Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Introduction
- Benutzer
- Gerät
- Anwendungen und Workloads
- Daten
- Network
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
4 Daten
Dieser Abschnitt enthält Microsoft-Anleitungen und Empfehlungen für DoD-Zero Trust Aktivitäten in der Datensäule. Weitere Informationen finden Sie unter Secure data with Zero Trust.
4.1 Risikoausrichtung des Datenkatalogs
Microsoft Purview Lösungen helfen, Daten zu ermitteln, zu identifizieren, zu verwalten, zu schützen und zu verwalten, wo sie sich befinden. Microsoft Purview stellt drei Elemente bereit, um Elemente zu identifizieren, sodass sie klassifiziert werden können. Elemente können manuell durch Benutzer und Benutzerinnen, über die automatisierte Mustererkennung, wie bei vertraulichen Informationstypen, und über maschinelles Lernen klassifiziert werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.1.1 DatenanalyseDoD-Organisationen aktualisieren die Dienst- und Anwendungskataloge mit Datenklassifizierungen. Außerdem wird jeder Dienst und jede Anwendung mit Datentags versehen. Ergebnis: - Der Dienstkatalog wird basierend auf Datenklassifizierungsebenen mit Datentypen für jede Anwendung und jeden Dienst aktualisiert. |
Microsoft Purview Überprüfen Sie vertrauliche Informationstypen im Microsoft Purview Complianceportal und definieren Sie benutzerdefinierte vertrauliche Informationstypen. - Benutzerdefinierte vertrauliche Informationstypen im Purview Complianceportal Verwenden Sie den Purview Content Explorer oder Activity Explorer, um eine Momentaufnahme gekennzeichneter Microsoft 365-Inhalte und der zugehörigen Benutzeraktivitäten anzuzeigen. - Content Explorer - Activity Explorer Microsoft Defender for Cloud Apps Integrieren Sie Microsoft Purview Information Protection, um Vertraulichkeitsbezeichnungen auf Daten anzuwenden, die Richtlinien entsprechen. Untersuchen sie potenzielle Gefährdung vertraulicher Daten in Cloudanwendungen. - Integrate Information Protection Microsoft Purview Data Catalog Browse the Purview Data Catalog um die Daten in Ihrem Datenbestand zu untersuchen. - Purview Data Catalog |
4.2 DoD-Governance für Unternehmensdaten
Microsoft Purview Information Protection verwendet Vertraulichkeitsbezeichnungen. Sie können Vertraulichkeitsbezeichnungen erstellen, die für Ihre Organisation relevant sind, sowie steuern, welche Bezeichnungen für Benutzer sichtbar sind, und den Bezeichnungsbereich definieren. Bereichsbezeichnungen für Dateien, E-Mails, Besprechungen, Microsoft Teams, SharePoint Websites usw. Bezeichnungen schützen Inhalte durch Verschlüsselung, beschränken die externe Weitergabe und verhindern Datenverluste.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.2.1 Definieren von Standards für die Kennzeichnung von DatenDas DoD-Unternehmen arbeitet mit Organisationen zusammen, um Kennzeichnungs- und Klassifizierungsstandards für Daten auf der Grundlage bewährter Branchenmethoden einzurichten. Klassifizierungen werden vereinbart und in Prozessen implementiert. Tags werden für zukünftige Aktivitäten als manuell und automatisiert identifiziert. Ergebnisse: - Klassifizierungs- und Kennzeichnungsstandards für Unternehmensdaten werden entwickelt. - Organisationen orientieren sich an Unternehmensstandards und beginnen mit der Implementierung. |
Microsoft Purview Erstellen und veröffentlichen Sie Sensitivitätslabels in Microsoft Purview, gemäß den von Ihnen definierten Standards für die Datenmarkierung. - Sensitivitätslabels und -richtlinien - Sensitivitätslabels in Microsoft 365 |
Target
4.2.2 InteroperabilitätsstandardsDas DoD-Unternehmen entwickelt in Zusammenarbeit mit den Organisationen Interoperabilitätsstandards, die obligatorische DRM-Lösungen (Data Rights Management) und Schutzlösungen mit erforderlichen Technologien integrieren, um Zero-Trust-Zielfunktionen zu ermöglichen. Ergebnis: - Vom Unternehmen werden formale Standards für die entsprechenden Datenstandards vorgegeben. |
Azure Rights Management Verwenden Sie Azure RMS für Datenrechteverwaltung (DRM) und Schutzinteroperabilität zwischen DoD-Einrichtungen, die mit Microsoft 365-Diensten zusammenarbeiten. - Azure RMS - Apps, die Vertraulichkeitsbezeichnungen unterstützen |
Target
4.2.3 Entwickeln einer SDS-Richtlinie (Software-Defined Storage; softwaredefinierter Speicher)Das DoD-Unternehmen richtet in Zusammenarbeit mit Organisationen eine SDS-Richtlinie und Standards auf der Grundlage der branchenüblichen Best Practices ein. DoD-Organisationen bewerten die aktuelle Datenspeicherstrategie und -technologie für die SDS-Implementierung. Gegebenenfalls wird eine geeignete Speichertechnologie für die SDS-Implementierung identifiziert. Ergebnisse: - Es wird ermittelt, ob die Implementierung eines SDS-Tools erforderlich ist. - Eine Richtlinie für SDS wird auf Unternehmens- und Organisationsebene erstellt. |
SharePoint Online Verwenden Sie SharePoint Online und OneDrive for Business als eine Standard-Software-Design-Storage (SDS)-Lösung. Einschränken des Zugriffs auf vertrauliche SharePoint Onlinewebsites und -inhalte mit Richtlinien für Websitezugriffseinschränkung. Verhindern Sie den Gastzugriff auf Dateien, während DLP-Regeln angewendet werden. - Beschränken Sie den Website-Zugriff auf Gruppenmitglieder - Verhindern Sie den Gastzugriff auf Dateien durch DLP-Regeln - Sichern Sie die Freigaben für Gäste Microsoft Defender for Cloud Apps Verwenden Sie Microsoft Defender for Cloud Apps, um den Zugriff auf nicht autorisierte Cloudspeicherdienste zu blockieren. - Verwalten Sie entdeckte Apps |
4.3 Datenbeschriftung und -tagging
Microsoft Purview Information Protection klassifiziert Daten automatisch basierend auf von Ihnen definierten Typen vertraulicher Informationen. Richtlinien für dienst- und clientseitige Bezeichnungen stellen sicher, dass Microsoft 365 inhalte, die von Ihren Benutzern erstellt wurden, mit Bezeichnungen versehen und geschützt sind.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.3.1 Implementieren von Tools für Kennzeichnung und Klassifizierung von DatenDoD-Organisationen nutzen den Unternehmensstandard sowie Anforderungen, um Lösungen für die Kennzeichnung und Klassifizierung von Daten zu implementieren. Organisationen stellen sicher, dass zukünftige ML- und KI-Integrationen durch Lösungen über DoD-Unternehmensanforderungen unterstützt werden. Outcomes: - Eine Anforderung an die Datenklassifizierungs- und -tagging-Werkzeuge muss die Integration und/oder Unterstützung von maschinellem Lernen (ML) umfassen. - Datenklassifizierungs- und -tagging-Werkzeuge sind auf Organisations- und Unternehmensebene implementiert. |
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf vertraulichen Informationstypen und von Machine Learning (ML) trainierten Klassifizierern zu klassifizieren. - Vertrauliche Daten und Purview - Label-Richtlinien |
Target
4.3.2 Manuelle Kennzeichnung von Daten, Teil 1Die manuelle Kennzeichnung beginnt mit grundlegenden Attributen auf Datenebene, um Zero-Trust-Zielfunktionen zu entsprechen. Dabei werden die Richtlinie und die Standards des DoD-Unternehmens für die Kennzeichnung und Klassifizierung von Daten verwendet. Ergebnis: - Die manuelle Kennzeichnung von Daten beginnt auf der Unternehmensebene mit grundlegenden Attributen. |
Microsoft Purview Erstellen und veröffentlichen Sie Vertraulichkeitsbezeichnungen in Microsoft Purview gemäß den von Ihnen definierten Standards für die Datenmarkierung. Siehe Microsoft-Anleitung in 4.2.1. Konfigurieren Sie eine Kennzeichnungsrichtlinie, um von Benutzern zu verlangen, Vertraulichkeitsbezeichnungen auf E-Mails und Dokumente anzuwenden. - Benutzer wenden Bezeichnungen auf E-Mails und Dokumente an |
Advanced
4.3.3 Manuelle Kennzeichnung von Daten, Teil 2Spezifische Attribute auf Datenebene für die DoD-Organisation werden in die manuelle Kennzeichnung von Daten integriert. DoD-Unternehmen und Organisationen entscheiden gemeinsam, welche Attribute erforderlich sind, um den erweiterten ZTA-Funktionen zu entsprechen. Attribute auf Datenebene für erweiterte ZTA-Funktionen werden unternehmensweit standardisiert und integriert. Ergebnis: - Die manuelle Kennzeichnung von Daten wird mit spezifischen Attributen auf die Programm-/Organisationsebene erweitert. |
Microsoft Purview Review der Typen vertraulicher Informationen im Microsoft Purview Complianceportal. Definieren Sie nach Bedarf benutzerdefinierte Typen vertraulicher Informationen. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.1.1. |
Advanced
4.3.4 Automatisierte Kennzeichnung von Daten und Unterstützung, Teil 1DoD-Organisationen nutzen die Verhinderung von Datenverlust, die Rechteverwaltung und/oder Schutzlösungen, um Datenrepositorys zu überprüfen. Standardisierte Tags werden auf unterstützte Datenrepositorys und -typen angewendet. Nicht unterstützte Datenrepositorys und -typen werden identifiziert. Ergebnis: - Die grundlegende Automatisierung beginnt mit dem Scannen von Datenrepositorys und dem Anwenden von Tags. |
```html
Microsoft Purview Information Protection Konfigurieren Sie die clientseitige Bezeichnung für Dateien und E-Mails, die in Microsoft Office-Anwendungen erstellt wurden. - Autolabeling für Office-Apps Konfigurieren Sie die serverseitige Bezeichnung für Inhalte, die in Office 365 gespeichert sind. - Autolabeling-Richtlinie für SharePoint, OneDrive und Exchange Vertraulichkeitsbezeichnungen für Container anwenden: Microsoft Teams-Websites, Microsoft 365-Gruppen und SharePoint-Websites. - Vertraulichkeitsbezeichnungen für Teams, Microsoft 365-Gruppen und SharePoint-Websites Um Dokumente und E-Mails in Ihrer Umgebung zu finden, scannen Sie nach Werten, die den definierten Typen vertraulicher Informationen entsprechen. - Datenabgleich vertraulicher Informationstypen Verwenden Sie Dokumentfingerabdrücke, um Inhalte zu finden und zu bezeichnen, die Dokumentvorlagen und Standardformularen entsprechen. - Dokumentfingerabdrücke Microsoft Purview Registrieren Sie Datenquellen, scannen, importieren und klassifizieren Sie Daten im Microsoft Purview-Governance-Portal. - Datenquellen in Purview - Scans und Import - Datenklassifizierung Microsoft Defender for Cloud Apps Integrieren Sie Purview Information Protection mit Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien durchzusetzen und Datenverlust zu verhindern. - Information Protection integrieren - Vertraulichkeitsbezeichnungen anwenden - DLP-Inhaltsinspektion ``` |
Advanced
4.3.5 Automatisierte Kennzeichnung von Daten und Unterstützung, Teil 2Die verbleibenden unterstützten Datenrepositorys verfügen über grundlegende und erweiterte Datentags, die mithilfe von maschinellem Lernen und künstlicher Intelligenz angewendet werden. Erweiterte Datentags werden auf vorhandene Repositorys angewendet. Bei nicht unterstützten Datenrepositorys und -typen wird mithilfe eines risikobasierten methodischen Ansatzes ausgewertet, ob sie stillgelegt werden. Genehmigte Ausnahmen verwenden Ansätze für die manuelle Kennzeichnung von Daten mit Datenbesitzern und/oder Verwahrern, die sich um die Kennzeichnung kümmern. Ergebnisse: - Die vollständige Automatisierung der Kennzeichnung von Daten wird abgeschlossen. - Ergebnisse der Kennzeichnung von Daten werden für ML-Algorithmen bereitgestellt. |
Microsoft Purview Information Protection Trainable Klassifizierer in Purview helfen Ihnen, Inhalte mithilfe von Machine Learning (ML) zu erkennen. Erstellen und trainieren Sie Klassifizierer mit von Menschen ausgewählten und positiv abgeglichenen Stichproben. - Trainierbare Klassifizierer |
4.4 Datenüberwachung und -erkennung
Microsoft Purview Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) verhindern, dass Daten Ihre Organisation verlassen. Sie können DLP-Richtlinien auf Daten im Ruhezustand, im Gebrauch und in der Übertragung anwenden. DLP-Richtlinien werden erzwungen, wenn sich Daten in Clouddiensten, lokalen Dateifreigaben, auch auf Windows- und macOS-Geräten befinden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.4.1 Protokollierung und Analyse von DLP-ErzwingungspunktenDoD-Organisationen identifizieren Erzwingungspunkte zur Verhinderung von Datenverlust (Data Loss Prevention, DLP). Hierzu zählen beispielsweise bestimmte Dienste und Benutzerendpunkte. Mithilfe des etablierten Standards des DoD-Unternehmens für die Reaktion auf Cybersicherheitsvorfälle stellen DoD-Organisationen sicher, dass angemessene Datendetails erfasst werden. Darüber hinaus werden Anwendungsfälle für Schutz, Erkennung und Reaktionen entwickelt, um die Lösungsabdeckung besser zu skizzieren. Ergebnisse: - Erzwingungspunkte werden identifiziert. - Ein standardisiertes Protokollierungsschema wird auf Unternehmens- und Organisationsebene erzwungen. |
Microsoft Purview Data Loss Prevention (DLP) Erstellen Sie DLP-Richtlinien in Purview-Compliance. Durchsetzung von DLP für Microsoft 365 Anwendungen, Windows und macOS-Endpunkte, auch nicht-Microsoft-Cloud-Apps. - Planung für DLP - Entwurf der DLP-Richtlinie - Protokollierungsaktivitäten prüfen - Office 365 Management Activity API-Schema Microsoft Defender für Cloud-Apps Integrieren Sie Purview Information Protection mit Defender für Cloud-Apps, um automatisch Empfindlichkeitskennzeichnungen anzuwenden, Verschlüsselungsrichtlinien durchzusetzen und Datenverlust zu verhindern. Siehe Microsoft-Anleitung in 4.3.4. |
Target
4.4.2 Protokollierung und Analyse von DRM-ErzwingungspunktenDoD-Organisationen identifizieren DRM-Erzwingungspunkte (Digital Rights Management). Hierzu zählen beispielsweise bestimmte Dienste und Benutzerendpunkte. Mithilfe des etablierten Standards des DoD-Unternehmens für die Reaktion auf Cybersicherheitsvorfälle stellen DoD-Organisationen sicher, dass angemessene Datendetails erfasst werden. Darüber hinaus werden Anwendungsfälle für Schutz, Erkennung und Reaktionen entwickelt, um die Lösungsabdeckung besser zu skizzieren. Ergebnisse: - Erzwingungspunkte werden identifiziert. - Ein standardisiertes Protokollierungsschema wird auf Unternehmens- und Organisationsebene erzwungen. |
Microsoft Purview Information Protection Purview Data Rights Management (DRM)-Erzwingungspunkte umfassen Microsoft 365 sowie Anwendungen und Dienste von Drittanbietern, die in das Microsoft Information Protection (MIP) SDK, Online-Apps und lokale Clients integriert sind. - Schützen Sie sensible Daten - Einschränkung des Inhaltszugriffs mit Vertraulichkeitskennzeichnungen - MIP SDK - Verschlüsselung in Microsoft 365 Microsoft Defender for Cloud Apps Integrieren Sie Purview Information Protection mit Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien durchzusetzen und Datenverlust zu verhindern. Siehe Microsoft-Richtlinien in 4.3.4. |
