Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика
4 Данные
В этом разделе представлено руководство Microsoft и рекомендации по Zero Trust для Министерства обороны США в отношении данных. Дополнительные сведения см. в разделе Secure data with Zero Trust.
4.1 Выравнивание рисков каталога данных
Решения Microsoft Purview помогают обнаруживать, определять, управлять, защищать и обрабатывать данные по месту их нахождения. Microsoft Purview предоставляет три способа определения элементов, чтобы их можно было классифицировать. Элементы можно классифицировать вручную, с помощью автоматического распознавания шаблонов, как с типами конфиденциальной информации, так и с помощью машинного обучения.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
Анализ данных4.1.1Организации DoD обновляют каталоги служб и приложений с помощью классификаций данных. Теги данных также добавляются в каждую службу и приложение. Результат. Каталог служб обновляется с типами данных для каждого приложения и службы на основе уровней классификации данных. |
Microsoft Purview Просмотрите типы конфиденциальной информации в портале соответствия требованиям Microsoft Purview и определите особые типы конфиденциальной информации. - Пользовательские типы конфиденциальной информации в портале соответствия Purview Используйте обозреватель содержимого Purview или обозреватель действий для просмотра моментального снимка контента Microsoft 365 с метками и связанных действий пользователей. - Обозреватель содержимого - Обозреватель действий Microsoft Defender for Cloud Apps Интегрируйте Microsoft Purview Information Protection для применения меток конфиденциальности к данным, соответствующим политикам. Исследуйте потенциальные утечки конфиденциальных данных в облачных приложениях. - Интегрируйте защиту информации Каталог данных Microsoft Purview Просмотрите каталог данных Purview, чтобы исследовать данные в вашем информационном пространстве. - Каталог данных Purview |
4.2 Управление корпоративными данными DoD
Microsoft Purview Information Protection использует метки конфиденциальности. Вы можете создавать метки конфиденциальности, относящиеся к вашей организации, контролировать, какие метки видны пользователям, и определять область меток. Метки применяются к файлам, сообщениям электронной почты, собраниям, Microsoft Teams, сайтам SharePoint и т. д. Метки защищают содержимое с помощью шифрования, ограничения внешнего общего доступа и предотвращения потери данных.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.2.1 Определение стандартов тегирования данныхDoD Enterprise работает с организациями, чтобы установить стандарты тегирования и классификации данных на основе лучших отраслевых практик. Классификации согласованы и реализованы в процессах. Теги определяются вручную или автоматически для будущих действий. Результаты: - Разработаны стандарты корпоративной классификации данных и тегирования - Организации выравниваются с корпоративными стандартами и начинают реализацию |
Microsoft Purview Создание и публикация меток конфиденциальности в Microsoft Purview в соответствии с определенными вами стандартами тегирования. - Метки конфиденциальности и политики - Метки конфиденциальности в Microsoft 365 |
Target
4.2.2. Стандарты взаимодействияМинистерство обороны США (DoD Enterprise), сотрудничая с различными организациями, разрабатывает стандарты взаимодействия, которые интегрируют обязательные решения по управлению правами на данные (DRM) и защиты с необходимыми технологиями, чтобы обеспечить функциональность в целевых областях ZT. Результат: - Формальные стандарты применяются предприятием для соответствующих стандартов данных |
Azure Rights Management Используйте Azure RMS для управления правами на доступ к данным (DRM) и обеспечения совместимости защиты между организациями Министерства обороны, использующими службы Microsoft 365. - Azure RMS - Приложения, поддерживающие метки конфиденциальности |
Target
4.2.3 Разработка политики программно-определяемого хранилища (SDS)Предприятие Министерства обороны США в сотрудничестве с организациями разрабатывает политику и стандарты программно-определяемого хранилища (SDS) на основе лучших отраслевых практик. Организации DoD оценивают текущую стратегию хранения данных и технологию для реализации SDS. Где соответствующая технология хранения определена для реализации SDS. Результаты: - Определение необходимости внедрения инструмента SDS - Политика SDS создается на уровне предприятия и организационной структуры. |
