Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Background
Zero Trust è una strategia di sicurezza usata per progettare i principi di sicurezza per l'organizzazione. Zero Trust consente di proteggere le risorse aziendali implementando i principi di sicurezza seguenti:
Verificare esplicitamente. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.
Usare l'accesso con privilegi minimi. Limita l'accesso degli utenti con JIT (Just-In-Time) e JEA (Just-Enough-Access), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.
Presupporre una violazione Ridurre al minimo il raggio di esplosione e segmentare l'accesso. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Microsoft Purview propone cinque elementi principali per una strategia di difesa dei dati avanzata e un'implementazione Zero Trust per i dati:
Classificazione ed etichettatura dei dati
Se non si conoscono i dati sensibili presenti in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. Individuare e rilevare i dati nell'intera organizzazione e classificarli in base al livello di riservatezza.Protezione delle informazioni
L'accesso condizionale e con privilegi minimi ai dati sensibili riduce i rischi per la sicurezza dei dati. Applicare barriere di controllo accessi basate sulla riservatezza, includendo gestione dei diritti e crittografia, laddove i controlli ambientali non siano sufficienti. Usare i contrassegni di riservatezza delle informazioni per aumentare la consapevolezza e la conformità dei criteri di sicurezza.Prevenzione della perdita dei dati
Il controllo di accesso risolve solo parte del problema. Il monitoraggio e il controllo delle attività e dei movimenti di dati rischiosi che potrebbero causare un incidente di sicurezza o conformità consente alle organizzazioni di prevenire la condivisione eccessiva dei dati sensibili.Gestione dei rischi Insider
L'accesso ai dati potrebbe non sempre fornire l'intera storia. Ridurre al minimo i rischi per i dati abilitando il rilevamento comportamentale da un'ampia gamma di segnali e agendo su attività potenzialmente dannose e accidentali nell'organizzazione che potrebbero essere precursori o un'indicazione di una violazione dei dati.Governance dei dati
La gestione proattiva del ciclo di vita dei dati sensibili riduce l'esposizione. Limitare il numero di copie o propagazione di dati sensibili ed eliminare dati non più necessari per ridurre al minimo i rischi di violazione dei dati.
Obiettivi di distribuzione di data Zero Trust
|
È consigliabile concentrarsi su questi obiettivi di distribuzione iniziale quando si implementa un framework di Zero Trust end-to-end per i dati: |
|
|
Icona elenco con un segno di spunta. |
I.Classificare ed etichettare i dati. Classificare e etichettare automaticamente i dati laddove possibile. Applica manualmente dove non è presente. II.Applicare la crittografia, il controllo di accesso e i contrassegni di contenuto. Applicare la crittografia in cui la protezione e il controllo di accesso non sono sufficienti. III.Controllare l'accesso ai dati. Controllare l'accesso ai dati sensibili in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati. |
|
Man mano che si procede al raggiungimento degli obiettivi precedenti, aggiungere questi obiettivi di distribuzione aggiuntivi: |
|
|
Icona elenco con due segni di spunta. |
IV. Impedire la perdita di dati. Usare criteri DLP basati su segnali rischiosi e sensibilità dei dati. V.Gestire i rischi. Gestire i rischi che potrebbero causare un evento imprevisto di sicurezza dei dati controllando le attività utente correlate alla sicurezza rischiosa e i modelli di attività dei dati che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati. VI.Ridurre l'esposizione dei dati. Ridurre l'esposizione dei dati tramite la governance dei dati e ridurre al minimo i dati continui |
guida alla distribuzione di Zero Trust per i dati
Questa guida illustra in modo dettagliato un approccio Zero Trust alla protezione dei dati. Tenere presente che questi elementi variano notevolmente a seconda della riservatezza delle informazioni e delle dimensioni e della complessità dell'organizzazione.
Come precursore di qualsiasi implementazione della sicurezza dei dati, Microsoft consiglia di creare un framework di classificazione dei dati e una tassonomia delle etichette di riservatezza che definisce categorie di alto livello di rischio per la sicurezza dei dati. Tale tassonomia verrà usata per semplificare tutto, dall'inventario dei dati o dalle informazioni dettagliate sulle attività, alla gestione dei criteri per l'analisi delle priorità.
Per altre informazioni, vedi:
- Creare un framework di classificazione dei dati ben progettato
|
Icona lista di controllo con un segno di spunta. |
Obiettivi iniziali della distribuzione |
I. Classificare, etichettare e individuare dati sensibili
Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione.
Le classificazioni e le etichette di riservatezza consentono di comprendere dove si trovano i dati sensibili, come vengono spostati e implementare controlli di accesso e utilizzo appropriati coerenti con i principi zero trust:
Usare la classificazione e l'etichettatura automatizzate per rilevare informazioni riservate e ampliare la scoperta nel patrimonio di dati.
Usare l'etichettatura manuale per documenti e contenitori e curare manualmente i set di dati usati nell'analisi in cui la classificazione e la riservatezza sono meglio stabilite dagli utenti esperti.
Seguire questa procedura:
Informazioni sui tipi di informazioni sensibili
Informazioni sui classificatori addestrabili
Informazioni sulle etichette di riservatezza
Dopo aver configurato e testato la classificazione e l'etichettatura, espandere l'attività di individuazione dei dati nel patrimonio dati.
Seguire questa procedura per estendere l'individuazione oltre i servizi Microsoft 365:
Individuare e proteggere le informazioni riservate nelle applicazioni SaaS
Informazioni sulle scansioni e sull'acquisizione nel portale di governance di Microsoft Purview
Durante l'individuazione, la classificazione e l'etichettatura dei dati, utilizzare tali intuizioni per attenuare i rischi e informare le iniziative di gestione delle policy.
Seguire questa procedura:
Introduzione a Esplora contenuto
Esaminare l'attività di etichettatura con Esplora attività
Informazioni su Data Insights
II. Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto
Semplificare l'implementazione dei privilegi minimi usando le etichette di riservatezza per proteggere i dati più sensibili con la crittografia e il controllo di accesso. Usare i contrassegni di contenuto per migliorare la consapevolezza e la tracciabilità degli utenti.
Proteggere documenti e messaggi di posta elettronica
Microsoft Purview Information Protection consente l'accesso e il controllo dell'utilizzo in base alle etichette di riservatezza o alle autorizzazioni definite dall'utente per documenti e messaggi di posta elettronica. Può anche applicare contrassegni e crittografare le informazioni che risiedono in o passano a ambienti di attendibilità inferiori interni o esterni all'organizzazione. Fornisce protezione a riposo, in movimento e in uso per applicazioni avanzate.
Seguire questa procedura:
- opzioni di crittografia Visualizzare le opzioni di crittografia in Microsoft 365
- Limitare l'accesso al contenuto e all'utilizzo usando le etichette di riservatezza
Proteggere i documenti in Exchange, SharePoint e OneDrive
La classificazione automatica con etichette di riservatezza può essere distribuita tramite criteri verso ubicazioni mirate per limitare l'accesso e gestire la crittografia sull'uscita dei dati autorizzata per i dati archiviati in Exchange, SharePoint e OneDrive.
Eseguire questo passaggio:
III. Controllare l'accesso ai dati
Fornire l'accesso ai dati sensibili deve essere controllato in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.
Controllare l'accesso e la condivisione dei dati in Teams, Gruppi di Microsoft 365 e siti di SharePoint
Usare le etichette di sensibilità dei contenitori per implementare restrizioni di accesso condizionale e di condivisione per Microsoft Teams, Gruppi di Microsoft 365 o siti di SharePoint.
Eseguire questo passaggio:
Controllare l'accesso ai dati nelle applicazioni SaaS
Microsoft Defender for Cloud Apps offre funzionalità aggiuntive per l'accesso condizionale e la gestione di file sensibili in ambienti Microsoft 365 e di terze parti, ad esempio Box o Google Workspace, tra cui:
Rimozione delle autorizzazioni per gestire privilegi eccessivi e impedire la perdita di dati.
Quarantinamento dei file per la revisione.
Applicazione di etichette ai file sensibili.
Seguire questa procedura:
Suggerimento
Consulta Integrate app SaaS per Zero Trust con Microsoft 365 per scoprire come applicare i principi di Zero Trust per gestire il tuo ecosistema digitale delle app cloud.
Controllare l'accesso nell'archiviazione IaaS/PaaS
Distribuire i criteri di controllo di accesso obbligatori nelle risorse IaaS/PaaS che contengono dati sensibili.
Eseguire questo passaggio:
IV. Prevenzione della perdita dei dati
Il controllo dell'accesso ai dati è necessario, ma insufficiente nell'esercitare il controllo sullo spostamento dei dati e prevenire perdite o perdite di dati accidentali o non autorizzate. Questo è il ruolo della prevenzione della perdita dei dati e della gestione dei rischi Insider, descritta nella sezione IV.
Usare i criteri DLP (Data Loss Prevention) di Microsoft Purview per identificare, controllare e proteggere automaticamente i dati sensibili in tutto:
Microsoft 365 servizi come Teams, Exchange, SharePoint e OneDrive
Applicazioni di Office come Word, Excel e PowerPoint
endpoint di Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
condivisioni file locale e SharePoint locale
app cloud non Microsoft.
Seguire questa procedura:
Pianificare la prevenzione della perdita dei dati
Creare, testare e ottimizzare i criteri di prevenzione della perdita dei dati (DLP)
Scopri il dashboard degli avvisi per la prevenzione della perdita dei dati
Esaminare l'attività dei dati con Activity Explorer
V. Gestire i rischi interni
Le implementazioni con privilegi minimi consentono di ridurre al minimo i rischi noti, ma è anche importante correlare segnali comportamentali utente correlati alla sicurezza aggiuntivi, controllare i modelli di accesso ai dati sensibili e funzionalità di rilevamento, analisi e ricerca su vasta scala.
Prova ad eseguire questi passaggi:
Informazioni sulla gestione dei rischi Insider
Analizzare le attività di gestione dei rischi interni
VI. Eliminare informazioni riservate non necessarie
Le organizzazioni possono ridurre l'esposizione dei dati gestendo il ciclo di vita dei dati sensibili.
Quando non sono più preziosi o consentiti per l'organizzazione, rimuovi tutti i privilegi eliminando i dati sensibili stessi.
Eseguire questo passaggio:
- Distribuire la gestione del ciclo di vita dei dati e la gestione dei documenti.
Ridurre al minimo la duplicazione dei dati sensibili favorendo la condivisione sul posto e l'uso anziché i trasferimenti di dati.
Eseguire questo passaggio:
Prodotti trattati in questa guida
Microsoft Defender for Cloud Apps
Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success.
La serie di guide alla distribuzione Zero Trust
Icona per l'introduzione
Icona per l'identità
Icona per gli endpoint
Icona per le applicazioni
Icona per i dati
Icona per l'infrastruttura
Icona per le reti
Icona per visibilità, automazione, orchestrazione