保護您的資料並防止資料遺失
「零信任」策略的目的是要讓您的組織保護傳輸中、待用和使用中的資料,特別是敏感性資訊。 這可藉由適當識別您的資料來完成,同時也確保您可以控制和驗證對資料的任何存取,並備妥有效的資料外洩防護。
敏感度標籤
敏感度標籤可為您的組織提供「明確驗證」零信任原則,因為它們提供可用來對資源存取做出安全性決策的其他資料點。 您的組織可以自動套用標籤來標示項目,例如包含敏感性資訊的檔案和電子郵件。 這些標籤也會指出特定項目的敏感度。 以下是一些常見標籤的範例:
- 公用 - 並非設計供公眾使用的商務資料。 例如,新產品的公開行銷活動。
- 機密 - 未經授權的個人存取時可能會損害企業的資料。 例如,合約和銷售帳戶。
- 高度機密 - 應該僅供選取的人員群組存取的機密資料。 例如,有關進行中合併的資訊。
您的組織也可以使用雲端安全性工具套用周全標籤,或建立自己的標籤。 周全標籤是根據一般安全性需求,為組織提供的現成可用標籤。 可讓您輕鬆地使用標籤,而不需要建立自己的標籤。 當標籤套用至項目時,可讓您的組織一目了然地識別資料的敏感度。 這是因為它們可協助您的雲端安全性工具建立詳細圖表,並根據敏感度標籤衍生深入解析。
敏感度標籤也可以用來提供保護和資料外洩防護,因為它們可以是下列項目的基礎:
- 加密
- 內容標記
- 資料外洩防護原則
接下來我們將了解這些資訊。
加密和內容標記
您也應該使用加密和內容標記來保護敏感性資料。 加密是一種程序,藉此將資料轉換成無法辨識的格式,除非由授權的使用者或實體解密,否則無法存取。 當電子郵件或檔案之類的項目加密時,它會:
- 在傳輸中和待用時都會加密。
- 即使在組織外部使用,仍會保持加密狀態。
您的組織可以根據敏感度標籤來設定加密和內容標記。 例如,機密和高度機密專案可以自動加密,並在頁尾或文件標題或電子郵件中使用「機密 - 僅供內部使用」浮水印標示內容。 如此一來,文件和電子郵件等資產就會根據其敏感度自動受到保護。 這表示您的組織可以確保未經授權的使用者無法開啟這些檔案或電子郵件,而且只有授權的使用者可以檢視這些檔案或電子郵件。 內容標記也有助於強化使用者的最佳做法,因為他們可以輕鬆地看到文件僅供機密使用。
如此一來,您的組織就會強制執行「零信任」原則,例如「假設缺口」,因為項目會自動加密,而且會「明確驗證」,因為只有經過授權的使用者才能檢視經過解密的項目。
資料外洩防護原則 (DLP)
除了資料保護之外,您的組織也應該防止資料外洩。 這是透過偵測危險行為或不小心分享過多敏感性資訊而發生。 您的組織必須能夠控管及防止不當傳輸和共用敏感性資料。 若要達到此目的,您可以建立資料外洩防護原則。 這些原則會描述應該採取哪些動作來防止以未經授權的方式共用或存取資料。
例如,您的組織可以建立原則,指出未經授權的使用者不應檢視或修改所有機密項目,例如電子郵件或檔案。 此原則可能包含下列一般組態詳細資料:
- 條件 - 您可以指定條件,指出此原則應套用至所有項目,例如具有機密敏感度標籤的電子郵件和文件。
- 動作 - 您可以描述當符合條件時要採取的動作。 例如,封鎖使用者接收文件或電子郵件等機密項目,或傳送機密項目,或只封鎖組織外部人員接收或檢視機密項目。
然後,您的組織的雲端安全性工具會自動強制執行此原則。 例如,假設使用者不小心嘗試將標示為「機密」的文件插入至傳送到包含某些外部使用者之群組的電子郵件訊息。 原則會生效,並封鎖使用者傳送電子郵件,直到他們移除文件,或確保郵件的收件者清單中不再有未經授權的使用者。 如此一來,您的組織就可以強制執行「零信任」原則「使用最低權限存取權」,因為只有獲得授權的使用者可以存取項目。 您可以強制執行「明確驗證」原則,因為標籤是用來驗證使用者是否可以存取專案。
這一切都表示您的組織可以自動控制對資料的存取,進而防止因不當或未經授權的行為而造成資料外洩。 此外,由於這些原則是以雲端為基礎,因此您的組織將受益於調整和微調原則的能力,以進行包含資料外洩防護的變更和改善。