SharePoint Online Используйте SharePoint Online и OneDrive for Business в качестве стандартного решения для разработки совместимого программного обеспечения на основе хранения данных (SDS). Ограничение доступа к конфиденциальным сайтам SharePoint Online и содержимому с помощью политик ограничений доступа к сайту. Запретите гостевой доступ к файлам при применении правил защиты от потери данных (DLP). - Ограничьте доступ к сайту только для участников группы - Запрет гостевого доступа к файлам с использованием правил DLP - Обеспечьте защиту гостевого доступа Microsoft Defender для облачных приложений Используйте Microsoft Defender для облачных приложений, чтобы заблокировать доступ к несанкционированным службам облачного хранения. - Управляйте выявленными приложениями |
4.3 Метка и теги данных
Microsoft Purview Information Protection автоматически классифицирует данные на основе определяемых типов конфиденциальной информации. Политики меток на уровне сервера и клиента гарантируют, что содержимое Microsoft 365, созданное вашими пользователями, правильно помечено и защищено.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.3.1 Реализация тегов и средствклассификации данныхОрганизации DoD используют корпоративный стандарт и требования для реализации решений по маркировке и классификации данных. Организации гарантируют, что будущие интеграции машинного обучения и искусственного интеллекта поддерживаются решениями с помощью корпоративных требований DoD. Результаты: - Средства классификации и тегирования данных должны включать интеграцию и/или поддержку машинного обучения (ML) - Средства классификации и тегирования данных реализуются на организационном и корпоративном уровнях |
Microsoft Purview Information Protection Использовать Microsoft Purview Information Protection для классификации данных на основе типов конфиденциальной информации и классификаторов, обученных машинным обучением (ML). - Sensitive data and Purview - Label policies |
Target
4.3.2 Ручное добавление тегов Pt1В соответствии с корпоративной политикой и стандартами классификации данных DoD, ручное добавление тегов начинается с использования базовых атрибутов уровня данных для достижения целевых функциональных возможностей ZT. Результат: - Ручная разметка данных начинается на корпоративном уровне с базовыми атрибутами |
Microsoft Purview Создание и публикация меток конфиденциальности в Microsoft Purview, в соответствии со стандартами тегов, которые вы определяете. См. руководство Microsoft в 4.2.1. Настройка политики меток, чтобы пользователи применяли метки конфиденциальности к электронной почте и документам. - Пользователи применяют метки к электронной почте и документам |
Advanced
4.3.3 Ручная разметка данных Pt2Атрибуты уровня данных Министерства обороны США, специфичные для организаций, интегрируются в процесс ручной разметки тегами. Предприятие DoD и организации совместно определяют, какие атрибуты необходимы для обеспечения расширенной функциональности ZTA. Атрибуты уровня данных для расширенных функциональных возможностей ZTA стандартизированы по всей организации и включены. Результат. - Добавление тегов данных вручную на уровне программы или организации с определенными атрибутами |
Microsoft Purview Изучите типы конфиденциальной информации на портале соблюдения требований Microsoft Purview. При необходимости определите пользовательские типы конфиденциальной информации. См. руководство майкрософт в версии 4.1.1. |
Advanced
4.3.4 Автоматическая маркировка данных и поддержка Pt1Организации DoD используют решения для защиты от потери данных, управления правами и (или) защиты для проведения сканирования репозиториев данных. Стандартизированные теги применяются к поддерживаемым репозиториям данных и типам данных. Идентифицируются неподдерживаемые репозитории данных и типы. Результат: - Базовая автоматизация начинается с сканирования репозиториев данных и применения тегов |
