Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona un plan de implementación para crear Confianza cero seguridad con Microsoft 365. Confianza cero es un modelo de seguridad que supone una infracción y comprueba cada solicitud como si se origina en una red no controlada. Independientemente de dónde se origine la solicitud o del recurso al que accede, el modelo de Confianza cero nos enseña a "nunca confiar, comprobar siempre".
Use este artículo junto con este póster.
principios y arquitectura de Confianza cero
Confianza cero es una estrategia de seguridad. No es un producto ni un servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad.
| Principio | Descripción |
|---|---|
| Comprobación explícita | Realice siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles. |
| Utilizar el acceso con menos privilegios | Limite el acceso de los usuarios con los modelos Just-In-Time (JIT) y Just-Enough-Access (JEA), políticas adaptativas basadas en el nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y segmente el acceso. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
La guía de este artículo le ayuda a aplicar estos principios mediante la implementación de funcionalidades con Microsoft 365.
Un enfoque de Confianza cero se extiende a lo largo de todo el patrimonio digital y actúa como filosofía de seguridad integrada y estrategia integral.
En esta ilustración se proporciona una representación de los elementos principales que contribuyen a Confianza cero.
En la ilustración:
- La aplicación de directivas de seguridad está en el centro de una arquitectura de Confianza cero. Esto incluye la autenticación multifactor con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
- Las identidades, los dispositivos, los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas configuradas para cada uno de estos componentes se coordinan con la estrategia general de Confianza cero. Por ejemplo, las directivas de dispositivo determinan los criterios para los dispositivos en buen estado y las directivas de acceso condicional requieren dispositivos en buen estado para el acceso a aplicaciones y datos específicos.
- La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.
Para obtener más información sobre Confianza cero, consulte Microsoft Confianza cero Guidance Center.
Implementación de Confianza cero para Microsoft 365
Microsoft 365 se crea intencionadamente con muchas funcionalidades de seguridad y protección de la información para ayudarle a crear Confianza cero en su entorno. Muchas de las funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS que usa su organización y los datos de estas aplicaciones.
Esta ilustración representa el despliegue de las capacidades de Confianza cero. Este trabajo está alineado con escenarios empresariales de Confianza cero en el marco de adopción de Confianza cero.
En esta ilustración, el trabajo de implementación se clasifica en cinco carriles de natación:
- Trabajo remoto y híbrido seguro : este trabajo crea una base de protección de identidades y dispositivos.
- Evitar o reducir los daños empresariales de una vulneración de seguridad: la protección contra amenazas proporciona supervisión y corrección en tiempo real de amenazas de seguridad. Defender for Cloud Apps proporciona detección de aplicaciones SaaS, incluidas las aplicaciones de IA, y permite ampliar la protección de datos a estas aplicaciones.
- Identificar y proteger datos empresariales confidenciales : las funcionalidades de protección de datos proporcionan controles sofisticados dirigidos a tipos específicos de datos para proteger su información más valiosa.
- Protección de las aplicaciones y los datos de inteligencia artificial : proteja rápidamente el uso de las aplicaciones de inteligencia artificial de su organización y los datos con los que interactúan.
- Cumplir los requisitos normativos y de cumplimiento : comprenda y realice un seguimiento del progreso hacia el cumplimiento de las regulaciones que afectan a su organización.
En este artículo se supone que usa identidad de nube. Si necesita instrucciones para este objetivo, consulte Deploy your identity infrastructure for Microsoft 365.
Sugerencia
Cuando comprenda los pasos y el proceso de implementación de un extremo a otro, puede usar la guía de implementación avanzada Configurar el modelo de seguridad de Microsoft Confianza cero cuando inicie sesión en el centro de administración de Microsoft 365. Esta guía le guía a través de la aplicación de principios de Confianza cero para los pilares tecnológicos estándar y avanzados.
Swim lane 1: trabajo remoto e híbrido seguro
La protección del trabajo remoto e híbrido implica la configuración de la protección de acceso a dispositivos e identidades. Estas protecciones contribuyen al principio de Confianza Cero, que implica verificar explícitamente.
Realice el trabajo de protección del trabajo remoto e híbrido en tres fases.
Fase 1: Implementación de directivas de acceso a dispositivos e identidades de punto de partida
Microsoft recomienda un conjunto completo de directivas de acceso de identidades y dispositivos para Confianza cero en esta guía: Confianza cero configuraciones de identidad y acceso a dispositivos.
En la fase 1, empiece por implementar el nivel de punto inicial. Estas directivas no requieren la inscripción de dispositivos en la administración.
Vaya a Confianza cero protección de acceso a identidades y dispositivos para obtener instrucciones prescriptivas detalladas. En esta serie de artículos se describen un conjunto de configuraciones previas de identidad y acceso a dispositivos, así como un conjunto de directivas de Acceso condicional de Microsoft Entra, Microsoft Intune y otras herramientas, para proteger el acceso a las aplicaciones y servicios en la nube de Microsoft 365 para empresas, otros servicios SaaS y aplicaciones locales publicadas mediante el proxy de aplicación de Microsoft Entra.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Directivas recomendadas de acceso a identidades y dispositivos para tres niveles de protección:
Recomendaciones adicionales para:
|
Microsoft E3 o E5 Microsoft Entra ID en cualquiera de estos modos:
|
Inscripción de dispositivos para políticas que requieren dispositivos administrados. Consulte Administración de dispositivos con Intune para inscribir dispositivos. |
Fase 2: Inscribir dispositivos en la administración con Intune
A continuación, inscriba los dispositivos en la administración y comience a protegerlos con controles más sofisticados.
Consulte Administración de dispositivos con Intune para obtener instrucciones prescriptivas detalladas sobre la inscripción de dispositivos en la administración.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Inscribir dispositivos con Intune:
Configurar políticas:
|
Registro de puntos de conexión con Microsoft Entra ID | Configuración de funcionalidades de protección de la información, entre las que se incluyen:
Para estas funcionalidades, consulte Swim lane 3: identificación y protección de datos empresariales confidenciales (más adelante en este artículo). |
Para obtener más información, consulte Confianza cero para Microsoft Intune.
Fase 3: Agregar protección de acceso a dispositivos e identidades con Confianza cero: Políticas empresariales
Con los dispositivos inscritos en la administración, ahora puede implementar el conjunto completo de directivas de identidad y acceso a dispositivos recomendadas de Confianza cero, que requiere que los dispositivos sean compatibles.
Vuelva a Directivas comunes de acceso a identidades y dispositivos y agregue las directivas en el nivel Enterprise.
Obtenga más información sobre cómo proteger el trabajo remoto e híbrido en el marco de adopción de Confianza cero : Trabajo remoto e híbrido.
Carril de baño 2: evitar o reducir los daños empresariales por una brecha
Microsoft Defender XDR es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente los datos de señal, amenaza y alerta desde todo el entorno de Microsoft 365, incluido el punto de conexión, el correo electrónico, las aplicaciones y las identidades. Además, Microsoft Defender for Cloud Apps ayuda a las organizaciones a identificar y administrar el acceso a las aplicaciones SaaS, incluidas las aplicaciones de GenAI.
Evite o reduzca los daños empresariales de una infracción mediante la prueba piloto y la implementación de Microsoft Defender XDR.
Vaya a Pilot e implemente Microsoft Defender XDR para obtener una guía metódica para pilotar e implementar componentes de Microsoft Defender XDR.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
| Configure el entorno piloto y de evaluación para todos los componentes: Protección contra amenazas Investigación y respuesta ante amenazas |
Consulte las instrucciones para obtener información sobre los requisitos de arquitectura de cada componente de Microsoft Defender XDR. | Protección de Microsoft Entra ID no se incluye en esta guía de solución. Se incluye en Swim lane 1: trabajo remoto seguro e híbrido. |
Obtenga más información sobre cómo evitar o reducir los daños empresariales por una brecha en el marco de adopción de Confianza cero — Prevenir o reducir los daños empresariales por una brecha.
Swim lane 3: identificación y protección de datos empresariales confidenciales
Implemente Microsoft Purview Information Protection para ayudarle a detectar, clasificar y proteger información confidencial dondequiera que resida o viaje.
Microsoft Purview Information Protection funcionalidades se incluyen con Microsoft Purview y proporcionan las herramientas para conocer los datos, proteger los datos y evitar la pérdida de datos. Puede comenzar este trabajo en cualquier momento.
Microsoft Purview Information Protection proporciona un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos.
Para obtener más información sobre cómo planear e implementar la protección de la información, vea Deploy a Microsoft Purview Information Protection solution.
Obtenga más información sobre cómo identificar y proteger datos empresariales confidenciales en el marco de adopción Confianza cero: Identifique y proteja los datos empresariales confidenciales.
Swim lane 4: protección de datos y aplicaciones de inteligencia artificial
Microsoft 365 incluye funcionalidades para ayudar a las organizaciones a proteger rápidamente las aplicaciones de inteligencia artificial y los datos que usan.
Empiece por usar Purview Administración de postura de seguridad de datos (DSPM) para AI. Esta herramienta se centra en cómo se usa la inteligencia artificial en su organización, especialmente los datos confidenciales que interactúan con las herramientas de inteligencia artificial. DSPM para IA proporciona información más detallada sobre Microsoft Copilots y aplicaciones SaaS de terceros, como ChatGPT Enterprise y Google Gemini.
En el diagrama siguiente se muestra una de las vistas agregadas sobre el impacto del uso de inteligencia artificial en tus datos: interacciones sensibles por aplicación de inteligencia artificial generativa.
Use DSPM para la inteligencia artificial para:
- Obtenga visibilidad sobre el uso de la inteligencia artificial, incluidos los datos confidenciales.
- Revise las evaluaciones de datos para conocer las lagunas en el compartir en exceso que se pueden mitigar con los controles de compartir en exceso de SharePoint.
- Busque brechas en la cobertura de políticas para etiquetas de confidencialidad y prevención de pérdida de datos (DLP).
Defender for Cloud Apps es otra herramienta eficaz para detectar y controlar las aplicaciones y el uso de SaaS GenAI. Defender for Cloud Apps incluye más de mil aplicaciones relacionadas con ia generativa en el catálogo, lo que proporciona visibilidad sobre cómo se usan las aplicaciones de IA generativas en su organización y le ayudan a administrarlas de forma segura.
Además de estas herramientas, Microsoft 365 proporciona un conjunto completo de funcionalidades para proteger y gobernar la inteligencia artificial. Consulte Detección, protección y control de aplicaciones y datos de inteligencia artificial para obtener información sobre cómo empezar a trabajar con estas funcionalidades.
En la tabla siguiente se enumeran las funcionalidades de Microsoft 365 con vínculos a más información en la biblioteca Security for AI.
Swim lane 5: cumplir los requisitos normativos y de cumplimiento
Independientemente de la complejidad del entorno de TI de la organización o del tamaño de la organización, los nuevos requisitos normativos que podrían afectar a su negocio se están sumando continuamente. Un enfoque de Confianza cero suele superar algunos tipos de requisitos impuestos por las normativas de cumplimiento, por ejemplo, aquellos que controlan el acceso a los datos personales. Las organizaciones que han implementado un enfoque de Confianza cero pueden encontrar que ya cumplen algunas condiciones nuevas o pueden basarse fácilmente en su arquitectura de Confianza cero para que sea compatible.
Microsoft 365 incluye funcionalidades para ayudar con el cumplimiento normativo, entre las que se incluyen:
- Administrador de cumplimiento
- Explorador de contenido
- Directivas de retención, etiquetas de confidencialidad y directivas DLP
- Cumplimiento de comunicaciones
- Administración del ciclo de vida de los datos
- Administración de riesgo de privacidad Priva
Use los siguientes recursos para cumplir los requisitos normativos y de cumplimiento.
| Recurso | Información adicional |
|---|---|
| Marco de Adopción de Confianza cero — Satisfacer requisitos normativos y de cumplimiento | Describe un enfoque metódico que puede seguir su organización, incluida la definición de la estrategia, el planeamiento, la adopción y la gobernanza. |
| Gobernanza de aplicaciones y datos de inteligencia artificial para el cumplimiento normativo | Aborda el cumplimiento normativo de las regulaciones emergentes relacionadas con la inteligencia artificial, incluidas las funcionalidades específicas que ayudan. |
| Administrar la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview | Evalúe los riesgos y tome las medidas adecuadas para proteger los datos personales en el entorno de su organización mediante Microsoft Priva y Microsoft Purview. |
Pasos siguientes
Para más información sobre Confianza cero, visite el centro de instrucciones Confianza cero.