Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hintergrund
Zero Trust ist eine Sicherheitsstrategie, die verwendet wird, um Sicherheitsprinzipien für Ihre Organisation zu entwerfen. Zero Trust trägt dazu bei, Unternehmensressourcen zu sichern, indem die folgenden Sicherheitsgrundsätze implementiert werden:
Überprüfen Sie explizit. Authentifizieren und autorisieren Sie immer anhand aller verfügbaren Datenpunkte, einschließlich der Benutzeridentität, des Standorts, des Gerätestatus, des Diensts oder der Arbeitslast, der Datenklassifizierung und der Anomalien.
Verwenden Sie den geringsten Berechtigungszugriff. Beschränken Sie den Benutzerzugriff mit Just-In-Time-Zugriff (JIT) und Just-Enough-Zugriff (JEA), risikobasierten adaptiven Richtlinien und Datenschutzmaßnahmen, um sowohl Daten als auch Produktivität zu sichern.
Gehen Sie von einem Sicherheitsverstoß aus. Minimieren Sie den Auswirkungsbereich und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern.
Microsoft Purview schlägt fünf Kernelemente für eine Datenabwehr-in-der-Tiefe-Strategie und eine Zero-Trust-Implementierung für Daten vor.
Datenklassifizierung und -bezeichnung
Wenn Sie nicht wissen, welche vertraulichen Daten Sie lokal und in Clouddiensten haben, können Sie sie nicht angemessen schützen. Sie müssen die Daten in Ihrem gesamten Unternehmen erkennen und diese nach Vertraulichkeitsstufe klassifizieren.Informationsschutz
Bedingter Zugriff und Zugriff mit geringsten Berechtigungen auf vertrauliche Daten verringern die Datenschutzrisiken. Wenden Sie sensitivitätsbasierte Schutzmechanismen für Zugriffssteuerung, Rechteverwaltung und Verschlüsselung an, wenn die Umweltkontrollen unzureichend sind. Verwenden Sie Vertraulichkeitsmarkierungen für Informationen, um die Einhaltung von Sensibilisierungs- und Sicherheitsrichtlinien zu erhöhen.Verhindern von Datenverlusten
Die Zugriffssteuerung behebt nur einen Teil des Problems. Durch Überprüfen und Kontrollieren riskanter Datenaktivitäten und -bewegungen, die zu einem Datenschutz- oder Compliancevorfall führen könnten, können Organisationen die unnötige Weitergabe vertraulicher Daten verhindern.Insider-Risikomanagement
Der Datenzugriff liefert möglicherweise nicht immer die vollständige Geschichte. Minimieren Sie Risiken für Daten, indem Sie die Verhaltenserkennung aus einer breiten Palette von Signalen ermöglichen und auf potenziell böswillige und unbeabsichtigte Aktivitäten in Ihrer Organisation reagieren, die ein Vorläufer oder ein Hinweis auf eine Datenschutzverletzung sein können.Datenverwaltung
Die proaktive Verwaltung des Lebenszyklus vertraulicher Daten vermindert die Gefährdung. Beschränken Sie die Anzahl der Kopien oder die Weitergabe vertraulicher Daten, und löschen Sie Daten, die nicht mehr benötigt werden, um Risiken für Datenschutzverletzungen zu minimieren.
Ziele der Data Zero Trust-Bereitstellung
|
Es wird empfohlen, sich auf diese anfänglichen Bereitstellungsziele zu konzentrieren, wenn Sie ein End-to-End-Zero Trust Framework für Daten implementieren: |
|
|
|
I.Klassifizieren und Bezeichnen von Daten. Automatisches Klassifizieren und Bezeichnen von Daten, sofern möglich. Manuell anwenden, wo es nicht der Fall ist. II.Wenden Sie Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen an. Anwenden der Verschlüsselung, bei der Schutz und Zugriffssteuerung unzureichend sind. III.Steuern des Zugriffs auf Daten. Steuern sie den Zugriff auf vertrauliche Daten, damit sie besser geschützt sind. Stellen Sie sicher, dass Zugriffs- und Nutzungsrichtlinienentscheidungen die Vertraulichkeit von Daten mit einschließen. |
|
Wenn Sie beim Erreichen der oben genannten Ziele Fortschritte machen, fügen Sie die folgenden zusätzlichen Bereitstellungsziele hinzu: |
|
|
|
IV.Verhindern von Datenlecks. Verwenden Sie DLP-Richtlinien, die von riskanten Signalen und Der Vertraulichkeit von Daten gesteuert werden. V.Risiken managen. Managen Sie Risiken, die mögliche Datenschutzvorfälle verursachen könnten, indem Sie benutzerspezifische Sicherheitsaktivitäten und Datenaktivitätsmuster überprüfen, die zu einem Sicherheits- oder Compliance-Vorfall führen könnten. VI.Verringern Sie die Datenexposition. Verringern der Datenexposition durch Datengovernance und kontinuierliche Datenminimierung |
Zero Trust Bereitstellungshandbuch für Daten
Dieser Leitfaden führt Sie schrittweise durch einen Zero Trust Ansatz zum Datenschutz. Beachten Sie, dass diese Elemente je nach Vertraulichkeit Ihrer Informationen und Größe und Komplexität Ihrer Organisation stark variieren.
Als Vorläufer für jede Implementierung der Datensicherheit empfiehlt Microsoft, dass Sie einen Datenklassifizierungsrahmen und eine Vertraulichkeitsbezeichnungstaxonomie erstellen, die hochrangige Kategorien für Datensicherheitsrisiken definiert. Diese Taxonomie wird verwendet, um alles zu vereinfachen, angefangen von Datenbestands- oder Aktivitätseinblicken über die Richtlinienverwaltung bis hin zur Untersuchungspriorisierung.
Weitere Informationen finden Sie unter:
|
|
Anfängliche Bereitstellungsziele |
I. Klassifizieren, Bezeichnen und Ermitteln von vertraulichen Daten
Eine Strategie zum Schutz von Informationen muss den gesamten digitalen Inhalt Ihres Unternehmens umfassen.
Klassifizierungen und Vertraulichkeitsbezeichnungen ermöglichen es Ihnen zu verstehen, wo sich Ihre vertraulichen Daten befinden, wie sie verschoben werden und wie geeignete Zugriffs- und Nutzungskontrollen implementiert werden, die im Einklang mit Zero Trust-Grundsätzen sind:
Verwenden Sie automatisierte Klassifizierungen und Bezeichnungen, um vertrauliche Informationen zu erkennen und die Ermittlung in Ihrem gesamten Datenbestand zu skalieren.
Verwenden Sie manuelle Bezeichnungen für Dokumente und Container, und stellen Sie manuell Datasets zusammen, die in Analysen verwendet werden, in denen Klassifizierung und Vertraulichkeit am besten von sachkundigen Benutzern eingerichtet werden.
Führen Sie folgende Schritte aus:
Nachdem Sie die Klassifizierung und Bezeichnung konfiguriert und getestet haben, skalieren Sie die Datenermittlung für Ihren gesamten Datenbestand hoch.
Führen Sie die folgenden Schritte aus, um die Ermittlung über Microsoft 365 Dienste hinaus zu erweitern:
Erste Schritte mit dem Microsoft Purview On-Premises Scanner
Entdecken und Schützen vertraulicher Informationen in SaaS-Anwendungen
Weitere Informationen zu Scans und Erfassungen im Microsoft Purview Governance-Portal
Verwenden Sie diese Erkenntnisse, wenn Sie Ihre Daten ermitteln, klassifizieren und bezeichnen, um Risiken zu beheben und Ihre Initiativen für die Richtlinienverwaltung zu informieren.
Führen Sie folgende Schritte aus:
II. Anwenden von Verschlüsselung, Zugriffssteuerung und Inhaltsmarkierungen
Vereinfachen Sie die Implementierung von geringsten Berechtigungen, indem Sie Vertraulichkeitsbezeichnungen verwenden, um Ihre wichtigsten vertraulichen Daten durch Verschlüsselung und Zugriffssteuerung zu schützen. Verwenden Sie Inhaltsmarkierungen, um Sensibilisierung und Rückverfolgbarkeit des Benutzers zu verbessern.
Schutz von Dokumenten und E-Mails
Microsoft Purview Information Protection ermöglicht den Zugriff und die Verwendungskontrolle basierend auf Vertraulichkeitsbezeichnungen oder benutzerdefinierten Berechtigungen für Dokumente und E-Mails. Es kann optional auch Markierungen anwenden und Informationen verschlüsseln, die sich in oder aus Umgebungen mit geringerer Vertrauensebene innerhalb oder außerhalb Ihrer Organisation befinden oder in solche Umgebungen gelangen. Es bietet Schutz im Ruhezustand, in Bewegung und bei der Nutzung für aufgeklärte Anwendungen.
Führen Sie folgende Schritte aus:
Verschlüsselungsoptionen in Microsoft 365 - Einschränken des Zugriffs auf Inhalte und Nutzung mithilfe von Vertraulichkeitsbezeichnungen
Schützen von Dokumenten in Exchange, SharePoint und OneDrive
Für daten, die in Exchange, SharePoint und OneDrive gespeichert sind, können automatische Klassifizierungen mit Vertraulichkeitsbezeichnungen über Richtlinien für gezielte Speicherorte bereitgestellt werden, um den Zugriff einzuschränken und die Verschlüsselung beim autorisierten Ausgang zu verwalten.
Führen Sie diesen Schritt aus:
III. Steuern des Zugriffs auf Daten
Die Bereitstellung des Zugriffs auf vertrauliche Daten muss gesteuert werden, damit sie besser geschützt werden. Stellen Sie sicher, dass Zugriffs- und Nutzungsrichtlinienentscheidungen die Vertraulichkeit von Daten mit einschließen.
Steuern des Datenzugriffs und der Freigabe in Teams, Microsoft 365 Groups und SharePoint Sites
Verwenden Sie Empfindlichkeitsbezeichnungen für Container, um bedingten Zugriff und Freigabebeschränkungen für Microsoft Teams, Microsoft 365 Groups oder SharePoint-Websites zu implementieren.
Führen Sie diesen Schritt aus:
Kontrolle des Zugriffs auf Daten in SaaS-Anwendungen
Microsoft Defender for Cloud Apps bietet zusätzliche Funktionen für bedingten Zugriff und zum Verwalten vertraulicher Dateien in Microsoft 365- und Drittanbieterumgebungen wie Box oder Google Workspace, einschließlich:
Entfernen von Berechtigungen zum Beheben von überschüssigen Berechtigungen und Verhindern von Datenlecks.
Quarantäne von Dateien zur Überprüfung.
Anwendung von Labels auf vertrauliche Dateien.
Führen Sie folgende Schritte aus:
Tipp
Schauen Sie sich Integrieren von SaaS-Apps für Zero Trust mit Microsoft 365 an, um zu erfahren, wie Sie Zero Trust Prinzipien anwenden, um Ihre digitalen Daten von Cloud-Apps zu verwalten.
Steuern des Zugriffs auf IaaS/PaaS-Speicher
Bereitstellen von obligatorischen Zugriffssteuerungsrichtlinien für IaaS/PaaS-Ressourcen, die vertrauliche Daten enthalten.
Führen Sie diesen Schritt aus:
IV. Verhindern von Datenlecks
Die Steuerung des Zugriffs auf Daten ist erforderlich, aber nicht ausreichend bei der Ausübung der Kontrolle über Datenverschiebung und bei der Verhinderung versehentlicher oder nicht autorisierter Datenlecks oder Datenverlusts. Dies ist die Rolle der Verhinderung von Datenverlust und des Insider-Risikomanagements, die in Abschnitt IV beschrieben wird.
Verwenden Sie Microsoft Purview DLP-Richtlinien, um vertrauliche Daten zu identifizieren, zu überprüfen und automatisch zu schützen:
Microsoft 365 Dienste wie Teams, Exchange, SharePoint und OneDrive
Office-Anwendungen wie Word, Excel und PowerPoint
Endpunkte für Windows 10, Windows 11 und macOS (drei neueste Versionen)
lokale Dateifreigaben und lokale SharePoint
Nicht von Microsoft stammende Cloud-Apps.
Führen Sie folgende Schritte aus:
V. Verwalten von Insider-Risiken
Die Implementierung der geringsten Berechtigungen trägt dazu bei, bekannte Risiken zu minimieren, aber es ist auch wichtig, zusätzliche sicherheitsbezogene Benutzerverhaltenssignale zu korrelieren, Zugriffsmuster bei vertraulichen Daten zu überprüfen und umfassende Funktionen für die Erkennung, Untersuchung und Bedrohungssuche zu ermöglichen.
Führen Sie die folgenden Schritte aus:
VI. Unnötige vertrauliche Informationen löschen
Organisationen können ihre Datenexposition reduzieren, indem sie den Lebenszyklus ihrer vertraulichen Daten verwalten.
Entfernen Sie nach Möglichkeit alle Berechtigungen, indem Sie die vertraulichen Daten selbst löschen, wenn sie für Ihre Organisation nicht mehr wertvoll oder zulässig sind.
Führen Sie diesen Schritt aus:
Minimieren Sie die Duplizierung von vertraulichen Daten, indem Sie die Freigabe und Nutzung vor Ort anstelle von Datenübertragungen bevorzugen.
Führen Sie diesen Schritt aus:
In diesem Leitfaden behandelte Produkte
Microsoft Defender für Cloud-Apps
Wenden Sie sich an Ihr Customer Success Team, um weitere Informationen oder Hilfe bei der Implementierung zu erhalten.
Die Zero Trust Bereitstellungshandbuchreihe
