Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Bakgrund
Nulová dôvera (Zero Trust) är en säkerhetsstrategi som används för att utforma säkerhetsprinciper för din organisation. Nulová dôvera (Zero Trust) hjälper till att skydda företagsresurser genom att implementera följande säkerhetsprinciper:
Verifiera tydligt. Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter, inklusive användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser.
Använd åtkomst med minsta möjliga behörighet. Begränsa användaråtkomst med just-in-time (JIT) och just-enough-access (JEA), riskbaserade adaptiva principer och dataskydd för att skydda både data och produktivitet.
Utgå från att ett intrång redan har skett. Minimera explosionsradien och segmentera åtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.
Microsoft Purview föreslår fem kärnelement för en djupstrategi för dataförsvar och en Nulová dôvera (Zero Trust) implementering av data:
Dataklassificering och etikettering
Om du inte vet vilka känsliga data du har lokalt och i molntjänster kan du inte skydda dem tillräckligt. Identifiera och identifiera data i hela organisationen och klassificera dem efter känslighetsnivå.Informationsskydd
Villkorlig och lägsta behörighet för åtkomst till känsliga data minskar risken för datasäkerhet. Tillämpa känslighetsbaserade skyddsmekanismer för åtkomstkontroll, rättighetshantering och kryptering där miljökontrollerna inte räcker till. Använd känslighetsmarkeringar för information för att öka medvetenheten och efterlevnaden av säkerhetsprinciper.Dataförlustskydd
Åtkomstkontroll löser endast en del av problemet. Genom att kontrollera riskfyllda dataaktiviteter och rörelser som kan leda till en datasäkerhets- eller efterlevnadsincident kan organisationer förhindra överdelning av känsliga data.Hantering av insiderrisk
Dataåtkomst kanske inte alltid ger hela historien. Minimera riskerna för data genom att aktivera beteendeidentifiering från en mängd olika signaler och agera på potentiellt skadliga och oavsiktliga aktiviteter i din organisation som kan vara prekursorer till eller en indikation på ett dataintrång.Datastyrning
Proaktiv hantering av livscykeln för känsliga data minskar exponeringen. Begränsa antalet kopior eller spridning av känsliga data och ta bort data som inte längre behövs för att minimera risken för dataintrång.
Distributionsmål för data Nulová dôvera (Zero Trust)
|
Vi rekommenderar att du fokuserar på dessa inledande distributionsmål när du implementerar ett Nulová dôvera (Zero Trust) ramverk för data från slutpunkt till slutpunkt: |
|
|
Listikon med en bockmarkering. |
I.Klassificera och märka data. Klassificera och märka data automatiskt där det är möjligt. Använd manuellt där det inte finns. II.Tillämpa kryptering, åtkomstkontroll och innehållsmarkeringar. Tillämpa kryptering där skydd och åtkomstkontroll är otillräckliga. III.Kontrollera åtkomsten till data. Kontrollera åtkomsten till känsliga data så att de skyddas bättre. Se till att beslut om åtkomst- och användningsprinciper omfattar datakänslighet. |
|
När du gör framsteg med att uppnå ovanstående mål lägger du till följande ytterligare distributionsmål: |
|
|
Listikon med två bockmarkeringar. |
IV.Förhindra dataläckage. Använd DLP-principer som drivs av riskfyllda signaler och datakänslighet. V.Hantera risker. Hantera risker som kan leda till en datasäkerhetsincident genom att kontrollera riskfyllda säkerhetsrelaterade användaraktiviteter och dataaktivitetsmönster som kan resultera i en datasäkerhets- eller efterlevnadsincident. VI.Minska dataexponeringen. Minska dataexponeringen genom datastyrning och kontinuerlig dataminimering |
Nulová dôvera (Zero Trust) distributionsguide för data
Den här guiden vägleder dig steg för steg genom en Nulová dôvera (Zero Trust) metod för dataskydd. Tänk på att dessa objekt varierar kraftigt beroende på informationens känslighet och organisationens storlek och komplexitet.
Som en föregångare till en implementering av datasäkerhet rekommenderar Microsoft att du skapar ett ramverk för dataklassificering och taxonomi för känslighetsetiketter som definierar kategorier av datasäkerhetsrisker på hög nivå. Den taxonomi används för att förenkla allt från datainventering eller aktivitetsinsikter till principhantering till prioritering av undersökningar.
Mer information finns i:
- Skapa ett väl utformat dataklassificeringsramverk
|
Checklistikon med en bockmarkering. |
Initiala distributionsmål |
I. Klassificera, märka och identifiera känsliga data
En informationsskyddsstrategi måste omfatta hela organisationens digitala innehåll.
Med klassificeringar och känslighetsetiketter kan du förstå var dina känsliga data finns, hur de flyttas och implementera lämpliga åtkomst- och användningskontroller som överensstämmer med noll förtroendeprinciper:
Använd automatiserad klassificering och etikettering i dina dataresurser för att identifiera känslig information och skala upptäckten.
Använd manuell etikettering för dokument och containrar och manuellt kurera datauppsättningar som används i analys där klassificering och känslighet bäst fastställs av kunniga användare.
Följ de här stegen:
Lär dig mer om typer av känslig information
Lär dig mer om träningsbara klassificerare
Läs mer om känslighetsetiketter
När du har konfigurerat och testat klassificering och etikettering skalar du upp dataidentifieringen i din datamiljö.
Följ dessa steg för att utöka identifieringen utöver Microsoft 365 tjänster:
Identifiera och skydda känslig information i SaaS-program
Läs om genomsökningar och inmatning i Microsoft Purview styrningsportalen
När du upptäcker, klassificerar och etiketterar dina data använder du dessa insikter för att åtgärda risker och informera dina principhanteringsinitiativ.
Följ de här stegen:
Kom igång med Content Explorer
Granska etiketthantering med Aktivitetsutforskaren
Läs mer om Data Insights
II. Tillämpa kryptering, åtkomstkontroll och innehållsmarkeringar
Förenkla implementeringen av minsta möjliga privilegier genom att använda känslighetsetiketter för att skydda dina känsligaste data med kryptering och åtkomstkontroll. Använd innehållsmarkeringar för att öka användarnas medvetenhet och spårbarhet.
Skydda dokument och e-postmeddelanden
Microsoft Purview Information Protection möjliggör åtkomst- och användningskontroll baserat på känslighetsetiketter eller användardefinierade behörigheter för dokument och e-postmeddelanden. Du kan också använda markeringar och kryptera information som finns i eller flödar ut till mindre betrodda miljöer som är interna eller externa för din organisation. Det ger skydd i vila, i rörelse och när det används för avancerade applikationer.
Följ de här stegen:
- Visa krypteringsalternativ i Microsoft 365
- Begränsa åtkomsten till innehåll och användning med hjälp av känslighetsetiketter
Skydda dokument i Exchange, SharePoint och OneDrive
För data som lagras i Exchange, SharePoint och OneDrive kan automatisk klassificering med känslighetsetiketter distribueras via principer till målplatser för att begränsa åtkomst och hantera kryptering vid auktoriserad utgående trafik.
Ta det här steget:
III. Kontrollera åtkomst till data
Åtkomst till känsliga data måste kontrolleras så att de skyddas bättre. Se till att beslut om åtkomst- och användningsprinciper omfattar datakänslighet.
Kontrollera dataåtkomst och delning i Teams, Skupiny v Microsoft 365 och SharePoint webbplatser
Använd känslighetsetiketter för containrar för att implementera begränsningar för villkorlig åtkomst och delning för Microsoft Teams, Skupiny v Microsoft 365 eller SharePoint webbplatser.
Ta det här steget:
Kontrollera åtkomsten till data i SaaS-program
Microsoft Defender for Cloud Apps ger ytterligare funktioner för villkorlig åtkomst och för att hantera känsliga filer i Microsoft 365 och tredjepartsmiljöer som Box eller Google Workspace, inklusive:
Ta bort behörigheter för att hantera överdriven behörighet och förhindra dataläckage.
Karantänsättning av filer för granskning.
Tillämpa etiketter på känsliga filer.
Följ de här stegen:
Tips
Kolla in Integrate SaaS-appar för Nulová dôvera (Zero Trust) med Microsoft 365 för att lära dig hur du tillämpar Nulová dôvera (Zero Trust)-principer för att bättre hantera din digitala molnapparmiljö.
Kontrollera åtkomsten till IaaS/PaaS-lagring
Distribuera obligatoriska principer för åtkomstkontroll till IaaS/PaaS-resurser som innehåller känsliga data.
Ta det här steget:
IV. Förhindra dataläckage
Att kontrollera åtkomsten till data är nödvändigt men otillräckligt för att utöva kontroll över dataflytt och för att förhindra oavsiktligt eller obehörigt dataläckage eller förlust. Det är rollen för dataförlustskydd och hantering av insiderrisk, som beskrivs i avsnitt IV.
Använd Microsoft Purview DLP-principer för att identifiera, kontrollera och automatiskt skydda känsliga data över:
Microsoft 365 tjänster som Teams, Exchange, SharePoint och OneDrive
Office-program som Word, Excel och PowerPoint
ändpunkter för Windows 10, Windows 11 och macOS (de tre senaste släppta versionerna)
lokala fildelningar och lokala SharePoint
molnappar som inte kommer från Microsoft.
Följ de här stegen:
Planera för dataförlustskydd
Skapa, testa och finjustera DLP-principer
Läs mer om instrumentpanelen för dataförlustskyddsaviseringar
Granska dataaktivitet med Activity Explorer
V. Hantera insiderrisker
Implementeringar med minsta möjliga privilegier hjälper till att minimera kända risker, men det är också viktigt att korrelera ytterligare säkerhetsrelaterade användarbeteendesignaler, kontrollera mönster för åtkomst till känsliga data och till breda identifierings-, undersöknings- och jaktfunktioner.
Ta dessa steg:
Läs mer om Hantering av insiderrisk
Undersöka aktiviteter för hantering av insiderrisk
VI. Ta bort onödig känslig information
Organisationer kan minska sin dataexponering genom att hantera livscykeln för känsliga data.
Ta bort alla behörigheter där du kan, genom att ta bort själva känsliga data när de inte längre är värdefulla eller tillåtna för din organisation.
Ta det här steget:
- Införa datalivscykelhantering och dokumenthantering
Minimera duplicering av känsliga data genom att gynna delning och användning på plats i stället för dataöverföringar.
Ta det här steget:
Produkter som beskrivs i den här guiden
Microsoft Defender for Cloud Apps
Kontakta kundframgångsteamet om du vill ha mer information eller hjälp med implementeringen.
Nulová dôvera (Zero Trust) implementeringsguide-serien
Ikon för introduktionen
Ikon för identitet
Ikon för slutpunkter
Ikon för program
Ikon för data
Ikon för infrastruktur
Ikon för nätverk
Ikon för synlighet, automatisering, orkestrering