使用零信任保護資料

背景

零信任 是一種安全性策略，可用來設計組織的安全性原則。 零信任 實作下列安全策略，協助保護公司資源：

• 明確驗證。 一律根據所有可用的資料點進行驗證和授權，包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。

• 使用最低許可權存取。 使用 Just-In-Time (JIT) 和適度存取權限 (JEA)、風險型調適原則和資料保護來限制使用者存取權限，在不影響生產力的情況下協助保護資料。

• 假設可能遭到入侵。 將爆炸半徑和區段存取降至最低。 確認端對端加密，運用分析來提升資訊透明度與威脅偵測，並改善防禦。

Microsoft Purview 針對深度防禦策略提供五個核心元素，以及數據的 零信任 實作：

1. 分類與標記
   如果您不知道您在內部部署和雲端服務中有哪些敏感數據，就無法充分保護它。 探索及偵測整個組織的數據，並依敏感度層級加以分類。

2. 資訊保護
   對敏感數據的條件式和最低許可權存取可降低數據安全性風險。 套用敏感度型訪問控制護欄、許可權管理和加密，其中環境控制不足。 使用資訊敏感度標記來提升認知和安全性策略合規性。

3. 資料外洩防護
   訪問控制只會解決問題的一部分。 檢查及控制可能導致數據安全性或合規性事件的風險數據活動和移動，可讓組織防止過度共用敏感數據。

4. 內部風險管理
   數據存取不一定會提供整個故事。 藉由從廣泛的訊號啟用行為偵測，以及針對貴組織中潛在的惡意和不小心活動採取行動，以降低數據的風險，而這可能是前身或表示數據外洩。

5. 「資料治理」
   主動管理敏感數據生命週期會降低其暴露程度。 限制敏感數據的複製或傳播數目，並刪除不再需要的數據，以將數據外泄風險降到最低。

資料零信任部署目標

建議您在實作資料的端對端 零信任 架構時，專注於這些初始部署目標：
	I.分類與標記資料 盡可能自動分類和標記數據。 以手動方式套用它不是的位置。 第二。套用加密、訪問控制和內容標記。 套用保護與訪問控制不足的加密。 第三。控制數據的存取。 控制敏感數據的存取權，使其受到更好的保護。
當您取得上述目標的進度時，請新增下列額外的部署目標：
	四。防止數據外洩。 使用由具風險訊號和數據敏感度驅動的 DLP 原則。 V.管理風險。 藉由檢查可能導致數據安全性或合規性事件的風險安全性相關使用者活動和數據活動模式，來管理可能導致數據安全性或合規性事件的風險。 六。減少數據暴露。 透過數據控管和持續的數據最小化來減少數據暴露

適用於數據的 零信任 部署指南

本指南將逐步引導您逐步完成數據保護 零信任 方法。 請記住，這些項目會根據您資訊的敏感度以及組織的大小和複雜度而有所不同。

作為任何數據安全性實作的前身，Microsoft 建議您建立數據分類架構和敏感度卷標分類法，以定義高階的數據安全性風險類別。 該分類法將用來簡化從數據清查或活動深入解析到原則管理到調查優先順序的所有專案。

如需詳細資訊，請參閱

• 建立設計良好的數據分類架構

初始部署目標

I. 分類、標記和探索敏感數據

資訊保護原則必須涵蓋組織的所有數位內容。

分類和敏感度標籤可讓您瞭解敏感數據的位置、其行動方式，以及實作與零信任原則一致的適當存取和使用控件：

• 使用自動化分類和標籤來偵測機密資訊，並調整數據資產的探索規模。

• 針對檔和容器使用手動標籤，並手動策劃分析中使用的數據集，其中分類和敏感度最好由知識淵博的使用者所建立。

執行下列步驟:

• 瞭解管理敏感性資訊類型

• 了解可訓練分類器

• 深入了解敏感度標籤

設定並測試分類和標記之後，請相應增加數據資產的數據探索。

請遵循下列步驟來擴充 Microsoft 365 服務以外的探索：

• 開始使用 Microsoft Purview 內部部署掃描器

• 探索和保護 SaaS 應用程式中的敏感性資訊

• 瞭解 Microsoft Purview 治理入口網站中的掃描和擷取

當您探索、分類和標記您的數據時，請使用這些深入解析來補救風險，並通知您的原則管理計劃。

執行下列步驟:

