Стратегия doD Zero Trust для основной базы данных

Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

4 Данные

В этом разделе представлено руководство Microsoft и рекомендации по Zero Trust для Министерства обороны США в отношении данных. Дополнительные сведения см. в разделе Secure data with Zero Trust.

4.1 Выравнивание рисков каталога данных

Решения Microsoft Purview помогают обнаруживать, определять, управлять, защищать и обрабатывать данные по месту их нахождения. Microsoft Purview предоставляет три способа определения элементов, чтобы их можно было классифицировать. Элементы можно классифицировать вручную, с помощью автоматического распознавания шаблонов, как с типами конфиденциальной информации, так и с помощью машинного обучения.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target Анализ данных
4.1.1Организации DoD обновляют каталоги служб и приложений с помощью классификаций данных. Теги данных также добавляются в каждую службу и приложение.

Результат.
Каталог служб обновляется с типами данных для каждого приложения и службы на основе уровней классификации данных.
Microsoft Purview
Просмотрите типы конфиденциальной информации в портале соответствия требованиям Microsoft Purview и определите особые типы конфиденциальной информации.
- Пользовательские типы конфиденциальной информации в портале соответствия Purview

Используйте обозреватель содержимого Purview или обозреватель действий для просмотра моментального снимка контента Microsoft 365 с метками и связанных действий пользователей.
- Обозреватель содержимого
- Обозреватель действий

Microsoft Defender for Cloud Apps
Интегрируйте Microsoft Purview Information Protection для применения меток конфиденциальности к данным, соответствующим политикам. Исследуйте потенциальные утечки конфиденциальных данных в облачных приложениях.
- Интегрируйте защиту информации

Каталог данных Microsoft Purview
Просмотрите каталог данных Purview, чтобы исследовать данные в вашем информационном пространстве.
- Каталог данных Purview

4.2 Управление корпоративными данными DoD

Microsoft Purview Information Protection использует метки конфиденциальности. Вы можете создавать метки конфиденциальности, относящиеся к вашей организации, контролировать, какие метки видны пользователям, и определять область меток. Метки применяются к файлам, сообщениям электронной почты, собраниям, Microsoft Teams, сайтам SharePoint и т. д. Метки защищают содержимое с помощью шифрования, ограничения внешнего общего доступа и предотвращения потери данных.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.2.1 Определение стандартов тегирования данных
DoD Enterprise работает с организациями, чтобы установить стандарты тегирования и классификации данных на основе лучших отраслевых практик. Классификации согласованы и реализованы в процессах. Теги определяются вручную или автоматически для будущих действий.

Результаты:
- Разработаны стандарты корпоративной классификации данных и тегирования
- Организации выравниваются с корпоративными стандартами и начинают реализацию

Microsoft Purview
Создание и публикация меток конфиденциальности в Microsoft Purview в соответствии с определенными вами стандартами тегирования.
- Метки конфиденциальности и политики
- Метки конфиденциальности в Microsoft 365
Target 4.2.2. Стандарты взаимодействия
Министерство обороны США (DoD Enterprise), сотрудничая с различными организациями, разрабатывает стандарты взаимодействия, которые интегрируют обязательные решения по управлению правами на данные (DRM) и защиты с необходимыми технологиями, чтобы обеспечить функциональность в целевых областях ZT.

Результат:
- Формальные стандарты применяются предприятием для соответствующих стандартов данных

Azure Rights Management
Используйте Azure RMS для управления правами на доступ к данным (DRM) и обеспечения совместимости защиты между организациями Министерства обороны, использующими службы Microsoft 365.
- Azure RMS
- Приложения, поддерживающие метки конфиденциальности
Target 4.2.3 Разработка политики программно-определяемого хранилища (SDS)
Предприятие Министерства обороны США в сотрудничестве с организациями разрабатывает политику и стандарты программно-определяемого хранилища (SDS) на основе лучших отраслевых практик. Организации DoD оценивают текущую стратегию хранения данных и технологию для реализации SDS. Где соответствующая технология хранения определена для реализации SDS.

Результаты:
- Определение необходимости внедрения инструмента SDS
- Политика SDS создается на уровне предприятия и организационной структуры.
SharePoint Online
Используйте SharePoint Online и OneDrive for Business в качестве стандартного решения для разработки совместимого программного обеспечения на основе хранения данных (SDS). Ограничение доступа к конфиденциальным сайтам SharePoint Online и содержимому с помощью политик ограничений доступа к сайту. Запретите гостевой доступ к файлам при применении правил защиты от потери данных (DLP).
- Ограничьте доступ к сайту только для участников группы
- Запрет гостевого доступа к файлам с использованием правил DLP
- Обеспечьте защиту гостевого доступа

Microsoft Defender для облачных приложений
Используйте Microsoft Defender для облачных приложений, чтобы заблокировать доступ к несанкционированным службам облачного хранения.
- Управляйте выявленными приложениями

4.3 Метка и теги данных

Microsoft Purview Information Protection автоматически классифицирует данные на основе определяемых типов конфиденциальной информации. Политики меток на уровне сервера и клиента гарантируют, что содержимое Microsoft 365, созданное вашими пользователями, правильно помечено и защищено.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.3.1 Реализация тегов и средств
классификации данныхОрганизации DoD используют корпоративный стандарт и требования для реализации решений по маркировке и классификации данных. Организации гарантируют, что будущие интеграции машинного обучения и искусственного интеллекта поддерживаются решениями с помощью корпоративных требований DoD.

Результаты:
- Средства классификации и тегирования данных должны включать интеграцию и/или поддержку машинного обучения (ML)
- Средства классификации и тегирования данных реализуются на организационном и корпоративном уровнях

Microsoft Purview Information Protection
Использовать Microsoft Purview Information Protection для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением (ML).
- Sensitive data and Purview
- Label policies
Target 4.3.2 Ручное добавление тегов Pt1
В соответствии с корпоративной политикой и стандартами классификации данных DoD, ручное добавление тегов начинается с использования базовых атрибутов уровня данных для достижения целевых функциональных возможностей ZT.

Результат:
- Ручная разметка данных начинается на корпоративном уровне с базовыми атрибутами
Microsoft Purview
Создание и публикация меток конфиденциальности в Microsoft Purview, в соответствии со стандартами тегов, которые вы определяете.

См. руководство Microsoft в 4.2.1.

Настройка политики меток, чтобы пользователи применяли метки конфиденциальности к электронной почте и документам.
- Пользователи применяют метки к электронной почте и документам
Advanced 4.3.3 Ручная разметка данных Pt2
Атрибуты уровня данных Министерства обороны США, специфичные для организаций, интегрируются в процесс ручной разметки тегами. Предприятие DoD и организации совместно определяют, какие атрибуты необходимы для обеспечения расширенной функциональности ZTA. Атрибуты уровня данных для расширенных функциональных возможностей ZTA стандартизированы по всей организации и включены.

Результат.
- Добавление тегов данных вручную на уровне программы или организации с определенными атрибутами

Microsoft Purview
Изучите типы конфиденциальной информации на портале соблюдения требований Microsoft Purview. При необходимости определите пользовательские типы конфиденциальной информации.

См. руководство майкрософт в версии 4.1.1.
Advanced 4.3.4 Автоматическая маркировка данных и поддержка Pt1
Организации DoD используют решения для защиты от потери данных, управления правами и (или) защиты для проведения сканирования репозиториев данных. Стандартизированные теги применяются к поддерживаемым репозиториям данных и типам данных. Идентифицируются неподдерживаемые репозитории данных и типы.

Результат:
- Базовая автоматизация начинается с сканирования репозиториев данных и применения тегов
Microsoft Purview Information Protection
Настройка меток на стороне клиента для файлов и сообщений электронной почты, созданных в приложениях Microsoft Office.
- Автоматическое нанесение меток для приложений Office

Настройка нанесения меток на стороне сервиса для содержимого, хранящегося в Office 365.
- Политика автоматического нанесения меток для SharePoint, OneDrive и Exchange

Применение меток конфиденциальности для контейнеров: сайты Microsoft Teams, группы Microsoft 365 и сайты SharePoint.
- Метки конфиденциальности для Teams, Microsoft 365, групп и сайтов SharePoint

Чтобы найти документы и сообщения электронной почты в вашей среде, сканируйте их для сопоставления данных в определенных типах конфиденциальной информации.
- Сопоставление данных типов конфиденциальной информации

Используйте дактилоскопию документов для поиска и меток содержимого, соответствующего шаблонам документов и стандартным формам.
- Дактилоскопия документов

Microsoft Purview
Регистрируйте источники данных, сканируйте, принимайте и классифицируйте данные в портале управления Microsoft Purview.
- Источники данных в Purview
- Сканирование и прием
- Классификация данных

Microsoft Defender для облачных приложений
Интегрируйте Purview Information Protection с помощью Defender для облачных приложений, чтобы автоматически применять метки конфиденциальности, обеспечивать применение политик шифрования и предотвращение потери данных.
- Интеграция Information Protection
- Применение меток конфиденциальности
- Проверка контента DLP
Advanced 4.3.5 Автоматизированная маркировка данных и поддержка Pt2
Оставшиеся поддерживаемые репозитории данных имеют базовые и расширенные теги данных, которые применяются с помощью машинного обучения и искусственного интеллекта. Расширенные теги данных применяются к существующим репозиториям. Неподдерживаемые репозитории данных и типы данных оцениваются для вывода из эксплуатации с помощью метода на основе рисков. Утвержденные исключения используют методы ручной маркировки данных с владельцами данных и/или хранителями для управления процессом маркировки.

Результаты.
- Полная автоматизация тегов данных завершена
. Результаты тегов данных передаются в алгоритмы машинного обучения.

Microsoft Purview Information Protection
Обучаемые классификаторы в Purview помогают распознавать содержимое с помощью машинного обучения (ML). Создание и обучение классификаторов с человечески отобранными и положительно подобранными примерами.
- Обучаемые классификаторы

4.4 Мониторинг и анализ данных

Политики предотвращения потери данных (DLP) Microsoft Purview предотвращают утечку данных из вашей организации. Политики защиты от потери данных можно применять к данным в покое, в использовании и в движении. Политики защиты от потери данных применяются, когда данные находятся в облачных службах, локальных общих папках, а также на устройствах Windows и macOS.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.4.1 Ведение журнала и анализ
точек защиты от потери данныхОрганизации DoD определяют точки защиты от потери данных (DLP), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений.

Результаты:
- Определены точки принудительного применения
- Стандартизированная схема ведения журнала применяется на уровне предприятия и организации.
Microsoft Purview Предотвращение потери данных
Создавайте политики DLP (предотвращения потери данных) в соответствии с требованиями Purview. Обеспечение принудительного применения защиты от потери данных для приложений Microsoft 365, Windows, конечных точек macOS, а также облачных приложений, не относящихся к Microsoft.
- Plan for DLP
- Design DLP policy
- Действия журнала аудита
- Схема API управления действиями Office 365

Microsoft Defender for Cloud Apps
Интеграция Purview Information Protection с Microsoft Defender для облачных приложений для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных.

См. руководство Microsoft в 4.3.4.

Target 4.4.2 Ведение журнала и анализа
точек принудительного применения DRMОрганизации DoD определяют точки применения прав на доступ к данным (DRM), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений.

Результаты:
- Определены точки применения.
Стандартизированная схема ведения журнала применяется на уровне предприятия и организации.

Microsoft Purview Information Protection
Точки реализации управления правами на данные Purview (DRM) включают Microsoft 365 и сторонние приложения и службы, интегрированные с набором средств разработки Microsoft Information Protection (MIP SDK), онлайн-приложения и полноценные клиенты.
- Защитите конфиденциальные данные
- Ограничьте доступ к контенту с помощью меток конфиденциальности
- MIP SDK
- Шифрование в Microsoft 365

Microsoft Defender для облачных приложений
Интегрируйте Purview Information Protection с Defender для облачных приложений для автоматического применения меток конфиденциальности, обеспечения выполнения политик шифрования и предотвращения утраты данных.

См. руководство Майкрософт в 4.3.4.

Target 4.4.3 Мониторинг активности файлов Pt1
Организации DoD используют средства мониторинга файлов для мониторинга наиболее критически важных уровней классификации данных в приложениях, службах и репозиториях. Аналитика от мониторинга предоставляется в SIEM с основными атрибутами данных для выполнения функций ZT Target.

Результаты:
- Данные и файлы критической классификации активно отслеживаются
. Базовая интеграция выполняется с системой мониторинга, такой как SIEM
Microsoft Purview Data Loss Prevention
Оповещения DLP появляются в Microsoft Defender XDR. Действие файла о создании, маркировке, печати и совместном доступе находится в Едином журнале аудита и в обозревателе действий на портале соответствия Microsoft Purview.
- DLP оповещения
- Обозреватель действий
- Экспортируйте, настройте и просмотрите записи журнала аудита

Microsoft Defender XDR и Microsoft Sentinel
Интеграция Microsoft Defender XDR с Microsoft Sentinel для просмотра и расследования оповещений о защите от потери данных (DLP) в системе управления корпоративными инцидентами безопасности и событиями (СУИБС).
- Интеграция инструментов СУИБС
- Соединитель защиты информации для Sentinel
- Подключение данных Defender XDR к Sentinel
- Расследования DLP

Target 4.4.4 Мониторинг активности файлов Pt2
Организации DoD используют средства мониторинга файлов для мониторинга всех защищенных нормативных данных (например, CUI, PII, PHI и т. д.) в приложениях, службах и репозиториях. Расширенная интеграция используется для отправки данных соответствующим решениям между элементами, таким как защита от потери данных, управление правами на доступ к данным и защита пользователей и аналитика поведения сущностей.

Результаты:
- Данные и файлы всех регулируемых классификаций активно отслеживаются
. Расширенная интеграция выполняется соответствующим образом для дальнейшего управления рисками.

Microsoft Sentinel
Определите необходимые метки конфиденциальности и настройте пользовательские правила аналитики Sentinel. Создайте инцидент, когда срабатывают оповещения DLP для критически важных событий с файлами. Критические события файлов включают в себя обнаружение конфиденциальной информации, нарушение политики и другие подозрительные операции.
- Интуитивные правила аналитики для обнаружения угроз
- реагирование на угрозы с помощью сценариев
Advanced Мониторинг активности
базы данных 4.4.5Организации DoD предоставляют, реализуют и используют решения для мониторинга всех баз данных, содержащих регулируемые типы данных (CUI, PII, PHI и т. д.). Журналы и аналитика из решения мониторинга базы данных передаются в SIEM для мониторинга и реагирования. Аналитика направляется в такие взаимосвязанные процессы, как «Профиль безопасности предприятия» и «Доступ в режиме реального времени», для более точного направления принятия решений.

Outcomes:
- Соответствующая база данных активно отслеживается
- Технология мониторинга интегрирована с такими решениями, как SIEM, PDP и динамические механизмы Access Control
Microsoft Defender для SQL
Defender для SQL защищает базы данных в Azure и других облаках.
- Defender для SQL
- Оповещения безопасности

Microsoft Sentinel
Подключите Microsoft Defender for Cloud и соединители данных Microsoft Defender XDR к Sentinel.
- Подключенные облачные оповещения Defender для Sentinel
- Подключение Defender XDR к Sentinel

Условный доступ
Требуйте контекст проверки подлинности для конфиденциальных сайтов SharePoint и защиты входа в Azure SQL Database с помощью условного доступа.
- Метки конфиденциальности
- Контекст аутентификации
- Условный доступ с Azure SQL Database и Azure Synapse Analytics

Advanced 4.4.6 Комплексный мониторинг активности данных
Организации DoD расширяют мониторинг репозиториев данных, включая базы данных, на основе методического подхода к оценке рисков. Дополнительные атрибуты данных для удовлетворения функциональных возможностей ZT Advanced интегрируются в аналитику для дополнительных интеграции.

Результаты:
- Механизмы мониторинга активности данных интегрированы для обеспечения единого представления мониторинга между репозиториями
данных. Соответствующие интеграции существуют с такими решениями, как SIEM и PDP.
Microsoft Graph API
Используйте журналы действий Microsoft Graph для создания аудиторского следа запросов, полученных службой Microsoft Graph и обработанных арендатором.
- Журналы действий

Microsoft Purview Карта данных
Настройте Purview Карту данных для сканирования на наличие конфиденциальных файлов в хранилище данных организации.
- Управление источниками данных

Microsoft Sentinel
Для интеграции с системой управления сведениями о безопасности и событиями (SIEM), настройте соединители данных Sentinel для Microsoft Defender for Cloud, Microsoft Defender XDR и Purview.

Смотрите руководство от Microsoft в разделе 4.4.5.

Conditional Access
Обнаружение необычного доступа к файлам, найденного Microsoft Defender XDR, повышает уровень риска пользователя. Риск пользователя — это условие условного доступа, точка принятия решений политики (PDP) для Microsoft Entra ID. Определите контекст проверки подлинности для условного доступа с условием отсутствия риска пользователя. Защита помеченных сайтов SharePoint; требовать контекста проверки подлинности условного доступа.Обнаружение рисковНеобычный доступ к файлам

4.5 Шифрование данных и управление правами

Службы Microsoft 365 шифруют данные в состоянии покоя и во время передачи. Microsoft Purview ограничивает доступ к содержимому в соответствии с политикой шифрования меток конфиденциальности. Purview выполняет задачу с другим уровнем шифрования для электронной почты и файлов.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.5.1 Реализация средств DRM и защиты Pt1
Организации DoD закупать и реализовывать решения DRM и защиты по мере необходимости в соответствии со стандартом и требованиями DoD Enterprise. Недавно внедренные решения DRM и защиты применяются к репозиториям данных с высоким уровнем риска, используя защиту на целевом уровне ZTA.

Результат:
- DRM и средства защиты включены для репозиториев данных с высоким риском с базовыми средствами защиты
Шифрование Microsoft 365
Microsoft 365 имеет базовое шифрование на уровне тома Windows с помощью функции безопасности BitLocker и распределенного диспетчера ключей (DKM).
- Понимание шифрования

Microsoft Purview
Используйте политики меток для автоматического применения более надежного шифрования для данных высокого риска в Microsoft 365, на основе меток конфиденциальности.
- Ограничьте доступ к содержимому с метками конфиденциальности
- Шифрование электронной почты в Microsoft 365

Microsoft Defender для облачных приложений
Интегрируйте Microsoft Purview Information Protection с Microsoft Defender для облачных приложений для автоматического применения меток конфиденциальности, обеспечения применения политик шифрования и предотвращения утечки данных.

См. руководство Microsoft в 4.3.4.

Azure Policy
Используйте Azure Policy для обеспечения использования безопасной версии транспортного уровня безопасности (TLS), реализуйте шифрование прозрачных данных (TDE) и требуйте его применения с ключами, управляемыми клиентами, для шифрования данных в состоянии покоя.
- Определения Azure Policy для базы данных Azure SQL и SQL Managed Instance

Target 4.5.2 Реализация DRM и средств защиты Pt2
Расширяется покрытие DRM и защиты, чтобы охватывать все репозитории данных, находящиеся в области охвата. Ключи шифрования автоматически управляются в соответствии с лучшими практиками (например, FIPS). Расширенные атрибуты защиты данных реализуются на основе классификации среды.

Результат:
- Средства защиты и DRM включены для всех возможных репозиториев.
Azure Key Vault
Используйте управляемый модулем безопасности Azure Key Vault (Azure Key Vault HSM) для защиты криптографических ключей приложения с помощью модуля безопасности, сертифицированного по стандарту FIPS 140-2 уровня 3.
- Azure Key Vault Managed HSM

Microsoft Purview Customer Key
Microsoft 365 предоставляет уровень шифрования для вашего содержимого с Customer Key.
- Service encryption

Ключ клиента Azure Information Protection
Azure Information Protection поддерживает созданные Майкрософт корневые ключи клиента и предоставляет возможность использовать собственный ключ (BYOK).
- Ключ клиента
- Двойное шифрование ключей
- BYOK

Target 4.5.3 Принудительное применение DRM с помощью тегов данных и аналитики Часть 1
Решения для управления правами на данные (DRM) и защиты интегрируются с базовыми тегами данных, определенными стандартом DoD Enterprise. Исходные репозитории данных отслеживаются и поддерживают действия защиты и реагирования. Данные в состоянии покоя зашифрованы в репозиториях.

Результаты:
- Теги данных интегрируются с DRM, и отслеживаемые репозитории расширяются
- На основе тегов данных, данные шифруются в состоянии покоя.
Microsoft Purview Information Protection Используйте политики меток для автоматического применения дополнительного шифрования Microsoft 365 для данных с высоким риском на основе меток конфиденциальности.Ограничьте доступ к контенту с помощью меток конфиденциальностиШифрование Microsoft 365Microsoft 365 имеет базовое шифрование на уровне тома с помощью BitLocker и распределенного диспетчера ключей (DKM).См. руководство Microsoft 4.5.1.
Advanced 4.5.4 Принудительное применение DRM с помощью тегов данных и аналитики Часть 2
Расширенные репозитории данных защищены с помощью решений DRM и защиты. Организации DoD реализуют расширенные теги данных, применяемые на уровне организаций, в отличие от обязательного внедрения на уровне всего предприятия. Данные шифруются в расширенных репозиториях с помощью дополнительных тегов.

Результаты:
- Все применимые репозитории данных защищены с помощью DRM
- Данные шифруются с помощью расширенных тегов данных с уровней организации
шифрование Azure
Azure использует шифрование для данных в состоянии покоя и при передаче.
- Azure шифрование

Azure Policy
Включите Azure Policy для защиты баз данных Azure SQL

См. руководство Microsoft 4.5.1.

