Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен план развертывания для создания "Никому не доверяй" безопасности с Microsoft 365. "Никому не доверяй" — это модель безопасности, предполагающая нарушение и проверяющая каждый запрос, как будто он был создан из неконтролируемой сети. Независимо от того, где инициируется запрос или к какому ресурсу он получает доступ, модель "Никому не доверяй" основана на принципе "никогда не доверяй, всегда проверяй".
Используйте эту статью вместе с этим плакатом.
принципы и архитектура "Никому не доверяй"
"Никому не доверяй" — это стратегия безопасности. Это не продукт или услуга, а подход к проектированию и реализации следующего набора принципов безопасности.
| Принцип | Описание |
|---|---|
| Явная проверка | Всегда осуществляйте аутентификацию и авторизацию на основе всех доступных данных. |
| Использование минимального доступа к привилегиям | Ограничение доступа пользователей с помощью Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик, основанных на оценке рисков, и защиты данных. |
| Предположим взлом. | Минимизируйте радиус взрыва и сегментируйте доступ. Проверьте сквозное шифрование и используйте аналитику, чтобы получить видимость, стимулировать обнаружение угроз и улучшать методы защиты. |
Инструкции, приведенные в этой статье, помогают применять эти принципы, реализуя возможности с помощью Microsoft 365.
Подход "Никому не доверяй" распространяется на весь цифровой актив и служит интегрированной философией безопасности и комплексной стратегией.
На этом рисунке представлено представление основных элементов, которые способствуют "Никому не доверяй".
На рисунке:
- Применение политик безопасности находится в центре архитектуры "Никому не доверяй". Сюда входит многофакторная проверка подлинности с условным доступом, которая учитывает риск учетной записи пользователя, состояние устройства и другие заданные вами критерии и политики.
- Идентификации, устройства, данные, приложения, сеть и другие компоненты инфраструктуры сконфигурированы в соответствии с надлежащими мерами безопасности. Политики, настроенные для каждого из этих компонентов, координируются с общей стратегией "Никому не доверяй". Например, политики устройств определяют критерии работоспособности устройств, а политики условного доступа требуют работоспособности устройств для доступа к определенным приложениям и данным.
- Защита от угроз и аналитическая система отслеживает состояние среды, выявляет текущие риски и принимает автоматические меры для устранения атак.
Дополнительные сведения о "Никому не доверяй" см. в Майкрософт "Никому не доверяй" Центре рекомендаций.
Развертывание "Никому не доверяй" для Microsoft 365
Microsoft 365 намеренно создается с множеством возможностей защиты информации и безопасности, помогая создавать "Никому не доверяй" в вашей среде. Многие возможности можно расширить для защиты доступа к другим приложениям SaaS, которые использует ваша организация, и данные в этих приложениях.
На этом рисунке представлен процесс развертывания функций "Никому не доверяй". Эта работа соответствует бизнес-сценариям "Никому не доверяй" в рамках концепции внедрения "Никому не доверяй".
На этом рисунке работа по развертыванию разделена на пять дорожек:
- Безопасная удаленная и гибридная работа . Эта работа создает основу защиты идентификации и устройств.
- Предотвращение или уменьшение бизнес-ущерба от нарушения — защита от угроз обеспечивает мониторинг и устранение угроз в режиме реального времени. Defender for Cloud Apps предоставляет обнаружение приложений SaaS, включая приложения ИИ, и позволяет расширить защиту данных для этих приложений.
- Определение и защита конфиденциальных бизнес-данных — возможности защиты данных обеспечивают сложные элементы управления, предназначенные для конкретных типов данных для защиты наиболее ценных сведений.
- Защита приложений и данных ИИ — быстро защищает использование приложений ИИ и данных, с которыми они взаимодействуют.
- Соблюдайте нормативные и соответствующие требования. Понимать и отслеживать ваш прогресс в выполнении нормативов, влияющих на вашу организацию.
В этой статье предполагается, что вы используете облачное удостоверение. Если вам нужно руководство по этой цели, см. статью Развертывание инфраструктуры удостоверений для Microsoft 365.
Подсказка
Когда вы понимаете шаги и комплексный процесс развертывания, вы можете использовать руководство по продвинутому развертыванию "Настройте свою модель безопасности Майкрософт "Никому не доверяй"", войдя в Центр администрирования Microsoft 365. В этом руководстве описано, как применить принципы "Никому не доверяй" для стандартных и передовых технологий.