• 開始使用內容總管

• 使用活動總管檢閱卷標活動

• 瞭解 Data Insights

II. 套用加密、訪問控制和內容標記

使用敏感度標籤，透過加密和訪問控制保護您的最敏感數據，以簡化最低許可權實作。 使用內容標記來增強用戶意識和可追蹤性。

保護檔和電子郵件

Microsoft Purview 資訊保護 會根據敏感度標籤或檔與電子郵件的使用者定義許可權，啟用存取和使用方式控制。 它也可以選擇性地套用標記，並將位於 或流出的資訊加密到組織內部或外部的較不信任環境。 它提供待用保護、移動中，以及用於覺察型應用程式。

執行下列步驟:

• 在 Microsoft 365 中檢閱加密選項
• 使用敏感度標籤限制對內容和使用方式的存取

保護 Exchange、SharePoint 和 OneDrive 中的檔

對於儲存在 Exchange、SharePoint 和 OneDrive 中的數據，可以透過原則將敏感度標籤的自動分類部署到目標位置，以限制存取和管理授權輸出上的加密。

請採取此步驟：

• 設定 SharePoint、OneDrive 和 Exchange 的自動套用標籤原則 。

III. 控制數據的存取

必須控制對敏感數據的存取權，使其受到更好的保護。 請確定存取和使用原則決策包含數據敏感度。

在 Teams、Microsoft 365 群組 和 SharePoint 網站中控制數據存取和共用

使用容器敏感度標籤來實作對 Microsoft Teams、Microsoft 365 群組 或 SharePoint 網站的條件式存取和共用限制。

請採取此步驟：

• 搭配 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站使用敏感度標籤

控制 SaaS 應用程式中資料的存取

適用於雲端的 Microsoft Defender Apps 為條件式存取提供額外的功能，以及管理 Microsoft 365 和第三方環境中的敏感性檔案，例如 Box 或 Google Workspace，包括：

• 拿掉處理過多許可權的許可權，並防止數據外洩。

• 隔離檔案以供檢閱。

• 將標籤套用至敏感性檔案。

執行下列步驟:

• 整合 Microsoft Purview 資訊保護

提示

請參閱整合適用於 零信任 的 SaaS 應用程式與 Microsoft 365，以瞭解如何套用 零信任 原則，以協助管理雲端應用程式的數字資產。

控制 IaaS/PaaS 記憶體中的存取

將強制訪問控制原則部署至包含敏感數據的 IaaS/PaaS 資源。

請採取此步驟：

• 瞭解 Microsoft Purview DevOps 原則

IV. 防止數據外洩

控制數據的存取是必要的，但不足以控制數據移動，以及防止意外或未經授權的數據外泄或遺失。 這是數據外洩防護和內部風險管理的角色，如第四節所述。

使用 Microsoft Purview DLP 原則來識別、檢查及自動保護跨下列情況的敏感數據：

• Microsoft 365 服務，例如 Teams、Exchange、SharePoint 和 OneDrive

• Office 應用程式，例如 Word、Excel 和 PowerPoint

• Windows 10、Windows 11 和 macOS（三個最新版本）端點

• 內部部署檔案共用和內部部署 SharePoint

• 非 Microsoft 雲端應用程式。

執行下列步驟:

• 規劃數據外洩防護

• 建立、測試及調整 DLP 原則

• 了解數據外洩防護警示儀錶板

• 使用活動總管檢閱數據活動

V. 管理測試人員風險

最低許可權實作有助於將已知風險降到最低，但請務必將其他安全性相關使用者行為訊號、檢查敏感數據存取模式，以及廣泛偵測、調查和搜捕功能相互關聯。

執行以下步驟：

• 了解測試人員風險管理

• 調查測試人員風險管理活動

VI. 刪除不必要的敏感性資訊

組織可以藉由管理敏感數據的生命週期來降低其數據暴露程度。

拿掉所有許可權，您可以藉由刪除敏感數據本身，使其不再對您組織有價值或允許。

請採取此步驟：

• 實作數據生命週期管理和記錄管理

藉由偏好就地共用和使用，而不是數據傳輸，將敏感數據重複降至最低。

請採取此步驟：

• 瞭解使用 Microsoft Purview 進行就地數據共用

本指南涵蓋的產品

Microsoft Purview

適用於雲端應用程式的 Microsoft Defender

如需實作的進一步資訊或協助，請連絡您的客戶成功小組。

零信任 部署指南系列