Microsoft Purview Information Protection Настройка меток на стороне клиента для файлов и сообщений электронной почты, созданных в приложениях Microsoft Office. - Автоматическое нанесение меток для приложений Office Настройка нанесения меток на стороне сервиса для содержимого, хранящегося в Office 365. - Политика автоматического нанесения меток для SharePoint, OneDrive и Exchange Применение меток конфиденциальности для контейнеров: сайты Microsoft Teams, группы Microsoft 365 и сайты SharePoint. - Метки конфиденциальности для Teams, Microsoft 365, групп и сайтов SharePoint Чтобы найти документы и сообщения электронной почты в вашей среде, сканируйте их для сопоставления данных в определенных типах конфиденциальной информации. - Сопоставление данных типов конфиденциальной информации Используйте дактилоскопию документов для поиска и меток содержимого, соответствующего шаблонам документов и стандартным формам. - Дактилоскопия документов Microsoft Purview Регистрируйте источники данных, сканируйте, принимайте и классифицируйте данные в портале управления Microsoft Purview. - Источники данных в Purview - Сканирование и прием - Классификация данных Microsoft Defender для облачных приложений Интегрируйте Purview Information Protection с помощью Defender для облачных приложений, чтобы автоматически применять метки конфиденциальности, обеспечивать применение политик шифрования и предотвращение потери данных. - Интеграция Information Protection - Применение меток конфиденциальности - Проверка контента DLP |
Advanced
4.3.5 Автоматизированная маркировка данных и поддержка Pt2Оставшиеся поддерживаемые репозитории данных имеют базовые и расширенные теги данных, которые применяются с помощью машинного обучения и искусственного интеллекта. Расширенные теги данных применяются к существующим репозиториям. Неподдерживаемые репозитории данных и типы данных оцениваются для вывода из эксплуатации с помощью метода на основе рисков. Утвержденные исключения используют методы ручной маркировки данных с владельцами данных и/или хранителями для управления процессом маркировки. Результаты. - Полная автоматизация тегов данных завершена . Результаты тегов данных передаются в алгоритмы машинного обучения. |
Microsoft Purview Information Protection Обучаемые классификаторы в Purview помогают распознавать содержимое с помощью машинного обучения (ML). Создание и обучение классификаторов с человечески отобранными и положительно подобранными примерами. - Обучаемые классификаторы |
4.4 Мониторинг и анализ данных
Политики предотвращения потери данных (DLP) Microsoft Purview предотвращают утечку данных из вашей организации. Политики защиты от потери данных можно применять к данным в покое, в использовании и в движении. Политики защиты от потери данных применяются, когда данные находятся в облачных службах, локальных общих папках, а также на устройствах Windows и macOS.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.4.1 Ведение журнала и анализточек защиты от потери данныхОрганизации DoD определяют точки защиты от потери данных (DLP), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений. Результаты: - Определены точки принудительного применения - Стандартизированная схема ведения журнала применяется на уровне предприятия и организации. |
Microsoft Purview Предотвращение потери данных Создавайте политики DLP (предотвращения потери данных) в соответствии с требованиями Purview. Обеспечение принудительного применения защиты от потери данных для приложений Microsoft 365, Windows, конечных точек macOS, а также облачных приложений, не относящихся к Microsoft. - Plan for DLP - Design DLP policy - Действия журнала аудита - Схема API управления действиями Office 365 Microsoft Defender for Cloud Apps Интеграция Purview Information Protection с Microsoft Defender для облачных приложений для автоматического применения меток конфиденциальности, применения политик шифрования и предотвращения потери данных. См. руководство Microsoft в 4.3.4. |
Target
4.4.2 Ведение журнала и анализаточек принудительного применения DRMОрганизации DoD определяют точки применения прав на доступ к данным (DRM), такие как определенные службы и конечные точки пользователей. Используя установленный стандарт реагирования на инциденты кибербезопасности DoD Enterprise, организации DoD обеспечивают сбор соответствующих сведений о данных. Кроме того, варианты использования защиты, обнаружения и реагирования разрабатываются для улучшения охвата решений. Результаты: - Определены точки применения. Стандартизированная схема ведения журнала применяется на уровне предприятия и организации. |
Microsoft Purview Information Protection Точки реализации управления правами на данные Purview (DRM) включают Microsoft 365 и сторонние приложения и службы, интегрированные с набором средств разработки Microsoft Information Protection (MIP SDK), онлайн-приложения и полноценные клиенты. - Защитите конфиденциальные данные - Ограничьте доступ к контенту с помощью меток конфиденциальности - MIP SDK - Шифрование в Microsoft 365 Microsoft Defender для облачных приложений Интегрируйте Purview Information Protection с Defender для облачных приложений для автоматического применения меток конфиденциальности, обеспечения выполнения политик шифрования и предотвращения утраты данных. См. руководство Майкрософт в 4.3.4. |