Дорожка для плавания 1 — безопасная удаленная и гибридная работа
Защита удаленной и гибридной работы включает настройку защиты доступа к удостоверениям и устройствам. Эти меры безопасности способствуют принципу "Никому не доверяй", заключающемуся в явной проверке.
Выполните работу по обеспечению безопасности удаленной и гибридной работы в три этапа.
Этап 1. Реализация политик идентификации и доступа к устройствам начального уровня
Майкрософт рекомендует в этом руководстве комплексный набор политик для управления идентификацией и доступом к устройствам в рамках концепции "Никому не доверяй" — конфигурации "Никому не доверяй" для управления идентификацией и доступом к устройствам.
На этапе 1 начните с реализации уровня начальной точки. Эти политики не требуют регистрации устройств в управлении.
Перейдите к "Никому не доверяй" управления идентификацией и доступом к устройствам, чтобы получить подробные рекомендации. В этой серии статей описываются предварительные конфигурации доступа для идентификации и устройств, а также набор политик Условный доступ Microsoft Entra, Microsoft Intune и других, предназначенных для защиты доступа к облачным приложениям и службам Microsoft 365 для предприятий, другим SaaS-сервисам и локальным приложениям, опубликованным с помощью прокси-сервера приложения Microsoft Entra.
| Включает | Предпосылки | Не включает |
|---|---|---|
Рекомендуемые политики доступа к удостоверениям и устройствам для трех уровней защиты:
Дополнительные рекомендации для:
|
Майкрософт E3 или E5 Microsoft Entra ID в любом из следующих режимов:
|
Регистрация устройств для политик, для которых требуются управляемые устройства. См. Управление устройствами с помощью Intune, чтобы зарегистрировать устройства. |
Этап 2. Регистрация устройств для управления с помощью Intune
Затем зарегистрируйте устройства для управления и начните защищать их с помощью более сложных элементов управления.
Подробные инструкции по регистрации устройств в управлении см. в статье "Управление устройствами с помощью Intune ".
| Включает | Предпосылки | Не включает |
|---|---|---|
Регистрация устройств с помощью Intune:
Настройка политик:
|
Регистрация конечных точек с помощью Microsoft Entra ID | Настройка возможностей защиты информации, в том числе:
Сведения об этих возможностях см. в разделе "Пловая полоса 3" — определение и защита конфиденциальных бизнес-данных (далее в этой статье). |
Дополнительные сведения см. в разделе "Никому не доверяй" для Microsoft Intune.
Этап 3. Добавление защиты доступа для идентификации и устройств по принципу "Никому не доверяй": корпоративные политики
С помощью устройств, зарегистрированных в управлении, теперь можно реализовать полный набор рекомендуемых "Никому не доверяй" политик удостоверений и доступа к устройствам, для которых требуются соответствующие устройства.
Вернитесь к общим политикам идентификации и доступа к устройству и добавьте политики на уровне Enterprise.
Дополнительные сведения о том, как защитить удаленную и гибридную работу в платформе внедрения "Никому не доверяй" — Secure remote and hybrid work.
Дорожка для плавания 2 — предотвращение или уменьшение ущерба для бизнеса в результате нарушения
Microsoft Defender XDR — это расширенное решение для обнаружения и ответа (XDR), которое автоматически собирает, сопоставляет и анализирует данные сигналов, угроз и предупреждений из среды Microsoft 365, включая конечные устройства, электронную почту, приложения и идентификации. Кроме того, Microsoft Defender for Cloud Apps помогает организациям определять и управлять доступом к приложениям SaaS, включая приложения GenAI.
Предотвратите или уменьшите ущерб для бизнеса от нарушения безопасности, проведя пилотное тестирование и развертывание Microsoft Defender XDR.
Перейдите к Pilot and deploy Microsoft Defender XDR для методического руководства по пилотированию и развертыванию компонентов Microsoft Defender XDR.
| Включает | Предпосылки | Не включает |
|---|---|---|
| Настройте среду оценки и пилотную среду для всех компонентов: Защита от угроз Исследование угроз безопасности и реагирование на них |
Дополнительные сведения о требованиях к архитектуре для каждого компонента Microsoft Defender XDR см. в руководстве. | Защита Microsoft Entra ID не входит в это руководство по решению. Он включен в Плавалую полосу 1 — безопасная удаленная и гибридная работа. |
Дополнительные сведения о том, как предотвратить или уменьшить ущерб для бизнеса от нарушения безопасности в "Никому не доверяй" методологии внедрения — Предотвратить или уменьшить ущерб для бизнеса от нарушения безопасности.
Плавательная полоса 3 — выявление и защита конфиденциальных бизнес-данных
Реализуйте Защита информации Microsoft Purview, чтобы помочь вам обнаруживать, классифицировать и защищать конфиденциальную информацию в любом месте или в пути.
Возможности Защита информации Microsoft Purview входят в состав Microsoft Purview и предоставляют инструменты для обнаружения, защиты данных и предотвращения их потери. Вы можете начать эту работу в любое время.
Защита информации Microsoft Purview предоставляет платформу, процесс и возможности, которые можно использовать для достижения конкретных бизнес-целей.
Дополнительные сведения о планировании и развертывании защиты информации см. в разделе Развертывание решения Защита информации Microsoft Purview.
Узнайте больше о том, как выявлять и защищать конфиденциальные бизнес-данные в рамке внедрения "Никому не доверяй" — Выявление и защита конфиденциальных бизнес-данных.
Дорожка для плавания 4 — защита приложений и данных ИИ
Microsoft 365 включает возможности для быстрой защиты приложений ИИ и данных, используемых организациями.
Начните с использования Управление состоянием безопасности данных Purview (DSPM) для ИИ. В этом средстве основное внимание уделяется использованию ИИ в организации, особенно конфиденциальным данным, взаимодействующим с инструментами ИИ. DSPM для ИИ предоставляет более подробные сведения о Майкрософт Copilots и сторонних приложениях SaaS, таких как ChatGPT Enterprise и Google Gemini.
На следующей схеме представлено одно из агрегированных представлений о влиянии использования ИИ на ваши данные — конфиденциальные взаимодействия в рамках генеративного приложения ИИ.
Используйте DSPM для ИИ, чтобы:
- Получите представление об использовании ИИ, включая конфиденциальные данные.
- Ознакомьтесь с оценками данных, чтобы узнать о пробелах в избыточном обмене данными, которые могут быть устранены с помощью средств контроля избыточного обмена данными SharePoint.
- Найдите пробелы в покрытиях политик для меток конфиденциальности и политики предотвращения утраты данных (DLP).
Defender for Cloud Apps — это еще один мощный инструмент для обнаружения и управления приложениями и использованием SaaS GenAI. Defender for Cloud Apps включает более тысячи созданных приложений, связанных с ИИ, в каталоге, предоставляя представление о том, как в вашей организации используются созданные приложения ИИ и помогает безопасно управлять ими.
Помимо этих средств, Microsoft 365 предоставляет полный набор возможностей для защиты и управления ИИ. См. статью "Обнаружение, защита и управление приложениями и данными ИИ", чтобы узнать, как приступить к работе с этими возможностями.
В следующей таблице перечислены возможности Microsoft 365 со ссылками на дополнительные сведения в библиотеке Security for AI.
Дорожка для купания 5 — соответствие нормативным и нормативным требованиям
Независимо от сложности ИТ-среды вашей организации или размера организации, новые нормативные требования, которые могут повлиять на ваш бизнес, постоянно растут. Подход "Никому не доверяй" часто выходит за рамки некоторых требований, установленных нормативными актами, например, регулирующие доступ к персональным данным. Организации, которые реализовали "Никому не доверяй" подход, могут найти, что они уже соответствуют некоторым новым условиям или могут легко опираться на свою "Никому не доверяй" архитектуру для соответствия.
Microsoft 365 включает возможности для обеспечения соответствия нормативным требованиям, в том числе:
- Диспетчер соответствия требованиям
- Обозреватель содержимого
- Политики хранения, метки конфиденциальности и политики защиты от потери данных
- Соответствие требованиям к обмену данными
- Управление жизненным циклом данных
- Управление рисками информационной безопасности Priva
Используйте следующие ресурсы для соблюдения нормативных и иных регулирующих требований.
| Ресурс | Дополнительные сведения |
|---|---|
| Концепция внедрения "Никому не доверяй" — Соответствие регуляторным и нормативным требованиям | Описывает методичный подход, который может применяться в вашей организации, включая определение стратегии, планирование, принятие и управление. |
| Управление приложениями ИИ и данными для соответствия нормативным требованиям | Обеспечивает соответствие нормативным требованиям для новых, связанных с ИИ, правил, включая специфические возможности, которые в этом помогают. |
| Управляйте конфиденциальностью данных и защитой данных с помощью Microsoft Priva и Microsoft Purview | Оценка рисков и принятие соответствующих мер для защиты персональных данных в среде вашей организации с помощью Microsoft Priva и Microsoft Purview. |
Дальнейшие шаги
Дополнительные сведения о "Никому не доверяй" см. в центре рекомендаций "Никому не доверяй".