Реализация "Никому не доверяй" с помощью Microsoft Purview

Решения Microsoft Purview помогут реализовать стратегию безопасности "Никому не доверяй", основанную на следующих принципах безопасности:

Выполняйте проверку явным образом.	Руководствуйтесь принципом минимальных прав.	Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.	Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных.	Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Microsoft Purview — это основной компонент принципа использования доступа с минимальными привилегиями , предоставляя решения для защиты данных. Используйте возможности Purview для защиты данных на разных платформах, в приложениях и облаках.

"Никому не доверяй" для защиты данных

Microsoft Purview предоставляет следующие возможности и варианты для стратегии глубокой защиты данных и реализации "Никому не доверяй" для защиты данных:

• Классификация данных. Чтобы вы могли узнать свои данные

  Обнаружение и обнаружение конфиденциальных данных во всей организации, чтобы вы могли лучше защитить их. Дополнительные сведения см. в разделе Использование панели мониторинга классификации данных Майкрософт.

• Защита информации: вы можете защитить свои данные

  Применяйте метки конфиденциальности для интеграции с Microsoft 365 Copilot и другими приложениями и службами, чтобы обеспечить контроль доступа и шифрование с помощью управления правами для наиболее конфиденциальных данных. Маркировка содержимого, например нижние колонтитулы и водяные знаки, может повысить осведомленность и соответствие политик безопасности. Пока пользователи создают или обновляют содержимое, высоковидимые метки и рекомендации по маркировке поддерживают обучение пользователей конфиденциальным данным. Дополнительные сведения см. в статье Сведения о метках конфиденциальности.

  При использовании меток конфиденциальности с политиками защиты вы можете автоматически применить ограничения доступа к хранилищу данных в момент обнаружения конфиденциальной информации.

• Защита от потери данных (DLP): чтобы предотвратить потерю данных

  Пользователи иногда рискуют конфиденциальными данными вашей организации, что может привести к инциденту с безопасностью данных или соответствием требованиям. Защита от потери данных помогает отслеживать и защищать конфиденциальные данные от рискованного совместного использования. Как и в случае с метками конфиденциальности, советы политик поддерживают обучение пользователей конфиденциальным данным. Дополнительные сведения см. в статье Сведения о защите от потери данных.

• Управление жизненным циклом данных. Таким образом, вы можете удалить ненужные данные и защитить важные данные.

  Разверните политики для управления жизненным циклом конфиденциальных данных, чтобы снизить уязвимость к данным. Ограничьте количество копий или распространения конфиденциальных данных, автоматически и окончательно удалив их, когда они больше не нужны. Или, наоборот, защитите важные данные от вредоносных или случайных удалений, автоматически сохраняя копию в защищенном расположении после удаления данных пользователем. Дополнительные сведения см. в статье Сведения об управлении жизненным циклом данных.

Вспомогательные средства и технологии:

Примечание.

Теперь общедоступная версия Microsoft Управление состоянием безопасности данных для ИИ помогает быстрее защищать данные и получать аналитические сведения о том, как пользователи взаимодействуют с приложениями ИИ, такими как Microsoft 365 Copilot и другие копилоты от Корпорации Майкрософт, ChatGPT, Gemini и другие сторонние LLM.

• По мере реализации этих возможностей используйте соответствующие разрешения на основе ролей и административные единицы для предоставления доступа just-enough и сегментирования доступа. Дополните эти меры защиты с помощью управления привилегированным доступом для JIT-доступа.

• Рассмотрим требования к шифрованию для конкретных сценариев, например:

  • Microsoft 365 Copilot
  • Используйте метки конфиденциальности, чтобы применить шифрование с двойным ключом к выбранным документам и сообщениям электронной почты, если только ваша организация и никакие облачные службы не должны иметь возможности расшифровать их.
  • Используйте расширенное шифрование сообщений , если вам нужно сохранить конфиденциальное содержимое в пределах вашей организации, регистрировать внешний доступ к почте или отзывать доступ к зашифрованным сообщениям электронной почты.
  • Используйте ключ клиента , если вам нужно управлять корневыми ключами шифрования для неактивных данных Microsoft 365.
  • При использовании условного доступа или параметров доступа между клиентами для этих служб требуются определенные конфигурации для поддержки зашифрованного содержимого.

• Для ценных документов и сообщений электронной почты управление записями поддерживает дополнительные ограничения и процесс проверки ликвидации.

• Используйте управление внутренними рисками для выявления и принятия мер в отношении рискованных действий пользователей и шаблонов действий данных, связанных с безопасностью.

• Рассмотрите возможность использования информационных барьеров , если вам нужно сегментировать доступ между конкретными пользователями путем ограничения двустороннего взаимодействия и совместной работы между группами и пользователями в Microsoft Teams, SharePoint и OneDrive.

• Дополнительные параметры управления:

  • Политики доступа в Единый каталог Microsoft Purview позволяют пользователям запрашивать доступ к данным, но также предоставляют средства, обеспечивающие им доступ только к нужным данным и только до тех пор, пока они в них нуждаются.
  • Используйте приложение для совместного использования данных , чтобы свести к минимуму дублирование данных и предоставить доступ только для чтения, который можно ограничить или удалить.

• Рассмотрите возможность использования диспетчера соответствия требованиям для внедрения и мониторинга реализации функций и конфигураций безопасности. Простые в создании оценки с автоматическим мониторингом помогают следить за требованиями в многооблачной среде.

• Используйте решения аудита , чтобы отслеживать данные Microsoft 365 и реагировать на события безопасности.

• Используйте защищенное хранилище клиентов , чтобы инженеры служб Майкрософт должны получить утверждение перед доступом к любым данным Microsoft 365, принадлежащим вам во время исследования службы поддержки.

Дальнейшие действия

Рекомендации по решению, помогающие реализовать стратегию "Никому не доверяй" для защиты данных с помощью Microsoft Purview:

• Развертывание решения по защите информации с помощью Microsoft Purview
• Развертывание решения для управления данными с помощью Microsoft Purview

Так как защита данных помогает защитить персональные данные, хранящиеся и управляемые вашей организацией, см. также статью Управление конфиденциальностью данных и защитой данных с помощью Microsoft Priva и Microsoft Purview.

Руководство по решению "Никому не доверяй":

• Основные понятия защиты данных и цели развертывания см. в статье Защита данных с нулевым доверием.
• Другие возможности, которые обеспечивают надежную стратегию и архитектуру "Никому не доверяй" для данных Microsoft 365, см. в статье План развертывания "Никому не доверяй" в Microsoft 365.
• Чтобы узнать, как применить "Никому не доверяй" Microsoft 365 Copilot, см. раздел Применение принципов нулевого доверия к Microsoft 365 Copilot.

Узнайте больше о "Никому не доверяй", а также о том, как создать стратегию и архитектуру корпоративного уровня с помощью Центра руководства по принципу "Никому не доверяй".