使用零信任保護資料
背景
零信任是用來設計組織安全性原則的安全性策略。 零信任實作下列安全性原則,協助保護公司資源:
明確驗證。 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。
使用最低許可權存取 。 使用 Just-In-Time (JIT) 和適度存取權限 (JEA)、風險型調適原則和資料保護來限制使用者存取權限,在不影響生產力的情況下協助保護資料。
假設可能遭到入侵。 將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。
Microsoft Purview 針對深度防禦策略提供五個核心元素,以及資料的零信任實作:
分類與標記
如果您不知道您在內部部署和雲端服務中有哪些敏感性資料,就無法充分保護它。 探索及偵測整個組織的資料,並依敏感度層級加以分類。資訊保護
對敏感性資料的條件式和最低許可權存取可降低資料安全性風險。 套用敏感度型存取控制護欄、版權管理和加密,其中環境控制不足。 使用資訊敏感度標記來提升認知和安全性策略合規性。資料外泄防護
存取控制只會解決問題的一部分。 檢查及控制可能導致資料安全性或合規性事件的風險資料活動和移動,可讓組織防止過度共用敏感性資料。內部風險管理
資料存取不一定會提供整個故事。 藉由從廣泛的訊號啟用行為偵測,以及針對貴組織中潛在的惡意和不小心活動採取行動,以降低資料的風險,而這可能是前身或表示資料外泄。「資料治理」
主動管理敏感性資料生命週期會降低其暴露程度。 限制敏感性資料的複製或傳播數目,並刪除不再需要的資料,以將資料外泄風險降到最低。
資料零信任部署目標
建議您在實作資料的端對端零信任架構時,專注于這些初始部署目標: |
|
I. 分類和標記資料。 盡可能自動分類和標記資料。 以手動方式套用它不是的位置。 第二。 套用加密、存取控制和內容標記。套用保護與存取控制不足的加密。 第三。 控制資料的存取。控制敏感性資料的存取權,使其受到更好的保護。 |
|
當您取得上述目標的進度時,請新增下列額外的部署目標: |
|
四。 防止資料外泄。使用由具風險訊號和資料敏感度驅動的 DLP 原則。 V. 管理風險。 藉由檢查可能導致資料安全性或合規性事件的風險安全性相關使用者活動和資料活動模式,來管理可能導致資料安全性或合規性事件的風險。 六。 減少資料暴露。 透過資料控管和持續的資料最小化來減少資料暴露 |
適用于資料的零信任部署指南
本指南將逐步引導您逐步完成資料保護零信任方法。 請記住,這些專案會根據您資訊的敏感度以及組織的大小和複雜度而有所不同。
作為任何資料安全性實作的前身,Microsoft 建議您建立資料分類架構和敏感度標籤分類法,以定義高階的資料安全性風險類別。 該分類法將用來簡化從資料清查或活動深入解析到原則管理到調查優先順序的所有專案。
如需詳細資訊,請參閱
|
初始部署目標 |
I. 分類、標記和探索敏感性資料
資訊保護原則必須涵蓋組織的所有數位內容。
分類和敏感度標籤可讓您瞭解敏感性資料的位置、其移動方式,以及實作與零信任原則一致的適當存取和使用控制項:
使用自動化分類和標籤來偵測機密資訊,並調整資料資產的探索規模。
針對檔和容器使用手動標籤,並手動策劃分析中使用的資料集,其中分類和敏感度最好由知識淵博的使用者所建立。
執行下列步驟:
設定並測試分類和標記之後,請相應增加資料資產的資料探索。
請遵循下列步驟來擴充 Microsoft 365 服務以外的探索:
當您探索、分類和標記您的資料時,請使用這些深入解析來補救風險,並通知您的原則管理計畫。
執行下列步驟:
II. 套用加密、存取控制和內容標記
使用敏感度標籤,透過加密和存取控制保護您的最敏感性資料,以簡化最低許可權實作。 使用內容標記來增強使用者意識和可追蹤性。
保護檔和電子郵件
Microsoft Purview 資訊保護會根據敏感度標籤或使用者定義的檔和電子郵件許可權,啟用存取和使用方式控制。 它也可以選擇性地套用標記,並將位於 或 流出的資訊加密到組織內部或外部的較不信任環境。 它提供待用保護、移動中,以及用於覺察型應用程式。
執行下列步驟:
保護 Exchange、SharePoint 和 OneDrive 中的檔
對於儲存在 Exchange、SharePoint 和 OneDrive 中的資料,可以透過原則將敏感度標籤的自動分類部署到目標位置,以限制存取和管理授權輸出上的加密。
請採取此步驟:
III. 控制資料的存取
必須控制對敏感性資料的存取權,使其受到更好的保護。 請確定存取和使用原則決策包含資料敏感度。
在 Teams、Microsoft 365 群組 和 SharePoint 網站中控制資料存取和共用
使用容器敏感度標籤來實作對 Microsoft Teams、Microsoft 365 群組或 SharePoint 網站的條件式存取和共用限制。
請採取此步驟:
控制 SaaS 應用程式中資料的存取
適用於雲端的 Microsoft Defender Apps 為條件式存取提供額外的功能,以及管理 Microsoft 365 和協力廠商環境中的敏感性檔案,例如 Box 或 Google Workspace,包括:
移除處理過多許可權的許可權,並防止資料外泄。
隔離檔案以供檢閱。
將標籤套用至敏感性檔案。
執行下列步驟:
提示
請參閱 整合適用于 零信任 的 SaaS 應用程式與 Microsoft 365 ,以瞭解如何套用零信任原則,以協助管理雲端應用程式的數位資產。
控制 IaaS/PaaS 儲存體中的存取
將強制存取控制原則部署至包含敏感性資料的 IaaS/PaaS 資源。
請採取此步驟:
IV. 防止資料外泄
控制資料的存取是必要的,但不足以控制資料移動,以及防止意外或未經授權的資料外泄或遺失。 這是資料外泄防護和內部風險管理的角色,如第四節所述。
使用 Microsoft Purview DLP 原則來識別、檢查及自動保護跨下列情況的敏感性資料:
Microsoft 365 服務,例如 Teams、Exchange、SharePoint 和 OneDrive
Office 應用程式,例如 Word、Excel 和 PowerPoint
Windows 10、Windows 11 和 macOS(三個最新版本)端點
內部部署檔案共用和內部部署 SharePoint
非 Microsoft 雲端應用程式。
執行下列步驟:
V. 管理測試人員風險
最低許可權實作有助於將已知風險降到最低,但請務必將其他安全性相關使用者行為訊號、檢查敏感性資料存取模式,以及廣泛偵測、調查和搜捕功能相互關聯。
執行以下步驟:
VI. 刪除不必要的敏感性資訊
組織可以藉由管理敏感性資料的生命週期來降低其資料暴露程度。
移除擁有權限,您可以藉由刪除敏感性資料本身,使其不再對您組織有價值或允許。
請採取此步驟:
藉由偏好就地共用和使用,而不是資料傳輸,將敏感性資料重複降至最低。
請採取此步驟:
本指南涵蓋的產品
如需實作的進一步資訊或協助,請連絡您的客戶成功小組。
零信任部署指南系列
意見反應
https://aka.ms/ContentUserFeedback。
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱提交並檢視相關的意見反應