Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce un piano di distribuzione per la creazione di sicurezza Zero Trust con Microsoft 365. Zero Trust è un modello di sicurezza che presuppone la violazione e verifica ogni richiesta come se provenisse da una rete non controllata. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, il modello di Zero Trust ci insegna a "non considerare mai attendibile, verificare sempre".
Usare questo articolo insieme a questo poster.
Zero Trust principi e architettura
Zero Trust è una strategia di sicurezza. Non si tratta di un prodotto o di un servizio, ma di un approccio alla progettazione e all'implementazione del set di principi di sicurezza seguente.
| Principio | Descrizione |
|---|---|
| Verificare esplicitamente | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso utente con ji-in-time e just-enough-access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presupporre le violazioni | Ridurre al minimo il raggio di esplosione e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
Le linee guida in questo articolo consentono di applicare questi principi implementando funzionalità con Microsoft 365.
Un approccio Zero Trust si estende in tutto il digital estate e funge da filosofia di sicurezza integrata e strategia end-to-end.
Questa illustrazione fornisce una rappresentazione degli elementi primari che contribuiscono a Zero Trust.
Nella figura:
- L'applicazione dei criteri di sicurezza è al centro di un'architettura Zero Trust. Ciò include l'autenticazione a più fattori con accesso condizionale che tiene conto del rischio dell'account utente, dello stato del dispositivo e di altri criteri e criteri impostati.
- Identità, dispositivi, dati, app, rete e altri componenti dell'infrastruttura sono tutti configurati con la sicurezza appropriata. I criteri configurati per ognuno di questi componenti sono coordinati con la strategia di Zero Trust complessiva. Ad esempio, i criteri dei dispositivi determinano i criteri per i dispositivi integri e i criteri di accesso condizionale richiedono dispositivi integri per l'accesso ad app e dati specifici.
- La protezione dalle minacce e l'intelligence monitorano l'ambiente, rilevano i rischi correnti e interviene in modo automatizzato per correggere gli attacchi.
Per altre informazioni su Zero Trust, vedere Il Centro indicazioni Zero Trust Microsoft.
Distribuzione di Zero Trust per Microsoft 365
Microsoft 365 è stato creato intenzionalmente con molte funzionalità di sicurezza e protezione delle informazioni che consentono di creare Zero Trust nell'ambiente. Molte delle funzionalità possono essere estese per proteggere l'accesso ad altre app SaaS usate dall'organizzazione e ai dati all'interno di queste app.
Questa illustrazione rappresenta il lavoro di distribuzione delle funzionalità di Zero Trust. Questo lavoro è allineato agli scenari aziendali Zero Trust nel framework di adozione Zero Trust.
In questa illustrazione il lavoro di distribuzione è suddiviso in cinque corsie di nuoto:
- Proteggere il lavoro remoto e ibrido : questo lavoro costituisce una base per la protezione delle identità e dei dispositivi.
- Prevenire o ridurre i danni aziendali causati da una violazione : la protezione dalle minacce offre monitoraggio e correzione in tempo reale delle minacce alla sicurezza. Defender for Cloud Apps fornisce l'individuazione di app SaaS, incluse le app per intelligenza artificiale, e consente di estendere la protezione dei dati a queste app.
- Identificare e proteggere i dati aziendali sensibili : le funzionalità di protezione dei dati forniscono controlli sofisticati destinati a tipi specifici di dati per proteggere le informazioni più preziose.
- Proteggere i dati e le app per l'intelligenza artificiale : proteggere rapidamente l'uso delle app per intelligenza artificiale da parte dell'organizzazione e i dati con cui interagiscono.
- Soddisfare i requisiti normativi e di conformità : comprendere e tenere traccia dei progressi verso il rispetto delle normative che interessano l'organizzazione.
Questo articolo presuppone l'uso dell'identità cloud. Se sono necessarie indicazioni per questo obiettivo, vedere Distribuire l'infrastruttura di identità per Microsoft 365.
Consiglio
Quando si conoscono i passaggi e il processo di distribuzione end-to-end, è possibile usare la guida alla distribuzione avanzata Configura il modello di sicurezza di Microsoft Zero Trust quando si accede al interfaccia di amministrazione di Microsoft 365. Questa guida illustra come applicare Zero Trust principi per i pilastri della tecnologia standard e avanzata. Per esaminare la guida senza accedere, passare al portale di installazione di Microsoft 365.
Corsia di nuoto 1 — Proteggere il lavoro remoto e ibrido
La protezione del lavoro remoto e ibrido comporta la configurazione della protezione dell'identità e dell'accesso ai dispositivi. Queste protezioni contribuiscono in modo esplicito alla verifica del principio di Zero Trust.
Eseguire il lavoro di protezione del lavoro remoto e ibrido in tre fasi.
Fase 1: implementare criteri di identità e accesso ai dispositivi del punto di partenza
Microsoft consiglia un set completo di criteri di accesso alle identità e ai dispositivi per Zero Trust in questa guida, Zero Trust configurazioni di identità e accesso ai dispositivi.
Nella fase 1, iniziare implementando il livello del punto iniziale. Questi criteri non richiedono la registrazione dei dispositivi nella gestione.
Passare a Zero Trust protezione dell'identità e dell'accesso ai dispositivi per istruzioni dettagliate. Questa serie di articoli descrive un set di configurazioni dei prerequisiti per l'identità e l'accesso ai dispositivi e un set di Microsoft Entra accesso condizionale, Microsoft Intune e altri criteri per proteggere l'accesso a Microsoft 365 per app e servizi cloud aziendali, altri servizi SaaS e applicazioni locali pubblicate con Microsoft Entra'applicazione procura.
| Include | Prerequisiti | Non include |
|---|---|---|
Criteri di identità e accesso ai dispositivi consigliati per tre livelli di protezione:
Indicazioni aggiuntive per:
|
Microsoft E3 o E5 Microsoft Entra ID in una di queste modalità:
|
Registrazione del dispositivo per i criteri che richiedono dispositivi gestiti. Vedere Gestire i dispositivi con Intune per registrare i dispositivi. |
Fase 2: registrare i dispositivi nella gestione con Intune
Registrare quindi i dispositivi nella gestione e iniziare a proteggerli con controlli più sofisticati.
Per indicazioni dettagliate sulla registrazione dei dispositivi nella gestione, vedere Gestire i dispositivi con Intune.
| Include | Prerequisiti | Non include |
|---|---|---|
Registrare i dispositivi con Intune:
Configurare i criteri:
|
Registrare gli endpoint con Microsoft Entra ID | Configurazione delle funzionalità di protezione delle informazioni, tra cui:
Per queste funzionalità, vedere Corsia di nuoto 3 - Identificare e proteggere i dati aziendali sensibili (più avanti in questo articolo). |
Per altre informazioni, vedere Zero Trust per Microsoft Intune.
Fase 3: Aggiungere Zero Trust protezione dell'identità e dell'accesso ai dispositivi: criteri aziendali
Con i dispositivi registrati nella gestione, è ora possibile implementare il set completo di criteri di identità e accesso ai dispositivi Zero Trust consigliati, che richiedono dispositivi conformi.
Tornare a Criteri comuni di identità e accesso ai dispositivi e aggiungere i criteri nel livello Enterprise.
Altre informazioni su come proteggere il lavoro remoto e ibrido nel framework di adozione Zero Trust- Proteggere il lavoro remoto e ibrido.
Corsia di nuoto 2 — Prevenire o ridurre i danni aziendali causati da una violazione
Microsoft Defender XDR è una soluzione XDR (Extended Detection and Response) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso provenienti dall'ambiente Microsoft 365, inclusi endpoint, posta elettronica, applicazioni e identità. Inoltre, Microsoft Defender for Cloud Apps consente alle organizzazioni di identificare e gestire l'accesso alle app SaaS, incluse le app GenAI.
Evitare o ridurre i danni aziendali causati da una violazione pilotando e distribuendo Microsoft Defender XDR.
Passare a Pilot and deploy Microsoft Defender XDR for a methodical guide to piloting and deploying Microsoft Defender XDR components (Guida metodica alla distribuzione e alla distribuzione di componenti Microsoft Defender XDR).
| Include | Prerequisiti | Non include |
|---|---|---|
| Configurare l'ambiente di valutazione e pilota per tutti i componenti: Protezione dalle minacce Analizzare e rispondere alle minacce |
Vedere le indicazioni per leggere i requisiti di architettura per ogni componente di Microsoft Defender XDR. | Microsoft Entra ID Protection non è incluso in questa guida alla soluzione. È incluso in Swim lane 1 — Secure remote and hybrid work (Corsia di nuoto 1 - Lavoro ibrido e remoto sicuro). |
Altre informazioni su come prevenire o ridurre i danni aziendali causati da una violazione nel framework di adozione Zero Trust - Prevenire o ridurre i danni aziendali causati da una violazione.
Corsia di nuoto 3 - Identificare e proteggere i dati aziendali sensibili
Implementare Microsoft Purview Information Protection per individuare, classificare e proteggere le informazioni sensibili ovunque si trovino o viaggino.
Microsoft Purview Information Protection funzionalità sono incluse in Microsoft Purview e offrono gli strumenti per conoscere i dati, proteggere i dati e prevenire la perdita di dati. È possibile iniziare questo lavoro in qualsiasi momento.
Microsoft Purview Information Protection offre un framework, un processo e funzionalità che è possibile usare per raggiungere obiettivi aziendali specifici.
Per altre informazioni su come pianificare e distribuire la protezione delle informazioni, vedere Distribuire una soluzione Microsoft Purview Information Protection.
Altre informazioni su come identificare e proteggere i dati aziendali sensibili nel framework di adozione Zero Trust: identificare e proteggere i dati aziendali sensibili.
Corsia di nuoto 4 - Proteggere i dati e le app per intelligenza artificiale
Microsoft 365 include funzionalità che consentono alle organizzazioni di proteggere rapidamente le app per intelligenza artificiale e i dati usati.
Per iniziare, usare Purview Gestione della postura di sicurezza dei dati (DSPM) per l'intelligenza artificiale. Questo strumento è incentrato sul modo in cui viene usata l'intelligenza artificiale nell'organizzazione, in particolare i dati sensibili che interagiscono con gli strumenti di intelligenza artificiale. DSPM per l'intelligenza artificiale fornisce informazioni più approfondite per microsoft copilot e applicazioni SaaS di terze parti, ad esempio ChatGPT Enterprise e Google Gemini.
Il diagramma seguente mostra una delle visualizzazioni aggregate sull'impatto dell'uso dell'intelligenza artificiale sui dati, ovvero interazioni sensibili per app di intelligenza artificiale generativa.
Usare DSPM per l'intelligenza artificiale per:
- Ottenere visibilità sull'utilizzo dell'IA, inclusi i dati sensibili.
- Esaminare le valutazioni dei dati per informazioni sulle lacune nella condivisione eccessiva che possono essere attenuate con i controlli di condivisione eccessiva di SharePoint.
- Individuare le lacune nella copertura dei criteri per le etichette di riservatezza e i criteri di prevenzione della perdita dei dati.
Defender for Cloud Apps è un altro potente strumento per individuare e gestire le app e l'utilizzo di SaaS GenAI. Defender for Cloud Apps include più di un migliaio di app generative correlate all'intelligenza artificiale nel catalogo, offrendo visibilità sul modo in cui le app di intelligenza artificiale generative vengono usate nell'organizzazione e consentendo di gestirle in modo sicuro.
Oltre a questi strumenti, Microsoft 365 offre un set completo di funzionalità per la protezione e la gestione dell'IA. Per informazioni su come iniziare a usare queste funzionalità , vedere Individuare, proteggere e gestire app e dati di intelligenza artificiale .
La tabella seguente elenca le funzionalità di Microsoft 365 con collegamenti ad altre informazioni nella libreria Sicurezza per intelligenza artificiale.
Corsia di nuoto 5 : soddisfare i requisiti normativi e di conformità
Indipendentemente dalla complessità dell'ambiente IT dell'organizzazione o dalle dimensioni dell'organizzazione, i nuovi requisiti normativi che potrebbero influire sull'azienda vengono continuamente aggiunti. Un approccio Zero Trust spesso supera alcuni tipi di requisiti imposti dalle normative di conformità, ad esempio quelli che controllano l'accesso ai dati personali. Le organizzazioni che hanno implementato un approccio Zero Trust potrebbero scoprire di soddisfare già alcune nuove condizioni o di poter facilmente basarsi sull'architettura Zero Trust per essere conformi.
Microsoft 365 include funzionalità per facilitare la conformità alle normative, tra cui:
- Compliance Manager
- Esplora contenuto
- Criteri di conservazione, etichette di riservatezza e criteri DLP
- Conformità delle comunicazioni
- Gestione del ciclo di vita dei dati
- Gestione dei rischi per la privacy Priva
Usare le risorse seguenti per soddisfare i requisiti normativi e di conformità.
| Risorsa | Ulteriori informazioni |
|---|---|
| Zero Trust framework di adozione: soddisfare i requisiti normativi e di conformità | Descrive un approccio metodico che l'organizzazione può seguire, tra cui la definizione di strategia, pianificazione, adozione e governance. |
| Gestire app e dati di intelligenza artificiale per la conformità alle normative | Risolve la conformità alle normative per le normative emergenti correlate all'intelligenza artificiale, incluse funzionalità specifiche che aiutano. |
| Gestire la privacy e la protezione dei dati con Microsoft Priva e Microsoft Purview | Valutare i rischi e intraprendere le azioni appropriate per proteggere i dati personali nell'ambiente dell'organizzazione usando Microsoft Priva e Microsoft Purview. |
Passaggi successivi
Per altre informazioni sui Zero Trust, visitare il centro indicazioni Zero Trust.