动管理加密密钥,以满足最佳做法(例如 FIPS)。 数据保护属性的扩展是基于环境分类实现的。 结果: - 为所有可能的存储库启用 DRM 和保护工具 |
Azure Key Vault 使用 FIPS 140-2 级别 3 验证的硬件安全模块来保护应用程序的加密密钥,Azure Key Vault 托管硬件安全模块 (HSM)。 - Azure Key Vault 托管 HSM Microsoft Purview 客户密钥 Microsoft 365 为您的内容提供一层客户密钥加密保护。 - 服务加密 Azure 信息保护租户密钥 Azure 信息保护支持由 Microsoft 生成的租户根密钥和自带密钥 (BYOK)。 - 租户密钥 - 双重密钥加密 - 自带密钥 (BYOK) |
Target
4.5.3 通过数据标记和分析强制执行 DRM 第 1 部分数据权限管理 (DRM) 和保护解决方案与 DoD Enterprise 标准定义的基本数据标记集成。 初始数据存储库受到监视并启用保护和响应操作。 静态数据在存储库中加密。 结果: - 数据标记与 DRM 集成,扩展受监视的存储库 - 基于数据标记,数据静态加密 |
Microsoft Purview 信息保护 使用标签策略在 Microsoft 365 中根据敏感度标签自动为高风险数据应用更多加密。 - 使用敏感度标签限制内容访问 Microsoft 365 加密 Microsoft 365 具有使用 BitLocker 和分布式密钥管理器(DKM)的基础卷级加密。 请参阅 Microsoft 指南 4.5.1。 |
Advanced
4.5.4 通过数据标记和分析强制执行 DRM 第 2 部分扩展数据存储库受到 DRM 和保护解决方案的保护。 DoD 组织实施适用于组织与授权企业的扩展数据标记。 使用额外的标记在扩展存储库中加密数据。 结果: - 所有适用的数据存储库均使用 DRM 进行保护 - 使用组织级别的扩展数据标记加密数据 |
Azure加密 Azure对静态数据和传输中的数据使用加密。 - Azure 加密 Azure Policy 启用 Azure Policy 来保护 Azure SQL 数据库 请参阅微软指南 4.5.1。 条件访问 对于连接到 Azure SQL 的用户,使用条件访问策略。 请参阅微软指南 4.4.5。 |
Advanced
4.5.5 通过数据标记和分析强制执行 DRM 第 3 部分DRM 和保护解决方案与 AI 和 ML 工具集成,以实现加密、权限管理和保护功能。 结果: - ML/AI 的分析与 DRM 集成,以便更好地实现自动保护 - 加密保护与 AI/ML 集成,并根据需要使用更新的加密方法 |
Microsoft Purview 信息保护 使用 Microsoft Purview 信息保护根据敏感信息类型以及机器学习(ML)训练的分类器对数据进行分类。 请参阅 Microsoft 指导 4.3.5。 Azure 机器学习 Azure 机器学习和 Azure OpenAI 服务使用 Azure 存储和 Azure 计算服务对数据进行加密。 - 数据加密 - Azure OpenAI 使用计算服务对静态数据进行加密 条件访问 使用身份保护风险信号定义身份验证上下文。 需要标记 SharePoint 站点和自定义应用程序的身份验证上下文。 |
4.6 数据丢失防护 (DLP)
Microsoft Purview数据丢失防护(DLP)策略可防止数据离开组织。 可以将 DLP 策略应用于静态、使用中和运动中的数据。 DLP 策略在数据驻留的云服务、本地文件共享上,以及 Windows 和 macOS 设备上强制执行。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.6.1 实现执行点数据丢失防护 (DLP) 解决方案部署到范围内的执行点。 DLP 解决方案设置为“仅监视”和/或“学习”模式限制影响。 对 DLP 解决方案结果进行分析,并微调策略,以将风险管理到可接受的程度。 结果: - 对已确定的执行点部署 DLP 工具并将其设置为使用标准化日志记录的监视模式 |
Microsoft Purview数据丢失防护 Microsoft 365应用程序和Windows终结点强制实施 DLP 策略。 在 DLP 模拟模式下配置策略。 - DLP 规划 - DLP 模拟模式 在 DLP 中创建策略。 将策略状态设置为“测试”或“使用测试提示测试”。 将策略操作设置为“仅限审核”或“阻止但可重写”。 - 引导 Windows 10,11 和 macOS 设备到终结点数据丢失防护(Endpoint DLP) - 部署 Microsoft Purview 信息保护扫描程序。 为本地 SQL 数据库、文件共享、网络连接存储(NAS)和 SharePoint Server 文档库中的内容标记和强制实施 DLP 策略。 - DLP 本地存储库 - Information Protection 扫描程序 Microsoft Purview 数据丢失防护 将 Microsoft Purview Information Protection 与 Defender for Cloud Apps 集成,以自动应用敏感度标签,强制实施加密策略,防止数据丢失。 在 4.3.4 中查看 Microsoft 指南。 Conditional Access 控制对Office 365和其他Microsoft Entra集成的应用程序的访问。 在启用阻止“访问权限”授予控制的策略之前,使用仅报告模式监视结果。 - 生成策略 - 仅报告模式 - 会话策略:监视所有 |
Target
4.6.2 通过数据标记和分析强制执行 DLP 第 1 部分数据丢失防护 (DLP) 解决方案从仅监视模式更新为预防模式。 将基本数据标记用于 DLP 解决方案,并集成日志记录架构。 结果: - 执行点设置为阻止模式,集成日志记录架构和手动标记环境分类。 |
Microsoft Purview数据丢失防护 在测试模式下创建 DLP 策略。 将状态更改为“开启”以启用强制模式。 如果将策略操作设置为 Block,策略将阻止触发 DLP 的用户活动。 - DLP 策略中的操作 启用实时(JIT)保护,以在脱机设备上创建的文件强制实施终结点 DLP。 - 脱机设备 Microsoft Defender for Cloud Apps 在 Defender for Cloud Apps 中启用内容检查。 - DLP 内容检查 条件访问 测试后,启用应用会话控制的条件访问策略,或使用阻止访问权限控制。 若要避免租户锁定,请排除紧急访问帐户。 - 紧急访问帐户 请参阅 4.6.1 中的 Microsoft 指南。 |
Advanced
4.6.3 通过数据标记和分析实施 DLP(第二部分)数据丢失防护 (DLP) 解决方案已更新,以基于并行自动化活动纳入扩展数据标记。 结果: - 执行点应用扩展数据标记属性以实现额外的防护 |
Microsoft Purview Information Protection Define 自定义敏感信息类型。 创建标签和数据丢失防护策略。 请参阅 4.1.1 中的 Microsoft 指南。 |
Advanced
4.6.4 通过数据标记和分析强制执行 DLP 第 3 部分数据丢失防护 (DLP) 解决方案与自动化数据标记技术进行集成,以包括任何缺失的执行点和标记。 结果: - 自动化标记属性与 DLP 集成,生成的指标用于 ML |
Microsoft Purview Information Protection 使用Microsoft Purview Information Protection,根据敏感信息类型和机器学习(ML)训练的分类器对数据进行分类。 查看 4.3.5 中的Microsoft指南。 |
4.7 数据访问控制
Microsoft 365和Azure Storage服务已通过Microsoft Entra ID集成,以实现基于标识的授权。 Microsoft Entra ID支持基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)。
Microsoft Entra角色和安全组提供组织基于角色的访问控制。 动态安全组使用用户、群组和设备对象上定义的属性来根据大量表达式和规则集定义成员身份。
Microsoft Entra ID 的属性访问控制机制使用自定义安全属性,这些属性是业务特定的,可定义并分配给 Microsoft Entra 对象。 自定义安全属性存储敏感信息。 对查看或修改自定义安全属性的访问权限仅限于“属性管理员”角色。
| DoD 活动说明和结果 | Microsoft 指导和建议 |
|---|---|
Target
4.7.1 集成 DAAS 访问和 SDS 策略第 1 部分利用 DoD 企业 SDS 策略,在考虑到预期集成的情况下制定组织 DAAS 策略。 SDS 实施指南是由 DoD 组织针对特定环境开发的。 结果: - 基于属性的细粒度 DAAS 策略在企业和组织级别的支持下进行开发 - 已经制定 SDS 集成计划以支持 DAAS 策略 |
Microsoft Entra ID 使用 Microsoft Entra ID 实施基于属性的数据、资产、应用和服务(DAAS)策略,例如 Azure 基于属性的访问控制(Azure ABAC)、应用程序的自定义安全属性筛选和动态安全组。 - 基于属性的控制 自定义安全属性 定义自定义安全属性并向用户分配值。 为Azure角色配置Azure ABAC 的角色分配条件。 目前,此功能正在针对 Azure 账户权限进行预览。 - Azure ABAC - 管理访问自定义安全属性 - 管理具有委托的属性 使用自定义安全属性进行细粒度动态应用授权。 在条件访问策略中为应用程序分配自定义安全属性,并使用属性筛选(预览) - 管理应用程序自定义安全属性 动态安全组 使用动态安全组为资源分配访问权限,这些资源支持授予 Microsoft Entra ID 组权限。 这包括Microsoft 365角色组、Microsoft Entra ID应用程序的应用角色、Azure角色和应用程序分配。 条件访问策略使用动态组,并为不同属性值的用户应用授权级别。 - 动态组成员身份规则 - 从条件发出声明 |
Advanced
4.7.2 集成 DAAS 访问和 SDS 策略第 2 部分DoD 组织以自动化方式实现 DAAS 策略。 结果: - 以自动化方式实现基于属性的精细 DAAS 策略 |
|
Advanced
4.7.3 集成 DAAS 访问和 SDS 策略第 3 部分新实现的 SDS 技术和/或功能以基于风险的方式与 DAAS 策略集成。 应在实施过程中采取分阶段方法来衡量结果并进行相应调整。 结果: - SDS 与 DAAS 策略功能集成 - 所有应用程序中的全部数据均受到基于属性的精细 DAAS 策略的保护。 |
Microsoft Defender for Cloud Apps 集成 Microsoft Purview 与 Defender for Cloud Apps。 创建文件策略以使用云提供程序 API 强制执行自动化流程, - 集成信息保护 - 文件策略 |
Target
4.7.4 集成企业 IDP 解决方案和策略(第 1 部分)DoD 组织制定一项集成计划,利用 SDS 策略和技术/功能与企业标识提供者 (IdP) 解决方案进行集成。 结果: - 开发 SDS 与权威标识提供者的集成计划,以支持现有的 DAAS 访问 |
Microsoft Entra ID Microsoft 365存储服务(如 SharePoint Online 和 OneDrive for Business)与Microsoft Entra ID集成。 配置 Azure Storage 服务,与 Microsoft Entra ID 集成,实现对 Blob、文件、队列和表服务的基于身份的请求授权。 - Microsoft Entra ID - 授权 Azure Storage 在应用库中,将更多软件定义存储(SDS)解决方案与 Microsoft Entra ID 集成。 - 应用库 |
Advanced
4.7.5 通过企业 IDP 集成解决方案和策略第 2 部分按照集成计划将新实现的 SDS 技术和/或功能与企业标识提供者 (IdP) 相集成。 集成需要有实现 ZT 目标功能所需的标识属性。 结果: - 完成与企业 IDP 和 SDS 工具的集成,以支持所有基于属性的精细 DAAS 访问 |
完成 4.7.1 和 4.7.4 的活动。 |
Advanced
4.7.6 实现 SDS 工具和/或集成 DRM 工具第 1 部分根据对软件定义存储工具的需求,实现一项新的解决方案,或确定满足功能需求的现有方案,以便与 DLP、DRM/保护和 ML 解决方案集成。 结果: - 如果需要用工具,请确保支持与 DLP、DRM 和 ML 工具的集成 |
Microsoft Purview 信息保护中的数字版权管理(DRM)和 Microsoft Purview 数据丢失防护(DLP)功能与 Office 客户端和 Microsoft 365 服务无缝集成。 集成是内置的,不需要更多部署。 - Purview 概述 使用 Microsoft Information Protection SDK (MIP SDK) 构建自定义工具来将标签和保护应用于文件。 参见 Microsoft 指南中的 4.4.2。 |
Advanced
4.7.7 实现 SDS 工具和/或集成 DRM 工具第 2 部分DoD 组织以适当的方式配置 SDS 功能和/或解决方案,以便与基础 DLP 和 DRM/保护基础结构集成。 低层集成能够实现更有效的保护和响应。 结果: - 将 SDS 基础结构与现有 DLP 和 DRM 基础结构集成 |
Microsoft 365 和 Microsoft Purview Microsoft Purview 通过数据丢失防护(DLP)和数据权限管理(DRM)保护 Microsoft 365 内容,而无需更多基础设施。 - 保护敏感数据 |
后续步骤
为 DoD Zero Trust 策略配置Microsoft云服务: