Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece um plano de implementação para construir segurança Confiança Zero com Microsoft 365. Confiança Zero é um modelo de segurança que assume a violação e verifica cada pedido como se tivesse origem numa rede não controlada. Independentemente de onde o pedido se origina ou que recurso acede, o modelo Confiança Zero ensina-nos a "nunca confiar, verificar sempre."
Utilize este artigo juntamente com este cartaz.
Princípios e arquitetura do Confiança Zero
Confiança Zero é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança.
| Princípio | Descrição |
|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. |
| Usar acesso com privilégios mínimos | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em risco e proteção de dados. |
| Assuma que há uma violação | Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. |
As orientações deste artigo ajudam-no a aplicar estes princípios ao implementar capacidades com o Microsoft 365.
Uma abordagem Confiança Zero estende-se por todo o património digital e serve como uma filosofia de segurança integrada e uma estratégia de ponta a ponta.
Esta ilustração apresenta uma representação dos principais elementos que contribuem para o Confiança Zero.
Na ilustração:
- A aplicação das políticas de segurança está no centro de uma arquitetura Confiança Zero. Isto inclui a autenticação multifator com Acesso Condicional que tem em conta o risco da conta de utilizador, o estado do dispositivo e outros critérios e políticas que definiu.
- As identidades, dispositivos, dados, aplicações, rede e outros componentes de infraestrutura estão todos configurados com segurança adequada. As políticas configuradas para cada um destes componentes são coordenadas com a sua estratégia global de Confiança Zero. Por exemplo, as políticas de dispositivos determinam os critérios para dispositivos em bom estado de funcionamento e as políticas de Acesso Condicional requerem dispositivos em bom estado de funcionamento para aceder a aplicações e dados específicos.
- A proteção contra ameaças e a inteligência monitoram o ambiente, apresentam os riscos atuais e tomam medidas automatizadas para remediar ataques.
Para mais informações sobre Confiança Zero, consulte o Centro de Orientação Confiança Zero da Microsoft.
Implementação do Confiança Zero para Microsoft 365
O Microsoft 365 foi concebido intencionalmente com muitas capacidades de segurança e proteção de informação para o ajudar a integrar o Confiança Zero no seu ambiente. Muitos dos recursos podem ser estendidos para proteger o acesso a outros aplicativos SaaS que sua organização usa e os dados dentro desses aplicativos.
Esta ilustração representa o trabalho de implementação das capacidades Confiança Zero. Este trabalho está alinhado com os cenários de negócio de Confiança Zero no quadro de adoção de Confiança Zero.
Nesta ilustração, o trabalho de implementação é categorizado em cinco pistas de natação:
- Trabalho remoto seguro e híbrido — Este trabalho constrói uma base de identidade e proteção de dispositivos.
- Prevenir ou reduzir danos empresariais causados por uma violação — A proteção contra ameaças proporciona monitorização e remediação em tempo real de ameaças de segurança. O Defender for Cloud Apps permite a descoberta de aplicações SaaS, incluindo aplicações de IA, e permite estender a proteção de dados a estas aplicações.
- Identifique e proteja dados empresariais sensíveis — As capacidades de proteção de dados fornecem controlos sofisticados direcionados a tipos específicos de dados para proteger a sua informação mais valiosa.
- Aplicações e dados de IA seguros — Proteja rapidamente a utilização de aplicações de IA pela sua organização e os dados com que estas interagem.
- Cumpra os requisitos regulamentares e de conformidade — Compreenda e acompanhe o seu progresso no cumprimento das regulamentações que afetam a sua organização.
Este artigo pressupõe que está a utilizar a identidade da cloud. Se precisar de orientação para este objetivo, consulte Implemente a sua infraestrutura de identidade para Microsoft 365.
Sugestão
Quando compreenderes os passos e o processo de implementação de ponta a ponta, podes usar o guia avançado de implementação Configurar o teu modelo de segurança Microsoft Confiança Zero ao iniciar sessão no centro de administração do Microsoft 365. Este guia orienta-o na aplicação dos princípios Confiança Zero para pilares tecnológicos padrão e avançados.
Pista de natação 1 – Proteger o trabalho remoto e híbrido
A proteção do trabalho remoto e híbrido envolve a configuração da proteção de acesso de identidades e dispositivos. Estas proteções contribuem para o princípio Confiança Zero verificar explicitamente.
Realize o trabalho de proteção do trabalho remoto e híbrido em três fases.
Fase 1 – Implementar políticas de identidade de ponto de partida e de acesso de dispositivos
Microsoft recomenda um conjunto abrangente de políticas de identidade e acesso a dispositivos para Confiança Zero neste guia — Confiança Zero configurações de identidade e acesso ao dispositivo.
Na fase 1, comece por implementar o escalão de ponto de partida. Estas políticas não requerem a inscrição de dispositivos para gestão.
Vá para proteção de identidade e acesso a dispositivos Confiança Zero para orientações prescritivas detalhadas. Esta série de artigos descreve um conjunto de configurações pré-requisito de identidade e acesso ao dispositivo, bem como um conjunto de políticas, incluindo Acesso Condicional do Microsoft Entra e Microsoft Intune, para garantir o acesso seguro ao Microsoft 365 para empresas, a aplicações e serviços na nuvem, a outros serviços SaaS e a aplicações on-premises publicadas com o proxy de aplicação Microsoft Entra.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Políticas de identidade e acesso de dispositivo recomendadas para três níveis de proteção:
Recomendações adicionais para:
|
Microsoft E3 ou E5 Microsoft Entra ID em qualquer um destes modos:
|
Registo de dispositivos para políticas que exigem dispositivos geridos. Consulte Gerir dispositivos com Intune para inscrever dispositivos. |
Fase 2 – Inscrever dispositivos para gestão com Intune
Em seguida, inscreva os seus dispositivos na gestão e comece a protegê-los com controlos mais sofisticados.
Consulte Gerir dispositivos com Intune para orientações prescritivas detalhadas sobre como inscrever dispositivos na gestão.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
Inscrever dispositivos com Intune:
Configurar políticas:
|
Registar endpoints com o Microsoft Entra ID | Configurar capacidades de proteção de informações, incluindo:
Para estas capacidades, veja Swim lane 3 — Identificar e proteger dados empresariais sensíveis (mais adiante neste artigo). |
Para mais informações, consulte Confiança Zero para Microsoft Intune.
Fase 3 — Adicionar identidade Confiança Zero e proteção de acesso ao dispositivo: Políticas empresariais
Com os dispositivos inscritos na gestão, pode agora implementar o conjunto completo de políticas de identidade e acesso ao dispositivo no modelo Confiança Zero recomendadas, exigindo dispositivos compatíveis.
Volte às políticas comuns de identidade e acesso ao dispositivo e adicione as políticas na camada Enterprise.
Leia mais sobre como garantir trabalho remoto e híbrido no framework de adoção Confiança Zero — Trabalho remoto e híbrido seguro.
Pista de natação 2 – Impedir ou reduzir danos comerciais causados por uma violação
Microsoft Defender XDR é uma solução estendida de deteção e resposta (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinal, ameaças e alertas de todo o seu ambiente Microsoft 365, incluindo endpoint, email, aplicações e identidades. Além disso, o Microsoft Defender for Cloud Apps ajuda as organizações a identificar e gerir o acesso a aplicações SaaS, incluindo aplicações GenAI.
Previna ou reduza danos empresariais causados por uma violação pilotando e implementando o Microsoft Defender XDR.
Vá a Pilot e implemente Microsoft Defender XDR para um guia metódico de pilotagem e implantação de componentes Microsoft Defender XDR.
| Inclui | Pré-requisitos | Não inclui |
|---|---|---|
| Configure o ambiente de avaliação e piloto para todos os componentes: Proteger contra ameaças Investigue e responda a ameaças |
Consulte as orientações para ler sobre os requisitos de arquitetura para cada componente do Microsoft Defender XDR. | O Microsoft Entra ID Protection não está incluído neste guia de soluções. Está incluído na Swim lane 1 — Trabalho remoto seguro e híbrido. |
Leia mais sobre como prevenir ou reduzir danos empresariais causados por uma violação no quadro de adoção Confiança Zero — Prevenir ou reduzir os danos empresariais causados por uma violação.
Pista de natação 3 – Identificar e proteger dados empresariais confidenciais
Implemente o Microsoft Purview Proteção de Informações para ajudar a descobrir, classificar e proteger informações sensíveis onde quer que se encontrem ou sejam transmitidas.
As capacidades Proteção de Informações do Microsoft Purview estão incluídas no Microsoft Purview e fornecem-lhe as ferramentas para conhecer os seus dados, proteger os seus dados e prevenir a perda de dados. Pode começar este trabalho em qualquer altura.
O Proteção de Informações do Microsoft Purview fornece um quadro, processos e capacidades que pode usar para alcançar os seus objetivos empresariais específicos.
Para mais informações sobre como planear e implementar a proteção da informação, consulte Deploy a Proteção de Informações do Microsoft Purview solution.
Leia mais sobre como identificar e proteger dados empresariais sensíveis no quadro de adoção Confiança Zero — Identificar e proteger dados empresariais sensíveis.
Pista de natação 4 – Proteger aplicações e dados de IA
O Microsoft 365 inclui capacidades para ajudar as organizações a proteger rapidamente as aplicações de IA e os dados que estas utilizam.
Comece por utilizar o Purview Data Security Posture Management (DSPM) para IA. Esta ferramenta centra-se na forma como a IA é utilizada na sua organização, especialmente os dados confidenciais que interagem com as ferramentas de IA. O DSPM para IA fornece insights mais profundos para os Copilotos da Microsoft e aplicações SaaS de terceiros como o ChatGPT Enterprise e o Google Gemini.
O diagrama a seguir mostra uma das visualizações agregadas sobre o impacto do uso da IA em seus dados — interações sensíveis por aplicativo de IA generativo.
Utilize DSPM para IA em:
- Obtenha visibilidade sobre a utilização de IA, incluindo dados confidenciais.
- Revise avaliações de dados para conhecer lacunas na partilha excessiva que podem ser mitigadas com controlos de partilha excessiva do SharePoint.
- Encontre lacunas na cobertura da política para etiquetas de confidencialidade e políticas de prevenção de perda de dados (DLP).
O Defender for Cloud Apps é outra ferramenta poderosa para descobrir e governar aplicações e utilização SaaS GenAI. O Defender for Cloud Apps inclui mais de mil aplicações relacionadas com IA generativa no catálogo, proporcionando visibilidade sobre como as aplicações de IA generativa são usadas na sua organização e ajudando-o a geri-las de forma segura.
Para além destas ferramentas, o Microsoft 365 oferece um conjunto abrangente de capacidades para proteger e governar a IA. Consulte Descobrir, proteger e governar aplicações e dados de IA para aprender como começar a utilizar estas capacidades.
A tabela seguinte lista as capacidades Microsoft 365 com ligações para mais informações na biblioteca Security for AI.
Pista de natação 5 – Cumprir os requisitos regulamentares e de conformidade
Independentemente da complexidade do ambiente de TI da sua organização ou da dimensão da sua organização, os novos requisitos regulamentares que podem afetar a sua empresa estão continuamente a aumentar. Uma abordagem Confiança Zero frequentemente excede alguns tipos de requisitos impostos por regulamentos de conformidade, por exemplo, aqueles que controlam o acesso a dados pessoais. Organizações que implementaram uma abordagem Confiança Zero podem descobrir que já cumprem algumas novas condições ou podem facilmente construir sobre a sua arquitetura Confiança Zero para estar em conformidade.
O Microsoft 365 inclui capacidades para ajudar na conformidade regulatória, incluindo:
- Gerente de Conformidade
- Explorador de conteúdos
- Políticas de retenção, etiquetas de confidencialidade e políticas DLP
- Conformidade na Comunicação
- Gerenciamento do ciclo de vida dos dados
- Gestão de Riscos de Privacidade Priva
Utilize os seguintes recursos para cumprir os requisitos regulamentares e de conformidade.
| Recurso | Mais informações |
|---|---|
| Quadro de adoção de Confiança Zero — Cumprimento dos requisitos regulamentares e de conformidade | Descreve uma abordagem metódica que a sua organização pode seguir, incluindo definir estratégia, planeamento, adoção e governação. |
| Governar aplicações e dados de IA para conformidade regulamentar | Aborda a conformidade com os regulamentos emergentes relacionados com IA, incluindo capacidades específicas que ajudam. |
| Gerir a privacidade e proteção de dados com Microsoft Priva e Microsoft Purview | Avalie os riscos e tome as medidas adequadas para proteger os dados pessoais no ambiente da sua organização utilizando Microsoft Priva e Microsoft Purview. |
Próximos passos
Saiba mais sobre Confiança Zero visitando o centro de orientação Confiança Zero.