Target
4.4.3 Мониторинг активности файлов Pt1Организации DoD используют средства мониторинга файлов для мониторинга наиболее критически важных уровней классификации данных в приложениях, службах и репозиториях. Аналитика от мониторинга предоставляется в SIEM с основными атрибутами данных для выполнения функций ZT Target. Результаты: - Данные и файлы критической классификации активно отслеживаются . Базовая интеграция выполняется с системой мониторинга, такой как SIEM |
Microsoft Purview Data Loss Prevention Оповещения DLP появляются в Microsoft Defender XDR. Действие файла о создании, маркировке, печати и совместном доступе находится в Едином журнале аудита и в обозревателе действий на портале соответствия Microsoft Purview. - DLP оповещения - Обозреватель действий - Экспортируйте, настройте и просмотрите записи журнала аудита Microsoft Defender XDR и Microsoft Sentinel Интеграция Microsoft Defender XDR с Microsoft Sentinel для просмотра и расследования оповещений о защите от потери данных (DLP) в системе управления корпоративными инцидентами безопасности и событиями (СУИБС). - Интеграция инструментов СУИБС - Соединитель защиты информации для Sentinel - Подключение данных Defender XDR к Sentinel - Расследования DLP |
Target
4.4.4 Мониторинг активности файлов Pt2Организации DoD используют средства мониторинга файлов для мониторинга всех защищенных нормативных данных (например, CUI, PII, PHI и т. д.) в приложениях, службах и репозиториях. Расширенная интеграция используется для отправки данных соответствующим решениям между элементами, таким как защита от потери данных, управление правами на доступ к данным и защита пользователей и аналитика поведения сущностей. Результаты: - Данные и файлы всех регулируемых классификаций активно отслеживаются . Расширенная интеграция выполняется соответствующим образом для дальнейшего управления рисками. |
Microsoft Sentinel Определите необходимые метки конфиденциальности и настройте пользовательские правила аналитики Sentinel. Создайте инцидент, когда срабатывают оповещения DLP для критически важных событий с файлами. Критические события файлов включают в себя обнаружение конфиденциальной информации, нарушение политики и другие подозрительные операции. - Интуитивные правила аналитики для обнаружения угроз - реагирование на угрозы с помощью сценариев |
Advanced
Мониторинг активностибазы данных 4.4.5Организации DoD предоставляют, реализуют и используют решения для мониторинга всех баз данных, содержащих регулируемые типы данных (CUI, PII, PHI и т. д.). Журналы и аналитика из решения мониторинга базы данных передаются в SIEM для мониторинга и реагирования. Аналитика направляется в такие взаимосвязанные процессы, как «Профиль безопасности предприятия» и «Доступ в режиме реального времени», для более точного направления принятия решений. Outcomes: - Соответствующая база данных активно отслеживается - Технология мониторинга интегрирована с такими решениями, как SIEM, PDP и динамические механизмы Access Control |
Microsoft Defender для SQL Defender для SQL защищает базы данных в Azure и других облаках. - Defender для SQL - Оповещения безопасности Microsoft Sentinel Подключите Microsoft Defender for Cloud и соединители данных Microsoft Defender XDR к Sentinel. - Подключенные облачные оповещения Defender для Sentinel - Подключение Defender XDR к Sentinel Условный доступ Требуйте контекст проверки подлинности для конфиденциальных сайтов SharePoint и защиты входа в Azure SQL Database с помощью условного доступа. - Метки конфиденциальности - Контекст аутентификации - Условный доступ с Azure SQL Database и Azure Synapse Analytics |
Advanced
4.4.6 Комплексный мониторинг активности данныхОрганизации DoD расширяют мониторинг репозиториев данных, включая базы данных, на основе методического подхода к оценке рисков. Дополнительные атрибуты данных для удовлетворения функциональных возможностей ZT Advanced интегрируются в аналитику для дополнительных интеграции. Результаты: - Механизмы мониторинга активности данных интегрированы для обеспечения единого представления мониторинга между репозиториями данных. Соответствующие интеграции существуют с такими решениями, как SIEM и PDP. |
Microsoft Graph API Используйте журналы действий Microsoft Graph для создания аудиторского следа запросов, полученных службой Microsoft Graph и обработанных арендатором. - Журналы действий Microsoft Purview Карта данных Настройте Purview Карту данных для сканирования на наличие конфиденциальных файлов в хранилище данных организации. - Управление источниками данных Microsoft Sentinel Для интеграции с системой управления сведениями о безопасности и событиями (SIEM), настройте соединители данных Sentinel для Microsoft Defender for Cloud, Microsoft Defender XDR и Purview. Смотрите руководство от Microsoft в разделе 4.4.5. Conditional Access Обнаружение необычного доступа к файлам, найденного Microsoft Defender XDR, повышает уровень риска пользователя. Риск пользователя — это условие условного доступа, точка принятия решений политики (PDP) для Microsoft Entra ID. Определите контекст проверки подлинности для условного доступа с условием отсутствия риска пользователя. Защита помеченных сайтов SharePoint; требовать контекста проверки подлинности условного доступа. |
4.5 Шифрование данных и управление правами
Службы Microsoft 365 шифруют данные в состоянии покоя и во время передачи. Microsoft Purview ограничивает доступ к содержимому в соответствии с политикой шифрования меток конфиденциальности. Purview выполняет задачу с другим уровнем шифрования для электронной почты и файлов.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.5.1 Реализация средств DRM и защиты Pt1Организации DoD закупать и реализовывать решения DRM и защиты по мере необходимости в соответствии со стандартом и требованиями DoD Enterprise. Недавно внедренные решения DRM и защиты применяются к репозиториям данных с высоким уровнем риска, используя защиту на целевом уровне ZTA. Результат: - DRM и средства защиты включены для репозиториев данных с высоким риском с базовыми средствами защиты |
Шифрование Microsoft 365 Microsoft 365 имеет базовое шифрование на уровне тома Windows с помощью функции безопасности BitLocker и распределенного диспетчера ключей (DKM). - Понимание шифрования Microsoft Purview Используйте политики меток для автоматического применения более надежного шифрования для данных высокого риска в Microsoft 365, на основе меток конфиденциальности. - Ограничьте доступ к содержимому с метками конфиденциальности - Шифрование электронной почты в Microsoft 365 Microsoft Defender для облачных приложений Интегрируйте Microsoft Purview Information Protection с Microsoft Defender для облачных приложений для автоматического применения меток конфиденциальности, обеспечения применения политик шифрования и предотвращения утечки данных. См. руководство Microsoft в 4.3.4. Azure Policy Используйте Azure Policy для обеспечения использования безопасной версии транспортного уровня безопасности (TLS), реализуйте шифрование прозрачных данных (TDE) и требуйте его применения с ключами, управляемыми клиентами, для шифрования данных в состоянии покоя. - Определения Azure Policy для базы данных Azure SQL и SQL Managed Instance |
Target
4.5.2 Реализация DRM и средств защиты Pt2Расширяется покрытие DRM и защиты, чтобы охватывать все репозитории данных, находящиеся в области охвата. Ключи шифрования автоматически управляются в соответствии с лучшими практиками (например, FIPS). Расширенные атрибуты защиты данных реализуются на основе классификации среды. Результат: - Средства защиты и DRM включены для всех возможных репозиториев. |
Azure Key Vault Используйте управляемый модулем безопасности Azure Key Vault (Azure Key Vault HSM) для защиты криптографических ключей приложения с помощью модуля безопасности, сертифицированного по стандарту FIPS 140-2 уровня 3. - Azure Key Vault Managed HSM Microsoft Purview Customer Key Microsoft 365 предоставляет уровень шифрования для вашего содержимого с Customer Key. - Service encryption Ключ клиента Azure Information Protection Azure Information Protection поддерживает созданные Майкрософт корневые ключи клиента и предоставляет возможность использовать собственный ключ (BYOK). - Ключ клиента - Двойное шифрование ключей - BYOK |
Target
4.5.3 Принудительное применение DRM с помощью тегов данных и аналитики Часть 1Решения для управления правами на данные (DRM) и защиты интегрируются с базовыми тегами данных, определенными стандартом DoD Enterprise. Исходные репозитории данных отслеживаются и поддерживают действия защиты и реагирования. Данные в состоянии покоя зашифрованы в репозиториях. Результаты: - Теги данных интегрируются с DRM, и отслеживаемые репозитории расширяются - На основе тегов данных, данные шифруются в состоянии покоя. |
|
Advanced
4.5.4 Принудительное применение DRM с помощью тегов данных и аналитики Часть 2Расширенные репозитории данных защищены с помощью решений DRM и защиты. Организации DoD реализуют расширенные теги данных, применяемые на уровне организаций, в отличие от обязательного внедрения на уровне всего предприятия. Данные шифруются в расширенных репозиториях с помощью дополнительных тегов. Результаты: - Все применимые репозитории данных защищены с помощью DRM - Данные шифруются с помощью расширенных тегов данных с уровней организации |
шифрование Azure Azure использует шифрование для данных в состоянии покоя и при передаче. - Azure шифрование Azure Policy Включите Azure Policy для защиты баз данных Azure SQL См. руководство Microsoft 4.5.1. Conditional Access Используйте политики условного доступа для пользователей, подключающихся к Azure SQL. См. руководство Microsoft в 4.4.5. |
Advanced
4.5.5 Принудительное применение DRM с помощью тегов данных и аналитики Часть 3Решения по DRM и защите интегрируются с инструментами искусственного интеллекта и машинного обучения для шифрования, управления правами и выполнения функций защиты. Результаты. - Аналитика из ML/AI интегрирована с DRM, чтобы лучше автоматизировать защиту шифрования. Защита шифрования интегрирована с ИИ/ML и обновленные методы шифрования используются по мере необходимости. |
- Контекст проверки подлинности См. руководство Microsoft в разделе . |
4.6 Защита от потери данных (DLP)
Политики предотвращения потери данных (DLP) Microsoft Purview предотвращают утечку данных из вашей организации. Политики защиты от потери данных можно применять к данным в покое, в использовании и в движении. Политики защиты от потери данных применяются, когда данные находятся в облачных службах, локальных общих папках, а также на устройствах Windows и macOS.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.6.1 Реализация точек контроля выполненияРешение защиты от потери данных (DLP) развертывается в соответствующих точках контроля. Решение для предотвращения потери данных установлено в режиме "только мониторинг" и/или "обучение", что ограничивает влияние. Результаты решения защиты от потери данных анализируются и политика настраивается для управления рисками на приемлемый уровень. Результат: - Определенные точки контроля развертывают средство защиты от потери данных и настраивают для режима мониторинга с ведением стандартного журнала |
Microsoft Purview Защита от потери данных Microsoft 365 приложения и конечные точки Windows применяют политики защиты от потери данных. Настройте политики в режиме моделирования DLP. - План для защиты от потери данных - Режим моделирования DLP Создайте политики в DLP. Задайте состояние политики для тестирования или тестирования с помощью советов по политике. Задайте действия политики на Аудит или Блокировать с переопределением. - Развертывание политики DLP Адаптация устройств с Windows 10, 11 и macOS для защиты данных конечных точек (Endpoint DLP) - Endpoint DLP Развертывание сканера Microsoft Purview Information Protection. Пометка и выполнение политик DLP для содержимого в локальных базах данных SQL, общих папках, сетевых хранилищах (NAS) и библиотеках документов SharePoint Server. - DLP в локальных репозиториях - Сканер защиты информации Microsoft Purview предотвращение потери данных Интегрируйте Microsoft Purview Information Protection с Defender для облачных приложений для автоматического применения меток конфиденциальности, выполнения политик шифрования и предотвращения потери данных. Смотрите руководство Microsoft в 4.3.4. Conditional Access Контроль доступа к Office 365 и другим приложениям, интегрированным с Microsoft Entra. Используйте режим только отчетов, чтобы отслеживать результат до включения политик с блокировкой предоставления доступа. - Сборка политики - Режим только отчетов - Политики сеанса: мониторинг всех |
Target
4.6.2 Применение DLP через теги данных и аналитику. Часть 1Решение по предотвращению потери данных (DLP) обновляется с режима только мониторинга до режима предотвращения. Базовые теги данных используются для решения защиты от потери данных, а схема ведения журнала интегрирована. Результат: - Принудительное применение точек, чтобы предотвратить интеграцию схемы ведения журнала и классификации сред вручную. |
Microsoft Purview Защита от потери данных Создавайте политики DLP в тестовом режиме. Измените состояние на "Вкл.", чтобы включить режим принудительного применения. Если задать действия политики на значение Block, действие пользователя, которое активирует защиту от потери данных, предотвращается политикой. - Действия в политиках защиты от потери данных Включите защиту JIT для обеспечения защиты от потери данных конечной точки для файлов, созданных на автономных устройствах. - Автономные устройства Microsoft Defender для облачных приложений Включите проверку содержимого в Defender для облачных приложений. - Проверка содержимого DLP Условный доступ После тестирования включите политики условного доступа, которые применяют элементы управления сеансами, или используйте управление доступом к блокировке. Чтобы избежать блокировки арендатора, исключите учетные записи аварийного доступа. - Учетные записи аварийного доступа см. руководство Microsoft в разделе 4.6.1. |
Advanced
4.6.3 Применение DLP с помощью тегов данных и аналитики, Часть 2Решение по защите от потери данных (DLP) обновляется, чтобы включить расширенные теги данных на основе параллельных автоматизированных действий. Результат: - Точки принудительного применения имеют расширенные атрибуты тега данных, применяемые для дополнительной защиты |
Microsoft Purview Information Protection Определите пользовательские типы конфиденциальной информации. Создание меток и политик предотвращения потери данных. См. руководство майкрософт в версии 4.1.1. |
Advanced
4.6.4 Применение DLP с помощью тегов данных и аналитики, часть 3Решение для предотвращения потери данных (DLP) интегрировано с методами автоматизированного добавления тегов для включения любых отсутствующих точек применения и тегов. Результат. - Автоматические атрибуты тегов интегрируются с DLP и результирующей метрики используются для машинного обучения. |
4.7 Управление доступом к данным
службы Microsoft 365 и Azure Storage интегрированы с Microsoft Entra ID для авторизации на основе удостоверений. Microsoft Entra ID поддерживает управление доступом на основе ролей (RBAC) и управление доступом на основе атрибутов (ABAC).
Microsoft Entra роли и группы безопасности предоставляют организациям управление доступом на основе ролей. Динамические группы безопасности используют атрибуты, определенные для объектов пользователей, групп и устройств для определения членства на основе расширенных выражений и наборов правил.
Microsoft Entra ID управление доступом на основе атрибутов использует настраиваемые атрибуты безопасности, которые являются бизнес-атрибутами, которые можно определить и назначить объектам Microsoft Entra. Пользовательские атрибуты безопасности хранят конфиденциальную информацию. Доступ к просмотру или изменению настраиваемых атрибутов безопасности ограничен ролями администратора атрибутов.
| Описание и результат действия DoD | Рекомендации и советы Майкрософт |
|---|---|
Target
4.7.1 Интеграция доступа DAAS с политикой SDS (Часть 1)Используя политику SDS Министерства обороны, разрабатывается политика DAAS организации с учетом предполагаемой интеграции. Руководство по реализации SDS разработано организациями DoD из-за особенностей среды. Итоги: - Разработана атрибутивная детализированная политика DAAS с поддержкой на уровне предприятия и организации - Разработан план интеграции SDS для поддержки политики DAAS. |
Microsoft Entra ID Реализуйте политики на основе атрибутов данных, ресурсов, приложений и сервисов (DAAS) с Microsoft Entra ID, используя такие механизмы, как управление доступом на основе атрибутов Azure (Azure ABAC), пользовательская фильтрация атрибутов безопасности для приложений и динамические группы безопасности. - Управление на основе атрибутов Пользовательские атрибуты безопасности Определите пользовательские атрибуты безопасности и назначьте значения пользователям. Настройте условия назначения для ролей Azure в рамках Azure ABAC. В настоящее время эта функция доступна в предварительной версии для разрешений учетной записи Azure Storage. - Azure ABAC - Управление доступом к пользовательским атрибутам безопасности - Управление атрибутами с делегированием Использование настраиваемых атрибутов безопасности для детальной динамической авторизации приложений. Назначение настраиваемых атрибутов безопасности и использование фильтров атрибутов (предварительная версия) для приложений в политиках условного доступа. - Управление пользовательскими атрибутами безопасности приложений Динамические группы безопасности Используйте динамические группы безопасности, чтобы назначать доступ к ресурсам, поддерживающим группы Microsoft Entra ID, для предоставления разрешений. К ним относятся группы ролей Microsoft 365, роли приложений Microsoft Entra ID, роли для Azure и назначения для приложений. Политики условного доступа используют динамические группы и применяют уровни авторизации для пользователей с различными значениями атрибутов. - Правила членства в динамических группах - генерируют утверждения на основе условий |
Advanced
4.7.2 Интеграция доступа DAAS с политикой SDS, часть 2Организации DoD осуществляют политику DAAS в автоматическом режиме. Результат: - Политика DAAS на основе атрибутов, реализованная в автоматизированном режиме |
Microsoft Graph API Автоматизируйте конфигурацию политик условного доступа, настраиваемых атрибутов безопасности, динамических групп безопасности и других функций Microsoft Entra ID с помощью Microsoft Graph API. |
Advanced
4.7.3 Интеграция доступа к DAAS с политикой SDS, часть 3Недавно реализованные технологии и/или функциональные возможности SDS интегрируются в политику DAAS на основе оценки рисков. Поэтапный подход следует применять во время внедрения для оценки результатов и соответствующей их корректировки. Результаты: - SDS интегрирована с функциональностью политики DAAS. Все данные во всех приложениях защищены с помощью детальной политики DAAS на основе атрибутов. |
Microsoft Defender for Cloud Apps Интегрируйте Microsoft Purview и Defender для облачных приложений. Создание политик файлов для применения автоматизированных процессов с помощью API поставщика облачных служб. - Integrate Information Protection - File policies |
Target
4.7.4 Интеграция решения и политики с корпоративным IdP, Часть 1Организации Министерства обороны разрабатывают план интеграции, используя политику и технологии/функциональность SDS с решением корпоративного поставщика удостоверений (IdP). Результат. План интеграции между SDS и доверенным поставщиком удостоверений разработан для поддержки существующего доступа DAAS |
Microsoft Entra ID Microsoft 365 службы хранилища, такие как SharePoint Online и OneDrive for Business интегрированы с Microsoft Entra ID. Настройка служб Azure Storage для интеграции с Microsoft Entra ID для идентификационной авторизации запросов к объектам Blob, файлам, очередям и службам таблиц. - Microsoft Entra ID - Authorize Azure Storage В галерее приложений интегрируйте программно-определенные решения хранилища (SDS) с Microsoft Entra ID. - Application gallery |
Advanced
4.7.5 Интеграция решений и политики с Корпоративным поставщиком удостоверений (IdP) Pt2Недавно реализованные технологии SDS и/или функциональные возможности интегрированы с корпоративным поставщиком удостоверений (IdP) в соответствии с планом интеграции. Атрибуты идентификации, необходимые для обеспечения возможностей ZT Target, требуются для интеграции. Результат: — Полная интеграция с инструментами Enterprise IDP и SDS для обеспечения тонкого управления доступом DAAS на основе атрибутов |
Выполните действия 4.7.1 и 4.7.4. |
Advanced
4.7.6 Реализация инструмента SDS и (или) интеграция с решением DRM Pt1В зависимости от необходимости инструмента программно-определяемого хранилища, новое решение реализуется либо идентифицируется существующее решение, соответствующее требованиям функциональности, для интеграции с решениями DLP, DRM/Protection и машинного обучения. Результат: — Если требуется инструмент, убедитесь, что поддерживаются интеграции с DLP, DRM и инструментами машинного обучения. |
Microsoft Purview Microsoft Purview управление информационной защитой, DRM и Microsoft Purview защита от потери данных, DLP, нативно интегрированы с клиентами Office и службами Microsoft 365. Интеграции встроены и не требуют дополнительного развертывания. - Обзор Purview Используйте пакет SDK Microsoft Information Protection (SDK MIP) для создания пользовательских инструментов для применения меток и защиты к файлам. См. руководство Microsoft в разделе 4.4.2. |
Advanced
4.7.7 Реализация средства SDS и/или интеграция с инструментом DRM Pt2Организации DoD настраивают функциональные возможности SDS и/или решение для интеграции с базовой инфраструктурой DLP и DRM/Protection соответствующим образом. Интеграция с более низким уровнем обеспечивает более эффективную защиту и реагирование. Результат. Интеграция инфраструктуры SDS с существующей инфраструктурой защиты от потери данных и управления правами на цифровой контент |
Microsoft 365 и Microsoft Purview Microsoft Purview защищает содержимое Microsoft 365 с помощью защиты от потери данных (DLP) и управления правами на доступ к данным (DRM) без дополнительной инфраструктуры. - Защита конфиденциальных данных |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии doD Zero Trust: