RaMP 檢查清單 - 資料保護
此快速現代化計劃 (RaMP) 檢查清單可協助您保護內部部署和雲端資料免於意外和惡意存取。
意外存取是指根據使用者的角色和責任,使用者存取不該存取的資料。 可能導致非預期的資料外洩、資料損毀,或違反資料安全性和隱私權法規。
惡意存取是指外部攻擊者或惡意內部人員刻意嘗試存取資料。 惡意內部人員可能利用您的資料來謀取利益,或危害組織。 外部攻擊者可能刪除、改變、洩露和加密您最敏感的資料,致使您曝露在勒索軟體攻擊下。
對於這兩種攻擊,您必須採取必要的步驟來識別、保護、防止損毀或洩露資料,並確保使用者唯有基於商務目的才能存取資料。
保護資料屬於「假設缺口」零信任原則。 即使所有使用者帳戶和裝置保護都到位,您也必須假設攻擊者會設法開始深入研究您的環境,找出您的組織中最有價值的資料。
因此,您必須:
認識您的資料
瞭解您的數據環境,並識別雲端和內部部署環境中的重要資訊。
保護您的資料
藉由套用連結至保護動作的敏感度標籤,例如加密、存取限制、視覺標記等等,來保護敏感數據。
防止資料遺失
在雲端、內部部署環境和端點之間套用一組一致的數據外洩防護原則,以監視、預防及補救具有敏感數據的風險活動。
使用最低權限存取權
套用最少的許可權,由允許誰存取,以及允許他們處理數據以符合商務和生產力需求。
計畫和專案成員責任
下表說明組織數據的整體保護,以贊助/計劃管理/專案管理階層來判斷並推動結果。
| 潛在客戶 | 負責人 | 當責 |
|---|---|---|
| CISO、CIO 或數據安全性主管 | 執行贊助 | |
| 資料安全性的計劃負責人 | 推動結果和跨小組共同作業 | |
| 安全性架構師 | 建議設定和標準 | |
| Microsoft 365 系統管理 | 針對 OneDrive 和受保護的資料夾實作 Microsoft 365 租用戶的變更 | |
| 數據安全性工程師和/或基礎結構安全性工程師 | 啟用基礎結構備份 | |
| 應用程式擁有者 | 識別重要的商務資產 | |
| 數據安全性 管理員 | 實作設定變更 | |
| IT 系統管理員 | 更新標準和原則文件 | |
| 安全性治理和/或IT管理員 | 監視以確保合規性 | |
| 使用者教育小組 | 確保使用者指引反映原則更新 |
部署目標
符合這些部署目標,以保護 零信任 的數據。
| 完成 | 部署目標 | 負責人 |
|---|---|---|
| 1.瞭解您的數據 | 資料安全性結構設計師 | |
| 2.保護您的數據 | 數據安全性工程師 | |
| 3.防止數據遺失 | 數據安全性工程師 | |
| 4.使用最低許可權存取 | 數據安全性工程師 |
1.瞭解您的數據
執行這些實作步驟,以符合 瞭解您的數據 部署目標。
| 完成 | 實作步驟 | 負責人 | 文件 |
|---|---|---|---|
| 1. 決定資料分類等級。 | 資料安全性結構設計師 | 瞭解 | |
| 2. 決定內建和自訂的敏感性資訊類型。 | 資料安全性結構設計師 | 瞭解 | |
| 3. 決定使用預先訓練或可自訂訓練的分類器。 | 資料安全性結構設計師 | 瞭解 | |
| 4. 探索和分類敏感性資料。 | 資料安全性結構設計師和/或資料安全性工程師 | 瞭解 |
2.保護您的數據
執行這些實作步驟,以符合 保護數據 部署目標。
| 完成 | 實作步驟 | 負責人 | 文件 |
|---|---|---|---|
| 1.判斷敏感度標籤的使用和設計。 | 安全性架構師 | 開始 | |
| 2.為 Microsoft 365 應用程式和服務標記和保護專案。 | 數據安全性工程師 | 管理敏感度標籤 | |
| 3.啟用和設定 適用於雲端的 Microsoft Defender Apps。 | 數據安全性工程師 | 開始 | |
| 4.探索、標記和保護位於雲端數據存放區中的敏感性專案。 | 數據安全性工程師 | 最佳作法 | |
| 5.探索、標記及保護位於內部部署數據存放區中的敏感性專案。 | 數據安全性工程師 | 資訊保護掃描器 | |
| 6.使用 Microsoft Purview 資料對應 將您的敏感度標籤延伸至 Azure | 數據安全性工程師 | Microsoft Purview 資料對應 中的標籤 |
3.防止數據遺失
執行這些實作步驟,以符合 防止數據遺失 部署目標。
| 完成 | 實作步驟 | 負責人 | 文件 |
|---|---|---|---|
| 1.設計和建立數據外泄防護 (DLP) 原則。 | 安全性架構師 | 瞭解 | |
| 2.啟用及設定端點數據外泄防護。 | 數據安全性工程師 | 瞭解 | |
| 3.設定 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控的存取原則。 | 數據安全性工程師 | 概觀 |
4.使用最低許可權存取
執行這些實作步驟,以確保您的使用者和系統管理員符合 使用最低許可權存取 部署目標。
| 完成 | 實作步驟 | 負責人 |
|---|---|---|
| 1.從 瞭解您的數據 部署目標中,檢閱敏感性和重要資訊位置的許可權。 | 數據安全性工程師 | |
| 2.實作敏感性和重要資訊的最低許可權,同時符合共同作業和商務需求,並通知受影響的使用者。 | 數據安全性工程師 | |
| 3.為您的員工執行變更管理,以便建立及維護敏感性和重要資訊的未來位置,且許可權最少。 | 使用者教育小組 | |
| 4.稽核和監視敏感性和重要資訊的位置,以確保不會授與廣泛的許可權。 | 數據安全性工程師和/或安全性治理 管理員 |
結果
完成這些部署目標之後,您將建置 零信任 架構的 [數據] 區段。
![零信任 架構的 [數據] 區段](media/user-access-productivity-overview/data-compliance-gov-data.png#lightbox)