作为零信任采用指南的一部分,本文介绍了保护最关键数据资产的业务方案。 此方案侧重于如何识别和保护敏感业务数据。
数字化转型导致组织处理越来越多的数据。 但是,外部协作者(如合作伙伴、供应商和客户)访问企业网络外部的大部分共享数据。 这种转变创造了复杂的数据格局,尤其是在考虑混合员工和云迁移的激增、网络威胁不断增加、安全性不断演变以及围绕数据管理和保护方式不断变化的法规要求时。
使用混合工作模型时,公司资产和数据正在移动。 你的组织需要控制在设备、应用内和合作伙伴上存储和传输数据的位置。 但是,对于现代安全性,你不再依赖于传统的网络保护控制。
| 使用网络控制进行传统数据保护 | 具有零信任的新式数据保护 |
|---|---|
| 在传统网络中,网络外围控制控制控制关键数据访问,而不是数据敏感度。 通常手动对敏感数据应用标签,这可能会导致数据分类不一致。 | 零信任模型对数据访问请求应用强身份验证,使用策略来验证每个标识,并确保标识有权访问应用和数据。 零信任模型涉及标识敏感数据并应用分类和保护,包括数据丢失防护(DLP)。 零信任包括保护数据的防御,即使在数据离开受控环境后也是如此。 它还包括自适应保护,以减少内部风险。 除了这些保护之外,零信任还包括持续监视和威胁防护,以防止和限制数据泄露的范围。 |
下图说明了保护方式的转变:左侧是传统的网络控制(来自有限已知位置),右侧是现代零信任保护(通向未知位置),无论用户和设备位于何处,保护措施均适用。
本文中的指南介绍了如何开始并推进用于识别和保护敏感数据的策略。 如果你的组织遵守保护数据的法规,请使用本系列中的 “符合法规和合规性要求 ”一文了解如何应用本文中学到的内容来保护受监管的数据。
业务主管如何考虑保护敏感数据
在开始任何技术工作之前,请务必了解投资保护业务数据的不同动机,因为这些动机有助于告知策略、目标和成功措施。
下表提供了为什么整个组织的业务主管应投资基于零信任的数据保护。
| 角色 | 为什么保护敏感数据很重要 |
|---|---|
| 首席执行官(CEO) | 知识产权是许多组织商业模式的骨干。 防止其泄露,同时允许与授权方无缝协作对业务至关重要。 在处理客户个人身份信息(PII)的组织中,泄露风险不仅会导致财务处罚,而且损害了公司的声誉。 最后,敏感的业务对话(如兼并和收购、业务重组、策略和法律事务)如果泄露,可能会严重损害组织。 |
| 首席营销官(CMO) | 产品规划、消息、品牌和即将发布的产品公告必须在正确的时间发布,并且以正确的方式最大化影响。 不及时泄密可能降低投资回报,并透露给竞争对手即将实施的计划。 |
| 首席信息官(CIO) | 虽然保护信息的传统方法依赖于限制对信息的访问,但通过使用现代技术充分保护敏感数据,可以根据需要与外部方进行更灵活的协作,而不会增加风险。 IT 部门可以履行职责,确保工作效率,同时将风险降到最低。 |
| 首席信息安全官(CISO) | 作为此角色的主要功能,保护敏感业务数据是信息安全不可或缺的一部分。 此结果直接影响组织更大的网络安全策略。 高级安全技术和工具提供监视数据并防止泄漏和丢失的功能。 |
| 首席技术官 (CTO) | 知识产权可以将成功的业务与失败的企业区分开来。 保护此数据免受过度共享、未经授权的访问和盗窃,是确保组织未来增长的关键。 |
| 首席运营官(COO) | 运营数据、过程和生产计划是组织的主要战略优势。 这些计划还可以揭示竞争对手可以利用的战略漏洞。 保护此数据免受盗窃、过度共享和滥用的影响,对于业务的持续成功至关重要。 |
| 首席财务官(CFO) | 公开交易的公司有责任在公开之前保护特定的财务数据。 其他财务数据可以揭示计划和战略优势或弱点。 必须保护此数据,以确保符合现有法规并保持战略优势。 |
| 首席合规官(CCO) | 世界各地的法规强制保护客户或员工和其他敏感数据的 PII。 CCO 负责确保组织遵守此类法规。 全面的信息保护策略是实现这一目标的关键。 |