Target
4.4.3 Überwachung von Dateiaktivitäten, Teil 1DoD-Organisationen nutzen Dateiüberwachungstools, um die wichtigsten Datenklassifizierungsebenen in Anwendungen, Diensten und Repositorys zu überwachen. Analysen aus der Überwachung werden mit grundlegenden Datenattributen in das SIEM eingespeist, um die Zero Trust-Zielfunktionalitäten zu erreichen. Ergebnisse: - Daten und Dateien mit kritischer Klassifizierung werden aktiv überwacht. - Es besteht eine grundlegende Integration in ein Überwachungssystem wie SIEM. |
Microsoft Purview Verhinderung von Datenverlust DLP-Warnungen werden in Microsoft Defender XDR angezeigt. Dateiaktivitäten zum Erstellen, Bezeichnen, Drucken und Freigeben befinden sich im einheitlichen Überwachungsprotokoll und im Aktivitäts-Explorer im Microsoft Purview Complianceportal. - DLP-Warnungen - Aktivitäts-Explorer - Export, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen Microsoft Defender XDR und Microsoft Sentinel Integrieren Sie Microsoft Defender XDR mit Sentinel zum Anzeigen und Untersuchen von DLP-Warnungen (Data Loss Prevention) in einem SIEM-System (Enterprise Security Incident and Event Management). - Integrieren Sie SIEM-Tools - Information Protection Konnektor für Sentinel - Verbinden Sie Defender-XDR-Daten mit Sentinel - DLP-Untersuchungen |
Target
4.4.4 Überwachung von Dateiaktivitäten, Teil 2DoD-Organisationen nutzen Dateiüberwachungstools, um alle gesetzlich geschützten Daten (beispielsweise kontrollierte, nicht klassifizierte Informationen, personenbezogene Informationen oder geschützte Gesundheitsdaten) in Anwendungen, Diensten und Repositorys zu überwachen. Die erweiterte Integration wird verwendet, um Daten an geeignete säuleninterne oder säulenübergreifende Lösungen wie Verhinderung von Datenverlust, Data Rights Management/Schutz und User and Entity Behavior Analytics zu senden. Ergebnisse: - Daten und Dateien aller regulierten Klassifizierungen werden aktiv überwacht. - Gegebenenfalls sind erweiterte Integrationen vorhanden, um ein noch besseres Risikomanagement zu ermöglichen. |
Microsoft Sentinel Bestimmen Sie die benötigten Vertraulichkeitsbezeichnungen und konfigurieren Sie benutzerdefinierte Sentinel-Analyseregeln. Erstellen Sie einen Incident, wenn DLP-Warnungen für kritische Dateiereignisse ausgelöst werden. Zu kritischen Dateiereignissen zählt unter anderem die Erkennung vertraulicher Informationen, Richtlinienverletzungen und anderer verdächtiger Aktivitäten. - Benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen - Bedrohungsabwehr mit Playbooks |
Advanced
4.4.5 Überwachung von DatenbankaktivitätenDoD-Organisationen beschaffen, implementieren und nutzen Datenbanküberwachungslösungen, um alle Datenbanken zu überwachen, die regulierte Datentypen (z. B. CUI, PII und PHI) enthalten. Protokolle und Analysen aus der Datenbanküberwachungslösung werden zur Überwachung und Reaktion für SIEM bereitgestellt. Analysen werden für säulenübergreifende Aktivitäten wie „Unternehmenssicherheitsprofil“ und „Echtzeitzugriff“ bereitgestellt, um die Entscheidungsfindung besser zu unterstützen. Outcomes: - Geeignete Datenbank wird aktiv überwacht - Überwachungstechnologie ist in Lösungen wie SIEM, PDP und Dynamische Access Control-Mechanismen integriert. |
Microsoft Defender für SQL Defender für SQL schützt Datenbanken in Azure und anderen Clouds. - Defender für SQL - Sicherheitswarnungen Microsoft Sentinel Verbinden Sie Microsoft Defender for Cloud und Microsoft Defender XDR-Datenkonnektoren mit Sentinel. - Verbundene Defender for Cloud-Warnungen an Sentinel - Defender XDR mit Sentinel verbinden Bedingter Zugriff Erfordern Sie einen Authentifizierungskontext für vertrauliche SharePoint-Websites und schützen Sie die Anmeldung für Azure SQL-Datenbank mithilfe von bedingtem Zugriff. - Sensitivitätsbezeichnungen - Authentifizierungskontext - Bedingter Zugriff mit Azure SQL-Datenbank und Azure Synapse Analytics |
Advanced
4.4.6 Umfassende Überwachung von DatenaktivitätenDoD-Organisationen erweitern die Überwachung von Datenrepositorys (einschließlich Datenbanken) nach Bedarf auf der Grundlage eines methodischen Risikoansatzes. Zur Unterstützung der erweiterten Funktionen von „Zero Trust“ werden zusätzliche Datenattribute in die Analytik für weitere Integrationen aufgenommen. Ergebnisse: - Überwachungsmechanismen für Datenaktivitäten werden integriert, um eine einheitliche Ansicht der Überwachung für verschiedene Datenrepositorys zu ermöglichen. - Es gibt entsprechende Integrationen in Lösungen wie SIEM und PDP. |
Microsoft Graph API Verwenden Sie Microsoft Graph-Aktivitätsprotokolle für ein Prüfpfad der von Microsoft Graph-Diensten empfangenen und vom Mandanten bearbeiteten Anfragen. - Aktivitätsprotokolle Microsoft Purview Data Map Konfigurieren Sie die Purview-Datenkarte, um nach sensiblen Dateien im Datenbestand der Organisation zu suchen. - Verwalten von Datenquellen Microsoft Sentinel Um sich mit einem Security Information and Event Management (SIEM)-System zu integrieren, konfigurieren Sie Sentinel-Datenkonnektoren für Microsoft Defender for Cloud, Microsoft Defender XDR und Purview. Siehe Microsoft-Anleitung in 4.4.5. Bedingter Zugriff Erkennungen für ungewöhnlichen Dateizugriff, gefunden von Microsoft Defender XDR, erhöhen das Risikoniveau des Benutzers. Das Benutzerrisiko ist eine Bedingung im bedingten Zugriff und bildet den Richtlinienentscheidungspunkt (PDP) für Microsoft Entra ID. Definieren Sie einen Authentifizierungskontext für bedingten Zugriff mit der Benutzerrisikobedingung „Kein Risiko“. Schützen von bezeichneten SharePoint-Websites; Authentifizierungskontext für bedingten Zugriff erforderlich. - Risikobewertungen - Ungewöhnlicher Dateizugriff - Beispiel für Authentifizierungskontext |
4.5 Datenverschlüsselung und Rechteverwaltung
Microsoft 365 Dienste verschlüsseln Daten im Ruhezustand und im Transit. Microsoft Purview beschränkt den Zugriff auf Inhalte gemäß der Verschlüsselungsrichtlinie für Vertraulichkeitsbezeichnungen. Purview erreicht das Ziel mit einer anderen Verschlüsselungsebene für E-Mails und Dateien.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.5.1 Implementieren von DRM- und Schutztools, Teil 1DoD-Organisationen beschaffen und implementieren DRM- und Schutzlösungen nach Bedarf gemäß DoD-Unternehmensstandard und -anforderungen. Neu eingeführte DRM- und Schutzlösungen werden in Hochrisiko-Datenrepositorys unter Verwendung von ZTA-Schutzniveaus implementiert. Ergebnis: - DRM- und Schutztools werden für Hochrisiko-Datenrepositorys mit grundlegenden Schutzmaßnahmen aktiviert. |
Microsoft 365-Verschlüsselung Microsoft 365 verfügt über eine grundlegende Verschlüsselung auf Volumeebene mit dem Windows-Sicherheitsfeature BitLocker und dem Distributed Key Manager (DKM). - Verstehen der Verschlüsselung Microsoft Purview Verwenden Sie Bezeichnungsrichtlinien, um automatisch mehr Verschlüsselung für risikoreiche Daten in Microsoft 365 basierend auf Vertraulichkeitsbezeichnungen anzuwenden. - Einschränkung des Inhaltszugriffs mit Vertraulichkeitsbezeichnungen - Email-Verschlüsselung in Microsoft 365 Microsoft Defender for Cloud Apps Integrieren Sie Microsoft Purview Information Protection mit Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverluste zu verhindern. Lesen Sie die Microsoft-Anleitung in 4.3.4. Azure Policy Verwenden Sie Azure Policy, um eine sichere Version des Transport Layer Security (TLS) zu verlangen, Transparent Data Encryption (TDE) zu implementieren und diese mit vom Kunden verwalteten Schlüsseln zum Verschlüsseln von Ruhedaten zu erfordern. - Azure-Policy-Definitionen für Azure SQL-Datenbank und SQL Managed Instance |
Target
4.5.2 Implementieren von DRM- und Schutztools, Teil 2Die Abdeckung von DRM und des Schutzes wird auf alle Datenrepositorys innerhalb des Bereichs ausgedehnt. Verschlüsselungsschlüssel werden automatisch verwaltet, um bewährten Methoden (z. B. FIPS) zu entsprechen. Erweiterte Datenschutzattribute werden basierend auf der Umgebungsklassifizierung implementiert. Ergebnis: - DRM- und Schutztools werden für alle möglichen Repositorys aktiviert. |
Azure Key Vault Verwenden Sie das Azure Key Vault Managed Hardware Security Module (Azure Key Vault HSM) zum Schutz von kryptografischen Anwendungsschlüsseln mithilfe von FIPS 140-2 Level 3 validierte Hardwaresicherheitsmodule. - Azure Key Vault Verwaltetes HSM Microsoft Purview Kundenschlüssel Microsoft 365 bietet eine Ebene der Verschlüsselung für Ihre Inhalte mit Kundenschlüssel. - Dienstverschlüsselung Azure Information Protection Mandantenschlüssel Azure Information Protection unterstützt von Microsoft generierte Mandantenstammschlüssel und bringt Ihren eigenen Schlüssel (BYOK). - Mandantenschlüssel - Doppelte Schlüsselverschlüsselung - BYOK |
Target
4.5.3 DRM-Erzwingung über Datentags und Analysen, Teil 1DRM- und Schutzlösungen (Data Rights Management) werden in grundlegende Datentags integriert, die durch den DoD-Unternehmensstandard definiert sind. Anfängliche Datenrepositorys werden überwacht, und für sie sind Schutz- und Abwehraktionen aktiviert. Ruhende Daten werden in Repositorys verschlüsselt. Ergebnisse: - Datentags werden in DRM integriert, und überwachte Repositorys werden erweitert. - Ruhende Daten werden basierend auf Datentags verschlüsselt. |
Microsoft Purview Information Protection Verwenden Sie Bezeichnungsrichtlinien, um automatisch mehr Verschlüsselung für Daten mit hohem Risiko in Microsoft 365 basierend auf der Empfindlichkeitskennzeichnung anzuwenden. - Beschränken Sie den Inhaltszugriff mit Vertraulichkeitskennzeichnungen Microsoft 365 Verschlüsselung Microsoft 365 verfügt über eine grundlegende Verschlüsselung auf Volumeebene mit BitLocker und Distributed Key Manager (DKM). Weitere Informationen finden Sie in den Microsoft-Richtlinien unter 4.5.1. |
