Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona un plan de implementación para crear Confianza cero seguridad con Microsoft 365. Confianza cero es un modelo de seguridad que supone una vulneración de seguridad y comprueba cada solicitud como si se origina en una red no controlada. Independientemente del lugar en el que se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero enseña a "no confiar nunca, a realizar siempre todas las comprobaciones pertinentes".
Use este artículo junto con este póster.
Confianza cero principios y arquitectura
Confianza cero como estrategia de seguridad No es un producto ni un servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad.
| Principio | Descripción |
|---|---|
| Comprobación explícita | Realice siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles. |
| Utilizar el acceso con menos privilegios | Limite el acceso de los usuarios con los modelos Just-In-Time (JIT) y Just-Enough-Access (JEA), políticas adaptativas basadas en el nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y segmente el acceso. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Las instrucciones de este artículo le ayudan a aplicar estos principios mediante la implementación de funcionalidades con Microsoft 365.
Un enfoque de confianza cero se extiende a lo largo de todo el patrimonio digital y actúa como filosofía de seguridad integrada y estrategia de un extremo a otro.
En esta ilustración se proporciona una representación de los elementos principales que contribuyen a Confianza cero.
En la ilustración:
- La aplicación de directivas de seguridad está en el centro de una arquitectura de confianza cero. Esto incluye la autenticación multifactor con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
- Las identidades, los dispositivos, los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas configuradas para cada uno de estos componentes se coordinan con la estrategia general de confianza cero. Por ejemplo, las directivas de dispositivo determinan los criterios para los dispositivos en buen estado y las directivas de acceso condicional requieren dispositivos en buen estado para el acceso a aplicaciones y datos específicos.
- La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.
Para obtener más información sobre Confianza cero, consulte el Centro de orientación de Confianza cero de Microsoft.
Implementación de Confianza cero para Microsoft 365
Microsoft 365 se ha creado intencionadamente con muchas funcionalidades de seguridad y protección de la información para ayudarle a crear Confianza cero en su entorno. Muchas de las funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS que usa su organización y los datos de estas aplicaciones.
Esta ilustración representa el trabajo de implementación de funcionalidades de Confianza cero. Este trabajo se alinea con Confianza cero escenarios empresariales en el marco de adopción de Confianza cero.
En esta ilustración, el trabajo de implementación se clasifica en cinco carriles de natación:
- Protección del trabajo remoto e híbrido : este trabajo crea una base de protección de dispositivos e identidades.
- Prevención o reducción de daños empresariales por una vulneración : la protección contra amenazas proporciona supervisión y corrección en tiempo real de las amenazas de seguridad. Defender for Cloud Apps proporciona la detección de aplicaciones SaaS, incluidas las aplicaciones de inteligencia artificial, y le permite ampliar la protección de datos a estas aplicaciones.
- Identificar y proteger datos empresariales confidenciales : las funcionalidades de protección de datos proporcionan controles sofisticados dirigidos a tipos específicos de datos para proteger su información más valiosa.
- Protección de datos y aplicaciones de inteligencia artificial : proteja rápidamente el uso que hace su organización de las aplicaciones de inteligencia artificial y los datos con los que interactúan.
- Cumplir los requisitos normativos y de cumplimiento : comprenda y realice un seguimiento de su progreso hacia el cumplimiento de las regulaciones que afectan a su organización.
En este artículo se supone que usa la identidad en la nube. Si necesita instrucciones para este objetivo, consulte Implementación de la infraestructura de identidad para Microsoft 365.
Sugerencia
Cuando comprenda los pasos y el proceso de implementación de un extremo a otro, puede usar la guía de implementación avanzada Configurar el modelo de seguridad de Microsoft Confianza cero al iniciar sesión en el Centro de administración de Microsoft 365. Esta guía le guiará a través de la aplicación de principios de Confianza cero para los pilares de tecnología estándar y avanzada. Para recorrer la guía sin iniciar sesión, vaya al portal de instalación de Microsoft 365.
Swim lane 1: trabajo remoto e híbrido seguro
La protección del trabajo remoto e híbrido implica la configuración de la protección de acceso a dispositivos e identidades. Estas protecciones contribuyen a la comprobación explícita del principio de Confianza cero.
Realice el trabajo de protección del trabajo remoto e híbrido en tres fases.
Fase 1: Implementación de directivas de acceso a dispositivos e identidades de punto de partida
Microsoft recomienda un conjunto completo de directivas de acceso a dispositivos e identidades para Confianza cero en esta guía, Confianza cero configuraciones de acceso a dispositivos e identidades.
En la fase 1, empiece por implementar el nivel de punto inicial. Estas directivas no requieren la inscripción de dispositivos en la administración.
Vaya a Confianza cero protección de identidad y acceso a dispositivos para obtener instrucciones prescriptivas detalladas. En esta serie de artículos se describe un conjunto de configuraciones de requisitos previos de acceso a dispositivos e identidades y un conjunto de Microsoft Entra acceso condicional, Microsoft Intune y otras directivas para proteger el acceso a Microsoft 365 para aplicaciones y servicios en la nube empresariales, otros servicios SaaS y aplicaciones locales publicadas con Microsoft Entra aplicación proxy.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Directivas de acceso a dispositivos e identidades recomendadas para tres niveles de protección:
Recomendaciones adicionales para:
|
Microsoft E3 o E5 Microsoft Entra ID en cualquiera de estos modos:
|
Inscripción de dispositivos para directivas que requieren dispositivos administrados. Consulte Administración de dispositivos con Intune para inscribir dispositivos. |
Fase 2: Inscribir dispositivos en la administración con Intune
A continuación, inscriba los dispositivos en la administración y comience a protegerlos con controles más sofisticados.
Consulte Administración de dispositivos con Intune para obtener instrucciones prescriptivas detalladas sobre la inscripción de dispositivos en la administración.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Inscribir dispositivos con Intune:
Configurar directivas:
|
Registro de puntos de conexión con Microsoft Entra ID | Configuración de funcionalidades de protección de la información, entre las que se incluyen:
Para obtener estas funcionalidades, consulte Swim lane 3: Identificar y proteger datos empresariales confidenciales (más adelante en este artículo). |
Para obtener más información, consulte Confianza cero para Microsoft Intune.
Fase 3: incorporación de Confianza cero identidad y protección de acceso a dispositivos: directivas empresariales
Con los dispositivos inscritos en la administración, ahora puede implementar el conjunto completo de directivas de acceso a dispositivos e identidades de Confianza cero recomendadas, que requieren dispositivos compatibles.
Vuelva a Las directivas comunes de acceso a dispositivos e identidades y agregue las directivas en el nivel Enterprise.
Obtenga más información sobre cómo proteger el trabajo remoto e híbrido en el marco de adopción de Confianza cero: Protección del trabajo remoto e híbrido.
Carril de baño 2: evitar o reducir los daños empresariales por una brecha
Microsoft Defender XDR es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente datos de señales, amenazas y alertas de todo el entorno de Microsoft 365, incluidos los puntos de conexión, el correo electrónico, las aplicaciones y las identidades. Además, Microsoft Defender for Cloud Apps ayuda a las organizaciones a identificar y administrar el acceso a las aplicaciones SaaS, incluidas las aplicaciones GenAI.
Evite o reduzca los daños empresariales de una vulneración mediante el pilotamiento y la implementación de Microsoft Defender XDR.
Vaya a Piloto e implemente Microsoft Defender XDR para obtener una guía metódica sobre cómo pilotar e implementar componentes Microsoft Defender XDR.
| Incluye | Prerrequisitos | No incluye |
|---|---|---|
Configure el entorno piloto y de evaluación para todos los componentes:
Protección contra amenazas Investigación y respuesta ante amenazas |
Consulte las instrucciones para obtener información sobre los requisitos de arquitectura de cada componente de Microsoft Defender XDR. | Protección de Microsoft Entra ID no se incluye en esta guía de solución. Está incluido en Swim lane 1: seguro trabajo remoto e híbrido. |
Obtenga más información sobre cómo evitar o reducir los daños empresariales causados por una infracción en el marco de adopción de Confianza cero: impedir o reducir los daños empresariales de una infracción.
Swim lane 3: identificación y protección de datos empresariales confidenciales
Implemente Microsoft Purview Information Protection para ayudarle a detectar, clasificar y proteger información confidencial dondequiera que viva o viaje.
Microsoft Purview Information Protection funcionalidades se incluyen con Microsoft Purview y le proporcionan las herramientas para conocer los datos, proteger los datos y evitar la pérdida de datos. Puede comenzar este trabajo en cualquier momento.
Microsoft Purview Information Protection proporciona un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos.
Para obtener más información sobre cómo planear e implementar la protección de la información, consulte Implementación de una solución de Microsoft Purview Information Protection.
Obtenga más información sobre cómo identificar y proteger datos empresariales confidenciales en el marco de adopción de Confianza cero: identificar y proteger los datos empresariales confidenciales.
Swim lane 4: protección de datos y aplicaciones de inteligencia artificial
Microsoft 365 incluye funcionalidades para ayudar a las organizaciones a proteger rápidamente las aplicaciones de inteligencia artificial y los datos que usan.
Empiece por usar purview Administración de postura de seguridad de datos (DSPM) para la inteligencia artificial. Esta herramienta se centra en cómo se usa la inteligencia artificial en su organización, especialmente los datos confidenciales que interactúan con las herramientas de inteligencia artificial. DSPM para IA proporciona información más detallada sobre Microsoft Copilots y aplicaciones SaaS de terceros, como ChatGPT Enterprise y Google Gemini.
En el diagrama siguiente se muestra una de las vistas agregadas sobre el impacto del uso de inteligencia artificial en tus datos: interacciones sensibles por aplicación de inteligencia artificial generativa.
Use DSPM para la inteligencia artificial para:
- Obtenga visibilidad sobre el uso de la inteligencia artificial, incluidos los datos confidenciales.
- Revise las evaluaciones de datos para obtener información sobre las brechas en el uso compartido excesivo que se pueden mitigar con controles de uso compartido excesivo de SharePoint.
- Busque brechas en la cobertura de directivas para etiquetas de confidencialidad y directivas de prevención de pérdida de datos (DLP).
Defender for Cloud Apps es otra herramienta eficaz para detectar y controlar el uso y las aplicaciones SaaS GenAI. Defender for Cloud Apps incluye más de mil aplicaciones generativas relacionadas con la inteligencia artificial en el catálogo, lo que proporciona visibilidad sobre cómo se usan las aplicaciones de inteligencia artificial generativas en su organización y le ayuda a administrarlas de forma segura.
Además de estas herramientas, Microsoft 365 proporciona un conjunto completo de funcionalidades para proteger y controlar la inteligencia artificial. Consulte Detección, protección y gobernanza de aplicaciones y datos de inteligencia artificial para obtener información sobre cómo empezar a trabajar con estas funcionalidades.
En la tabla siguiente se enumeran las funcionalidades de Microsoft 365 con vínculos a más información en la biblioteca Seguridad para IA.
Swim lane 5: cumplir los requisitos normativos y de cumplimiento
Independientemente de la complejidad del entorno de TI de la organización o del tamaño de la organización, los nuevos requisitos normativos que podrían afectar a su negocio se están sumando continuamente. Un enfoque de Confianza cero suele superar algunos tipos de requisitos impuestos por las regulaciones de cumplimiento, por ejemplo, los que controlan el acceso a los datos personales. Las organizaciones que han implementado un enfoque de Confianza cero pueden encontrar que ya cumplen algunas condiciones nuevas o que pueden basarse fácilmente en su arquitectura de Confianza cero para que sean compatibles.
Microsoft 365 incluye funcionalidades para ayudar con el cumplimiento normativo, entre las que se incluyen:
- Administrador de cumplimiento
- Explorador de contenido
- Directivas de retención, etiquetas de confidencialidad y directivas DLP
- Cumplimiento de comunicaciones
- Administración del ciclo de vida de los datos
- Administración de riesgo de privacidad Priva
Use los siguientes recursos para cumplir los requisitos normativos y de cumplimiento.
| Recurso | Información adicional |
|---|---|
| marco de adopción de Confianza cero: cumplir los requisitos normativos y de cumplimiento | Describe un enfoque metódico que puede seguir su organización, incluida la definición de la estrategia, el planeamiento, la adopción y la gobernanza. |
| Gobernanza de aplicaciones y datos de inteligencia artificial para el cumplimiento normativo | Aborda el cumplimiento normativo de las regulaciones emergentes relacionadas con la inteligencia artificial, incluidas las funcionalidades específicas que ayudan. |
| Administrar la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview | Evalúe los riesgos y tome las medidas adecuadas para proteger los datos personales en el entorno de su organización mediante Microsoft Priva y Microsoft Purview. |
Pasos siguientes
Para más información sobre Confianza cero, visite el centro de orientación de Confianza cero.