Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Sfondo
Zero Trust è una strategia di sicurezza usata per progettare i principi di sicurezza per l'organizzazione. Zero Trust consente di proteggere le risorse aziendali implementando i principi di sicurezza seguenti:
Verificare in modo esplicito. L’autenticazione e l’autorizzazione sono eseguite sempre su tutti i punti di dati disponibili, inclusi l’identità dell’utente, la posizione, l’integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e le anomalie.
Usare l'accesso con privilegi minimi. Limita l'accesso degli utenti con JIT (Just-In-Time) e JEA (Just-Enough-Access), criteri adattivi basati sul rischio e protezione dei dati per proteggere sia i dati che la produttività.
Presupporre una violazione. Ridurre al minimo il raggio di esplosione e segmentare l'accesso. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Microsoft Purview propone cinque elementi principali per una strategia di difesa dei dati avanzata e un'implementazione Zero Trust per i dati:
Classificazione ed etichettatura dei dati
Se non si conoscono i dati sensibili presenti in locale e nei servizi cloud, non è possibile proteggerli in modo adeguato. Individuare e rilevare i dati nell'intera organizzazione e classificarli in base al livello di riservatezza.Protezione delle informazioni
L'accesso condizionale e con privilegi minimi ai dati sensibili riduce i rischi per la sicurezza dei dati. Applicare barriere di controllo accessi basate sulla riservatezza, includendo gestione dei diritti e crittografia, laddove i controlli ambientali non siano sufficienti. Usare i contrassegni di riservatezza delle informazioni per aumentare la consapevolezza e la conformità dei criteri di sicurezza.Prevenzione della perdita dei dati
Il controllo di accesso risolve solo parte del problema. Il monitoraggio e il controllo delle attività e dei movimenti di dati rischiosi che potrebbero causare un incidente di sicurezza o conformità consente alle organizzazioni di prevenire la condivisione eccessiva dei dati sensibili.Gestione dei rischi Insider
L'accesso ai dati potrebbe non sempre fornire l'intera storia. Ridurre al minimo i rischi per i dati abilitando il rilevamento comportamentale da un'ampia gamma di segnali e agendo su attività potenzialmente dannose e accidentali nell'organizzazione che potrebbero essere precursori o un'indicazione di una violazione dei dati.Governance dei dati
La gestione proattiva del ciclo di vita dei dati sensibili riduce l'esposizione. Limitare il numero di copie o propagazione di dati sensibili ed eliminare dati non più necessari per ridurre al minimo i rischi di violazione dei dati.
Obiettivi di distribuzione di data Zero Trust
|
È consigliabile concentrarsi su questi obiettivi di distribuzione iniziale quando si implementa un framework di Zero Trust end-to-end per i dati: |
|
|
|
I. Classificare e etichettare i dati. Classificare e etichettare automaticamente i dati laddove possibile. Applica manualmente dove non è presente. II.Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto. Applicare la crittografia in cui la protezione e il controllo di accesso non sono sufficienti. III.Controllare l'accesso ai dati. Controllare l'accesso ai dati sensibili in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati. |
|
Man mano che si procede al raggiungimento degli obiettivi precedenti, aggiungere questi obiettivi di distribuzione aggiuntivi: |
|
|
|
IV.Evitare perdite di dati. Usare criteri DLP basati su segnali rischiosi e sulla riservatezza dei dati. V.Gestirei rischi. Gestire i rischi che potrebbero causare un evento imprevisto di sicurezza dei dati controllando le attività utente correlate alla sicurezza rischiosa e i modelli di attività dei dati che potrebbero causare un evento imprevisto di sicurezza o conformità dei dati. VI.Ridurre l'esposizione dei dati. Ridurre l'esposizione dei dati tramite la governance dei dati e ridurre al minimo i dati continui |
guida alla distribuzione di Zero Trust per i dati
Questa guida illustra in modo dettagliato un approccio Zero Trust alla protezione dei dati. Tenere presente che questi elementi variano notevolmente a seconda della riservatezza delle informazioni e delle dimensioni e della complessità dell'organizzazione.
Come precursore di qualsiasi implementazione della sicurezza dei dati, Microsoft consiglia di creare un framework di classificazione dei dati e una tassonomia delle etichette di riservatezza che definisce categorie di alto livello di rischio per la sicurezza dei dati. Tale tassonomia verrà usata per semplificare tutto, dall'inventario dei dati o dalle informazioni dettagliate sulle attività, alla gestione dei criteri per l'analisi delle priorità.
Per altre informazioni, vedi:
|
|
Obiettivi iniziali della distribuzione |
I. Classificare, etichettare e individuare dati sensibili
Una strategia di protezione delle informazioni deve includere l'intero contenuto digitale dell'organizzazione.
Le classificazioni e le etichette di riservatezza consentono di comprendere dove si trovano i dati sensibili, come vengono spostati e implementare controlli di accesso e utilizzo appropriati coerenti con i principi zero trust:
Usare la classificazione e l'etichettatura automatizzate per rilevare informazioni riservate e ampliare la scoperta nel patrimonio di dati.
Usare l'etichettatura manuale per documenti e contenitori e curare manualmente i set di dati usati nell'analisi in cui la classificazione e la riservatezza sono meglio stabilite dagli utenti esperti.
Seguire questa procedura:
Dopo aver configurato e testato la classificazione e l'etichettatura, espandere l'attività di individuazione dei dati nel patrimonio dati.
Seguire questa procedura per estendere l'individuazione oltre i servizi Microsoft 365:
Individuare e proteggere le informazioni riservate nelle applicazioni SaaS
Informazioni sulle scansioni e sull'acquisizione nel portale di governance di Microsoft Purview
Durante l'individuazione, la classificazione e l'etichettatura dei dati, utilizzare tali intuizioni per attenuare i rischi e informare le iniziative di gestione delle policy.
Seguire questa procedura:
II. Applicare la crittografia, il controllo di accesso e i contrassegni del contenuto
Semplificare l'implementazione dei privilegi minimi usando le etichette di riservatezza per proteggere i dati più sensibili con la crittografia e il controllo di accesso. Usare i contrassegni di contenuto per migliorare la consapevolezza e la tracciabilità degli utenti.
Proteggere documenti e messaggi di posta elettronica
Microsoft Purview Information Protection consente l'accesso e il controllo dell'utilizzo in base alle etichette di riservatezza o alle autorizzazioni definite dall'utente per documenti e messaggi di posta elettronica. Può anche applicare contrassegni e crittografare le informazioni che risiedono in o passano a ambienti di attendibilità inferiori interni o esterni all'organizzazione. Fornisce protezione a riposo, in movimento e in uso per applicazioni avanzate.
Seguire questa procedura:
- opzioni di crittografia Visualizzare le opzioni di crittografia in Microsoft 365
- Limitare l'accesso al contenuto e all'utilizzo usando le etichette di riservatezza
Proteggere i documenti in Exchange, SharePoint e OneDrive
La classificazione automatica con etichette di riservatezza può essere distribuita tramite criteri verso ubicazioni mirate per limitare l'accesso e gestire la crittografia sull'uscita dei dati autorizzata per i dati archiviati in Exchange, SharePoint e OneDrive.
Eseguire questo passaggio:
III. Controllare l'accesso ai dati
Fornire l'accesso ai dati sensibili deve essere controllato in modo che siano protetti meglio. Assicurarsi che le decisioni relative ai criteri di accesso e utilizzo siano incluse nella riservatezza dei dati.
Controllare l'accesso e la condivisione dei dati in Teams, Microsoft 365 Groups e siti di SharePoint
Usare le etichette di sensibilità dei contenitori per implementare restrizioni di accesso condizionale e di condivisione per Microsoft Teams, Microsoft 365 Groups o siti di SharePoint.
Eseguire questo passaggio:
Controllare l'accesso ai dati nelle applicazioni SaaS
Microsoft Defender for Cloud Apps offre funzionalità aggiuntive per l'accesso condizionale e la gestione di file sensibili in ambienti Microsoft 365 e di terze parti, ad esempio Box o Google Workspace, tra cui:
Rimozione delle autorizzazioni per gestire privilegi eccessivi e impedire la perdita di dati.
Quarantinamento dei file per la revisione.
Applicazione di etichette ai file sensibili.
Seguire questa procedura:
Suggerimento
Consulta Integrate app SaaS per Zero Trust con Microsoft 365 per scoprire come applicare i principi di Zero Trust per gestire il tuo ecosistema digitale delle app cloud.
Controllare l'accesso nell'archiviazione IaaS/PaaS
Distribuire i criteri di controllo di accesso obbligatori nelle risorse IaaS/PaaS che contengono dati sensibili.
Eseguire questo passaggio:
IV. Prevenzione della perdita dei dati
Il controllo dell'accesso ai dati è necessario, ma insufficiente nell'esercitare il controllo sullo spostamento dei dati e prevenire perdite o perdite di dati accidentali o non autorizzate. Questo è il ruolo della prevenzione della perdita dei dati e della gestione dei rischi Insider, descritta nella sezione IV.
Usare i criteri DLP (Data Loss Prevention) di Microsoft Purview per identificare, controllare e proteggere automaticamente i dati sensibili in tutto:
Microsoft 365 servizi come Teams, Exchange, SharePoint e OneDrive
Applicazioni di Office come Word, Excel e PowerPoint
endpoint di Windows 10, Windows 11 e macOS (tre versioni rilasciate più recenti)
condivisioni file locale e SharePoint locale
app cloud non Microsoft.
Seguire questa procedura:
Creare, testare e ottimizzare i criteri di prevenzione della perdita dei dati
Informazioni sul dashboard avvisi di prevenzione della perdita dei dati
V. Gestire i rischi interni
Le implementazioni con privilegi minimi consentono di ridurre al minimo i rischi noti, ma è anche importante correlare segnali comportamentali utente correlati alla sicurezza aggiuntivi, controllare i modelli di accesso ai dati sensibili e funzionalità di rilevamento, analisi e ricerca su vasta scala.
Prova ad eseguire questi passaggi:
VI. Eliminare informazioni riservate non necessarie
Le organizzazioni possono ridurre l'esposizione dei dati gestendo il ciclo di vita dei dati sensibili.
Quando non sono più preziosi o consentiti per l'organizzazione, rimuovi tutti i privilegi eliminando i dati sensibili stessi.
Eseguire questo passaggio:
Ridurre al minimo la duplicazione dei dati sensibili favorendo la condivisione sul posto e l'uso anziché i trasferimenti di dati.
Eseguire questo passaggio:
Prodotti trattati in questa guida
Microsoft Defender for Cloud Apps
Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success.
La serie di guide alla distribuzione Zero Trust
