Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Основные сведения
Zero Trust — это стратегия безопасности, используемая для разработки принципов безопасности для организации. Zero Trust помогает защитить корпоративные ресурсы, реализуя следующие принципы безопасности:
Явным образом проверьте. Всегда проводите проверку подлинности и авторизацию на основе всех доступных данных, в том числе удостоверения пользователя, расположения, работоспособности устройства, службы или рабочей нагрузки, классификации данных и аномалий.
Используйте минимальный доступ к привилегиям. Для защиты данных и рабочего процесса ограничьте доступ пользователей в соответствии с принципами своевременного (JIT) и минимально необходимого доступа (JEA), адаптивными политиками на основе оценки риска, а также в соответствии с требованиями защиты данных.
Предположим, нарушение. Минимизируйте радиус поражения и сегментируйте доступ. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.
Microsoft Purview предлагает пять основных элементов для глубокой защиты данных и реализацию Zero Trust для данных:
Классификация и маркировка данных
Если вы не знаете, какие конфиденциальные данные находятся в вашей локальной среде и облачных службах, вы не сможете надлежащим образом защитить их. Исследуйте и обнаруживайте данные по всей вашей организации и классифицируйте их по уровню конфиденциальности.Защита информации
Условный и наименее привилегированный доступ к конфиденциальным данным снижает риски безопасности данных. Примените меры управления доступом на основе чувствительности, управление правами и шифрование, если недостаточно контроля окружающей среды. Используйте маркировку конфиденциальности информации для повышения осведомленности и соответствия политик безопасности.Защита от потери данных
Управление доступом устраняет только часть проблемы. Проверка и контроль рискованных действий и перемещений данных, которые могут привести к инциденту безопасности данных или соответствия требованиям, позволяют организациям предотвратить чрезмерное управление конфиденциальными данными.Управление внутренними рисками
Доступ к данным может не всегда предоставлять всю историю. Минимизируйте риски для данных благодаря обнаружению на основе поведения из широкого спектра сигналов и принятию мер в отношении потенциально вредоносных и непреднамеренных действий в вашей организации, которые могут служить предшественниками или признаками утечки данных.Управление данными
Упреждающее управление жизненным циклом конфиденциальных данных снижает его воздействие. Ограничить количество копий или распространение конфиденциальных данных и удалить данные, которые больше не требуются для минимизации рисков нарушения данных.
Цели развертывания данных с нулевым доверием
|
Мы рекомендуем сосредоточиться на этих начальных целях развертывания при реализации комплексной платформы Zero Trust для данных: |
|
|
|
I.Классифицируйтеи помечайте данные. Автоматически классифицируйте и по возможности помечайте данные. Примените вручную, где это не применяется. II.Применение пометок шифрования, управления доступом и содержимого. Применение шифрования, в котором недостаточно защиты и контроля доступа. III.Управление доступом к данным. Управляйте доступом к конфиденциальным данным, чтобы они лучше защищены. Убедитесь, что при принятии решений о политике доступа и использования учитывается чувствительность данных. |
|
По мере достижения указанных выше целей добавьте следующие дополнительные цели развертывания: |
|
|
|
IV.Предотвращение утечки данных. Используйте политики защиты от потери данных, которые зависят от рискованных сигналов и конфиденциальности данных. V. Управлениерисками. Управляйте рисками, которые могут привести к инциденту безопасности данных, проверяя рискованные действия пользователей, связанные с безопасностью, и паттерны активности данных, которые могут привести к инциденту безопасности или несоответствия. VI.Уменьшение воздействия данных. Сокращение воздействия данных с помощью управления данными и непрерывной минимизации данных |
инструкция по развертыванию модели Zero Trust для безопасности данных
В этом руководстве вы найдете пошаговое руководство по подходу Zero Trust к защите данных. Имейте в виду, что приведенные пункты будут сильно отличаться в зависимости от конфиденциальности вашей информации, а также размера и сложности организации.
В качестве предшественника любой реализации безопасности данных корпорация Майкрософт рекомендует создать платформу классификации данных и таксономию метки конфиденциальности, которая определяет высокий уровень рисков безопасности данных. Эта таксономия будет использоваться для упрощения таких аспектов, как инвентаризация данных, аналитика действий, управление политиками и расстановка приоритетов при расследованиях.
Дополнительные сведения см. в разделе:
|
|
Основные цели развертывания |
I. Классификация, маркировка и обнаружение конфиденциальных данных
Стратегия защиты информации должна охватывать все цифровое содержимое вашей организации.
Классификации и метки конфиденциальности позволяют понять, где находятся конфиденциальные данные, как он перемещается, и реализовать соответствующие средства управления доступом и использованием, согласованные с принципами нулевого доверия:
Используйте автоматическую классификацию и маркировку для обнаружения конфиденциальной информации и масштабирования процесса выявления во всей вашей информационной структуре данных.
Используйте ручную маркировку для документов и контейнеров, а также вручную подбирайте наборы данных, используемые в аналитике, где классификация и чувствительность лучше всего определяются опытными пользователями.
Выполните следующие действия:
После настройки и тестирования классификации и маркировки масштабируйте обнаружение данных в пределах вашего пространства данных.
Выполните следующие действия, чтобы расширить обнаружение за пределами Microsoft 365 служб:
Обнаружение и защита конфиденциальной информации в приложениях SaaS
Узнайте о сканировании и интеграции в портале управления Microsoft Purview
При обнаружении, классификации и маркировке данных используйте эти аналитические сведения для устранения рисков и поддержания ваших инициатив по управлению политиками.
Выполните следующие действия:
II. Применение шифрования, контроля доступа и маркировки содержимого
Упрощение реализации минимальных привилегий с помощью меток конфиденциальности для защиты наиболее конфиденциальных данных с помощью шифрования и управления доступом. Используйте маркировку содержимого для повышения осведомленности и отслеживаемости.
Защита документов и сообщений электронной почты
Microsoft Purview Information Protection позволяет управлять доступом и использованием на основе меток конфиденциальности или пользовательских разрешений для документов и сообщений электронной почты. Кроме того, он может также применять маркировку и шифровать сведения, которые находятся в или выходят в менее надежные среды, как внутренние, так и внешние для вашей организации. Он обеспечивает защиту данных в состоянии покоя, при передаче и в процессе использования для интеллектуальных приложений.
Выполните следующие действия:
- Параметры шифрования в Microsoft 365: обзор
- Ограничение доступа к содержимому и использованию с помощью меток конфиденциальности
Защита документов в Exchange, SharePoint и OneDrive
Для данных, хранящихся в Exchange, SharePoint и OneDrive, можно развернуть автоматическую классификацию с метками конфиденциальности с помощью политик в целевых расположениях, чтобы ограничить доступ и управлять шифрованием на авторизованных исходящих трафиках.
Выполните этот шаг.
III. Управление доступом к данным
Обеспечение доступа к конфиденциальным данным необходимо контролировать таким образом, чтобы они лучше защищены. Убедитесь, что при принятии решений о политике доступа и использования учитывается чувствительность данных.
Управление доступом к данным и общим доступом на сайтах Teams, Microsoft 365 Groups и SharePoint
Используйте метки конфиденциальности контейнера для реализации ограничений условного доступа и общего доступа для Microsoft Teams, Microsoft 365 Groups или SharePoint сайтов.
Выполните этот шаг.
Управление доступом к данным в приложениях SaaS
Microsoft Defender for Cloud Apps предоставляет дополнительные возможности для условного доступа и управления конфиденциальными файлами в Microsoft 365 и сторонних средах, таких как Box или Google Workspace, включая:
Отзыв разрешений для устранения излишних привилегий и предупреждения утечки данных.
Кварантинирование файлов для проверки.
Применение меток к конфиденциальным файлам.
Выполните следующие действия:
Совет
Ознакомьтесь с интеграцией SaaS-приложений для применения принципов Zero Trust с помощью Microsoft 365, чтобы узнать, как управлять вашими цифровыми активами в облачных средах.
Управление доступом к хранилищу IaaS/PaaS
Развертывание обязательных политик управления доступом в ресурсах IaaS/PaaS, содержащих конфиденциальные данные.
Выполните этот шаг.
IV. предотвратить утечку данных;
Управление доступом к данным необходимо, но недостаточно для контроля над перемещением данных и в предотвращении непреднамеренного или несанкционированного утечки или потери данных. Это роль защиты от потери данных и управления внутренними рисками, описанная в разделе IV.
Используйте политики защиты от потери данных Microsoft Purview для идентификации, проверки и автоматической защиты конфиденциальных данных в следующих целях:
службы Microsoft 365, такие как Teams, Exchange, SharePoint и OneDrive
Приложения Office, такие как Word, Excel и PowerPoint
конечные точки Windows 10, Windows 11 и macOS (три последние выпущенные версии)
локальные общие папки и локальный SharePoint Server
облачные приложения, отличные от Майкрософт.
Выполните следующие действия:
Создание, тестирование и настройка политик защиты от потери данных
Сведения о панели мониторинга оповещений о предотвращении потери данных
V. Управление внутренними рисками
Реализация минимальных привилегий помогает свести к минимуму известные риски, но также важно сопоставить дополнительные сигналы поведения пользователя, связанные с безопасностью, проверять шаблоны доступа к конфиденциальным данным, а также широкие возможности обнаружения, исследования и охоты.
Выполните следующие действия:
VI. Удаление ненужных конфиденциальных сведений
Организации могут снизить уровень воздействия данных, управляя жизненным циклом конфиденциальных данных.
Удалите все привилегии, которые можете, удалив сами конфиденциальные данные, когда они больше не имеют ценности или разрешены для вашей организации.
Выполните этот шаг.
Минимизируйте дублирование конфиденциальных данных, предпочитая совместное использование на месте и работу с данными, вместо их передачи.
Выполните этот шаг.
Продукты, описанные в данном руководстве
Microsoft Defender для облачных приложений
Для получения дополнительных сведений или помощи с реализацией обратитесь к команде по работе с клиентами.
Серии руководств по развертыванию Zero Trust
