Споделяне чрез

Установяване на DLP стратегия

  • Статия

Политиките за предотвратяване на загуба на данни (DLP) действат като мантинели, за да предотвратят потребителите от неволно излагане на организационни данни и за защита на информационната сигурност в клиента. DLP политиките налагат правила, за които съединителите са разрешени за всяка среда и кои съединители могат да се използват заедно. Съединителите са класифицирани както само бизнес данни, не се допускат бизнес данни или блокиран. Съединител в групата само за бизнес данни може да се използва само с други съединители от тази група в същото приложение или поток. Още информация: Администриране на Microsoft Power Platform: политики за предотвратяване на загуба на данни

Установяването на вашите DLP политики върви ръка за ръка с вашата стратегия за околната среда.

Бързи факти

  • Политиките за предотвратяване на загуба на данни (DLP) действат като предпазни мерки, за да предотвратят неволното разкриване на данни от потребителите.
  • DLP политиките могат да бъдат обхванати на ниво среда и ниво клиент, предлагайки гъвкавост при създаването на политики, които са разумни и не блокират висока производителност.
  • DLP политиките на средата не могат да заменят DLP правилата за целия клиент.
  • Ако за една среда са конфигурирани множество политики, най-ограничителната политика се прилага за комбинацията от съединители.
  • По подразбиране в клиента не се прилагат DLP политики.
  • Правилата не могат да се прилагат на ниво потребител, само на ниво среда или клиент.
  • DLP политиките са запознати с конектора, но не контролират връзките, направени с помощта на конектора - с други думи, DLP политиките не са наясно дали използвате конектора за свързване към среда за разработка, тестване или производство.
  • Конекторите PowerShell и администратор могат да управляват политики.
  • Потребителите на ресурси в среди могат да преглеждат приложимите политики.

Класификация на конекторите

Бизнес и нефинансовите класификации очертават граници около това кои съединители могат да се използват заедно в дадено приложение или поток. Съединителите могат да бъдат класифицирани в следните групи, използвайки DLP политики:

  • Бизнес: Дадено Power App или Power Automate ресурс може да използва един или повече конектори от бизнес група. Ако Power App или Power Automate ресурс използва бизнес конектор, той не може да използва никакъв небизнес конектор.
  • Небизнес: Дадено Power App или Power Automate ресурс може да използва един или повече конектори от небизнес група. Ако Power App или Power Automate ресурс използва небизнес конектор, той не може да използва бизнес конектор.
  • Блокиран: Нито едно Power App или Power Automate ресурс не може да използва конектор от блокирана група. Всички Microsoft притежавани премиум конектори и конектори на трети страни (стандартни и премиум) могат да бъдат блокирани. Всички Microsoft притежавани стандартни конектори и Common Data Service конектори не могат да бъдат блокирани.

Наименованията "бизнес" и "небизнес" нямат никакво специално значение - те са просто етикети. Групирането на самите конектори е от значение, а не името на групата, в която са поставени.

Повече информация: Администрирайте Microsoft Power Platform: Класификация на конектор

Стратегии за създаване на DLP политики

Като администратор, поемането на средата или началото на поддръжката на използването на правила за DLP в Power Apps и Power Automate трябва да са сред първите неща, които настройвате. След като е въведен основен набор от правила, можете да се съсредоточите върху обработката на изключения и създаването на целеви DLP правила, които прилагат тези изключения, след като бъдат одобрени.

Препоръчваме следната отправна точка за DLP политики за споделени среди за производителност на потребители и екип:

  • Създайте политика, обхващаща всички среди с изключение на избраните (например производствените ви среди), поддържайте наличните съединители в тази политика ограничени до Office 365 и други стандартни микроуслуги и блокират достъпа до всичко останало. Това правило се прилага за средата по подразбиране и за средите за обучение, които имате за провеждане на вътрешни събития за обучение. Освен това тези правила се прилагат и за всички създадени нови среди.
  • Създайте подходящи и по-разрешителни DLP политики за вашите споделени среди за потребителска и екипна продуктивност. Тези политики могат да позволят на производителите да използват конектори като услуги на Azure в допълнение към услуги на Office 365. Конекторите, налични в тези среди, зависят от вашата организация и къде вашата организация съхранява бизнес данни.

Препоръчваме следната отправна точка за DLP политики за производствени среди (бизнес единица и проект):

  • Изключете тези среди от споделените правила за производителност на потребители и екип.
  • Работете с бизнес звеното и проекта, за да установите кои съединители и комбинации от съединители ще използват и да създадете политика за клиенти, която да включва само избраните среди.
  • Администраторите на средата на тези среди могат да използват правила за среда, за да категоризират персонализираните конектори само като бизнес данни, ако е необходимо.

Препоръчваме също:

  • Създаване на минимален брой политики за среда. Няма строга йерархия между правилата на клиента и средата, а по време на проектиране и изпълнение всички правила, които са приложими за средата, в която се намира приложението или потокът, се оценяват заедно, за да се реши дали ресурсът е в съответствие или нарушение на DLP правилата. Множество DLP политики , приложени към една среда, ще фрагментират пространството на конектора по сложни начини и може да затруднят разбирането на проблемите, пред които са изправени вашите създатели.
  • Централизирано управление на DLP политики с помощта на политики на ниво клиент и използване на политики на средата само за категоризиране на персонализирани конектори или в случаи на изключение.

С основна стратегия планирайте как да се справите с изключенията. Можете да:

  • Отхвърляне на заявката.
  • Добавяне на конектора към правилата по подразбиране за DLP.
  • Добавете обкръженията към списъка All Except за глобалния DLP по подразбиране и създайте специфична за конкретния случай DLP политика с включено изключение.

Пример: DLP стратегията на Contoso

Нека да разгледаме как Contoso Corporation, нашата примерна организация за това ръководство, е създала своите DLP политики. Настройката на техните DLP политики е тясно свързана с тяхната стратегия за околната среда.

Администраторите на Contoso искат да поддържат сценарии за производителност на потребители и екип и бизнес приложения, в допълнение към управлението на дейността на Центъра за върхови постижения (CoE).

Средата и DLP стратегията, приложена от администраторите на Contoso, се състои от:

  1. Ограничителни DLP правила за целия клиент, които се прилагат за всички среди в клиента, с изключение на някои специфични среди, които са изключили от обхвата на правилата. Администраторите възнамеряват да ограничат наличните съединители в тази политика до Office 365 и други стандартни микроуслуги, като блокират достъпа до всичко останало. Това правило важи и за средата по подразбиране.

  2. Администраторите на Contoso създадоха друга споделена среда за потребителите да създават приложения за случаи на използване на потребителска и екипна продуктивност. Тази среда има свързана DLP политика на ниво клиент, която не е толкова неблагоприятна като политиката по подразбиране и позволява на производителите да използват конектори като Azure услуги в допълнение към услуги на Office 365. Тъй като тази среда не е среда по подразбиране, администраторите могат активно да контролират списъка със създател на среда за нея. Това е диференциран подход към споделената среда за производителност на потребители и екип и свързаните с това DLP настройки.

  3. В допълнение, за да могат бизнес звената да създават бизнес приложения, те създадоха среда за разработка, тестване и производство за своите данъчни и одиторски дъщерни дружества в различни страни/региони. Достъпът на създателя на средата до тези среди се управлява внимателно и се предоставят подходящи конектори на първа и трета страна, като се използват DLP политики на ниво клиент в консултация със заинтересованите страни в бизнес звеното.

  4. По същия начин са създадени среди за разработка / тестване / производство за използване на Central IT за разработване и внедряване на подходящи или правилни приложения. Тези сценарии за бизнес приложения обикновено имат добре дефиниран набор от съединители, които трябва да бъдат предоставени на производителите, тестерите и потребителите в тези среди. Достъпът до тези съединители се управлява чрез специална политика на ниво клиент.

  5. Contoso също има среда със специално предназначение, посветена на техните дейности за Център за върхови постижения. В Contoso DLP политиката за средата със специално предназначение остава на високо ниво, като се има предвид експерименталният характер на теоретичните екипи. В този случай администраторите на клиенти делегират DLP управление за тази среда директно на доверен администратор на среда на екипа на CoE и го изключват от училище на всички политики на ниво клиент. Тази среда се управлява само от DLP политика на ниво среда, която е по-скоро изключение, отколкото правилото в Contoso.

Както се очакваше, всички нови среди, които се създават в Contoso, се съпоставят с първоначалните правила за всички среди.

Тази настройка на DLP политики, ориентирани към клиента, не пречи на администраторите на средата да измислят свои собствени DLP политики на ниво среда, ако искат да въведат повече ограничения или да класифицират персонализирани конектори.

Как Contoso настройва своите DLP правила.

Настройване на правила за данни

  1. Създайте своята политика в център за администрация на Power Platform. Повече информация: Управление на правилата за данни

  2. Използвайте DLP SDK, за да добавите персонализирани конектори към DLP политика.

Ясно съобщавайте DLP политиките на създателите на организацията си

Настройте сайт или уики на SharePoint, който ясно комуникира:

  • На ниво клиент и ключово ниво на средата (например среда по подразбиране, пробна среда) DLP политики, наложени в организацията, включително списъци с конектори, класифицирани като бизнес, нестопански и блокирани.
  • Идентификационният номер на имейл адреса на вашата администраторска група, така че производителите да могат да осъществяват контакт за сценарии на изключения. Например администраторите могат да помогнат на производителите да се върнат в съответствие, като редактират съществуваща DLP политика, преместват решението в различна среда, създават нова среда и нова DLP политика и преместват създателя и ресурса в тази нова среда.

Също така ясно съобщете стратегията за околната среда на вашата организация на производителите.