Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Network
- Automatización y orquestación
- Visibilidad y análisis
4 Datos
En esta sección se incluyen directrices y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de datos. Para obtener más información, consulte Datos seguros con Confianza cero para obtener más información.
4.1 Alineación del riesgo del catálogo de datos
Las soluciones de Microsoft Purview ayudan a detectar, identificar, gobernar, proteger y administrar datos donde estos residen. Microsoft Purview proporciona tres para identificar elementos para que se puedan clasificar. Los elementos se pueden clasificar manualmente, por los usuarios, mediante el reconocimiento automatizado de patrones, como sucede con los tipos de información confidencial, y por medio del aprendizaje automático.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.1.1 Análisis de datosLas organizaciones de DD actualizan los catálogos de servicios y aplicaciones con las clasificaciones de datos. Las etiquetas de datos también se agregan a cada servicio y aplicación. Resultado: el catálogo de servicios se actualiza con tipos de datos para cada aplicación y servicio en función de los niveles de clasificación de datos. |
Microsoft Purview Revise los tipos de información confidencial en el portal de cumplimiento de Microsoft Purview y defina tipos de información confidencial personalizados. - Tipos de información confidencial personalizados en el portal de cumplimiento de Purview Use el explorador de contenido de Purview o el explorador de actividades para ver una instantánea del contenido etiquetado de Microsoft 365 y ver las actividades de usuario asociadas. - Explorador de contenido - Explorador de actividades Microsoft Defender for Cloud Apps Integre Microsoft Purview Information Protection para aplicar etiquetas de confidencialidad a los datos que coinciden con las directivas. Investigue la posible exposición a datos confidenciales en aplicaciones en la nube. - Integrate Information Protection Microsoft Purview Data Catalog Browse the Purview Data Catalog para explorar los datos del patrimonio de datos. - Purview Data Catalog |
4.2 Gobernanza de datos empresariales de DoD
Microsoft Purview Information Protection usa etiquetas de confidencialidad. Puede crear etiquetas de confidencialidad relevantes para su organización, controlar qué etiquetas son visibles para los usuarios y definir el ámbito de la etiqueta. Aplicar etiquetas a archivos, correos electrónicos, reuniones, Microsoft Teams, sitios de SharePoint y más. Las etiquetas protegen el contenido con cifrado, limitan el uso compartido externo y evitan la pérdida de datos.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.2.1 Definir estándares de etiquetado de datosLa empresa del DoD trabaja con organizaciones para establecer estándares de etiquetado y clasificación de datos basados en las mejores prácticas del sector. Las clasificaciones se acuerdan e implementan en procesos. Las etiquetas se clasifican como manuales y automatizadas para actividades futuras. Resultados: - Se desarrollan estándares empresariales de clasificación y etiquetado de datos- Las organizaciones se alinean con los estándares empresariales y comienzan su implementación |
Microsoft Purview Crear y publicar etiquetas de confidencialidad en Microsoft Purview, según los estándares de etiquetado de datos que defina. - Etiquetas y directivas desensibilidad - Etiquetas desensibilidad en Microsoft 365 |
| 4.2.2 Normas de interoperabilidadLa empresa del DoD, en colaboración con las organizaciones, desarrolla normas de interoperabilidad que integran las soluciones obligatorias de administración y protección de derechos de datos (DRM) con las tecnologías necesarias para permitir la funcionalidad del destino ZT. Resultado: - La empresa dispone de normas formales para los estándares de datos apropiados |
Azure Rights Management Use Azure RMS para la administración de derechos de datos (DRM) y la interoperabilidad de protección en entidades del DoD que colaboran con los servicios de Microsoft 365. - Azure RMS - Apps que admiten etiquetas de confidencialidad |
| 4.2.3 Desarrollar una directiva de almacenamiento definido por software (SDS)La empresa del DoD, en colaboración con otras organizaciones, establece una directiva y unos estándares de almacenamiento definido por software (SDS) basados en las mejores prácticas del sector. Las organizaciones de DoD evalúan la estrategia y la tecnología de almacenamiento de datos actuales para la implementación de SDS. Cuando se identifique la tecnología de almacenamiento adecuada para la implementación de SDS. Resultados: - Determinar la necesidad de implementar la herramienta SDS- Se crea una directiva para SDS a nivel de empresa y de organización. |
SharePoint Online Use SharePoint Online y OneDrive para la Empresa como solución estándar de almacenamiento de diseño de software interoperable (SDS). Restrinja el acceso a sitios y contenido confidenciales SharePoint online con directivas de restricción de acceso al sitio. Impedir el acceso de invitado a archivos mientras se aplican reglas de prevención de pérdida de datos (DLP). - Restringir el acceso al sitio a los miembros del grupo - Impedir el acceso de invitados a los archivos con reglas DLP - Asegurar el intercambio con invitados Microsoft Defender for Cloud Apps Use Defender for Cloud Apps para bloquear el acceso a servicios de almacenamiento en la nube no autorizados. - Gestionar las aplicaciones detectadas |
4.3 Etiquetado de datos
Microsoft Purview Information Protection clasifica automáticamente los datos en función de los tipos de información confidencial que defina. Las directivas para el etiquetado del lado cliente y el servicio garantizan que Microsoft 365 contenido creado por los usuarios esté etiquetado y protegido.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.3.1 Implementación de herramientas de etiquetado y clasificación de datosLas organizaciones del Departamento de Defensa utilizan el estándar y los requisitos de la empresa para implementar la(s) solución(es) de etiquetado y clasificación de datos. Las organizaciones se aseguran de que las futuras integraciones de IA y ML estén respaldadas por soluciones a través de los requisitos empresariales del DoD.
Resultados: - Un requisito para las herramientas de clasificación y etiquetado de datos debe incluir integración y/o compatibilidad con aprendizaje automático (ML) - Las herramientas de clasificación y etiquetado de datos se implementan a nivel organizativo y empresarial |
Microsoft Purview Information Protection Use Microsoft Purview Information Protection para clasificar datos basados en tipos de información confidencial y clasificadores entrenados por aprendizaje automático (ML). - Datos confidenciales y Purview - Políticas de etiquetas |
| 4.3.2 Etiquetado manual de datos Pt1Uso de la directiva y los estándares de clasificación y etiquetado de datos de la empresa DoD, el etiquetado manual comienza usando atributos básicos de nivel de datos para cumplir con la funcionalidad de destino ZT. Resultado:: el etiquetado manual de datos comienza en el nivel empresarial con atributos básicos |
Microsoft Purview Crear y publicar etiquetas de confidencialidad en Microsoft Purview, según los estándares de etiquetado de datos que defina. See Microsoft guidance in 4.2.1.. Configure una directiva de etiquetado para requerir a los usuarios que apliquen etiquetas de confidencialidad a los correos electrónicos y documentos. - Users aplica etiquetas al correo electrónico y a los documentos |
| 4.3.3 Etiquetado manual de datos Pt2DoD Los atributos específicos de nivel de datos de la organización se integran en el proceso de etiquetado manual de datos. Las organizaciones y empresas de DoD colaboran para decidir qué atributos son necesarios para satisfacer la funcionalidad avanzada de ZTA. Los atributos de nivel de datos para la funcionalidad avanzada de ZTA se estandarizan y se incorporan en toda la empresa. Resultados:: el etiquetado manual de datos se expande a los niveles de programa o organización con atributos específicos |
Microsoft Purview Revise los tipos de información confidencial en el portal de cumplimiento de Microsoft Purview. Defina los tipos de información confidencial personalizados según sea necesario.Consulte la guía de Microsoft en 4.1.1. |
| 4.3.4 Etiquetado automatizado de datos y soporte técnico Pt1Organizaciones de DoD usan soluciones de prevención de pérdida de datos, administración de derechos o protección para realizar el examen de repositorios de datos. Las etiquetas estandarizadas se aplican a los repositorios de datos y tipos de datos admitidos. Se identifican repositorios y tipos de datos no admitidos. Resultado: la automatización básica comienza escaneando los repositorios de datos y aplicando etiquetas |
Microsoft Purview Information Protection Configure el etiquetado del lado cliente para archivos y correos electrónicos creados en aplicaciones de Microsoft Office. - Autolabeling para aplicaciones de Office Configurar el etiquetado del lado del servicio para contenido almacenado en Office 365. - Directiva de etiquetado automático para SharePoint, OneDrive y Exchange Aplicar etiquetas de confidencialidad en contenedores: sitios de Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint. - Etiquetas de sensibilidad para Teams, Microsoft 365, grupos y sitios de SharePoint Para buscar documentos y correos electrónicos en su entorno, examine los valores de coincidencia de datos en tipos de información confidencial definidos. - Tipos de información confidencial que coincidan con datos Utilice la huella digital del documento para buscar y etiquetar contenido que coincida con plantillas de documento y formularios. - Huella digital del documento Microsoft Purview Registrar orígenes de datos, examinar, ingerir y clasificar datos en el portal de gobernanza de Microsoft Purview. - Orígenes de datos en Purview - Examen e ingestión - Clasificación de datos Microsoft Defender for Cloud Apps Integre Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de confidencialidad automáticamente, aplicar directivas de cifrado e impedir la pérdida de datos. - Integrar Protección de Información - Aplicar etiquetas de confidencialidad - Inspección de contenido DLP |
| 4.3.5 Etiquetado automatizado de datos y soporte Pt2Los demás repositorios de datos soportados disponen de etiquetas de datos básicas y ampliadas que se aplican utilizando el aprendizaje automático y la inteligencia artificial. Las etiquetas de datos extendidas se aplican a los repositorios existentes. Los repositorios de datos y los tipos de datos no admitidos se evalúan para la retirada mediante un enfoque metódico basado en riesgos. Las excepciones aprobadas usan enfoques de etiquetado de datos manuales con propietarios de datos o custodios para administrar el etiquetado. Resultados:: se completa la automatización completa del etiquetado de datos: los resultados del etiquetado de datos se introducen en algoritmos de aprendizaje automático. |
Microsoft Purview Information Protection Los clasificadores entrenables en Purview pueden ayudarle a reconocer el contenido mediante el aprendizaje automático (ML). Cree y entrene clasificadores utilizando muestras seleccionadas por humanos y que coinciden positivamente. Clasificadores entrenables. |
4.4 Supervisión y detección de datos
Microsoft Purview directivas de prevención de pérdida de datos (DLP) impiden que los datos salgan de la organización. Puede aplicar directivas DLP a los datos en reposo, en uso y en movimiento. Las directivas DLP se aplican cuando los datos residen en servicios en la nube, recursos compartidos de archivos locales, también en dispositivos Windows y macOS.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.4.1 Registro y análisis de puntos de aplicación de la DLPLas organizaciones de la DoD identifican los puntos de aplicación de la prevención de pérdida de datos (DLP), como servicios específicos y puntos de conexión de usuario. Utilizando el estándar de respuesta a incidentes de ciberseguridad empresarial del DoD establecido, las organizaciones del DoD se aseguran de que se captura el detalle apropiado de los datos. Además, los casos de uso de protección, detección y respuesta se desarrollan para describir mejor la cobertura de la solución. Resultados:: se identifican puntos de cumplimiento: el esquema de registro estandarizado se aplica en los niveles de empresa y organización. |
Microsoft Purview Data Loss Prevention Crear directivas DLP en la conformidad de Purview. Exigir DLP para aplicaciones de Microsoft 365, Windows, y los puntos de conexión de macOS, también aplicaciones en la nube que no son de Microsoft. - Planificar para DLP - Diseñar políticas de DLP - Actividades de registro de auditoría - Esquema de API de Actividad de Administración de Office 365 Microsoft Defender para aplicaciones en la nube Integretar Protección de Información de Purview con Defender para aplicaciones en la nube para aplicar etiquetas de confidencialidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Consulte la Guía de Microsoft en 4.3.4. |
| 4.4.2 Registro y análisis de puntos de aplicación de DRMLas organizaciones de DoD identifican los puntos de aplicación de la administración de derechos de datos (DRM), como servicios específicos y puntos de conexión de usuarios. Utilizando el estándar de respuesta a incidentes de ciberseguridad empresarial del DoD establecido, las organizaciones del DoD se aseguran de que se captura el detalle apropiado de los datos. Además, los casos de uso de protección, detección y respuesta se desarrollan para describir mejor la cobertura de la solución. Resultados:: se identifican puntos de cumplimiento: el esquema de registro estandarizado se aplica en los niveles de empresa y organización. | los puntos de aplicación de Microsoft Purview Information Protection Purview data rights management (DRM) incluyen Microsoft 365 y aplicaciones y servicios de terceros integrados con Microsoft Information Protection (MIP) SDK, aplicaciones en línea, y clientes enriquecidos. - Proteger datos confidenciales - Restringir el acceso al contenido con etiquetas de confidencialidad - MIP SDK - Cifrado en Microsoft 365 Microsoft Defender for Cloud Apps Integrar Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de confidencialidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Consulte las instrucciones de Microsoft en 4.3.4. |
| 4.4.3 Supervisión de la actividad de los archivos Pt1Las organizaciones de DoD usan herramientas de supervisión de archivos para supervisar los niveles de clasificación de datos más críticos en aplicaciones, servicios y repositorios. Los análisis procedentes de la supervisión se introducen en el SIEM con atributos de datos básicos para lograr la funcionalidad de destino ZT. Resultados:: datos y archivos de clasificación crítica se están supervisando activamente: la integración básica está en vigor con el sistema de supervisión, como SIEM. |
Microsoft Purview Data Loss Prevention Las alertas DLP aparecen en Microsoft Defender XDR. La actividad de archivo sobre la creación, el etiquetado, la impresión y el uso compartido se encuentra en el registro de auditoría unificado y en el explorador de actividades del portal de cumplimiento de Microsoft Purview. Alertas DLP, Explorador de actividades, Exportar, configurar y ver los registros de auditoría, Microsoft Defender XDR y Microsoft Sentinel. Integra Microsoft Defender XDR con Sentinel para ver e investigar las alertas de prevención de pérdida de datos (DLP) en un sistema de administración de eventos e incidentes de seguridad empresarial (SIEM). Integrar herramientas SIEM. Conector de protección de la información para Sentinel. Conectar los datos de Defender XDR a Sentinel. Investigaciones de DLP. |
| 4.4.4 Supervisión de la actividad de archivos Pt2Las organizaciones de DoD usan herramientas de supervisión de archivos para supervisar todos los datos protegidos normativos (por ejemplo, CUI, PII, PHI, etc.) en aplicaciones, servicios y repositorios. La integración extendida se usa para enviar datos a soluciones adecuadas entre pilares, como prevención de pérdida de datos, Data Rights Management/Protection y Análisis de comportamiento de usuarios y entidades. Resultados: los datos y los archivos de todas las clasificaciones reguladas se están supervisando activamente: las integraciones extendidas están en vigor según corresponda para administrar aún más el riesgo |
Microsoft Sentinel Determine las etiquetas de confidencialidad necesarias y configure reglas de análisis personalizadas de Sentinel. Cree un incidente cuando las alertas de DLP se activen para eventos críticos relacionados con archivos. Los eventos críticos de archivos incluyen la detección de información confidencial, infracciones de directivas y otras actividades sospechosas.Reglas de análisis personalizadas para detectar amenazasRespuesta a amenazas con cuadernos de estrategias |
| 4.4.5 Supervisión de la actividad de las bases de datosLas organizaciones de DoD adquieren, implementan y utilizan soluciones de supervisión de bases de datos para supervisar todas las bases de datos que contengan tipos de datos regulados (CUI, PII, PHI, etc.). Los registros y el análisis de la solución de supervisión de bases de datos se suministran al SIEM para la supervisión y la respuesta. Los análisis se introducen en actividades entre pilares, como "Perfil de seguridad empresarial" y "Acceso en tiempo real" para mejorar la toma de decisiones directa.
Outcomes: - La base de datos adecuada se está supervisando activamente : la tecnología de supervisión se integra con soluciones como SIEM, PDP y mecanismos de Access Control dinámicos |
Microsoft Defender para SQL Defender para SQL protege las bases de datos en Azure y en otras nubes. - Defender para SQL - Alertas de seguridad Microsoft Sentinel Conecte los conectores de datos de Microsoft Defender for Cloud y Microsoft Defender XDR a Sentinel. - Alertas de Microsoft Defender for Cloud conectadas a Sentinel - Conectar Defender XDR a Sentinel Acceso condicional Requiere el contexto de autenticación para sitios de SharePoint confidenciales y protege el inicio de sesión en bases de datos de Azure SQL mediante el acceso condicional. - Etiquetas de sensibilidad - Contexto de autenticación - Acceso condicional con Azure SQL Database y Azure Synapse Analytics |
| 4.4.6 Supervisión completa de la actividad de datosLas organizaciones de DoD amplían la supervisión de repositorios de datos, incluidas las bases de datos según corresponda en función de un enfoque de riesgo metódico. Los atributos de datos adicionales para satisfacer las funcionalidades de ZT Advanced se integran en el análisis de integraciones adicionales. Resultados:: los mecanismos de supervisión de la actividad de datos se integran para proporcionar una vista unificada de la supervisión en los repositorios de datos: existen integraciones adecuadas con soluciones como SIEM y PDP. |
Microsoft Graph API Usar registros de actividad de Microsoft Graph para una pista de auditoría de solicitudes recibidas por el servicio de Microsoft Graph y procesadas por el inquilino. - Registros de actividad Mapa de datos de Microsoft Purview Configurar el Mapa de datos de Purview para buscar archivos confidenciales en el patrimonio de datos de la organización. - Administrar fuentes de datos Microsoft Sentinel Para integrar con un sistema de administración de eventos e información de seguridad (SIEM), configure los conectores de datos de Sentinel para Microsoft Defender for Cloud, Microsoft Defender XDR y Purview. Consulte la guía de Microsoft en 4.4.5. Acceso condicional Las detecciones de accesos inusuales a archivos, encontradas por Microsoft Defender XDR, aumentan el nivel de riesgo del usuario. El riesgo del usuario es una condición en Microsoft Entra ID, y el punto de decisión de política (PDP) para el acceso condicional. Defina un contexto de autenticación de acceso condicional con el estado de riesgo del usuario sin riesgo. Proteger sitios SharePoint etiquetados; requerir el contexto de autenticación de acceso condicional. - Detecciones de riesgo - Acceso inusual a archivos - Ejemplo de contexto de autenticación |
4.5 Cifrado de datos y administración de derechos
Los servicios de Microsoft 365 cifran los datos en reposo y en tránsito. Microsoft Purview restringe el acceso al contenido según la directiva de cifrado de etiquetas de confidencialidad. Purview logra el objetivo con otra capa de cifrado para el correo electrónico y los archivos.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.5.1 Implementar herramientas de DRM y protección Pt1Las organizaciones de DoD adquieren e implementan soluciones de DRM y protección según sea necesario siguiendo los estándares y requisitos de la empresa DoD. Las soluciones de protección y DRM recién implementadas se han implementado en repositorios de datos de alto riesgo con protecciones de nivel objetivo ZTA. Resultados:: DRM y herramientas de protección están habilitadas para repositorios de datos de alto riesgo con protecciones básicas |
Microsoft 365 cifrado Microsoft 365 tiene cifrado de nivel de volumen de línea base con la característica de seguridad de Windows BitLocker y Distributed Key Manager (DKM). - Comprender el cifrado Microsoft Purview Use las directivas de etiquetado para aplicar automáticamente más cifrado para los datos de alto riesgo en Microsoft 365, basado en la etiqueta de confidencialidad. - Restrict acceso al contenido con etiquetas de confidencialidad - Cifrado de correo electrónico en Microsoft 365 Microsoft Defender para aplicaciones en la nube Integre Microsoft Purview Information Protection con Defender para aplicaciones en la nube para aplicar etiquetas de confidencialidad automáticamente, aplicar directivas de cifrado y evitar la pérdida de datos. Consulte las instrucciones de Microsoft en 4.3.4. Azure Policy Use Azure Policy para requerir una versión segura de Seguridad de la Capa de Transporte (TLS), implementar Cifrado de datos transparente (TDE) y requerirlo con claves administradas por el cliente para cifrar los datos en reposo. - Requiere definiciones de Azure Policy para la base de datos Azure SQL y SQL Managed Instance |
| 4.5.2 Implementar DRM y herramientas de protección Pt2 La cobertura de DRM y de protección se amplía para incluir todos los repositorios de datos dentro del alcance. Las claves de cifrado se administran automáticamente para cumplir los procedimientos recomendados (por ejemplo, FIPS). Los atributos de protección de datos extendidos se implementan en función de la clasificación del entorno. Resultados: las herramientas de protección y DRM están habilitadas para todos los repositorios posibles |
Azure Key Vault Use Azure Key Vault módulo de seguridad de hardware administrado (Azure Key Vault HSM) para proteger las claves criptográficas de la aplicación mediante FIPS 140-2 nivel 3 módulos de seguridad de hardware validados. - Azure Key Vault HSM administrado Microsoft Purview Customer Key Microsoft 365 ofrece una capa de cifrado para el contenido con Customer Key. - Service encryption Azure Information Protection tenant key Azure Information Protection admite claves raíz de inquilino generadas por Microsoft y traiga su propia clave (BYOK). - Tenant key - Cifrado de doble clave (Double Key Encryption) - BYOK |
| 4.5.3 Aplicación de DRM mediante etiquetas de datos y análisis Pt1Las soluciones de administración y protección de derechos de datos (DRM) se integran con etiquetas de datos básicas definidas por la norma empresarial de DoD. Los repositorios de datos iniciales se supervisan y tienen habilitadas las acciones de protección y respuesta. Los datos en reposo se cifran en repositorios. Resultados:: las etiquetas de datos se integran con DRM y los repositorios supervisados se expanden: en función de las etiquetas de datos, los datos se cifran en reposo. | |
| 4.5.4 Aplicación de DRM mediante etiquetas de datos y análisis Pt2Los depósitos de datos ampliados están protegidos con soluciones de DRM y protección. Las organizaciones del DoD implementan etiquetas de datos extendidas aplicables a organizaciones, en contraste con las normas empresariales obligatorias. Los datos se cifran en repositorios extendidos mediante etiquetas adicionales. Resultados: todos los repositorios de datos aplicables están protegidos mediante DRM: los datos están cifrados mediante etiquetas de datos ampliadas de los niveles de organización. |
Cifrado de Azure Azure usa cifrado para los datos en reposo y en tránsito. - Cifrado de Azure Azure Policy Habilita Azure Policy para proteger las bases de datos de Azure SQL Consulta la guía de Microsoft 4.5.1. Acceso Condicional Usa políticas de Acceso Condicional para los usuarios que se conectan a Azure SQL. Consulta la guía de Microsoft en 4.4.5. |
| 4.5.5 Aplicación de DRM mediante etiquetas de datos y análisis Pt3Las soluciones de DRM y protección se integran con herramientas de IA y ML para las funciones de cifrado, administración de derechos y protección. Resultados: los análisis de ML/AI se integran con DRM para automatizar mejor las protecciones: la protección de cifrado se integra con IA/ML y se utilizan métodos de cifrado actualizados según sea necesario. |
Microsoft Purview Information Protection Utilice Microsoft Purview Information Protection para clasificar los datos, en función de los tipos de información confidencial y por clasificadores entrenados por aprendizaje automático. Consulte las instrucciones de Microsoft en 4.3.5. Azure Machine Learning Azure Machine Learning y Azure OpenAI Service utilizan los servicios de Azure Storage y Azure Compute que cifran los datos. - Cifrado de datos - El cifrado de datos en reposo de Azure OpenAI Acceso condicional Defina el contexto de autenticación con señales de riesgo de Identity Protection. Requerir contexto de autenticación para sitios SharePoint etiquetados y aplicaciones personalizadas. - Contexto de autenticación See Microsoft guidance in 4.4.5. |
4.6 Prevención de pérdida de datos (DLP)
Microsoft Purview directivas de prevención de pérdida de datos (DLP) impiden que los datos salgan de la organización. Puede aplicar directivas DLP a los datos en reposo, en uso y en movimiento. Las directivas DLP se aplican cuando los datos residen en servicios en la nube, recursos compartidos de archivos locales, también en dispositivos Windows y macOS.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.6.1 Implantar puntos de cumplimientoLa solución de prevención de pérdida de datos (DLP) se implementa en los puntos de cumplimiento del ámbito de aplicación. La solución DLP se establece en modo "solo monitoreo" y/o "aprendizaje", para limitar el impacto. Los resultados de la solución DLP se analizan y la directiva se ajusta para administrar el riesgo a un nivel aceptable. Resultado: los puntos de cumplimiento identificados tienen implementada la herramienta DLP y están configurados en modo de supervisión con registro estandarizado. |
Microsoft Purview Prevención de Pérdida de Datos Las aplicaciones de Microsoft 365 y los endpoints de Windows aplican directivas DLP. Configurar directivas en modo de simulación de DLP. Planificar para el DLP. Modo de simulación de DLP. Crear directivas en DLP. Establezca el estado de la directiva en prueba o prueba con sugerencias de directiva. Establezca las acciones de directiva en Audit only o Bloquear con anulación. - despliegue de la política DLP Onboard Windows 10, 11, y dispositivos macOS para la prevención de la pérdida de datos de puntos de conexión (Endpoint DLP) - Endpoint DLP Implemente el escáner de Microsoft Purview Information Protection. Etiquete y haga cumplir directivas DLP para contenido en bases de datos SQL locales, recursos compartidos de archivos, almacenamiento conectado a la red (NAS) y bibliotecas de documentos de SharePoint Server. - Repositorios locales de DLP - Escáner de Protección de la Información Prevención de Pérdida de Datos de Microsoft Purview Integre Microsoft Purview Information Protection con Defender for Cloud Apps para aplicar etiquetas de confidencialidad automáticamente, hacer cumplir las directivas de cifrado y evitar la pérdida de datos. Consulte las instrucciones de Microsoft en 4.3.4. Acceso condicional Control del acceso a Office 365 y otras aplicaciones integradas con Microsoft Entra. Utilice el modo solo informe para supervisar el resultado antes de activar las directivas con el control de concesión de acceso de bloqueo. Crear política Modo solo informe Directivas de sesión: supervisar todas las directivas de sesión |
| 4.6.2 Aplicación de DLP mediante etiquetas de datos y análisis Pt1La solución de prevención de pérdida de datos (DLP) se actualiza del modo de solo monitorización al modo de prevención. Las etiquetas de datos básicas se usan para la solución DLP y se integra el esquema de registro. Resultados: puntos de cumplimiento que se establecen para evitar la integración del esquema de registro y la clasificación manual del entorno de etiquetas. |
Microsoft Purview Prevención de pérdida de datos Crear directivas DLP en modo de prueba. Cambie el estado a Activado para habilitar el modo de cumplimiento. Si establece acciones de directiva en Bloquear, la actividad de usuario que desencadena DLP se impide mediante la política. - Acciones en directivas DLP Habilite la protección Just-In-Time (JIT) para aplicar DLP de punto de conexión para los archivos creados en dispositivos sin conexión. - Dispositivos sin conexión Microsoft Defender para aplicaciones en la nube Habilite la inspección de contenido en Defender para aplicaciones en la nube. - Inspección de contenido DLP Acceso condicional Después de las pruebas, habilite las directivas de acceso condicional que aplican controles de sesión, o use el control de concesión de acceso para bloquear. Para evitar el bloqueo de inquilinos, excluya las cuentas de acceso de emergencia.Cuentas de acceso de emergenciaVéase la guía de Microsoft en 4.6.1. |
| 4.6.3 Aplicación de DLP mediante etiquetas de datos y análisis Pt2La solución de prevención de pérdida de datos (DLP) se actualiza para incluir etiquetas de datos ampliadas basadas en actividades paralelas de automatización. Resultado: los puntos de control tienen atributos de etiqueta de datos ampliados aplicados para una prevención adicional |
Microsoft Purview Information Protection Define tipos de información confidencial personalizada. Cree etiquetas y directivas de prevención de pérdida de datos.Véase la guía de Microsoft en 4.1.1. |
| 4.6.4 Cumplimiento de la DLP mediante etiquetas de datos y análisis Pt3La solución de prevención de pérdida de datos (DLP) se integra con técnicas automatizadas de etiquetado de datos para incluir cualquier punto de cumplimiento y etiqueta que falte. Resultado: los atributos de etiquetado automatizado se integran con DLP y las métricas resultantes se utilizan para ML |
Control de acceso a datos
los servicios Microsoft 365 y Azure Storage se integran con Microsoft Entra ID para la autorización basada en identidades. Microsoft Entra ID admite el control de acceso basado en rol (RBAC) y el control de acceso basado en atributos (ABAC).
Microsoft Entra proporciona a las organizaciones control de acceso basado en roles a través de roles y grupos de seguridad. Los grupos de seguridad dinámicos usan atributos definidos en objetos de usuario, grupo y dispositivo para definir la pertenencia, en función de expresiones enriquecidas y conjuntos de reglas.
El control de acceso basado en atributos de Microsoft Entra ID utiliza atributos de seguridad personalizados, que son atributos específicos de la empresa que puede definir y asignar a objetos de Microsoft Entra. Los atributos de seguridad personalizados almacenan información confidencial. El acceso para ver, o modificar, los atributos de seguridad personalizados están restringidos a los roles de administrador de atributos.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 4.7.1 Integrar el acceso al DAAS con la directiva SDS Pt1Utilizando la directiva SDS de la empresa DoD, la directiva DAAS de la organización se desarrolla teniendo en cuenta la integración prevista. La guía de implementación de SDS la desarrollan las organizaciones de DoD debido a la naturaleza específica del entorno. Resultados: la directiva DAAS detallada basada en atributos se desarrolla con soporte a nivel de empresa y organización: el plan de integración de SDS se elabora para respaldar la directiva DAAS. |
Microsoft Entra ID Implementar políticas de datos, activos, aplicaciones y servicios (DAAS) basadas en atributos con Microsoft Entra ID, utilizando mecanismos como el control de acceso basado en atributos de Azure (Azure ABAC), el filtrado personalizado de atributos de seguridad para aplicaciones y grupos de seguridad dinámicos. - Controles basados en atributos Atributos de seguridad personalizados Definir atributos de seguridad personalizados y asignar valores a los usuarios. Configure las condiciones para la asignación de roles en Azure ABAC, aplicadas a los roles de Azure. Actualmente, esta característica está en versión preliminar para los permisos de cuenta de almacenamiento de Azure. - Azure ABAC - Administrar el acceso a atributos de seguridad personalizados. - Administrar atributos con delegación Use atributos de seguridad personalizados para la autorización de aplicaciones dinámicas específicas. Asigne atributos de seguridad personalizados y use filtros de atributo (versión preliminar) para las aplicaciones de directivas de acceso condicional. - Administrar atributos de seguridad personalizados de la aplicación Dynamic security groups Use grupos de seguridad dinámicos para asignar acceso a los recursos que admiten grupos de Microsoft Entra ID para conceder permisos. Esto incluye grupos de roles de Microsoft 365, roles de aplicación para aplicaciones de Microsoft Entra ID, roles de Azure y asignaciones de aplicaciones. Las directivas de acceso condicional utilizan grupos dinámicos y aplican niveles de autorización para usuarios con varios valores de atributos. Reglas de pertenencia a grupos dinámicos. Emitir reclamos a partir de condiciones. |
| 4.7.2 Integrar el acceso DAAS con la política SDS Pt2Las organizaciones del Departamento de Defensa implementan la política DAAS de forma automatizada. Resultado: directiva DAAS específica basada en atributos implementada de forma automatizada |
Microsoft Graph API Automate la configuración de directivas de acceso condicional, atributos de seguridad personalizados, grupos de seguridad dinámicos y otras características de Microsoft Entra ID con Microsoft Graph API. |
| 4.7.3 Integrar el acceso al DAAS con la directiva SDS Pt3La nueva tecnología y/o funcionalidades SDS implementadas se integran con la directiva DAAS de forma basada en el riesgo. Se debe adoptar un enfoque por fases durante la implementación para medir los resultados y ajustarlos en consecuencia. Resultados: SDS se integra con la funcionalidad de directiva DAAS: todos los datos de todas las aplicaciones están protegidos con una directiva DAAS específica basada en atributos. |
Microsoft Defender for Cloud Apps Integrate Microsoft Purview y Defender for Cloud Apps. Cree directivas de archivo para aplicar procesos automatizados mediante las API del proveedor de nube. - Integrate Information Protection - File policies |
| 4.7.4 Integrar soluciones y directivas con IdP empresarial Pt1 Las organizaciones del DoD elaboran un plan de integración utilizando la política SDS junto con la tecnología o funcionalidad de la solución de Proveedor de Identidad (IdP) empresarial. Resultado: se desarrolla un plan de integración entre SDS y el Proveedor de Identidades Autoritario para soportar el acceso DAAS existente. |
Microsoft Entra ID Microsoft 365 servicios de almacenamiento como SharePoint Online y OneDrive para la Empresa están integrados con Microsoft Entra ID. Configurar los servicios de Azure Storage para la integración con Microsoft Entra ID para la autorización basada en identidad de las solicitudes a los servicios de Blob, File, Queue y Table. - Microsoft Entra ID - Autorizar Azure Storage En la galería de aplicaciones, integre más soluciones de almacenamiento definido por software (SDS) con Microsoft Entra ID. - Galería de aplicaciones |
| 4.7.5 Integrar soluciones y directivas con Enterprise IDP Pt2Las funcionalidades y tecnología SDS recién implementadas se integran con Enterprise Identity Provider (IdP) siguiendo el plan de integración. Los atributos de identidad necesarios para cumplir las funcionalidades de ZT Target son necesarios para la integración. Resultado:- Integración completa con las herramientas Enterprise IDP y SDS para admitir todos los accesos DAAS de precisión basados en atributos | Complete las actividades 4.7.1 y 4.7.4. |
| 4.7.6 Implementar la herramienta SDS y/o integrarla con la herramienta DRM Pt1Dependiendo de la necesidad de una herramienta de almacenamiento definido por software, se implementa una nueva solución o se identifica una solución existente que cumpla los requisitos de funcionalidad para ser integrada con las soluciones DLP, DRM/Protection y ML. Resultado: si se necesitan herramientas, asegúrese de que hay integraciones compatibles con DLP, DRM y herramientas de ML |
Microsoft Purview Microsoft Purview Information Protection digital rights management (DRM) y las características de prevención de pérdida de datos (DLP) de Microsoft Purview se integran de forma nativa con clientes de Office y Microsoft 365 servicios. Las integraciones están integradas y no requieren más despliegue. - Descripción de Purview Utilice el SDK de Microsoft Information Protection (SDK de MIP) para compilar herramientas personalizadas para aplicar etiquetas y protección a archivos. Véase la orientación de Microsoft en la 4.4.2. |
| 4.7.7 Implementación de la herramienta SDS o integración con la herramienta DRM Pt2Las organizaciones DoD configuran la funcionalidad y/o solución SDS para integrarse con la infraestructura DLP y DRM/Protection subyacente según corresponda. Las integraciones de nivel inferior permiten una protección y respuesta más eficaces. Resultado: integrar la infraestructura SDS con la infraestructura DLP y DRM existente |
Microsoft 365 y Microsoft Purview Microsoft Purview protege Microsoft 365 contenido con prevención de pérdida de datos (DLP) y administración de derechos de datos (DRM) sin más infraestructura. - Proteger datos confidenciales |
Pasos siguientes
Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.
- Introducción
- Usuario
- Dispositivo
- Aplicaciones y cargas de trabajo
- Datos
- Network
- Automatización y orquestación
- Visibilidad y análisis