| 首席隐私官(CPO) | CPO 通常负责确保个人数据保护。 在处理大量客户个人数据的组织和在严格隐私法规的地区运营的组织中,未能保护敏感数据可能会导致大幅罚款。 这些组织还有可能因此失去客户信任。 首席隐私官还必须防止个人数据被不当使用,从而违背客户协议或法律,其中包括在组织内部以及与合作伙伴之间不当共享数据。 |
用于保护关键业务数据的采用周期
本文将演练此业务方案,其生命周期阶段与 适用于 Azure 的云采用框架(定义策略、计划、就绪、采用和管理)相同,但适用于零信任。
下表是插图的可访问版本。
| 定义策略 | 计划 | 准备好了 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 结果 组织一致性 战略目标 |
利益干系人团队 技术计划 技能准备情况 |
评价 测试 飞行员 |
在您的数字领域中逐步实施 | 跟踪和度量 监视和检测 迭代以达到成熟 |
在 零信任采用框架概述中详细了解零信任采用周期。
定义策略阶段
定义策略阶段对于定义和正式化我们的努力至关重要 - 它正式化了“为什么?” 此情景。 在此阶段,你将通过业务、IT、运营和战略角度了解方案。 您需要定义在特定方案中用于衡量成功的结果,并理解安全性是一个逐步和迭代的过程。
本文建议与许多组织相关的动机和结果。 根据独特的需求,使用这些建议来磨练组织的策略。
数据保护动机
识别和保护敏感业务数据的动机非常简单,但组织的不同部分对执行此作有不同的激励措施。 下表总结了其中一些动机。
| 面积 | 动机 |
|---|---|
| 业务需求 | 保护敏感数据,尤其是在与合作伙伴共享时。 |
| IT 需求 | 可在整个数字资产中一致应用的标准化数据分类架构。 |
| 运营需求 | 尽可能使用自动化,以一致和标准的方式实现数据保护。 |
| 战略需求 | 减少内部人员(无论是故意还是无意)或不良参与者获取环境访问权限可能造成的损害。 |
请注意,满足法规要求可能是某些组织的主要推动动机。 如果这是真的,请继续将此内容添加到组织策略中,并将此业务方案与本系列中的 “符合法规和合规性要求 ”一起使用。
数据保护结果
将零信任原则的“永不信任,始终验证”应用于您的数据,将为您的系统环境增加显著的保护层。 请务必清楚地了解你期望取得的结果,以便你可以为参与的所有团队(包括你的用户)提供适当的保护和可用性平衡。 下表提供了建议的目标和结果。
| 目的 | 结果 |
|---|---|
| 生产力 | 用户可以使用业务数据轻松协作创建业务数据或执行其作业功能。 |
| 安全访问 | 对数据和应用的访问在适当的级别受到保护。 高度敏感的数据需要更严格的安全措施,但这些保护不应给预期参与或使用此数据的用户带来负担。 敏感业务数据仅限于需要使用它的用户,并且你已实施控制,以限制或阻止用户共享或复制此数据外部的预期使用组。 |
| 支持最终用户 | 保护数据的控件已集成到整体零信任体系结构中。 这些控制措施包括单一登录、多重身份验证(MFA)和Microsoft Entra 条件访问,以便用户不会持续受到身份验证和授权请求的挑战。 用户会收到有关如何安全地对数据进行分类和共享的培训。 用户能够控制其重要数据,允许他们在需要的情况下撤销访问权限,或在共享信息后跟踪信息的使用情况。 在可能的情况下,数据保护策略是自动化的,可以减轻用户的负担。 |
| 提高安全性 | 在数字资产中添加数据保护可保护这些关键业务资产,并帮助减少数据泄露的潜在损害。 数据保护包括保护措施,以防止当前或以前的员工和合作伙伴故意、无意或疏忽数据泄露。 |
| 为 IT 提供支持 | IT 团队能够清楚地了解哪些内容符合敏感业务数据。 他们有一个经过周密考虑的方案,以及技术工具和能力来执行计划,并监视状态和成功。 |
计划阶段
实施计划将零信任策略的原则转换为可执行的计划。 你的集体团队可以使用采用计划来指导他们的技术工作,并与组织的业务策略保持一致。
你与业务主管和团队共同定义的动机和结果,为“为什么?”提供支持。 为你的组织提供指导,并成为你策略的指引方向。 接下来是实现目标的技术规划。
用于识别和保护敏感业务数据的技术采用涉及:
- 发现和识别数字资产中的敏感数据。
- 创建分类和保护方案,包括 DLP。
- 跨数字资产推出架构,从 Microsoft 365 中的数据开始,并将保护扩展到本地存储库中的所有 SaaS 应用、云基础结构和数据。 SaaS 应用是Microsoft 365 订阅外部但与 Microsoft Entra 租户集成的应用。
保护敏感数据还涉及一些相关活动,包括:
- 加密网络通信。
- 管理对共享敏感数据的 Teams 和项目的外部访问权限。
- 在 Microsoft Teams 中为包含高度敏感的业务数据的项目设置和使用专用和隔离的团队,这应该很少见。 大多数组织不需要这种级别的数据安全和隔离。
下表汇总了许多组织对这些部署目标采取四个阶段的方法。
| 阶段 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 发现和标识敏感的业务数据 发现未经批准的 SaaS 应用 加密网络通信 |
开发和测试分类架构 将标签应用于跨 Microsoft 365 的数据 引入基本 DLP 策略 设置安全Microsoft Teams,以便与业务合作伙伴在内部和外部共享数据 |
向特定标签添加保护(加密和其他保护设置) 在 Office 应用和服务中引入自动和建议的标签 跨 Microsoft 365 服务扩展 DLP 策略 实施关键内部风险管理策略 |
将标签和保护扩展到 SaaS 应用中的数据,包括 DLP 将自动化分类扩展到所有服务 将标签和保护扩展到本地存储库中的静态数据 保护云基础结构中的组织数据 |
如果这种分阶段方法适用于你的组织,你可以使用:
此 可下载的 PowerPoint 幻灯片, 用于演示和跟踪业务主管和其他利益干系人在这些阶段和目标中的进度。 下面是此业务方案的幻灯片。
此 Excel 工作簿 用于分配所有者并跟踪这些阶段、目标及其任务的进度。 下面是此业务方案的工作表。
了解组织
对于技术实施,建议采用分阶段的方法,以提供有关理解您组织的活动的上下文。 每个组织对保护敏感业务数据的需求以及数据的构成和数量各不相同。
每个业务方案的零信任采用生命周期的基础步骤包括清点。 对于此业务方案,需要清点组织的数据。
以下操作适用:
清点数据。
首先,请盘点一下所有数据所在的位置,这个过程可以像列出包含数据的应用程序和存储库一样简单。 部署敏感度标签等技术后,可能会发现存储敏感数据的其他位置。 这些位置有时称为深色或灰色 IT。
还有助于估计您计划清点的数据量(数据体积)。 在整个建议的技术过程中,可以使用该工具集来发现和识别业务数据。 你将了解你拥有的数据类型以及此数据驻留在服务和云应用中的位置,使你能够将数据的敏感度与它所在的位置的暴露级别相关联。
例如,Microsoft Defender for Cloud Apps 可帮助你识别你可能不知道的 SaaS 应用。 发现敏感数据的位置的工作从技术实施的第一个阶段开始,然后逐步推进到所有四个阶段。
根据优先级记录增量采用的目标和计划。
建议的四个阶段表示增量采用计划。 根据组织的优先级和数字资产的构成调整此计划。 请务必考虑到完成这项工作的任何时间线里程碑或义务。
清点需要隔离保护的任何数据集或专用项目(例如帐篷项目或特殊项目)。
并非每个组织都需要隔离保护。
组织规划和一致性
保护敏感数据的技术工作跨越多个重叠领域和角色:
- 数据
- 应用程序
- 端点
- 网络
- 标识
下表总结了构建赞助计划和项目管理层次结构时建议的角色,以确定和推动结果。
| 项目负责人和技术所有者 | 问责 |
|---|---|
| CISO、CIO 或数据安全总监 | 高层管理赞助 |
| 来自数据安全的项目负责人 | 推动取得更佳成果并促进跨团队协作 |
| 安全架构师 | 有关配置和标准的建议,特别是在加密、密钥管理和其他基本技术方面 |
| 合规性主管 | 将合规性要求和风险映射到特定控件和可用技术 |
| Microsoft 365 管理员 | 在您的 Microsoft 365 租户中实施针对 OneDrive 和受保护文件夹的更改。 |
| 应用程序所有者 | 确定关键业务资产并确保应用程序与标记、受保护和加密数据兼容 |
| 数据安全管理员 | 实施配置更改 |
| IT 管理员 | 更新标准和策略文档 |
| 安全治理和/或 IT 管理员 | 进行监视,确保合规性 |
| 用户培训团队 | 确保用户指南反映策略更新,并提供有关用户接受标签分类的见解 |
此采用内容的 PowerPoint 资源幻灯片集 包含以下幻灯片,其中包含可为自己组织自定义的利益相关者视图。
技术规划和技能准备情况
在开始技术工作之前,Microsoft建议了解这些功能、协同工作原理以及处理这项工作的最佳做法。 下表包含多个资源,可帮助团队获得技能。
| 资源 | DESCRIPTION |
|---|---|
| 部署加速指南-信息保护和数据丢失防护 | 从 Microsoft Customer Engagement 团队中了解最佳做法。 本指南通过循序渐进的方式引导组织逐步成熟,这种方式与指南建议的采用阶段相一致。 |
RaMP 清单: 数据保护 
|
用于列出建议工作并确定其优先级的另一种资源,其中包括相关利益干系人。 |
| Microsoft Purview 数据丢失防护简介 (初学者) | 在此资源中,你将了解 Microsoft Purview 信息保护中的 DLP。 |
了解 Microsoft Learn 模块中关于 Microsoft Purview 信息保护和数据生命周期管理简介的图标模块。(中级) |
了解 Microsoft 365 信息保护和数据生命周期管理解决方案如何帮助你在整个生命周期内保护和管理数据,无论数据在何处移动。 |
认证-Microsoft Certified: 信息保护管理员助理认证图标 |
建议的学习路径,以便成为认证信息保护管理员助理。 |
阶段 1
第一阶段的部署目标包括盘点你的数据的过程。 这包括识别组织用于存储、处理和共享数据的未经批准的 SaaS 应用。 可以将这些未批准的应用引入应用管理过程并应用保护,或者可以阻止业务数据用于这些应用。
发现和标识敏感的业务数据
从 Microsoft 365 开始,用于识别需要保护的敏感信息的一些主要工具是敏感信息类型(SIT)和其他分类器,包括可训练的分类器和指纹。 这些标识符有助于查找常见的敏感数据类型,例如信用卡号或政府标识号,以及使用机器学习和其他方法识别敏感文档和电子邮件。 还可以创建自定义 SIT 来标识环境特有的数据,包括使用精确数据匹配来区分与特定人员(例如客户 PII)相关的数据,这些数据需要特殊保护。
将数据添加到 Microsoft 365 环境或修改后,会自动使用租户中定义的任何 SIT 对敏感内容进行分析。
可以在 Microsoft Purview 门户中使用内容浏览器查看环境中检测到的敏感数据的任何实例。 如果需要为环境自定义或优化 SIT,以便获得更高的准确性,结果会告知你。 结果还会为您提供数据库存和信息保护状态的初步概况。 例如,如果你收到 SIT 的误报过多,或者找不到已知数据,则可以创建自定义标准 SIT 副本并对其进行修改,以便它们更好地适用于你的环境。 还可以使用确切的数据匹配来优化这些内容。
此外,可以使用内置的可训练分类器来标识属于某些类别的文档,例如合同或货运文档。 如果你有知道必须识别并可能保护的特定文档类,则可以在 Microsoft Purview 门户中使用示例来训练自己的分类器。 这些示例可用于发现具有类似内容模式的其他文档的存在。
除了内容资源管理器之外,组织还可以访问内容搜索功能,以生成环境中数据的自定义搜索,包括使用高级搜索条件和自定义筛选器。
下表列出了用于发现敏感业务数据的资源。
| 资源 | DESCRIPTION |
|---|---|
| 使用 Microsoft 365 Purview 部署信息保护解决方案 | 介绍可用于实现信息保护的特定业务目标的框架、流程和功能。 |
| 敏感信息类型 | 从此处开始,开始使用敏感信息类型。 此库包含许多用于试验和优化 SIT 的文章。 |
| 内容资源管理器 | 扫描 Microsoft 365 环境以查找 SIT 的出现情况,并在内容资源管理器工具中查看结果。 |
| 可训练的分类器 | 通过可训练的分类器,可以引入想要发现的内容类型的示例(种子设定),然后让机器学习引擎了解如何发现更多此类数据。 通过验证结果来参与分类器训练,直到准确性得到提高。 |
| 精确数据匹配 | 精确数据匹配使你能够查找与现有记录匹配的敏感数据(例如,客户在业务线应用中记录的 PII),这样就可以使用信息保护策略精确定位此类数据,从而几乎消除误报。 |
| 内容搜索 | 使用内容搜索进行高级搜索,包括自定义筛选器。 可以使用关键字和布尔搜索运算符。 还可以使用关键字查询语言(KQL)生成搜索查询。 |
| RaMP 清单: 数据保护:了解数据 | 实现步骤清单,包含步骤及其所有者,并附有文档链接。 |
发现未经批准的 SaaS 应用
你的组织可能会订阅许多 SaaS 应用,例如 Salesforce 或特定于你的行业的应用。 你了解和管理的 SaaS 应用被视为已获批准。 在后面的阶段,你将扩展使用 Microsoft 365 创建的数据保护架构和 DLP 策略,以保护这些批准的 SaaS 应用中的数据。
但是,在此阶段,必须发现组织正在使用的非批准的 SaaS 应用。 这样,便可以监视传入和传出这些应用的流量,以确定组织的业务数据是否共享到这些应用。 如果是这样,则可以将这些应用引入管理并对此数据应用保护,从启用 Microsoft Entra ID 的单一登录开始。
用于发现组织使用的 SaaS 应用的工具Microsoft Defender for Cloud Apps。
| 资源 | DESCRIPTION |
|---|---|
| 为零信任将 SaaS 应用与 Microsoft 365 集成 | 此解决方案指南逐步讲解使用零信任原则保护 SaaS 应用的过程。 此解决方案的第一步包括将 SaaS 应用添加到 Microsoft Entra ID 和策略范围。 这应该是一个优先级。 |
| 评估 Microsoft Defender for Cloud Apps | 本指南可帮助你尽快启动并运行 Microsoft Defender for Cloud Apps。 可以在试用阶段和试点阶段发现未经批准的 SaaS 应用。 |
加密网络通信
此目标是进行更多的检查,以确保网络流量已加密。 与网络团队联系,确保满足这些建议。
| 资源 | DESCRIPTION |
|---|---|
| 使用零 Trust-Objective 3 保护网络:用户到应用内部流量已加密 | 确保用户到应用内部流量已加密:
|
| 使用零 Trust-Objective 6 保护网络:所有流量都已加密 | 加密虚拟网络之间的应用程序后端流量。 加密本地与云之间的流量。 |
| 网络(云)-一位架构师的观点 | 对于网络架构师,本文有助于将建议的网络概念放在透视中。 Ed Fisher,Microsoft的安全与合规性架构师,介绍如何通过避免最常见的陷阱来优化网络以实现云连接。 |
阶段 2
获取清单并发现敏感数据所在的位置后,转到第 2 阶段,在其中开发分类架构并开始对组织数据进行测试。 此阶段还包括确定数据或项目需要增强保护的位置。
开发分类架构时,创建许多类别和级别很诱人。 但是,最成功的组织将分类层数限制为少量,例如 3-5。 越少越好。
在将组织的分类架构转换为标签和向标签添加保护之前,考虑大局会很有帮助。 在跨组织(尤其是大型数字资产)应用任何类型的保护时,最好尽可能统一。 这也适用于数据。
因此,例如,许多组织通过在数据、设备和身份上实施的三层保护模型来获得良好的效益。 在此模型中,大多数数据都可以在基线级别进行保护。 少量数据可能需要增强保护。 某些组织的数据非常少,需要更高级别的保护。 示例包括由于数据或项目极其敏感而高度管控的贸易机密数据或数据。
如果三层保护对您的组织有效,这有助于简化将这种保护策略转化为标签的方式以及应用于标签的具体保护措施。
在此阶段,创建敏感度标签,并开始在 Microsoft 365 数据中应用它们。 暂时不要担心添加标签保护,最好在用户已经熟悉并不再关注这些标签的限制后,再在后期阶段实施。 下一阶段将包括向标签添加保护。 同时,建议开始使用基本的 DLP 策略。 最后,在此阶段,你将特定保护应用于需要高度敏感保护的项目或数据集。
开发和测试分类架构
| 资源 | DESCRIPTION |
|---|---|
| 敏感度标签 | 了解敏感度标签并开始使用。 此阶段最关键的考虑因素是确保标签既反映业务需求,又反映用户使用的语言。 如果标签的名称不直观地与用户产生共鸣,或者其含义不会一致地映射到其预期用途,则标签的采用最终可能会受到阻碍,标签应用程序的准确性可能会受到影响。 |
将标签应用于跨 Microsoft 365 的数据
| 资源 | DESCRIPTION |
|---|---|
| 启用 SharePoint 和 OneDrive 中 Office 文件的敏感度标签 | 为 SharePoint 和 OneDrive 中支持的 Office 文件启用内置标签,以便用户可以在 Office 中为 Web 应用敏感度标签。 |
| 管理 Office 应用中的敏感度标签 | 接下来,开始向用户介绍标签,用户可在其中查看和应用标签。 从 Microsoft Purview 门户发布敏感度标签后,他们开始显示在 Office 应用中,以便用户在创建或编辑数据时对其进行分类和保护。 |
| 将标签应用于 Microsoft Teams 和 Microsoft 365 组 | 准备就绪后,请将 Microsoft Teams 和 Microsoft 365 组包含在标记部署范围内。 |
引入基本 DLP 策略
| 资源 | DESCRIPTION |
|---|---|
| 防止数据丢失 | DLP 策略入门。 建议从“软性”DLP策略开始,该策略提供警告但不阻止操作,或最多阻止操作,同时允许用户替代策略。 这样,就可以衡量这些策略的影响,而不会损害工作效率。 可以微调策略,使其更加严格,因为你对策略的准确性和与业务需求的兼容性充满信心。 |
设置安全团队,以便与业务合作伙伴在内部和外部共享数据
如果已确定需要高度敏感保护的项目或数据,这些资源将介绍如何在 Microsoft Teams 中设置此项。 如果数据存储在 SharePoint 中,没有关联的团队,请使用这些资源中的说明进行 SharePoint 设置。
| 资源 | DESCRIPTION |
|---|---|
| 配置具有高度敏感数据保护的团队 | 提供用于保护高度敏感数据项目的规范性建议,包括保护和管理来宾访问(可能正在与你协作处理这些项目的合作伙伴)。 |
阶段 3
在此阶段,继续推出优化的数据分类架构。 你还应用你计划的保护措施。
向标签添加保护后(例如加密和权限管理):
- 所有新获得标签的文档都包含保护。
- 在添加保护之前接收标签的 SharePoint Online 或 OneDrive 中存储的任何文档在打开或下载文档时应用了保护。
服务中的静态文件或驻留在用户计算机上的文件不会收到在这些文件收到标签后添加到标签中的保护。 换句话说,如果文件之前已标记,然后随后向标签添加保护,则不会将保护应用于这些文件。
向标签添加保护
| 资源 | DESCRIPTION |
|---|---|
| 了解敏感度标签 | 有关可以配置特定标签以应用保护的许多方法,请参阅本文。 建议您从基本策略开始,如针对电子邮件的“仅加密”策略和针对文档的“所有员工完全控制”策略。 这些政策提供强大的保护级别,同时当用户发现引入加密导致兼容性问题或与业务需求产生冲突时,为其提供简单的解决方法。 随着您对用户使用敏感数据的方式越来越有信心和理解,可以逐步收紧限制。 |
| 敏感度标签的常见场景 | 请参阅敏感度标签支持的此方案列表。 |
在 Office 应用中引入自动标记
| 资源 | DESCRIPTION |
|---|---|
| 将敏感度标签自动应用于内容 | 当标签与指定的条件匹配时,自动将标签分配给文件和电子邮件。 建议你最初将标签配置为向用户提供交互式标签建议。 确认这些已普遍接受后,请将其切换为自动应用标签。 |
跨 Microsoft 365 扩展 DLP 策略
| 资源 | DESCRIPTION |
|---|---|
| 防止数据丢失 | 继续使用这些步骤在 Microsoft 365 环境中应用 DLP,将策略扩展到更多位置和服务,并通过删除不必要的异常来收紧规则作。 |
实施基本的内部风险管理策略
| 资源 | DESCRIPTION |
|---|---|
| 内部风险管理 | 开始建议的操作。 您可以通过使用策略模板快速开始,包括防止即将离职用户的数据盗窃。 |
阶段 4
在此阶段,你将在 Microsoft 365 中开发的保护扩展到 SaaS 应用中的数据。 还可以过渡到尽可能多的数据分类和治理的自动化。
将标签和保护扩展到 SaaS 应用中的数据,包括 DLP
| 资源 | DESCRIPTION |
|---|---|
| 为 SaaS 应用部署信息保护 | 使用 Microsoft Defender for Cloud Apps,可以扩展使用 Microsoft 365 功能开发的分类架构来保护 SaaS 应用中的数据。 |
扩展自动分类
| 资源 | DESCRIPTION |
|---|---|
| 将敏感度标签自动应用于内容 | 继续推出向数据应用标签的自动化方法。 将它们扩展到 SharePoint、OneDrive 和 Teams 中的静态文档,以及用户发送或接收的电子邮件。 |
将标签和保护扩展到本地存储库中的数据
| 资源 | DESCRIPTION |
|---|---|
| Microsoft 365 Purview 信息保护扫描程序 | 扫描本地存储库中的数据,包括Microsoft Windows 文件共享和 SharePoint Server。 信息保护扫描程序可以检查 Windows 可以编制索引的任何文件。 如果已将敏感度标签配置为应用自动分类,扫描程序可以标记已发现的文件以应用该分类,并且可以选择性地应用或删除保护。 |
保护云基础结构中的组织数据
| 资源 | DESCRIPTION |
|---|---|
| Microsoft Purview 数据管理文档 | 了解如何使用 Microsoft Purview 治理门户,以便组织能够查找、了解、治理和使用数据源。 教程、REST API 参考和其他文档介绍了如何规划和配置数据存储库,可在其中发现可用的数据源和管理权限使用。 |
云采用计划
采用计划是成功采用云的一项基本要求。 成功采用计划保护数据的关键属性包括:
- 策略和规划是一致的: 在制定在整个数字资产中测试、试点和推出数据分类和保护功能的计划时,请务必重新访问你的策略和目标,以确保你的计划保持一致。 这包括数据集的优先级、数据保护目标以及目标里程碑。
- 计划是迭代的: 开始推出计划时,你将了解你的环境和你正在使用的功能。 在推出的每个阶段,重新审视结果与目标的比较,并微调计划。 例如,这可以包括审视早期工作以细化策略。
- 培训员工和用户是精心策划的: 从管理人员到支持人员和用户,每个人都接受数据识别和保护责任的训练。
有关适用于 Azure 的云采用框架的详细信息,请参阅 云采用计划。
就绪阶段
使用前面列出的资源确定和保护敏感数据的计划的优先级。 保护敏感业务数据的工作是多层零信任部署策略中的一层。
本文中建议的阶段性方法包括在数字资产整个范围内以有序传递的方式对工作的进行。 在此就绪阶段,重新访问计划的以下元素,以确保一切准备就绪:
- 组织敏感数据的定义非常明确。 搜索数据并分析结果时,可能会调整这些定义。
- 你有一个清晰的路线图,知道应该从哪些数据集和应用开始,并且制定一个有优先级的计划,用于扩大工作范围,直到涵盖整个数字资产。
- 已识别并记录适合您组织和环境的技术指导调整。
此列表总结了完成这项工作的高水平的系统化流程:
- 了解数据分类功能,例如敏感信息类型、可训练的分类器、敏感度标签和 DLP 策略。
- 开始将这些功能与 Microsoft 365 服务中的数据配合使用。 此体验可帮助你优化架构。
- 将分类引入 Office 应用。
- 转向通过试验并推出终端 DLP 来保护设备上的数据。
- 使用 Defender for Cloud Apps 将Microsoft 365 资产中优化的功能扩展到云应用中的数据。
- 使用 Microsoft Purview 信息保护扫描程序发现并对本地数据应用保护措施
- 使用 Microsoft Purview 数据治理发现和保护云数据存储服务中的数据,包括 Azure Blob、Cosmos DB、SQL 数据库和 Amazon Web Services S3 存储库。
此图显示了该过程。
数据发现和保护的优先级可能有所不同。
请注意其他业务方案的以下依赖项:
- 将信息保护扩展到终结点设备需要与 Intune 协调(包含在 安全远程和混合工作 文章中)。
- 将信息保护扩展到 SaaS 应用中的数据需要 Microsoft Defender for Cloud Apps。 试点和部署 Defender for Cloud Apps 包括在“防止或减少因安全漏洞导致的业务损失”业务场景中。
完成采用计划时,请务必重新访问 信息保护和数据丢失防护 部署加速指南,以查看建议并微调策略。
采纳阶段
Microsoft建议采用级联迭代方法来发现和保护敏感数据。 这样,就可以优化策略和政策,以提高结果的准确性。 例如,在发现和标识敏感数据时,开始处理分类和保护架构。 发现的数据会影响架构设计,架构有助于改进用于发现敏感数据的工具和方法。 同样,在测试和试点架构时,结果有助于改进之前创建的保护策略。 在开始下一阶段之前,无需等到一个阶段完成。 如果你在过程中逐步迭代,你的结果会更有效。
治理和管理阶段
组织数据的治理是一个迭代过程。 通过深思熟虑地创建分类架构并将其推广到数字资产中,你创建了一个基础。 使用以下练习帮助你开始为此基础构建初始治理计划:
- 建立方法: 建立用于查看架构、如何在数字资产中应用架构以及结果成功的基本方法。 确定如何监视和评估信息保护协议的成功,包括当前状态和未来状态。
- 建立初始治理基础: 使用一组易于实现的小型治理工具开始治理之旅。 此初始治理基础称为最小可行产品(MVP)。
- 改进初始治理基础: 在走向结束状态时,以迭代方式添加治理控制,以解决有形风险。
Microsoft Purview 提供了多种功能来帮助治理数据,包括:
- 保留策略
- 邮箱保留和存档功能
- 用于更复杂的保留和删除策略和计划的记录管理
请参阅 使用 Microsoft Purview 管理数据。 此外, 活动资源管理器 可让你了解哪些内容已被发现和标记,以及该内容的位置。 对于 SaaS 应用,Microsoft Defender for Cloud Apps 为转入和转出 SaaS 应用的敏感数据提供详细报告。 请参阅 Microsoft Defender for Cloud Apps 内容库中的许多教程。
后续步骤
进度跟踪资源
对于任何零信任业务方案,可以使用以下进度跟踪资源。
| 进度跟踪资源 | 这有助于你... | 设计为... |
|---|---|---|
采用情境计划阶段表格可下载Visio 文件或PDF 
|
轻松了解每个业务场景的安全增强功能,以及计划阶段的步骤和目标的努力程度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
零信任采用跟踪器 可下载 PowerPoint 幻灯片集 
|
通过计划阶段中的各个步骤和目标来跟踪进度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
业务方案目标和任务 可下载的 Excel 工作簿 
|
分配所有权,并通过计划阶段的各个步骤、目标和任务来跟踪进度。 | 业务方案项目主管、IT 主管和 IT 实施者。 |
有关其他资源,请参阅 零信任评估和进度跟踪资源。