Conditional Access
Используйте политики условного доступа для пользователей, подключающихся к Azure SQL.

См. руководство Microsoft в 4.4.5.

Advanced 4.5.5 Принудительное применение DRM с помощью тегов данных и аналитики Часть 3
Решения по DRM и защите интегрируются с инструментами искусственного интеллекта и машинного обучения для шифрования, управления правами и выполнения функций защиты.

Результаты.
- Аналитика из ML/AI интегрирована с DRM, чтобы лучше автоматизировать
защиту шифрования. Защита шифрования интегрирована с ИИ/ML и обновленные методы шифрования используются по мере необходимости.
Microsoft Purview Information Protection Используйте Microsoft Purview Information Protection для классификации данных на основе типов конфиденциальной информации и обученных машинным обучением (ML) классификаторов. См. руководство Майкрософт в 4.3.5.Azure Machine LearningAzure Machine Learning и Azure OpenAI Service используют сервисы Azure Storage и Azure Compute, которые шифруют данные.Шифрование данныхШифрование данных Azure OpenAI в состоянии покояConditional Access Определите контекст аутентификации с использованием сигналов риска защиты идентификации. Требовать контекст проверки подлинности для помеченных сайтов SharePoint и пользовательских приложений.
- Контекст проверки подлинности
См. руководство Microsoft в разделе
.

4.6 Защита от потери данных (DLP)

Политики предотвращения потери данных (DLP) Microsoft Purview предотвращают утечку данных из вашей организации. Политики защиты от потери данных можно применять к данным в покое, в использовании и в движении. Политики защиты от потери данных применяются, когда данные находятся в облачных службах, локальных общих папках, а также на устройствах Windows и macOS.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.6.1 Реализация точек контроля выполнения
Решение защиты от потери данных (DLP) развертывается в соответствующих точках контроля. Решение для предотвращения потери данных установлено в режиме "только мониторинг" и/или "обучение", что ограничивает влияние. Результаты решения защиты от потери данных анализируются и политика настраивается для управления рисками на приемлемый уровень.

Результат:
- Определенные точки контроля развертывают средство защиты от потери данных и настраивают для режима мониторинга с ведением стандартного журнала
Microsoft Purview Защита от потери данных
Microsoft 365 приложения и конечные точки Windows применяют политики защиты от потери данных. Настройте политики в режиме моделирования DLP.
- План для защиты от потери данных
- Режим моделирования DLP

Создайте политики в DLP. Задайте состояние политики для тестирования или тестирования с помощью советов по политике. Задайте действия политики на Аудит или Блокировать с переопределением.
- Развертывание политики DLP

Адаптация устройств с Windows 10, 11 и macOS для защиты данных конечных точек (Endpoint DLP)
- Endpoint DLP

Развертывание сканера Microsoft Purview Information Protection. Пометка и выполнение политик DLP для содержимого в локальных базах данных SQL, общих папках, сетевых хранилищах (NAS) и библиотеках документов SharePoint Server.
- DLP в локальных репозиториях
- Сканер защиты информации

Microsoft Purview предотвращение потери данных
Интегрируйте Microsoft Purview Information Protection с Defender для облачных приложений для автоматического применения меток конфиденциальности, выполнения политик шифрования и предотвращения потери данных.

Смотрите руководство Microsoft в 4.3.4.

Conditional Access
Контроль доступа к Office 365 и другим приложениям, интегрированным с Microsoft Entra. Используйте режим только отчетов, чтобы отслеживать результат до включения политик с блокировкой предоставления доступа.
- Сборка политики
- Режим только отчетов
- Политики сеанса: мониторинг всех

Target 4.6.2 Применение DLP через теги данных и аналитику. Часть 1
Решение по предотвращению потери данных (DLP) обновляется с режима только мониторинга до режима предотвращения. Базовые теги данных используются для решения защиты от потери данных, а схема ведения журнала интегрирована.

Результат:
- Принудительное применение точек, чтобы предотвратить интеграцию схемы ведения журнала и классификации сред вручную.
Microsoft Purview Защита от потери данных
Создавайте политики DLP в тестовом режиме. Измените состояние на "Вкл.", чтобы включить режим принудительного применения. Если задать действия политики на значение Block, действие пользователя, которое активирует защиту от потери данных, предотвращается политикой.
- Действия в политиках защиты от потери данных

Включите защиту JIT для обеспечения защиты от потери данных конечной точки для файлов, созданных на автономных устройствах.
- Автономные устройства

Microsoft Defender для облачных приложений
Включите проверку содержимого в Defender для облачных приложений.
- Проверка содержимого DLP

Условный доступ
После тестирования включите политики условного доступа, которые применяют элементы управления сеансами, или используйте управление доступом к блокировке. Чтобы избежать блокировки арендатора, исключите учетные записи аварийного доступа.
- Учетные записи аварийного доступа

см. руководство Microsoft в разделе 4.6.1.

Advanced 4.6.3 Применение DLP с помощью тегов данных и аналитики, Часть 2
Решение по защите от потери данных (DLP) обновляется, чтобы включить расширенные теги данных на основе параллельных автоматизированных действий.

Результат:
- Точки принудительного применения имеют расширенные атрибуты тега данных, применяемые для дополнительной защиты

Microsoft Purview Information Protection
Определите пользовательские типы конфиденциальной информации. Создание меток и политик предотвращения потери данных.

См. руководство майкрософт в версии 4.1.1.

Advanced 4.6.4 Применение DLP с помощью тегов данных и аналитики, часть 3
Решение для предотвращения потери данных (DLP) интегрировано с методами автоматизированного добавления тегов для включения любых отсутствующих точек применения и тегов.

Результат.
- Автоматические атрибуты тегов интегрируются с DLP и результирующей метрики используются для машинного обучения.

Microsoft Purview Information Protection Используйте Microsoft Purview Information Protection для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением (ML). См. руководство Майкрософт в 4.3.5.

4.7 Управление доступом к данным

службы Microsoft 365 и Azure Storage интегрированы с Microsoft Entra ID для авторизации на основе удостоверений. Microsoft Entra ID поддерживает управление доступом на основе ролей (RBAC) и управление доступом на основе атрибутов (ABAC).

Microsoft Entra роли и группы безопасности предоставляют организациям управление доступом на основе ролей. Динамические группы безопасности используют атрибуты, определенные для объектов пользователей, групп и устройств для определения членства на основе расширенных выражений и наборов правил.

Microsoft Entra ID управление доступом на основе атрибутов использует настраиваемые атрибуты безопасности, которые являются бизнес-атрибутами, которые можно определить и назначить объектам Microsoft Entra. Пользовательские атрибуты безопасности хранят конфиденциальную информацию. Доступ к просмотру или изменению настраиваемых атрибутов безопасности ограничен ролями администратора атрибутов.

Описание и результат действия DoD Рекомендации и советы Майкрософт
Target 4.7.1 Интеграция доступа DAAS с политикой SDS (Часть 1)
Используя политику SDS Министерства обороны, разрабатывается политика DAAS организации с учетом предполагаемой интеграции. Руководство по реализации SDS разработано организациями DoD из-за особенностей среды.

Итоги:
- Разработана атрибутивная детализированная политика DAAS с поддержкой на уровне предприятия и организации
- Разработан план интеграции SDS для поддержки политики DAAS.
Microsoft Entra ID
Реализуйте политики на основе атрибутов данных, ресурсов, приложений и сервисов (DAAS) с Microsoft Entra ID, используя такие механизмы, как управление доступом на основе атрибутов Azure (Azure ABAC), пользовательская фильтрация атрибутов безопасности для приложений и динамические группы безопасности.
- Управление на основе атрибутов

Пользовательские атрибуты безопасности
Определите пользовательские атрибуты безопасности и назначьте значения пользователям. Настройте условия назначения для ролей Azure в рамках Azure ABAC. В настоящее время эта функция доступна в предварительной версии для разрешений учетной записи Azure Storage.
- Azure ABAC
- Управление доступом к пользовательским атрибутам безопасности
- Управление атрибутами с делегированием

Использование настраиваемых атрибутов безопасности для детальной динамической авторизации приложений. Назначение настраиваемых атрибутов безопасности и использование фильтров атрибутов (предварительная версия) для приложений в политиках условного доступа.
- Управление пользовательскими атрибутами безопасности приложений

Динамические группы безопасности
Используйте динамические группы безопасности, чтобы назначать доступ к ресурсам, поддерживающим группы Microsoft Entra ID, для предоставления разрешений. К ним относятся группы ролей Microsoft 365, роли приложений Microsoft Entra ID, роли для Azure и назначения для приложений. Политики условного доступа используют динамические группы и применяют уровни авторизации для пользователей с различными значениями атрибутов.
- Правила членства в динамических группах
- генерируют утверждения на основе условий

Advanced 4.7.2 Интеграция доступа DAAS с политикой SDS, часть 2
Организации DoD осуществляют политику DAAS в автоматическом режиме.

Результат:
- Политика DAAS на основе атрибутов, реализованная в автоматизированном режиме

Microsoft Graph API
Автоматизируйте конфигурацию политик условного доступа, настраиваемых атрибутов безопасности, динамических групп безопасности и других функций Microsoft Entra ID с помощью Microsoft Graph API.

Advanced 4.7.3 Интеграция доступа к DAAS с политикой SDS, часть 3
Недавно реализованные технологии и/или функциональные возможности SDS интегрируются в политику DAAS на основе оценки рисков. Поэтапный подход следует применять во время внедрения для оценки результатов и соответствующей их корректировки.

Результаты:
- SDS интегрирована с функциональностью
политики DAAS. Все данные во всех приложениях защищены с помощью детальной политики DAAS на основе атрибутов.

Microsoft Defender for Cloud Apps
Интегрируйте Microsoft Purview и Defender для облачных приложений. Создание политик файлов для применения автоматизированных процессов с помощью API поставщика облачных служб.
- Integrate Information Protection
- File policies
Target 4.7.4 Интеграция решения и политики с корпоративным IdP, Часть 1
Организации Министерства обороны разрабатывают план интеграции, используя политику и технологии/функциональность SDS с решением корпоративного поставщика удостоверений (IdP).

Результат.
План интеграции между SDS и доверенным поставщиком удостоверений разработан для поддержки существующего доступа DAAS
Microsoft Entra ID
Microsoft 365 службы хранилища, такие как SharePoint Online и OneDrive for Business интегрированы с Microsoft Entra ID. Настройка служб Azure Storage для интеграции с Microsoft Entra ID для идентификационной авторизации запросов к объектам Blob, файлам, очередям и службам таблиц.
- Microsoft Entra ID
- Authorize Azure Storage

В галерее приложений интегрируйте программно-определенные решения хранилища (SDS) с Microsoft Entra ID.
- Application gallery

Advanced 4.7.5 Интеграция решений и политики с Корпоративным поставщиком удостоверений (IdP) Pt2
Недавно реализованные технологии SDS и/или функциональные возможности интегрированы с корпоративным поставщиком удостоверений (IdP) в соответствии с планом интеграции. Атрибуты идентификации, необходимые для обеспечения возможностей ZT Target, требуются для интеграции.

Результат:
— Полная интеграция с инструментами Enterprise IDP и SDS для обеспечения тонкого управления доступом DAAS на основе атрибутов

Выполните действия 4.7.1 и 4.7.4.
Advanced 4.7.6 Реализация инструмента SDS и (или) интеграция с решением DRM Pt1
В зависимости от необходимости инструмента программно-определяемого хранилища, новое решение реализуется либо идентифицируется существующее решение, соответствующее требованиям функциональности, для интеграции с решениями DLP, DRM/Protection и машинного обучения.

Результат:
— Если требуется инструмент, убедитесь, что поддерживаются интеграции с DLP, DRM и инструментами машинного обучения.

Microsoft Purview
Microsoft Purview управление информационной защитой, DRM и Microsoft Purview защита от потери данных, DLP, нативно интегрированы с клиентами Office и службами Microsoft 365. Интеграции встроены и не требуют дополнительного развертывания.
- Обзор Purview

Используйте пакет SDK Microsoft Information Protection (SDK MIP) для создания пользовательских инструментов для применения меток и защиты к файлам.

См. руководство Microsoft в разделе 4.4.2.

Advanced 4.7.7 Реализация средства SDS и/или интеграция с инструментом DRM Pt2
Организации DoD настраивают функциональные возможности SDS и/или решение для интеграции с базовой инфраструктурой DLP и DRM/Protection соответствующим образом. Интеграция с более низким уровнем обеспечивает более эффективную защиту и реагирование.

Результат.
Интеграция инфраструктуры SDS с существующей инфраструктурой защиты от потери данных и управления правами на цифровой контент

Microsoft 365 и Microsoft Purview
Microsoft Purview защищает содержимое Microsoft 365 с помощью защиты от потери данных (DLP) и управления правами на доступ к данным (DRM) без дополнительной инфраструктуры.
- Защита конфиденциальных данных

Следующие шаги

Настройте облачные службы Майкрософт для стратегии doD Zero Trust: