Zero Trust-Strategie des US-amerikanischen Verteidigungsministeriums für die Datensäule
Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Einführung
- Benutzer
- Device
- Anwendungen und Workloads
- Daten
- Network
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
4 Daten
Dieser Abschnitt enthält Leitfäden und Empfehlungen von Microsoft für DoD-Zero Trust-Aktivitäten der Datensäule. Weitere Informationen finden Sie unter Schützen von Daten mit Zero Trust.
4.1 Risikoausrichtung des Datenkatalogs
Microsoft Purview-Lösungen helfen Ihnen, Daten dort zu ermitteln, zu identifizieren, zu steuern, zu schützen und zu verwalten, wo sie sich befinden. Microsoft Purview bietet drei Funktionen zum Identifizieren von Elementen, damit diese klassifiziert werden können. Elemente können manuell durch Benutzer und Benutzerinnen, über die automatisierte Mustererkennung, wie bei vertraulichen Informationstypen, und über maschinelles Lernen klassifiziert werden.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.1.1 DatenanalyseDoD-Organisationen aktualisieren die Dienst- und Anwendungskataloge mit Datenklassifizierungen. Außerdem wird jeder Dienst und jede Anwendung mit Datentags versehen. Ergebnis: - Der Dienstkatalog wird basierend auf Datenklassifizierungsebenen mit Datentypen für jede Anwendung und jeden Dienst aktualisiert. |
Microsoft Purview Machen Sie sich mit Typen vertraulicher Informationen im Microsoft Purview-Complianceportal vertraut, und definieren Sie benutzerdefinierte Typen vertraulicher Informationen. - Benutzerdefinierte Typen vertraulicher Informationen Verwenden Sie den Inhalts- oder Aktivitäts-Explorer von Purview, um eine Momentaufnahme bezeichneter Microsoft 365-Inhalte zu betrachten und zugeordnete Benutzeraktivitäten anzuzeigen. - Inhalts-Explorer - Aktivitäts-Explorer Microsoft Defender for Cloud Apps Integrieren Sie Microsoft Purview Information Protection, um Vertraulichkeitsbezeichnungen auf Daten anzuwenden, die Richtlinien entsprechen. Untersuchen Sie potenzielle Offenlegungen vertraulicher Daten in verschiedenen Cloudanwendungen. - Integrieren von Information Protection Microsoft Purview-Datenkatalog Durchsuchen Sie den Purview-Datenkatalog, um die Daten in Ihrem Datenbestand zu untersuchen. - Purview-Datenkatalog |
4.2 DoD-Governance für Unternehmensdaten
Microsoft Purview Information Protection verwendet Vertraulichkeitsbezeichnungen. Sie können Vertraulichkeitsbezeichnungen erstellen, die für Ihre Organisation relevant sind, sowie steuern, welche Bezeichnungen für Benutzer sichtbar sind, und den Bezeichnungsbereich definieren. Legen Sie den Bezeichnungsbereich auf Dateien, E-Mails, Besprechungen, Microsoft Teams, SharePoint-Sites und Ähnliches fest. Bezeichnungen schützen Inhalte durch Verschlüsselung, beschränken die externe Weitergabe und verhindern Datenverluste.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.2.1 Definieren von Standards für die Kennzeichnung von DatenDas DoD-Unternehmen arbeitet mit Organisationen zusammen, um Kennzeichnungs- und Klassifizierungsstandards für Daten auf der Grundlage bewährter Branchenmethoden einzurichten. Klassifizierungen werden vereinbart und in Prozessen implementiert. Tags werden für zukünftige Aktivitäten als manuell und automatisiert identifiziert. Ergebnisse: - Klassifizierungs- und Kennzeichnungsstandards für Unternehmensdaten werden entwickelt. - Organisationen orientieren sich an Unternehmensstandards und beginnen mit der Implementierung. |
Microsoft Purview Erstellen und veröffentlichen Sie Vertraulichkeitsbezeichnungen in Microsoft Purview gemäß den von Ihnen definierten Kennzeichnungsstandards für Daten. - Vertraulichkeitsbezeichnungen und Richtlinien - Vertraulichkeitsbezeichnungen in Microsoft 365 |
Target4.2.2 InteroperabilitätsstandardsDas DoD-Unternehmen entwickelt in Zusammenarbeit mit den Organisationen Interoperabilitätsstandards, die obligatorische DRM-Lösungen (Data Rights Management) und Schutzlösungen mit erforderlichen Technologien integrieren, um Zero-Trust-Zielfunktionen zu ermöglichen. Ergebnis: - Vom Unternehmen werden formale Standards für die entsprechenden Datenstandards vorgegeben. |
Azure Rights Management Verwenden Sie Azure RMS, um übergreifende Interoperabilität für die Verwaltung von Datenrechten (Data Rights Management, DRM) und den Schutz in DoD-Entitäten zu erreichen, die mit Microsoft 365-Diensten zusammenarbeiten. - Azure RMS - Apps, die Vertraulichkeitsbezeichnungen unterstützen |
Target4.2.3 Entwickeln einer SDS-Richtlinie (Software-Defined Storage; softwaredefinierter Speicher)Das DoD-Unternehmen richtet in Zusammenarbeit mit Organisationen eine SDS-Richtlinie und Standards auf der Grundlage der branchenüblichen Best Practices ein. DoD-Organisationen bewerten die aktuelle Datenspeicherstrategie und -technologie für die SDS-Implementierung. Gegebenenfalls wird eine geeignete Speichertechnologie für die SDS-Implementierung identifiziert. Ergebnisse: - Es wird ermittelt, ob die Implementierung eines SDS-Tools erforderlich ist. - Eine Richtlinie für SDS wird auf Unternehmens- und Organisationsebene erstellt. |
SharePoint Online Verwenden Sie SharePoint Online und OneDrive for Business als standardmäßige interoperable SDS-Lösung. Schränken Sie den Zugriff auf vertrauliche SharePoint Online-Sites und -Inhalte mithilfe von Richtlinien zum Einschränken des Sitezugriffs ein. Verhindern Sie den Gastzugriff auf Dateien, wenn Regeln zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) angewendet werden. - Einschränken des Sitezugriffs auf Gruppenmitglieder - Verhindern des Gastzugriffs auf Dateien mit DLP-Regeln - sichere Gastfreigabe Microsoft Defender for Cloud Apps Verwenden Sie Defender for Cloud Apps, um den Zugriff auf nicht autorisierte Cloudspeicherdienste zu blockieren. - Steuern entdeckter Apps |
4.3 Datenbeschriftung und -tagging
Microsoft Purview Information Protection klassifiziert Daten automatisch basierend auf von Ihnen definierten Typen vertraulicher Informationen. Richtlinien für die dienst- und clientseitige Beschriftung stellen sicher, dass von Ihren Benutzern erstellte Microsoft 365-Inhalte beschriftet und geschützt werden.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.3.1 Implementieren von Tools für Kennzeichnung und Klassifizierung von DatenDoD-Organisationen nutzen den Unternehmensstandard sowie Anforderungen, um Lösungen für die Kennzeichnung und Klassifizierung von Daten zu implementieren. Organisationen stellen sicher, dass zukünftige ML- und KI-Integrationen durch Lösungen über DoD-Unternehmensanforderungen unterstützt werden. Ergebnisse: - Eine Anforderung von Tools für die Klassifizierung und Kennzeichnung von Daten muss die Integration und/oder Unterstützung von Machine Learning (ML) beinhalten. - Tools für die Klassifizierung und Kennzeichnung von Daten werden auf Organisations- und Unternehmensebene implementiert. |
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf Typen vertraulicher Informationen sowie basierend auf Klassifizierern, die durch maschinelles Lernen (ML) trainiert wurden, zu klassifizieren. - Vertraulichen Daten und Purview - Bezeichnungsrichtlinien |
Target4.3.2 Manuelle Kennzeichnung von Daten, Teil 1Die manuelle Kennzeichnung beginnt mit grundlegenden Attributen auf Datenebene, um Zero-Trust-Zielfunktionen zu entsprechen. Dabei werden die Richtlinie und die Standards des DoD-Unternehmens für die Kennzeichnung und Klassifizierung von Daten verwendet. Ergebnis: - Die manuelle Kennzeichnung von Daten beginnt auf der Unternehmensebene mit grundlegenden Attributen. |
Microsoft Purview Erstellen und veröffentlichen Sie Vertraulichkeitsbezeichnungen in Microsoft Purview gemäß den von Ihnen definierten Standards für die Kennzeichnung von Daten. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.2.1. Konfigurieren Sie eine Beschriftungsrichtlinie, die dafür sorgt, dass Benutzer und Benutzerinnen Vertraulichkeitsbezeichnungen auf E-Mails und Dokumente anwenden. - Benutzer und Benutzerinnen wenden Bezeichnungen auf E-Mails und Dokumente an. |
Advanced4.3.3 Manuelle Kennzeichnung von Daten, Teil 2Spezifische Attribute auf Datenebene für die DoD-Organisation werden in die manuelle Kennzeichnung von Daten integriert. DoD-Unternehmen und Organisationen entscheiden gemeinsam, welche Attribute erforderlich sind, um den erweiterten ZTA-Funktionen zu entsprechen. Attribute auf Datenebene für erweiterte ZTA-Funktionen werden unternehmensweit standardisiert und integriert. Ergebnis: - Die manuelle Kennzeichnung von Daten wird mit spezifischen Attributen auf die Programm-/Organisationsebene erweitert. |
Microsoft Purview Machen Sie sich mit den Typen vertraulicher Informationen im Microsoft Purview-Complianceportal vertraut. Definieren Sie nach Bedarf benutzerdefinierte Typen vertraulicher Informationen. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.1.1. |
Advanced4.3.4 Automatisierte Kennzeichnung von Daten und Unterstützung, Teil 1DoD-Organisationen nutzen die Verhinderung von Datenverlust, die Rechteverwaltung und/oder Schutzlösungen, um Datenrepositorys zu überprüfen. Standardisierte Tags werden auf unterstützte Datenrepositorys und -typen angewendet. Nicht unterstützte Datenrepositorys und -typen werden identifiziert. Ergebnis: - Die grundlegende Automatisierung beginnt mit dem Scannen von Datenrepositorys und dem Anwenden von Tags. |
Microsoft Purview Information Protection Konfigurieren Sie die clientseitige Beschriftung für Dateien und E-Mails, die in Microsoft Office-Anwendungen erstellt werden. - Automatische Beschriftung für Office-Apps Konfigurieren Sie die dienstseitige Beschriftung für in Office 365 gespeicherte Inhalte. - Automatische Beschriftung für SharePoint, OneDrive und Exchange Wenden Sie Vertraulichkeitsbezeichnungen auf Container an: Microsoft Teams-Sites, Microsoft 365-Gruppen und SharePoint-Sites. - Vertraulichkeitsbezeichnungen für Teams, Microsoft 365-Gruppen und SharePoint-Sites Durchsuchen Sie Ihre Umgebung nach Daten, die Werten in definierten Typen vertraulicher Informationen entsprechen, um Dokumente und E-Mails in Ihrer Umgebung zu finden. - Abgleichen von Typen vertraulicher Informationen mit Daten Verwenden Sie Dokumentfingerabdrücke, um Inhalte zu finden und zu beschriften, die Dokumentvorlagen und Standardformularen entsprechen. - Erstellen von Dokumentfingerabdrücken Microsoft Purview Registrieren Sie Datenquellen, und scannen, erfassen und klassifizieren Sie Daten im Microsoft Purview-Governanceportal. - Datenquellen in Purview - Scans and Erfassung - Datenklassifizierung Microsoft Defender for Cloud Apps Integrieren Sie Purview Information Protection in Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverlust zu verhindern. - Integrieren von Information Protection - Anwenden von Vertraulichkeitsbezeichnungen - Untersuchung von DLP-Inhalten |
Advanced4.3.5 Automatisierte Kennzeichnung von Daten und Unterstützung, Teil 2Die verbleibenden unterstützten Datenrepositorys verfügen über grundlegende und erweiterte Datentags, die mithilfe von maschinellem Lernen und künstlicher Intelligenz angewendet werden. Erweiterte Datentags werden auf vorhandene Repositorys angewendet. Bei nicht unterstützten Datenrepositorys und -typen wird mithilfe eines risikobasierten methodischen Ansatzes ausgewertet, ob sie außer Betrieb gesetzt werden. Genehmigte Ausnahmen verwenden Ansätze für die manuelle Kennzeichnung von Daten mit Datenbesitzern und/oder Verwahrern, die sich um die Kennzeichnung kümmern. Ergebnisse: - Die vollständige Automatisierung der Kennzeichnung von Daten wird abgeschlossen. - Ergebnisse der Kennzeichnung von Daten werden für ML-Algorithmen bereitgestellt. |
Microsoft Purview Information Protection Trainierbare Klassifizierer in Purview helfen bei der Erkennung von Inhalten mithilfe von maschinellem Lernen (ML). Erstellen und trainieren Sie Klassifizierer mit von Menschen ausgewählten und positiv abgeglichenen Stichproben. - Trainierbare Klassifizierer |
4.4 Datenüberwachung und -erkennung
DLP-Richtlinien (Data Loss Prevention; Verhinderung von Datenverlust) von Microsoft Purview verhindern, dass Daten Ihre Organisation verlassen. DLP-Richtlinien können auf ruhende, verwendete und übertragene Daten angewendet werden. DLP-Richtlinien werden dort erzwungen, wo sich die Daten befinden: in Clouddiensten, in lokalen Dateifreigaben und auch auf Windows- und macOS-Geräten.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.4.1 Protokollierung und Analyse von DLP-ErzwingungspunktenDoD-Organisationen identifizieren Erzwingungspunkte zur Verhinderung von Datenverlust (Data Loss Prevention, DLP). Hierzu zählen beispielsweise bestimmte Dienste und Benutzerendpunkte. Mithilfe des etablierten Standards des DoD-Unternehmens für die Reaktion auf Cybersicherheitsvorfälle stellen DoD-Organisationen sicher, dass angemessene Datendetails erfasst werden. Darüber hinaus werden Anwendungsfälle für Schutz, Erkennung und Reaktionen entwickelt, um die Lösungsabdeckung besser zu skizzieren. Ergebnisse: - Erzwingungspunkte werden identifiziert. - Ein standardisiertes Protokollierungsschema wird auf Unternehmens- und Organisationsebene erzwungen. |
Microsoft Purview Data Loss Prevention Erstellen Sie DLP-Richtlinien im Purview-Complianceportal. Erzwingen Sie DLP für Microsoft 365-Anwendungen, für Windows, für macOS-Endpunkte und auch für nicht von Microsoft stammende Cloud-Apps. - Planen für DLP - Entwerfen einer DLP-Richtlinie - Überwachungsprotokollaktivitäten - Office 365-Verwaltungsaktivitäts-API-Schema Microsoft Defender for Cloud Apps Integrieren Sie Purview Information Protection in Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverlust zu verhindern. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.4. |
Target4.4.2 Protokollierung und Analyse von DRM-ErzwingungspunktenDoD-Organisationen identifizieren DRM-Erzwingungspunkte (Digital Rights Management). Hierzu zählen beispielsweise bestimmte Dienste und Benutzerendpunkte. Mithilfe des etablierten Standards des DoD-Unternehmens für die Reaktion auf Cybersicherheitsvorfälle stellen DoD-Organisationen sicher, dass angemessene Datendetails erfasst werden. Darüber hinaus werden Anwendungsfälle für Schutz, Erkennung und Reaktionen entwickelt, um die Lösungsabdeckung besser zu skizzieren. Ergebnisse: - Erzwingungspunkte werden identifiziert. - Ein standardisiertes Protokollierungsschema wird auf Unternehmens- und Organisationsebene erzwungen. |
Microsoft Purview Information Protection DRM-Erzwingungspunkte (Data Rights Management) von Purview umfassen Anwendungen und Dienste von Microsoft 365 und Drittanbietern, die in das MIP SDK (Microsoft Information Protection), in Online-Apps und in Rich Client-Instanzen integriert sind. - Schützen vertraulicher Daten - Einschränken des Inhaltszugriffs mit Vertraulichkeitsbezeichnungen - MIP SDK - Verschlüsselung in Microsoft 365 Microsoft Defender for Cloud Apps Integrieren Sie Purview Information Protection in Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverlust zu verhindern. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.4. |
Target4.4.3 Überwachung von Dateiaktivitäten, Teil 1DoD-Organisationen nutzen Dateiüberwachungstools, um die wichtigsten Datenklassifizierungsebenen in Anwendungen, Diensten und Repositorys zu überwachen. Analysen aus der Überwachung werden mit grundlegenden Datenattributen für SIEM bereitgestellt, um die Zero Trust-Zielfunktionen zu erreichen. Ergebnisse: - Daten und Dateien mit kritischer Klassifizierung werden aktiv überwacht. - Es besteht eine grundlegende Integration in ein Überwachungssystem wie SIEM. |
Microsoft Purview Data Loss Prevention DLP-Warnungen werden in Microsoft Defender XDR angezeigt. Dateiaktivitäten rund um das Erstellen, Beschriften, Drucken und Freigeben befinden sich im einheitlichen Überwachungsprotokoll sowie im Aktivitäts-Explorer im Microsoft Purview-Complianceportal. - DLP-Warnungen - Aktivitäts-Explorer - Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen Microsoft Defender XDR und Microsoft Sentinel Integrieren Sie Microsoft Defender XDR in Sentinel, um DLP-Warnungen (Data Loss Prevention; Verhinderung von Datenverlust) in einem für Unternehmen konzipierten SIEM-System (Security Information & Event Management) anzuzeigen und zu untersuchen. - Integrieren von SIEM-Tools - Information Protection-Connector für Sentinel - Verbinden von Defender XDR-Daten mit Sentinel - DLP-Untersuchungen |
Target4.4.4 Überwachung von Dateiaktivitäten, Teil 2DoD-Organisationen nutzen Dateiüberwachungstools, um alle gesetzlich geschützten Daten (beispielsweise kontrollierte, nicht klassifizierte Informationen, personenbezogene Informationen oder geschützte Gesundheitsdaten) in Anwendungen, Diensten und Repositorys zu überwachen. Die erweiterte Integration wird verwendet, um Daten an geeignete säuleninterne oder säulenübergreifende Lösungen wie Verhinderung von Datenverlust, Data Rights Management/Schutz und User and Entity Behavior Analytics zu senden. Ergebnisse: - Daten und Dateien aller regulierten Klassifizierungen werden aktiv überwacht. - Gegebenenfalls sind erweiterte Integrationen vorhanden, um ein noch besseres Risikomanagement zu ermöglichen. |
Microsoft Sentinel Bestimmen Sie die erforderlichen Vertraulichkeitsbezeichnungen, und konfigurieren Sie benutzerdefinierte Sentinel-Analyseregeln. Erstellen Sie einen Incident, wenn DLP-Warnungen für kritische Dateiereignisse ausgelöst werden. Zu kritischen Dateiereignissen zählt unter anderem die Erkennung vertraulicher Informationen, Richtlinienverletzungen und anderer verdächtiger Aktivitäten. - Benutzerdefinierte Analyseregeln zum Erkennen von Bedrohungen - Bedrohungsabwehr mit Playbooks |
Advanced4.4.5 Überwachung von DatenbankaktivitätenDoD-Organisationen beschaffen, implementieren und nutzen Datenbanküberwachungslösungen, um alle Datenbanken zu überwachen, die regulierte Datentypen (z. B. CUI, PII und PHI) enthalten. Protokolle und Analysen aus der Datenbanküberwachungslösung werden zur Überwachung und Reaktion für SIEM bereitgestellt. Analysen werden für säulenübergreifende Aktivitäten wie „Unternehmenssicherheitsprofil“ und „Echtzeitzugriff“ bereitgestellt, um die Entscheidungsfindung besser zu unterstützen. Ergebnisse: - Entsprechende Datenbanken werden aktiv überwacht. - Überwachungstechnologien werden in Lösungen wie SIEM, PDP und Mechanismen für die dynamische Zugriffssteuerung integriert. |
Microsoft Defender für SQL Defender für SQL schützt Datenbanken in Azure und anderen Clouds. - Defender für SQL - Sicherheitswarnungen Microsoft Sentinel Verbinden Sie Microsoft Defender for Cloud und Microsoft Defender XDR-Datenconnectors mit Sentinel. - Mit Sentinel verbundene Defender for Cloud-Warnungen - Verbinden von Defender XDR mit Sentinel Bedingter Zugriff Machen Sie Authentifizierungskontext für vertrauliche SharePoint-Sites erforderlich, und schützen Sie die Anmeldung bei Azure SQL-Datenbank-Instanzen mithilfe von bedingtem Zugriff. - Vertraulichkeitsbezeichnungen - Authentifizierungskontext - Bedingter Zugriff mit Azure SQL-Datenbank und Azure Synapse Analytics |
Advanced4.4.6 Umfassende Überwachung von DatenaktivitätenDoD-Organisationen erweitern die Überwachung von Datenrepositorys (einschließlich Datenbanken) nach Bedarf auf der Grundlage eines methodischen Risikoansatzes. Zur Erfüllung der erweiterten Zero Trust-Funktionen werden zusätzliche Datenattribute in die Analyse für zusätzliche Integrationen integriert. Ergebnisse: - Überwachungsmechanismen für Datenaktivitäten werden integriert, um eine einheitliche Ansicht der Überwachung für verschiedene Datenrepositorys zu ermöglichen. - Es gibt entsprechende Integrationen in Lösungen wie SIEM und PDP. |
Microsoft Graph-API Verwenden Sie Microsoft Graph-Aktivitätsprotokollen für einen Überwachungspfad von Anforderungen, die vom Microsoft Graph-Dienst empfangen und vom Mandanten verarbeitet werden. - Aktivitätsprotokolle Microsoft Purview Data Map Konfigurieren Sie Purview Data Map, um den Datenbestand der Organisation nach vertraulichen Dateien zu durchsuchen. - Verwalten von Datenquellen Microsoft Sentinel Konfigurieren Sie für die Integration in ein SIEM-System (Security Information & Event Management) Datenconnectors für Microsoft Defender for Cloud, Microsoft Defender XDR und Purview. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.4.5. Bedingter Zugriff Von Microsoft Defender XDR gefundene Erkennungen ungewöhnlicher Dateizugriffe führen zur Erhöhung der Benutzerrisikostufe. Das Benutzerrisiko ist eine Bedingung des bedingten Zugriffs – dem Richtlinienentscheidungspunkt (Policy Decision Point, PDP) für Microsoft Entra ID. Definieren Sie einen Authentifizierungskontext für bedingten Zugriff mit der Benutzerrisikobedingung „Kein Risiko“. Schützen Sie beschriftete SharePoint-Sites, und machen Sie Authentifizierungskontext für bedingten Zugriff erforderlich. - Risikoerkennungen - Ungewöhnlicher Dateizugriff - Beispiel für Authentifizierungskontext |
4.5 Datenverschlüsselung und Rechteverwaltung
Microsoft 365-Dienste verschlüsseln ruhende Daten sowie Daten während der Übertragung. Microsoft Purview schränkt den Zugriff auf Inhalte gemäß der Verschlüsselungsrichtlinie der Vertraulichkeitsbezeichnung ein. Purview erreicht das Ziel mit einer anderen Verschlüsselungsebene für E-Mails und Dateien.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.5.1 Implementieren von DRM- und Schutztools, Teil 1DoD-Organisationen beschaffen und implementieren DRM- und Schutzlösungen nach Bedarf gemäß DoD-Unternehmensstandard und -anforderungen. Neu implementierte DRM- und Schutzlösungen werden mit Hochrisiko-Datenrepositorys unter Verwendung von ZTA-Zielebenenschutzmaßnahmen implementiert. Ergebnis: - DRM- und Schutztools werden für Hochrisiko-Datenrepositorys mit grundlegenden Schutzmaßnahmen aktiviert. |
Microsoft 365-Verschlüsselung Microsoft 365 verfügt mit dem Windows-Sicherheitsfeature BitLocker und der Verwaltung verteilter Schlüssel (Distributed Key Manager, DKM) über eine grundlegende Verschlüsselung auf Volumeebene. - Grundlegendes zur Verschlüsselung Microsoft Purview Verwenden Sie Bezeichnungsrichtlinien, um automatisch mehr Verschlüsselung für Hochrisikodaten in Microsoft 365 anzuwenden (basierend auf Vertraulichkeitsbezeichnungen). - Einschränken des Inhaltszugriffs mit Vertraulichkeitsbezeichnungen - E-Mail-Verschlüsselung in Microsoft 365 Microsoft Defender for Cloud Apps Integrieren Sie Microsoft Purview Information Protection in Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverlust zu verhindern. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.4. Azure Policy Verwenden Sie Azure Policy, um die Verwendung einer sicheren TLS-Version (Transport Layer Security) erforderlich zu machen, implementieren Sie Transparent Data Encryption (TDE), und machen Sie die Verwendung kundenseitig verwalteter Schlüssel für die Verschlüsselung ruhender Daten erforderlich. - Azure Policy-Definitionen für Azure SQL-Datenbank und SQL Managed Instance |
Target4.5.2 Implementieren von DRM- und Schutztools, Teil 2Die Abdeckung von DRM und des Schutzes wird auf alle Datenrepositorys innerhalb des Bereichs ausgedehnt. Verschlüsselungsschlüssel werden automatisch verwaltet, um bewährten Methoden (z. B. FIPS) zu entsprechen. Erweiterte Datenschutzattribute werden basierend auf der Umgebungsklassifizierung implementiert. Ergebnis: - DRM- und Schutztools werden für alle möglichen Repositorys aktiviert. |
Azure Key Vault Verwenden Sie das verwaltete Azure Key Vault-Hardwaresicherheitsmodul (Azure Key Vault HSM), um kryptografische Anwendungsschlüssel mithilfe von Hardwaresicherheitsmodulen mit der Zertifizierung „FIPS 140-2 Level 3“ zu schützen. - Verwaltetes HSM von Azure Key Vault Microsoft Purview-Kundenschlüssel Microsoft 365 bietet eine Verschlüsselungsebene für Ihre Inhalte mit Kundenschlüssel. - Dienstverschlüsselung Azure Information Protection-Mandantenschlüssel Azure Information Protection unterstützt von Microsoft generierte Mandantenstammschlüssel sowie die Verwendung eigener Schlüssel (Bring Your Own Key, BYOK). - Mandantenschlüssel - Verschlüsselung mit doppeltem Schlüssel - BYOK |
Target4.5.3 DRM-Erzwingung über Datentags und Analysen, Teil 1DRM- und Schutzlösungen (Data Rights Management) werden in grundlegende Datentags integriert, die durch den DoD-Unternehmensstandard definiert sind. Anfängliche Datenrepositorys werden überwacht, und für sie sind Schutz- und Abwehraktionen aktiviert. Ruhende Daten werden in Repositorys verschlüsselt. Ergebnisse: - Datentags werden in DRM integriert, und überwachte Repositorys werden erweitert. - Ruhende Daten werden basierend auf Datentags verschlüsselt. |
Microsoft Purview Information Protection Verwenden Sie Bezeichnungsrichtlinien, um für Hochrisikodaten in Microsoft 365 automatisch mehr Verschlüsselung anzuwenden (basierend auf Vertraulichkeitsbezeichnungen). - Einschränken des Inhaltszugriffs mit Vertraulichkeitsbezeichnungen Microsoft 365-Verschlüsselung Microsoft 365 verfügt mit BitLocker und der Verwaltung verteilter Schlüssel (Distributed Key Manager, DKM) über eine grundlegende Verschlüsselung auf Volumeebene. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.5.1. |
Advanced4.5.4 DRM-Erzwingung über Datentags und Analysen, Teil 2Erweiterte Datenrepositorys werden durch DRM- und Schutzlösungen geschützt. DoD-Organisationen implementieren erweiterte Datentags, die für Organisationen gelten (im Gegensatz zum beauftragten Unternehmen). Daten werden in erweiterten Repositorys unter Verwendung zusätzlicher Tags verschlüsselt. Ergebnisse: - Alle entsprechenden Datenrepositorys werden mithilfe von DRM geschützt. - Daten werden unter Verwendung erweiterter Datentags aus den Organisationsebenen verschlüsselt. |
Azure-Verschlüsselung Azure verwendet Verschlüsselung für ruhende und übertragene Daten. - Azure-Verschlüsselung Azure Policy Aktivieren Sie Azure Policy zum Schutz von Azure SQL-Datenbank-Instanzen. Weitere Informationen finden Sie im Microsoft-Leitfaden 4.5.1. Bedingter Zugriff Verwenden Sie Richtlinien für bedingten Zugriff für Benutzer und Benutzerinnen, die eine Verbindung mit Azure SQL herstellen. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.4.5. |
Advanced4.5.5 DRM-Erzwingung über Datentags und Analysen, Teil 3DRM- und Schutzlösungen werden für Verschlüsselungs-, Rechteverwaltungs- und Schutzfunktionen in KI- und ML-Tools integriert. Ergebnisse: - ML/KI-basierte Analysen werden in DRM integriert, um Schutzmaßnahmen besser zu automatisieren. - Verschlüsselungsschutz wird in AI/ML integriert, und aktualisierte Verschlüsselungsmethoden werden nach Bedarf verwendet. |
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf Typen vertraulicher Informationen sowie basierend auf Klassifizierern zu klassifizieren, die durch maschinelles Lernen (ML) trainiert wurden. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.5. Azure Machine Learning Azure Machine Learning und Azure OpenAI Service verwenden Azure Storage und Azure Compute Services, die Daten verschlüsseln. - Datenverschlüsselung - Azure OpenAI-Verschlüsselung ruhender Daten Bedingter Zugriff Definieren Sie Authentifizierungskontext mit Risikosignalen des Identitätsschutzes. Machen Sie Authentifizierungskontext für beschriftete SharePoint-Sites und benutzerdefinierte Anwendungen erforderlich. - Authentifizierungskontext Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.4.5. |
4.6 Verhinderung von Datenverlust (Data Loss Prevention, DLP)
DLP-Richtlinien (Data Loss Prevention; Verhinderung von Datenverlust) von Microsoft Purview verhindern, dass Daten Ihre Organisation verlassen. DLP-Richtlinien können auf ruhende, verwendete und übertragene Daten angewendet werden. DLP-Richtlinien werden dort erzwungen, wo sich die Daten befinden: in Clouddiensten, in lokalen Dateifreigaben und auch auf Windows- und macOS-Geräten.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.6.1 Implementieren von ErzwingungspunktenEine DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird für die Erzwingungspunkte innerhalb des Bereichs bereitgestellt. Die DLP-Lösung wird auf „Nur überwachen“ und/oder auf „Lernen“ festgelegt, um die Auswirkungen zu begrenzen. Die Ergebnisse der DLP-Lösung werden analysiert, und die Richtlinie wird optimiert, um Risiken auf ein akzeptables Niveau zu reduzieren. Ergebnis: - Für identifizierte Erzwingungspunkte wird ein DLP-Tool bereitgestellt, und es wird in den Überwachungsmodus mit standardisierter Protokollierung versetzt. |
Microsoft Purview Data Loss Prevention Microsoft 365-Anwendungen und Windows-Endpunkte erzwingen DLP-Richtlinien. Konfigurieren Sie Richtlinien im DLP-Simulationsmodus. - Planen für DLP - DLP-Simulationsmodus Erstellen Sie Richtlinien in DLP. Legen Sie den Richtlinienstatus auf Testen oder auf Testen mit Richtlinientipps fest. Legen Sie Richtlinienaktionen auf Nur überwachen oder auf Blockieren mit Außerkraftsetzung fest. - DLP-Richtlinienbereitstellung Integrieren Sie Windows 10-, Windows 11- und macOS-Geräte zur Verhinderung von Datenverlust am Endpunkt (Endpunkt-DLP). - Endpunkt-DLP Stellen Sie den Microsoft Purview Information Protection-Scanner bereit. Beschriften Sie Inhalte in lokalen SQL-Datenbanken, Dateifreigaben, NAS-Lösungen (Network-Attached Storage) und SharePoint Server-Dokumentbibliotheken, und erzwingen Sie DLP-Richtlinien dafür. - DLP für lokale Repositorys - Information Protection-Scanner Microsoft Purview Data Loss Prevention Integrieren Sie Microsoft Purview Information Protection in Defender for Cloud Apps, um Vertraulichkeitsbezeichnungen automatisch anzuwenden, Verschlüsselungsrichtlinien zu erzwingen und Datenverlust zu verhindern. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.4. Bedingter Zugriff Steuern Sie den Zugriff auf Office 365-Anwendungen sowie auf andere in Microsoft Entra integrierte Anwendungen. Verwenden Sie den Modus Nur melden, um das Ergebnis zu überwachen, bevor Sie Richtlinien mit dem Gewährungssteuerelement zum Blockieren des Zugriffs aktivieren. - Erstellen einer Richtlinie - Modus „Nur melden“ - Sitzungsrichtlinien: Alle überwachen |
Target4.6.2 DLP-Erzwingung über Datentags und Analysen, Teil 1Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird vom reinen Überwachungsmodus auf den Präventionsmodus umgestellt. Für die DLP-Lösung werden grundlegende Datentags verwendet, und das Protokollierungsschema wird integriert. Ergebnis: - Erzwingungspunkte, die in den Präventionsmodus versetzt werden. Dabei werden das Protokollierungsschema und die Umgebungsklassifizierung manueller Tags integriert. |
Microsoft Purview Data Loss Prevention Erstellen Sie DLP-Richtlinien im Testmodus. Ändern Sie den Status in „Ein“, um den Erzwingungsmodus zu aktivieren. Wenn Sie Richtlinienaktionen auf Blockieren festlegen, werden Benutzeraktivitäten, die DLP auslösen, von der Richtlinie verhindert. - Aktionen in DLP-Richtlinien Aktivieren Sie den JIT-Schutz (Just-In-Time), um Endpunkt-DLP für Dateien zu erzwingen, die auf Offlinegeräten erstellt wurden. - Offlinegeräte Microsoft Defender for Cloud Apps Aktivieren Sie die Inhaltsuntersuchung in Defender for Cloud Apps. - DLP-Inhaltsuntersuchung Bedingter Zugriff Aktivieren Sie nach dem Testen Richtlinien für bedingten Zugriff, die Sitzungssteuerungen anwenden, oder verwenden Sie das Gewährungssteuerelement zum Blockieren des Zugriffs. Schließen Sie Konten für den Notfallzugriff aus, um Mandantensperrungen zu vermeiden. - Konten für den Notfallzugriff Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.6.1. |
Advanced4.6.3 DLP-Erzwingung über Datentags und Analysen, Teil 2Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird aktualisiert, um erweiterte Datentags basierend auf parallelen Automatisierungsaktivitäten einzubeziehen. Ergebnis: - Auf Erzwingungspunkte werden erweiterte Datentagattribute angewendet, um die Prävention auszuweiten. |
Microsoft Purview Information Protection Definieren Sie benutzerdefinierte Typen vertraulicher Informationen. Erstellen Sie Bezeichnungen und Richtlinien zur Verhinderung von Datenverlust. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.1.1. |
Advanced4.6.4 DLP-Erzwingung über Datentags und Analysen, Teil 3Die DLP-Lösung (Data Loss Prevention; Verhinderung von Datenverlust) wird in automatisierte Datenkennzeichnungstechniken integriert, um ggf. fehlende Erzwingungspunkte und Tags einzuschließen. Ergebnis: - Automatisierte Kennzeichnungsattribute werden in DLP integriert, und resultierende Metriken werden für ML verwendet. |
Microsoft Purview Information Protection Verwenden Sie Microsoft Purview Information Protection, um Daten basierend auf Typen vertraulicher Informationen sowie basierend auf Klassifizierern zu klassifizieren, die durch maschinelles Lernen (ML) trainiert wurden. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.3.5. |
4.7 Zugriffssteuerung für Daten
Microsoft 365- und Azure Storage-Dienste werden für die identitätsbasierte Autorisierung in Microsoft Entra ID integriert. Microsoft Entra ID unterstützt die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und die attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC).
Microsoft Entra-Rollen und -Sicherheitsgruppen bieten rollenbasierte Zugriffssteuerung für Organisationen. Dynamische Sicherheitsgruppen verwenden Attribute, die für Benutzer-, Gruppen- und Geräteobjekte definiert sind, um die Mitgliedschaft zu definieren (basierend auf umfangreichen Ausdrücken und Regelsätzen).
Die attributbasierte Zugriffssteuerung von Microsoft Entra ID verwendet benutzerdefinierte Sicherheitsattribute. Das sind geschäftsspezifische Attribute, die Sie definieren und Microsoft Entra-Objekten zuweisen können. Benutzerdefinierte Sicherheitsattribute speichern vertrauliche Informationen. Der Zugriff zum Anzeigen oder Ändern benutzerdefinierter Sicherheitsattribute ist auf Attributadministratorrollen beschränkt.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target4.7.1 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 1Es wird eine DAAS-Organisationsrichtlinie unter Verwendung der SDS-Richtlinie des DoD-Unternehmens sowie unter Berücksichtigung der beabsichtigten Integration entwickelt. Aufgrund der umgebungsspezifischen Natur wird der SDS-Implementierungsleitfaden von DoD-Organisationen entwickelt. Ergebnisse: - Eine attributbasierte, differenzierte DAAS-Richtlinie wird mit Unterstützung auf Unternehmens- und Organisationsebene entwickelt. - Ein SDS-Integrationsplan wird entwickelt, um die DAAS-Richtlinie zu unterstützen. |
Microsoft Entra ID Implementieren Sie attributbasierte DAAS-Richtlinien (Data, Assets, Applications and Services; Daten, Ressourcen, Anwendungen und Dienste) mit Microsoft Entra ID sowie mit Mechanismen wie attributbasierter Zugriffssteuerung von Azure (Azure Attribute-Based Access Control, Azure ABAC), benutzerdefinierter Sicherheitsattributfilterung für Anwendungen und dynamischen Sicherheitsgruppen. - Attributbasierte Zugriffssteuerungen Benutzerdefinierte Sicherheitsattribute Definieren Sie benutzerdefinierte Sicherheitsattribute, und weisen Sie Benutzern einen Wert zu. Konfigurieren Sie Rollenzuweisungsbedingungen für Azure ABAC (für Azure-Rollen). Derzeit befindet sich dieses Feature für Azure Storage-Kontoberechtigungen in der Vorschauphase. - Azure ABAC - Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute - Verwalten von Attributen mit Delegierung Verwenden Sie benutzerdefinierte Sicherheitsattribute für eine differenzierte dynamische Anwendungsautorisierung. Weisen Sie benutzerdefinierte Sicherheitsattribute zu, und verwenden Sie Attributfilter (Vorschau) für Anwendungen in Richtlinien für bedingten Zugriff. - Verwalten benutzerdefinierter Sicherheitsattribute für eine App Dynamische Sicherheitsgruppen Weisen Sie mithilfe dynamischer Sicherheitsgruppen Zugriff auf Ressourcen zu, die Microsoft Entra ID-Gruppen unterstützen, um Berechtigungen zu erteilen. Dazu gehören Microsoft 365-Rollengruppen, App-Rollen für Microsoft Entra ID-Anwendungen, Azure-Rollen und Anwendungszuweisungen. Richtlinien für bedingten Zugriff verwenden dynamische Gruppen und wenden Autorisierungsstufen für Benutzer mit verschiedenen Attributwerten an. - Regeln für dynamische Gruppenmitgliedschaften - Ausgeben von Ansprüchen auf der Grundlage von Bedingungen |
Advanced4.7.2 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 2Die Implementierung der DAAS-Richtlinie in DoD-Organisationen wird automatisiert. Ergebnis: - Die Implementierung einer attributbasierten, differenzierten DAAS-Richtlinie wird automatisiert. |
Microsoft Graph-API Automatisieren Sie die Konfiguration von Richtlinien für bedingten Zugriff, benutzerdefinierten Sicherheitsattributen, dynamischen Sicherheitsgruppen und anderen Microsoft Entra ID-Features mithilfe der Microsoft Graph-API. - Identitäts- und Zugriffs-APIs |
Advanced4.7.3 Integrieren von DAAS-Zugriff mit SDS-Richtlinie, Teil 3Neu implementierte SDS-Technologien und/oder -funktionen werden risikobasiert in die DAAS-Richtlinie integriert. Die Implementierung sollte schrittweise erfolgen, um Ergebnisse zu messen und entsprechende Anpassungen vorzunehmen. Ergebnisse: - SDS wird in DAAS-Richtlinienfunktionen integriert. - Alle Daten in allen Anwendungen werden durch eine attributbasierte, differenzierte DAAS-Richtlinie geschützt. |
Microsoft Defender for Cloud Apps Integrieren Sie Microsoft Purview und Defender for Cloud Apps. Erstellen Sie Dateirichtlinien, um automatisierte Prozesse unter Verwendung von Cloudanbieter-APIs zu erzwingen. - Integration von Information Protection - Dateirichtlinien |
Target4.7.4 Integrieren von Lösungen und der Richtlinie in den Unternehmensidentitätsanbieter, Teil 1DoD-Organisationen entwickeln einen Integrationsplan unter Verwendung der SDS-Richtlinie und der Technologien/Funktionen mit der Identitätsanbieterlösung des Unternehmens. Ergebnis: - Ein Integrationsplan zwischen SDS und dem autoritativen Identitätsanbieter wird entwickelt, um den vorhandenen DAAS-Zugriff zu unterstützen. |
Microsoft Entra ID Microsoft 365-Speicherdienste wie SharePoint Online und OneDrive for Business sind in Microsoft Entra ID integriert. Konfigurieren Sie Azure Storage-Dienste für die Integration in Microsoft Entra ID, um eine identitätsbasierte Autorisierung von Anforderungen für Blob-, Datei-, Warteschlangen- und Tabellendienste zu ermöglichen. - Microsoft Entra ID - Autorisieren von Azure Storage Integrieren Sie im Anwendungskatalog weitere softwaredefinierte Speicherlösungen (SDS-Lösungen) in Microsoft Entra ID. - Anwendungskatalog |
Advanced4.7.5 Integrieren von Lösungen und der Richtlinie in den Unternehmensidentitätsanbieter, Teil 2Neu implementierte SDS-Technologien und/oder -Funktionen werden gemäß Integrationsplan in den Unternehmensidentitätsanbieter integriert. Für die Integration werden Identitätsattribute benötigt, die zur Erfüllung der Zero Trust-Zielfunktionen erforderlich sind. Ergebnis: - Vollständige Integration in den Unternehmensidentitätsanbieter und die SDS-Tools, um den gesamten attributbasierten, differenzierten DAAS-Zugriff zu unterstützen |
Schließen Sie die Aktivitäten 4.7.1 und 4.7.4 ab. |
Advanced4.7.6 Implementieren des SDS-Tools und/oder Integrieren in das DRM-Tool, Teil 1Abhängig davon, ob ein SDS-Tool (Software-Defined Storage, softwaredefinierter Speicher) erforderlich ist, wird eine neue Lösung implementiert oder eine bereits vorhandene Lösung identifiziert, die die Funktionsanforderungen für die Integration in DLP-, DRM-/Schutz- und ML-Lösungen erfüllt. Ergebnis: - Falls Tools erforderlich sind, stellen Sie sicher, dass unterstützte Integrationen für DLP-, DRM- und ML-Tools vorhanden sind. |
Microsoft Purview Das DRM-Feature (Digital Rights Management) von Microsoft Purview Information Protection und das DLP-Feature (Data Loss Prevention; Verhinderung von Datenverlust) von Microsoft Purview werden nativ in Office-Clients und Microsoft 365-Dienste integriert. Integrationen sind standardmäßig vorhanden und erfordern keine weitere Bereitstellung. - Übersicht über Purview Verwenden Sie das Microsoft Information Protection SDK (MIP SDK), um benutzerdefinierte Tools zur Beschriftung und zum Schutz von Dateien zu erstellen. Weitere Informationen finden Sie im Microsoft-Leitfaden in 4.4.2. |
Advanced4.7.7 Implementieren des SDS-Tools und/oder Integrieren in das DRM-Tool, Teil 2DoD-Organisationen konfigurieren nach Bedarf die SDS-Funktion und/oder -Lösung, die in die zugrunde liegende Infrastruktur für DLP und DRM/Schutz integriert werden soll. Integrationen auf niedrigerer Ebene ermöglichen einen effektiveren Schutz und effektivere Reaktionen. Ergebnis: - Integration der SDS-Infrastruktur in die vorhandene DLP- und DRM-Infrastruktur |
Microsoft 365 und Microsoft Purview Microsoft Purview schützt Microsoft 365-Inhalte mit DLP (Data Loss Prevention; Verhinderung von Datenverlust) und DRM (Data Rights Management) ohne zusätzliche Infrastruktur. - Schützen vertraulicher Daten |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie: