背景
零信任 是一種用來設計組織安全原則的安全策略。 零信任 透過實施以下安全原則,協助企業資源安全:
明確驗證。 一律根據所有可用的資料點進行驗證和授權,包括使用者身分識別、位置、裝置健康情況、服務或工作負載、資料分類和異常情況。
使用最低許可權存取。 使用 Just-In-Time (JIT) 和適度存取權限 (JEA)、基於風險的調適性政策及資料保護來限制使用者存取權限,以協助保護資料並維持生產力。
假設可能遭到入侵。 將爆炸半徑降至最低,限制存取區段。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。
Microsoft Purview 提出了五大核心元素,作為資料深度防禦策略與 零信任 實作:
數據分類與標記
如果您不知道您在內部部署和雲端服務中有哪些敏感數據,就無法充分保護它。 探索及偵測整個組織的數據,並依敏感度層級加以分類。資訊保護
對敏感數據的條件式和最低許可權存取可降低數據安全性風險。 應用基於敏感度的訪問控制防護措施、權限管理和加密,以防環境控制不充分時。 使用資訊敏感度標記來提升認知和安全性策略合規性。資料外洩防護
訪問控制只會解決問題的一部分。 檢查及控制可能導致數據安全性或合規性事件的風險數據活動和移動,可讓組織防止過度共用敏感數據。內部風險管理
數據存取不一定會提供整個故事。 啟用從廣泛訊號中偵測行為,並採取行動以應對貴組織中可能惡意和不慎的活動,降低數據外洩的風險,這些活動可能是數據外洩的前兆或指示。「資料治理」
主動管理敏感數據生命週期會降低其暴露程度。 限制敏感數據的複製或傳播數目,並刪除不再需要的數據,以將數據外泄風險降到最低。
Data 零信任 部署目標
|
我們建議您在實施端對端 零信任 資料框架時,專注於以下初期部署目標: |
|
|
帶有一個勾的清單圖示。 |
I.分類與標記資料 盡可能自動分類和標記數據。 在未設置的位置手動套用。 II.套用加密、存取控制與內容標記。 套用保護與訪問控制不足的加密。 III.控制資料的存取。 控制敏感數據的存取權,使其受到更好的保護。 請確定存取和使用原則決策包含數據敏感度。 |
|
您達成上述目標後,請新增以下額外的部署目標: |
|
|
具有兩個勾選的清單圖示。 |
IV.防止資料外洩。 使用由具風險訊號和數據敏感度驅動的 DLP 原則。 V.管理風險。 藉由檢查可能導致數據安全性或合規性事件的風險安全性相關使用者活動和數據活動模式,來管理可能導致數據安全性或合規性事件的風險。 VI.減少數據暴露。透過數據控管和持續的數據最小化來減少數據暴露 |
零信任 資料部署指南
本指南將一步步帶您了解零信任資料保護方法。 請記住,這些項目會根據您資訊的敏感度以及組織的大小和複雜度而有所不同。
作為任何數據安全性實作的前身,Microsoft建議您建立數據分類架構和敏感度卷標分類法,以定義高階的數據安全性風險類別。 該分類法將用來簡化從數據清查或活動深入解析到原則管理到調查優先順序的所有專案。
如需詳細資訊,請參閱
- 建立設計良好的數據分類架構
|
具有一個勾選標記的清單圖示。 |
初始部署目標 |
一. 分類、標記和探索敏感數據
資訊保護原則必須涵蓋組織的所有數位內容。
分類和敏感度標籤可讓您瞭解敏感數據的位置、其行動方式,以及實作與零信任原則一致的適當存取和使用控件:
使用自動化分類和標籤來偵測機密資訊,並調整數據資產的探索規模。
針對檔和容器使用手動標籤,並手動策劃分析中使用的數據集,其中分類和敏感度最適合由知識淵博的使用者所建立。
執行下列步驟:
了解敏感資訊類型
了解可訓練分類器
深入了解敏感度標籤
設定並測試分類和標記之後,進一步擴展您數據資產的數據發現。
請遵循以下步驟,將發現服務擴展至 Microsoft 365 服務之外:
探索和保護 SaaS 應用程式中的敏感性資訊
當您探索、分類和標記您的數據時,請使用這些見解來降低風險,並幫助制定您的策略管理計劃。
執行下列步驟:
開始使用內容總管
使用活動瀏覽器檢閱標籤活動
瞭解數據洞察
II. 套用加密、訪問控制和內容標記
使用敏感度標籤,透過加密和訪問控制保護您的最敏感數據,以簡化最低許可權實作。 使用內容標記來增強用戶意識和可追蹤性。
保護文件和電子郵件
Microsoft Purview 資訊保護 可根據敏感度標籤或使用者自訂權限,對文件和電子郵件進行存取與使用控制。 它也可以選擇性地套用標記,並在資訊位於或流向組織內部或外部信任度較低的環境時進行加密。 它為休止狀態、運動中及使用中的高階應用程式提供保護。
執行下列步驟:
檢視Microsoft 365 - 使用敏感度標籤限制對內容和使用方式的存取
保護 Exchange、SharePoint 和 OneDrive 中的文件
對於儲存在 Exchange、SharePoint 和 OneDrive 的資料,可以透過政策部署到指定地點,並加上敏感標籤的自動分類功能,以限制存取並管理授權出口的加密。
請採取此步驟:
為 SharePoint、OneDrive 和 Exchange
III. 控制數據的存取
必須控制對敏感數據的存取權,使其受到更好的保護。 請確定存取和使用原則決策包含數據敏感度。
控制 Teams、Microsoft 365 群組 及 SharePoint 網站中的資料存取與分享
使用容器敏感性標籤來對 Microsoft Teams、Microsoft 365 群組 或 SharePoint 網站實施條件存取與分享限制。
請採取此步驟:
控制 SaaS 應用程式中資料的存取
Microsoft Defender for Cloud Apps 提供條件存取及管理 Microsoft 365 及第三方環境(如 Box 或 Google Workspace)敏感檔案的額外功能,包括:
移除過度的許可權以處理權限問題,防止數據外洩。
隔離檔案以供檢閱。
將標籤套用至敏感性檔案。
執行下列步驟:
提示
請參考 Integration SaaS Apps for 零信任 with Microsoft 365 了解如何應用零信任原則來管理您的數位雲端應用資產。
控制在 IaaS/PaaS 儲存中的存取
將強制訪問控制原則部署至包含敏感數據的 IaaS/PaaS 資源。
請採取此步驟:
IV. 防止資料外洩
控制數據的存取是必要的,但不足以控制數據移動,以及防止意外或未經授權的數據外泄或遺失。 這是數據外洩防護和內部風險管理的角色,如第四節所述。
使用 Microsoft Purview 的 DLP 政策來識別、檢查並自動保護以下敏感資料:
Microsoft 365 服務,如 Teams、Exchange、SharePoint 和 OneDrive
Office 應用程式如 Word、Excel 和 PowerPoint
Windows 10、Windows 11 及 macOS(三個最新版本)端點
內部檔案分享與內部 SharePoint
非Microsoft雲端應用程式。
執行下列步驟:
規劃數據外洩防護
建立、測試及調整 DLP 原則
了解數據外洩防護警示儀表板
使用活動總管檢閱數據活動
V. 管理內部風險
最低許可權實作有助於將已知風險降到最低,但也請務必將其他安全性相關使用者行為訊號、檢查敏感數據存取模式,以及廣泛的偵測、調查和搜捕功能相互關聯。
執行以下步驟:
了解測試人員風險管理
查看內部風險管理活動
VI. 刪除不必要的敏感性資訊
組織可以藉由管理敏感數據的生命週期來降低其數據暴露程度。
當敏感數據對貴組織不再有價值或不被允許時,通過刪除這些數據來移除所有您可以刪除的權限。
請採取此步驟:
- 部署資料生命週期管理與紀錄管理
藉由偏好就地共用和使用,而不是數據傳輸,將敏感數據重複降至最低。
請採取此步驟:
本指南涵蓋的產品
Microsoft Defender for Cloud Apps
如需實作的進一步資訊或協助,請連絡您的客戶成功小組。
零信任部署指南系列
介紹圖示
身分識別的圖示
端點的圖示
應用程式的圖示
數據的圖示
基礎結構圖示
網路圖示
可見度、自動化、協調流程的圖示