Advanced
4.5.4 DRM-Erzwingung über Datentags und Analysen, Teil 2Erweiterte Datenrepositorys werden durch DRM- und Schutzlösungen geschützt. DoD-Organisationen implementieren erweiterte Datentags, die für Organisationen gelten (im Gegensatz zum beauftragten Unternehmen). Daten werden in erweiterten Repositorys unter Verwendung zusätzlicher Tags verschlüsselt. Ergebnisse: - Alle entsprechenden Datenrepositorys werden mithilfe von DRM geschützt. - Daten werden unter Verwendung erweiterter Datentags aus den Organisationsebenen verschlüsselt. |
Azure-Verschlüsselung Azure verwendet Verschlüsselung für ruhende Daten und in Übertragung. - Azure-Verschlüsselung Azure Policy Azure Policy aktivieren, um Azure SQL-Datenbanken zu sichern. Siehe Microsoft Leitlinien 4.5.1. Conditional Access Verwenden Sie Conditional Access-Richtlinien für Benutzer, die eine Verbindung zu Azure SQL herstellen. Siehe Microsoft Leitlinien in 4.4.5. |
Advanced
4.5.5 DRM-Erzwingung über Datentags und Analysen, Teil 3DRM- und Schutzlösungen werden für Verschlüsselungs-, Rechteverwaltungs- und Schutzfunktionen in KI- und ML-Tools integriert. Ergebnisse: - ML/KI-basierte Analysen werden in DRM integriert, um Schutzmaßnahmen besser zu automatisieren. - Verschlüsselungsschutz wird in AI/ML integriert, und aktualisierte Verschlüsselungsmethoden werden nach Bedarf verwendet. |
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf vertraulichen Informationstypen zu klassifizieren und durch Klassifizierer, die mithilfe von maschinellem Lernen (ML) trainiert wurden. Siehe Microsoft-Anleitung in 4.3.5. Azure Machine Learning Azure Machine Learning und Azure OpenAI Service verwenden Azure Storage und Azure Compute-Dienste, die Daten verschlüsseln. - Datenverschlüsselung - Azure OpenAI-Verschlüsselung für Daten im Ruhezustand Conditional Access Definieren Sie den Authentifizierungskontext mit Identitätsschutz-Risikosignalen. Authentifizierungskontext für gekennzeichnete SharePoint-Seiten und benutzerdefinierte Anwendungen erforderlich. - Authentifizierungskontext Siehe Microsoft-Richtlinien in 4.4.5. |
4.6 Verhinderung von Datenverlust (Data Loss Prevention, DLP)
Microsoft Purview Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) verhindern, dass Daten Ihre Organisation verlassen. Sie können DLP-Richtlinien auf Daten im Ruhezustand, im Gebrauch und in der Übertragung anwenden. DLP-Richtlinien werden erzwungen, wenn sich Daten in Clouddiensten, lokalen Dateifreigaben, auch auf Windows- und macOS-Geräten befinden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.6.1 Implementieren von ErzwingungspunktenEine DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird für die Erzwingungspunkte innerhalb des Bereichs bereitgestellt. Die DLP-Lösung wird auf „Nur überwachen“ und/oder auf „Lernen“ festgelegt, um die Auswirkungen zu begrenzen. Die Ergebnisse der DLP-Lösung werden analysiert, und die Richtlinie wird optimiert, um Risiken auf ein akzeptables Niveau zu reduzieren. Ergebnis: - Für identifizierte Erzwingungspunkte wird ein DLP-Tool bereitgestellt, und es wird in den Überwachungsmodus mit standardisierter Protokollierung versetzt. |
Microsoft Purview Datenverlust-Prävention Microsoft 365-Anwendungen und Windows-Endpunkte erzwingen DLP-Richtlinien. Konfigurieren Sie Richtlinien im DLP-Simulationsmodus. - Planen für DLP - DLP-Simulationsmodus Erstellen Sie Richtlinien in DLP. Legen Sie den Richtlinienstatus auf Testen oder auf Testen mit Richtlinientipps fest. Festlegen von Richtlinienaktionen auf Audit only oder Block mit Überschreibung. - DLP-Richtlinienbereitstellung Windows 10, 11 und macOS-Geräte in die Endpunkt-Datenverlustprävention (Endpoint DLP) einbinden - Endpoint DLP . Stellen Sie den Microsoft Purview Information Protection Scanner bereit. Beschriften und Erzwingen von DLP-Richtlinien für Inhalte in lokalen SQL-Datenbanken, Dateifreigaben, Netzwerkspeicher (NAS) und SharePoint Server-Dokumentbibliotheken. - DLP-Lokale Repositorys - Informationsschutzscanner Microsoft Purview Data Loss Prevention Integrieren Sie Microsoft Purview Information Protection mit Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverluste zu verhindern. Siehe die Microsoft Anleitung in 4.3.4. Conditional Access Zugriff auf Office 365 und andere Microsoft-Entra-integrierte Anwendungen steuern. Verwenden Sie den Modus Nur melden, um das Ergebnis zu überwachen, bevor Sie Richtlinien mit dem Gewährungssteuerelement zum Blockieren des Zugriffs aktivieren. - Erstellen einer Richtlinie - Modus „Nur melden“ - Sitzungsrichtlinien: Alle überwachen |
Target
4.6.2 DLP-Erzwingung über Datentags und Analysen, Teil 1Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird vom reinen Überwachungsmodus auf den Präventionsmodus umgestellt. Für die DLP-Lösung werden grundlegende Datentags verwendet, und das Protokollierungsschema wird integriert. Ergebnis: - Erzwingungspunkte, die in den Präventionsmodus versetzt werden. Dabei werden das Protokollierungsschema und die Umgebungsklassifizierung manueller Tags integriert. |
Microsoft Purview Verhinderung von Datenverlust Erstellen von DLP-Richtlinien im Testmodus. Ändern Sie den Status in „Ein“, um den Erzwingungsmodus zu aktivieren. Wenn Sie Richtlinienaktionen auf Block festlegen, werden Benutzeraktivitäten, die DLP auslösen, durch die Richtlinie verhindert. - Aktionen in DLP-Richtlinien Aktivieren Sie den Just-in-Time-Schutz (JIT), um Endpunkt-DLP für Dateien zu erzwingen, die auf Offline-Geräten erstellt wurden. - Offline-Geräte Microsoft Defender for Cloud Apps Aktivieren Sie die Inhaltsüberprüfung in Defender for Cloud Apps. - DLP-Inhaltsüberprüfung Conditional Access Nach dem Testen sollten Sie Conditional-Access-Richtlinien aktivieren, die Sitzungssteuerungen anwenden, oder eine Steuerung zur Verweigerung der Zugriffserlaubnis einsetzen. Schließen Sie Konten für den Notfallzugriff aus, um Mandantensperrungen zu vermeiden. - Konten für den Notfallzugriff Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.6.1. |
Advanced
4.6.3 DLP-Erzwingung über Datentags und Analysen, Teil 2Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird aktualisiert, um erweiterte Datentags basierend auf parallelen Automatisierungsaktivitäten einzubeziehen. Ergebnis: - Auf Erzwingungspunkte werden erweiterte Datentagattribute angewendet, um die Prävention auszuweiten. |
Microsoft Purview Information Protection Define benutzerdefinierte Typen vertraulicher Informationen. Erstellen Sie Bezeichnungen und Richtlinien zur Verhinderung von Datenverlust. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.1.1. |
Advanced
4.6.4 DLP-Erzwingung über Datentags und Analysen, Teil 3Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird in automatisierte Datenkennzeichnungstechniken integriert, um ggf. fehlende Erzwingungspunkte und Tags einzuschließen. Ergebnis: - Automatisierte Kennzeichnungsattribute werden in DLP integriert, und resultierende Metriken werden für ML verwendet. |
```
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf sensiblen Informationstypen und von maschinellem Lernen (ML) trainierten Klassifizierern zu klassifizieren. Siehe Microsoft-Leitfaden in 4.3.5. ``` |
4.7 Zugriffssteuerung für Daten
Microsoft 365- und Azure Storage-Dienste sind in Microsoft Entra ID für die identitätsbasierte Autorisierung integriert. Microsoft Entra ID unterstützt die rollenbasierte Zugriffssteuerung (RBAC) und die attributbasierte Zugriffssteuerung (ABAC).
Microsoft Entra Rollen und Sicherheitsgruppen bieten Organisationen rollenbasierte Zugriffssteuerung. Dynamische Sicherheitsgruppen verwenden Attribute, die für Benutzer-, Gruppen- und Geräteobjekte definiert sind, um die Mitgliedschaft zu definieren (basierend auf umfangreichen Ausdrücken und Regelsätzen).
Microsoft Entra ID attributbasierte Zugriffssteuerung verwendet benutzerdefinierte Sicherheitsattribute, die geschäftsspezifische Attribute sind, die Sie definieren und Microsoft Entra Objekten zuweisen können. Benutzerdefinierte Sicherheitsattribute speichern vertrauliche Informationen. Der Zugriff zum Anzeigen oder Ändern benutzerdefinierter Sicherheitsattribute ist auf Attributadministratorrollen beschränkt.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target
4.7.1 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 1Es wird eine DAAS-Organisationsrichtlinie unter Verwendung der SDS-Richtlinie des DoD-Unternehmens sowie unter Berücksichtigung der beabsichtigten Integration entwickelt. Aufgrund der umgebungsspezifischen Natur wird der SDS-Implementierungsleitfaden von DoD-Organisationen entwickelt. Ergebnisse: - Eine attributbasierte, differenzierte DAAS-Richtlinie wird mit Unterstützung auf Unternehmens- und Organisationsebene entwickelt. - Ein SDS-Integrationsplan wird entwickelt, um die DAAS-Richtlinie zu unterstützen. |
Microsoft Entra ID Implementieren Sie attributbasierte Daten-, Ressourcen-, Anwendungs- und Dienst-Richtlinien (DAAS) mit Microsoft Entra ID, indem Sie Mechanismen wie die Azure attributbasierte Zugriffssteuerung (Azure ABAC), benutzerdefinierte Sicherheitsattributfilterung für Anwendungen und dynamische Sicherheitsgruppen verwenden. - Attributbasierte Steuerelemente Benutzerdefinierte Sicherheitsattribute Definieren Sie benutzerdefinierte Sicherheitsattribute und weisen Sie Benutzern einen Wert zu. Konfigurieren Sie Rollenzuweisungsbedingungen für Azure ABAC für Azure Rollen. Derzeit befindet sich dieses Feature in der Vorschau für Azure Storage Kontoberechtigungen. - Azure ABAC - Zugriff auf benutzerdefinierte Sicherheitsattribute verwalten - Attribute mit Delegierung verwalten Benutzerdefinierte Sicherheitsattribute für eine feingranulare, dynamische Anwendungsautorisierung verwenden. Weisen Sie benutzerdefinierte Sicherheitsattribute zu und verwenden Sie Attributfilter (Vorschau) für Anwendungen in Richtlinien für bedingten Zugriff. - Regeln für dynamische Gruppenmitgliedschaften - Ausgeben von Ansprüchen auf der Grundlage von Bedingungen |
Advanced
4.7.2 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 2Die Implementierung der DAAS-Richtlinie in DoD-Organisationen wird automatisiert. Ergebnis: - Die Implementierung einer attributbasierten, differenzierten DAAS-Richtlinie wird automatisiert. |
Microsoft Graph API Automatisieren Sie die Konfiguration von Richtlinien für bedingten Zugriff, benutzerdefinierte Sicherheitsattribute, dynamische Sicherheitsgruppen und andere Microsoft Entra ID Funktionen mithilfe der Microsoft Graph API. |
Advanced
4.7.3 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 3Neu implementierte SDS-Technologien und/oder -funktionen werden risikobasiert in die DAAS-Richtlinie integriert. Die Implementierung sollte schrittweise erfolgen, um Ergebnisse zu messen und entsprechende Anpassungen vorzunehmen. Ergebnisse: - SDS wird in DAAS-Richtlinienfunktionen integriert. - Alle Daten in allen Anwendungen werden durch eine attributbasierte, differenzierte DAAS-Richtlinie geschützt. |
Microsoft Defender for Cloud Apps Integrate Microsoft Purview und Defender for Cloud Apps. Erstellen Von Dateirichtlinien zum Erzwingen automatisierter Prozesse mithilfe von Cloudanbieter-APIs. - Integrate Information Protection - File policies |
Target
4.7.4 Integrieren von Lösung(en) und Richtlinie mit der Unternehmens-IdP, Teil 1DoD-Organisationen entwickeln einen Integrationsplan unter Verwendung der SDS-Richtlinie und der Technologie/Funktionalität mit der Unternehmens-IdP-Lösung. Ergebnis: - Ein Integrationsplan zwischen SDS und dem autoritativen Identitätsanbieter wird entwickelt, um den vorhandenen DAAS-Zugriff zu unterstützen. |
Microsoft Entra ID Microsoft 365 Speicherdienste wie SharePoint Online und OneDrive for Business sind in Microsoft Entra ID integriert. Konfigurieren sie Azure Storage Dienste für die Integration in Microsoft Entra ID für die identitätsbasierte Autorisierung von Anforderungen für Blob-, Datei-, Warteschlangen- und Tabellendienste. - Microsoft Entra ID - Authorize Azure Storage Integrieren Sie im Anwendungskatalog weitere softwaredefinierte Speicherlösungen (SDS) in Microsoft Entra ID. - Application Gallery |
Advanced
4.7.5 Integrieren von Lösungen und der Richtlinie in den Unternehmensidentitätsanbieter, Teil 2Neu implementierte SDS-Technologien und/oder -Funktionen werden gemäß Integrationsplan in den Unternehmensidentitätsanbieter integriert. Für die Integration werden Identitätsattribute benötigt, die zur Erfüllung der Zero Trust-Zielfunktionen erforderlich sind. Ergebnis: - Vollständige Integration mit dem Enterprise-IDP und den SDS-Tools, um den gesamten attributbasierten, feingranularen DaaS-Zugriff zu unterstützen |
Schließen Sie die Aktivitäten 4.7.1 und 4.7.4 ab. |
Advanced
4.7.6 Implementieren des SDS-Tools und/oder Integrieren in das DRM-Tool, Teil 1Abhängig davon, ob ein SDS-Tool (Software-Defined Storage, softwaredefinierter Speicher) erforderlich ist, wird eine neue Lösung implementiert oder eine bereits vorhandene Lösung identifiziert, die die Funktionsanforderungen für die Integration in DLP-, DRM-/Schutz- und ML-Lösungen erfüllt. Ergebnis: - Falls Tools erforderlich sind, stellen Sie sicher, dass unterstützte Integrationen für DLP-, DRM- und ML-Tools vorhanden sind. |
Microsoft Purview Microsoft Purview Information Protection Digital Rights Management (DRM) und Microsoft Purview Funktionen zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) integrieren sich nativ in Office-Clients und Microsoft 365-Dienste. Integrationen sind eingebaut und erfordern kein weiteres Bereitstellen. - Überblick über Purview Verwenden Sie das Microsoft Information Protection SDK (MIP SDK), um benutzerdefinierte Werkzeuge zu erstellen, mit denen Etiketten und Schutz auf Dateien angewendet werden können. Siehe Microsoft Richtlinien in 4.4.2. |
Advanced
4.7.7 Implementieren des SDS-Tools und/oder Integrieren in das DRM-Tool, Teil 2DoD-Organisationen konfigurieren nach Bedarf die SDS-Funktion und/oder -Lösung, die in die zugrunde liegende Infrastruktur für DLP und DRM/Schutz integriert werden soll. Integrationen auf niedrigerer Ebene ermöglichen einen effektiveren Schutz und effektivere Reaktionen. Ergebnis: - Integration der SDS-Infrastruktur in die vorhandene DLP- und DRM-Infrastruktur |
Microsoft 365 und Microsoft Purview Microsoft Purview schützt Microsoft 365 Inhalte mit DLP (Data Loss Prevention) und Data Rights Management (DRM) ohne mehr Infrastruktur. - Schutz vertraulicher Daten |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie: