Κοινή χρήση μέσω

Καθιέρωση μιας στρατηγικής DLP

  • Άρθρο

Οι πολιτικές πρόληψης απώλειας δεδομένων (DLP) δρουν ως προστατευτικά κιγκλιδώματα για να εμποδίσουν τους χρήστες να εκθέσουν ακούσια δεδομένα οργανισμού και να προστατεύουν την ασφάλεια των πληροφοριών στον μισθωτή. Οι πολιτικές DLP επιβάλλουν κανόνες για τους οποίους έχουν ενεργοποιηθεί οι συνδέσεις για κάθε περιβάλλον και ποιες συνδέσεις μπορούν να χρησιμοποιηθούν μαζί. Οι συνδέσεις είναι ταξινομημένες είτε ως μόνο επιχειρηματικά δεδομένα, δεν επιτρέπονται επιχειρηματικά δεδομένα ή αποκλεισμένες. Μια σύνδεση στην ομάδα «μόνο επιχειρηματικά δεδομένα» μπορεί να χρησιμοποιηθεί μόνο με άλλες συνδέσεις από αυτήν την ομάδα στην ίδια εφαρμογή ή ροή. Περισσότερες πληροφορίες: Διαχείριση Microsoft Power Platform: πολιτικές πρόληψης απώλειας δεδομένων

Η καθιέρωση των πολιτικών σας DLP θα συμβαδίζει με τη στρατηγική σας για το περιβάλλον.

Σύντομα δεδομένα

  • Οι πολιτικές πρόληψης απώλειας δεδομένων (DLP) δρουν ως προστατευτικά κιγκλιδώματα για να εμποδίσουν τους χρήστες να εκθέσουν δεδομένα ακούσια.
  • Οι πολιτικές DLP μπορούν να στοχεύουν σε επίπεδο περιβάλλοντος και σε επίπεδο μισθωτών, προσφέροντας ευελιξία στη χάραξη πολιτικών που είναι λογικές και δεν αποκλείουν την υψηλή παραγωγικότητα.
  • Οι πολιτικές περιβάλλοντος DLP δεν μπορούν να αντικαταστήσουν τις πολιτικές DLP για όλους τους μισθωτές.
  • Εάν έχουν ρυθμιστεί πολλές πολιτικές για ένα περιβάλλον, η πιο περιοριστική πολιτική ισχύει για τον συνδυασμό των συνδέσεων.
  • Από προεπιλογή, οι πολιτικές DLP δεν υλοποιούνται στον μισθωτή.
  • Οι πολιτικές δεν είναι δυνατό να εφαρμοστούν σε επίπεδο χρήστη, μόνο σε επίπεδο περιβάλλοντος ή μισθωτών.
  • Οι πολιτικές DLP έχουν επίγνωση σύνδεσης, αλλά δεν ελέγχουν τις συνδέσεις που πραγματοποιούνται με τη χρήση της σύνδεσης — με άλλα λόγια, οι πολιτικές DLP δεν γνωρίζουν εάν χρησιμοποιείτε τη σύνδεση για να συνδεθείτε σε ένα περιβάλλον ανάπτυξης, δοκιμής ή παραγωγής.
  • Οι συνδέσεις PowerShell και διαχειριστή μπορούν να διαχειριστούν τις πολιτικές.
  • Οι χρήστες πόρων σε περιβάλλοντα μπορούν να προβάλλουν πολιτικές που εφαρμόζονται.

Ταξινόμηση συνδέσμων

Οι επιχειρηματικές και μη επιχειρηματικές ταξινομήσεις επισύρουν όρια γύρω από τις συνδέσεις που μπορούν να χρησιμοποιηθούν μαζί σε μια δεδομένη εφαρμογή ή ροή. Οι συνδέσεις μπορούν να ταξινομηθούν σε όλες τις ακόλουθες ομάδες χρησιμοποιώντας τις πολιτικές DLP:

  • Επιχειρηματικός: ένας δεδομένος πόρος Power App ή Power Automate μπορεί να χρησιμοποιεί μία ή περισσότερες συνδέσεις από μια επιχειρηματική ομάδα. Εάν ένας πόρος Power App ή Power Automate χρησιμοποιεί μια επιχειρηματική σύνδεση, δεν μπορεί να χρησιμοποιήσει καμία μη επιχειρηματική σύνδεση.
  • Μη επιχειρηματικός: ένας δεδομένος πόρος Power App ή Power Automate μπορεί να χρησιμοποιεί μία ή περισσότερες συνδέσεις από μια μη επιχειρηματική ομάδα. Εάν ένας πόρος Power App ή Power Automate χρησιμοποιεί μια μη επιχειρηματική σύνδεση, δεν μπορεί να χρησιμοποιήσει καμία επιχειρηματική σύνδεση.
  • Αποκλεισμένος: κανένας πόρος Power App ή Power Automate δεν μπορεί να χρησιμοποιήσει μια σύνδεση από μια αποκλεισμένη ομάδα. Όλες οι προνομιακές συνδέσεις που ανήκουν στη Microsoft και οι συνδέσεις τρίτων (βασικές και προνομιακές) μπορούν να αποκλειστούν. Δεν είναι δυνατό να αποκλειστούν όλες οι βασικές συνδέσεις και συνδέσεις Common Data Service που ανήκουν στη Microsoft.

Τα ονόματα «επιχειρηματικός» και «μη επιχειρηματικός» δεν έχουν καμία ειδική έννοια - είναι απλώς ετικέτες. Η ομαδοποίηση των ίδιων των συνδέσεων είναι σημαντική και όχι το όνομα της ομάδας στην οποία τοποθετούνται.

Περισσότερες πληροφορίες: Διαχείριση Microsoft Power Platform : Ταξινόμηση συνδέσεων

Στρατηγικές για τη δημιουργία των πολιτικών DLP

Ως Διαχειριστής που αναλαμβάνει ένα περιβάλλον ή αρχής γενομένης από την υποστήριξη των πολιτικών DLP Power Apps και Power Automate θα πρέπει να είναι ένα από τα πρώτα πράγματα που έχετε ορίσει. Με αυτόν τον τρόπο εξασφαλίζεται ένα βασικό σύνολο πολιτικών και, στη συνέχεια, μπορείτε να εστιάσετε στο χειρισμό εξαιρέσεων και στη δημιουργία στοχευμένων πολιτικών DLP που υλοποιούν αυτές τις εξαιρέσεις μόλις εγκριθούν.

Συνιστούμε το ακόλουθο σημείο εκκίνησης για τις πολιτικές DLP για κοινόχρηστα περιβάλλοντα παραγωγικότητας χρηστών και ομάδων:

  • Δημιουργήστε μια πολιτική που να εκτείνεται σε όλα τα περιβάλλοντα, εκτός από τα επιλεγμένα (για παράδειγμα, τα περιβάλλοντα παραγωγής σας), να διατηρείτε τις διαθέσιμες συνδέσεις σε αυτήν την πολιτική περιορισμένες στο Office 365 και άλλες βασικές μικρουπηρεσίες και να αποκλείετε την πρόσβαση σε οτιδήποτε άλλο. Αυτή η πολιτική θα ισχύσει για το προεπιλεγμένο περιβάλλον και για περιβάλλοντα εκπαίδευσης που έχετε για την εκτέλεση εσωτερικών εκπαιδευτικών συμβάντων. Επιπλέον, αυτή η πολιτική θα ισχύσει και για τα νέα περιβάλλοντα που θα δημιουργηθούν.
  • Δημιουργήστε κατάλληλες και πιο προαιρετικές πολιτικές DLP για τα κοινόχρηστα περιβάλλοντα παραγωγικότητας χρήστη και ομάδας. Αυτές οι πολιτικές θα μπορούσαν να επιτρέπουν στους δημιουργούς να χρησιμοποιούν συνδέσεις όπως οι υπηρεσίες Azure εκτός από τις υπηρεσίες Office 365. Οι συνδέσεις που είναι διαθέσιμες σε αυτά τα περιβάλλοντα θα εξαρτώνται από τον οργανισμό σας και το πού ο οργανισμός σας αποθηκεύει επιχειρηματικά δεδομένα.

Συνιστούμε το ακόλουθο σημείο εκκίνησης για τις πολιτικές DLP για περιβάλλοντα παραγωγικότητας (επιχειρηματικής μονάδας και έργου):

  • Εξαίρεση αυτών των περιβαλλόντων από κοινόχρηστες πολιτικές παραγωγικότητας χρήστη και ομάδας.
  • Εργαστείτε με την επιχειρηματική μονάδα και το έργο για να καθορίσετε τις συνδέσεις και τους συνδυασμούς συνδέσεων που θα χρησιμοποιήσουν και να δημιουργήσετε μια πολιτική μισθωτών για να συμπεριλάβετε μόνο τα επιλεγμένα περιβάλλοντα.
  • Οι διαχειριστές περιβάλλοντος αυτών των περιβαλλόντων μπορούν να χρησιμοποιήσουν τις πολιτικές περιβάλλοντος για να ταξινομήσουν τις προσαρμοσμένες συνδέσεις ως δεδομένα επιχείρησης μόνο, εάν είναι απαραίτητο.

Προτείνουμε επίσης:

  • Τη δημιουργία ενός ελάχιστου αριθμού πολιτικών ανά περιβάλλον. Δεν υπάρχει αυστηρή ιεραρχία ανάμεσα στις πολιτικές μισθωτών και περιβάλλοντος και στη σχεδίαση και τον χρόνο εκτέλεσης, όλες οι πολιτικές που εφαρμόζονται στο περιβάλλον στο οποίο βρίσκεται η εφαρμογή ή η ροή υπολογίζονται από κοινού για να αποφασιστεί εάν ο πόρος συμμορφώνεται ή παραβιάζει τις πολιτικές DLP. Οι πολλαπλές πολιτικές DLP που εφαρμόζονται σε ένα περιβάλλον θα τμηματοποιήσουν τον χώρο της σύνδεσής σας με πολύπλοκους τρόπους και ενδέχεται να είναι δύσκολο να κατανοήσετε τα ζητήματα που αντιμετωπίζουν οι δημιουργοί σας.
  • Η κεντρική διαχείριση των πολιτικών DLP με τη χρήση πολιτικών επιπέδου μισθωτών και η χρήση πολιτικών περιβάλλοντος μόνο για την κατηγοριοποίηση προσαρμοσμένων συνδέσεων ή σε περιπτώσεις εξαίρεσης.

Με μια βασική στρατηγική σε ισχύ, σχεδιάστε τον τρόπο χειρισμού των εξαιρέσεων. Μπορείτε να κάνετε τα εξής:

  • Απόρριψη αίτησης.
  • Προσθήκη της σύνδεσης στην προεπιλεγμένη πολιτική DLP.
  • Προσθέστε τα περιβάλλοντα στη λίστα «Όλα εκτός από» για την καθολική προεπιλεγμένη DLP και δημιουργήστε μια πολιτική ειδικής υπόθεσης χρήσης DLP με την εξαίρεση που περιλαμβάνεται.

Παράδειγμα: στρατηγική DLP της Contoso

Ας δούμε πώς λειτουργεί η Contoso Corporation, ο οργανισμός-δείγμα για αυτήν την καθοδήγηση, ρυθμίστε τις πολιτικές τους DLP. Η ρύθμιση των πολιτικών DLP τους συνάσει στενά με τη στρατηγική περιβάλλοντός τους.

Οι διαχειριστές της Contoso θέλουν να υποστηρίξουν σενάρια παραγωγικότητας χρήστη και ομάδας και επιχειρηματικές εφαρμογές, εκτός από τη διαχείριση δραστηριοτήτων του κέντρου αριστείας (ΚΑ).

Η στρατηγική περιβάλλοντος και DLP που έχουν εφαρμόσει οι διαχειριστές της Contoso αποτελείται από:

  1. Μια περιοριστική πολιτική DLP για όλους τους μισθωτούς, η οποία εφαρμόζεται σε όλα τα περιβάλλοντα του μισθωτή, εκτός από ορισμένα συγκεκριμένα περιβάλλοντα που έχουν αποκλείσει από το πεδίο πολιτικής. Οι διαχειριστές έχουν την πρόθεση να διατηρήσουν τις διαθέσιμες συνδέσεις σε αυτήν την πολιτική που περιορίζεται στο Office 365 και άλλες βασικές μικρουπηρεσίες μπλοκάροντας την πρόσβαση σε οτιδήποτε άλλο. Αυτή η πολιτική θα εφαρμοστεί επίσης στο προεπιλεγμένο περιβάλλον.

  2. Οι διαχειριστές του Contoso έχουν δημιουργήσει ένα άλλο κοινόχρηστο περιβάλλον για τους χρήστες ώστε να δημιουργούν εφαρμογές για υποθέσεις χρήσης παραγωγικότητας χρήστη και ομάδας. Αυτό το περιβάλλον έχει μια σχετική πολιτική DLP επιπέδου μισθωτών που δεν αποφεύγει τόσο τον κίνδυνο όσο μια προεπιλεγμένη πολιτική και επιτρέπει στους δημιουργούς να χρησιμοποιούν συνδέσεις, όπως οι υπηρεσίες Azure, εκτός από τις υπηρεσίες Office 365. Επειδή πρόκειται για ένα μη προεπιλεγμένο περιβάλλον, οι διαχειριστές μπορούν να ελέγχουν ενεργά τη λίστα δημιουργίας περιβάλλοντος για αυτήν. Πρόκειται για μια κλιμακωτή προσέγγιση του κοινόχρηστου περιβάλλοντος παραγωγικότητας χρήστη και ομάδας και των συσχετισμένων ρυθμίσεων DLP.

  3. Επιπλέον, προκειμένου οι επιχειρηματικές μονάδες να δημιουργήσουν επιχειρηματικές εφαρμογές, έχουν δημιουργήσει περιβάλλοντα ανάπτυξης, δοκιμής και παραγωγής για τις φορολογικές και ελεγκτικές θυγατρικές τους σε διάφορες χώρες/περιοχές. Η πρόσβαση του δημιουργού περιβάλλοντος σε αυτά τα περιβάλλοντα τελεί υπό προσεκτική διαχείριση και οι κατάλληλες συνδέσεις πρώτων και τρίτων κατασκευαστών είναι διαθέσιμες χρησιμοποιώντας τις πολιτικές DLP επιπέδου μισθωτή σε συνεννόηση με τους ενδιαφερομένους της επιχειρηματικής μονάδας.

  4. Ομοίως, τα περιβάλλοντα ανάπτυξης/δοκιμής/παραγωγής δημιουργούνται για χρήση από την κεντρική πληροφορική για ανάπτυξη και την κυκλοφορία σχετικών ή σωστών εφαρμογών. Αυτά τα σενάρια επιχειρηματικής εφαρμογής έχουν συνήθως ένα καλά καθορισμένο σύνολο συνδέσεων που πρέπει να είναι διαθέσιμες για δημιουργούς, δοκιμαστές και χρήστες σε αυτά τα περιβάλλοντα. Η διαχείριση της πρόσβασης σε αυτές τις συνδέσεις γίνεται με τη χρήση μιας ειδικής πολιτικής επιπέδου μισθωτών.

  5. Η Contoso διαθέτει επίσης ένα περιβάλλον ειδικής χρήσης αφιερωμένο στις δραστηριότητες του Κέντρου Αριστείας. Στην Contoso, η πολιτική DLP για το περιβάλλον ειδικού σκοπού θα παραμείνει υψηλή πινελιά δεδομένης της πειραματικής φύσης του βιβλίου των θεωρητικών ομάδων. Σε αυτήν την περίπτωση, οι διαχειριστές μισθωτών έχουν αναθέσει τη διαχείριση DLP για αυτό το περιβάλλον απευθείας σε έναν έμπιστο διαχειριστή περιβάλλοντος της ομάδας του ΚΑ και την απέκλεισαν από μια σχολή με όλες τις πολιτικές σε επίπεδο μισθωτών. Η διαχείριση αυτού του περιβάλλοντος γίνεται μόνο από την πολιτική DLP επιπέδου περιβάλλοντος, η οποία αποτελεί εξαίρεση και όχι τον κανόνα στην Contoso.

Όπως ήταν αναμενόμενο, τυχόν νέα περιβάλλοντα που δημιουργούνται στο Contoso θα αντιστοιχίζονται στην αρχική πολιτική για όλα τα περιβάλλοντα.

Αυτή η ρύθμιση των μισθωροκεντρικών πολιτικών DLP δεν εμποδίζει τους διαχειριστές περιβάλλοντος να βρουν τις δικές τους πολιτικές DLP επιπέδου περιβάλλοντος, εάν θέλουν να εισαγάγουν πρόσθετους περιορισμούς ή να ταξινομήσουν προσαρμοσμένες συνδέσεις.

Τρόπος με τον οποίο η Contoso έχει ρυθμίσει την πολιτική DLP.

Ρύθμιση πολιτικών δεδομένων

  1. Δημιουργήστε την πολιτική σας στο Κέντρο διαχείρισης Power Platform. Περισσότερες πληροφορίες: Διαχείριση πολιτικών δεδομένων

  2. Χρησιμοποιήστε το DLP SDK για να προσθέσετε προσαρμοσμένες συνδέσεις σε μια πολιτική DLP.

Κοινοποιήστε με σαφήνεια τις πολιτικές DLP του οργανισμού σας στους δημιουργούς

Δημιουργήστε μια τοποθεσία ή ένα wiki SharePoint που επικοινωνεί με σαφήνεια:

  • Το επίπεδο μισθωτών και το βασικό επίπεδο περιβάλλοντος (για παράδειγμα, το προεπιλεγμένο περιβάλλον, το δοκιμαστικό περιβάλλον), οι πολιτικές DLP που εφαρμόζονται στον οργανισμό, συμπεριλαμβανομένων των λιστών συνδέσεων που ταξινομούνται ως επιχειρηματικές, μη επιχειρηματικές και μπλοκαρισμένες.
  • Το αναγνωριστικό ηλεκτρονικού ταχυδρομείου της ομάδας διαχειριστών σας ώστε οι δημιουργοί να μπορούν να επικοινωνήσουν για σενάρια εξαίρεσης. Για παράδειγμα, οι διαχειριστές μπορούν να βοηθήσουν τους δημιουργούς να επιστρέφουν στη συμμόρφωση με την επεξεργασία μιας υπάρχουσας πολιτικής DLP, τη μεταφορά της λύσης σε ένα διαφορετικό περιβάλλον, τη δημιουργία ενός νέου περιβάλλοντος και μια νέας πολιτικής DLP, καθώς και τη μεταφορά του δημιουργού και του πόρου σε αυτό το νέο περιβάλλον.

Επίσης κοινοποιήστε με σαφήνεια τη στρατηγική περιβάλλοντος του οργανισμού σας στους δημιουργούς.