Prevenzione della perdita di dati in Exchange 2013
Si applica a: Exchange Server 2013
Informazioni sui criteri DLP in Exchange Server 2013, inclusi i contenuti e come testarli. Verranno inoltre fornite informazioni su una nuova funzionalità in Exchange DLP.
La prevenzione della perdita di dati (DLP) è un importante elemento dei sistemi di messaggistica aziendale a causa del vasto uso di posta elettronica per importanti comunicazioni aziendali che includono anche dati sensibili. Per poter applicare requisiti di conformità a quei dati e gestire il loro utilizzo nella posta elettronica, senza ostacolare la produttività dei lavoratori, le funzionalità di prevenzione della perdita di dati rendono la gestione dei dati sensibili facile come mai prima. Per una panoramica concettuale di DLP, guarda il seguente video.
Panoramica della prevenzione della perdita dei dati
I criteri DLP sono pacchetti semplici che contengono set di condizioni, costituiti da regole di trasporto, azioni ed eccezioni create nell'interfaccia di amministrazione di Exchange e quindi attivate per filtrare messaggi di posta elettronica e allegati. È possibile creare un criterio DLP, ma scegliere di non attivarlo. Questo consente di testare i propri criteri senza influire sul flusso di posta. I criteri DLP possono sfruttare tutta l'efficacia delle esistenti regole di trasporto. In effetti, nel Microsoft Exchange Server 2013 sono stati creati diversi nuovi tipi di regole di trasporto per ottenere una nuova funzionalità di prevenzione della perdita dei dati.
Una nuova funzionalità importante delle regole di trasporto è un nuovo approccio alla classificazione delle informazioni sensibili che possono essere incorporate nell'elaborazione del flusso di posta. Questa nuova funzionalità DLP esegue una profonda analisi del contenuto per mezzo della corrispondenza di parole chiave, corrispondenza di dizionari e altri esami del contesto per identificare quei contenuti che violano i criteri DLP organizzativi. Exchange 2013 Service Pack 1 (SP1) aggiunge l'impronta digitale del documento, che consente di rilevare informazioni sensibili nei moduli standard. Per altre informazioni sulle regole di trasporto, vedere Regole di trasporto in Exchange 2013 e Integrazione di regole relative alle informazioni riservate con le regole di trasporto. È anche possibile gestire i propri criteri DLP utilizzando i cmdlet di Exchange Management Shell. Per altre informazioni sui cmdlet per criteri e conformità, vedere Criteri di messaggistica e conformità.
Oltre ai criteri di prevenzione della perdita dei dati personalizzabili, è anche possibile informare i mittenti di posta elettronica che potrebbero violare uno dei criteri, anche prima di inviare un messaggio offensivo. A tale scopo è possibile configurare dei suggerimenti per i criteri. I suggerimenti per i criteri sono simili ai suggerimenti messaggio e possono essere configurati per presentare una breve nota in Outlook 2013 o versioni successive che fornisce informazioni sulle possibili violazioni dei criteri a una persona che crea un messaggio. In Exchange 2013 SP1, i suggerimenti per i criteri vengono visualizzati anche in Outlook Web App e OWA per dispositivi. Per ulteriori informazioni, vedere Suggerimenti per i criteri.
Nota
Prevenzione perdita dati (DLP) è una funzionalità premium che richiede una licenza di accesso client (CAL, Client Access License) di Enterprise di Exchange. Per altre informazioni sulle licenze CAL e sui server, vedere Domande frequenti sulle licenze di Exchange.
Exchange Enterprise CAL with Services: esiste una distinzione di comportamento da tenere presente se si è un cliente di Exchange Enterprise CAL with Services con una distribuzione ibrida, in cui alcune cassette postali si trovano in locale e alcune in Exchange Online. I criteri DLP sono applicati in Exchange Online. Pertanto, i messaggi inviati da un utente in locale a un altro utente in locale non hanno criteri DLP applicati, poiché il messaggio non lascia l'infrastruttura in locale.
Per informazioni sulle attività di gestione correlate alla prevenzione della perdita dei dati, Vedere Procedure DLP.
Stabilire criteri per proteggere i dati sensibili
Le funzionalità di prevenzione perdita dati possono essere d'aiuto per identificare e monitorare molte categorie di informazioni sensibili definite nelle condizioni dei propri criteri, quali ad esempio numeri di identificazione personale o numeri di carte di credito. Si possono definire i propri criteri personalizzati e regole di trasporto o utilizzare i modelli DLP predefiniti forniti da Microsoft per iniziare velocemente. Per altre informazioni sui modelli di criteri inclusi, vedere Modelli di criteri DLP forniti in Exchange 2013. Un modello di criterio include una serie di condizioni, regole e azioni che si possono scegliere per creare e salvare un criterio DLP effettivo che aiuta a ispezionare i messaggi. I modelli di criterio sono modelli dai quali è possibile selezionare o costruire le proprie regole specifiche per creare un criterio che corrisponda alle proprie necessità di prevenzione perdita di dati.
Esistono tre diversi metodi per iniziare a utilizzare DLP:
Applicare un modello predefinito fornito da Microsoft: il modo più rapido per iniziare a usare i criteri DLP consiste nel creare e implementare un nuovo criterio usando un modello. Questo evita lo sforzo di costruire un nuovo gruppo di regole dal nulla. È necessario conoscere il tipo di dati da controllare o il regolamento di conformità che si sta tentando di risolvere. Sarà anche necessario conoscere le aspettative delle organizzazioni per l'elaborazione di tali dati. Per altre informazioni, vedere Modelli di criteri DLP forniti in Exchange 2013 e Creare criteri DLP da un modello.
Importare un file di criteri predefinito dall'esterno dell'organizzazione: è possibile importare criteri già creati all'esterno dell'ambiente di messaggistica da fornitori di software indipendenti. È così possibile estendere le soluzioni DLP per adattarle alle proprie esigenze aziendali. Maggiori informazioni su Modelli di criteri di partner Microsoft, Definire modelli DLP e tipi di informazione propri, e Importare un modello di criteri DLP personalizzato da un file.
Creare un criterio personalizzato senza condizioni preesistenti: l'organizzazione potrebbe avere requisiti propri per il monitoraggio di determinati tipi di dati noti all'interno di un sistema di messaggistica. È possibile creare un criterio personalizzato completamente proprio per iniziare il controllo e agire sui dati univoci dei messaggi. Per creare un criterio personalizzato, è necessario conoscere i requisiti e i vincoli dell'ambiente in cui verranno applicati i criteri DLP. Per ulteriori informazioni fare riferimento a Creare un criterio DLP personalizzato.
Dopo aver aggiunto un criterio, è possibile revisionare e modificare le sue regole, disattivarlo o rimuoverlo completamente. Le procedure per queste azioni sono previste nell'argomento Gestire i criteri DLP.
Tipi di informazioni sensibili nei criteri DLP
Quando si creano o si modificano criteri DLP, è possibile includere regole che includono controlli per le informazioni sensibili. I tipi di informazioni sensibili elencati nell'argomento Tipi di informazioni sensibili in Exchange Server sono disponibili per l'uso nei criteri. Le condizioni che si stabiliscono in un criterio, ad esempio quante volte si deve trovare qualcosa prima di intraprendere una azione o cosa è esattamente quella azione, può essere personalizzato nel nuovo criterio personale per corrispondere ai requisiti specifici del criterio. Per ulteriori informazioni sulla creazione di criteri DLP, vedere Creare un criterio DLP personalizzato". Per altre informazioni sulle regole di trasporto complete della suite, vedere Regole di trasporto in Exchange 2013.
Per facilitare l'utilizzo di regole relative alle informazioni sensibili, Microsoft fornisce modelli di criteri che includono già alcuni tipi di informazioni sensibili. Non è tuttavia possibile aggiungere condizioni per tutti i tipi di informazioni sensibili elencati qui ai modelli di criteri, perché i modelli sono progettati per consentire di concentrarsi sui tipi più comuni di dati correlati alla conformità all'interno dell'organizzazione. Per altre informazioni sui modelli predefiniti, vedere Modelli di criteri DLP forniti in Exchange 2013. È possibile creare numerosi criteri DLP per la proprie organizzazione e abilitarli tutti in modo da esaminare molti tipi diversi di informazioni. È anche possibile creare criteri di prevenzione della perdita dei dati non basati su un modello esistente. Per iniziare la creazione di tale criterio, vedere Creare un criterio DLP personalizzato. Per altre informazioni sui tipi di informazioni riservate, vedere Tipi di informazioni riservate in Exchange Server.
Rilevamento di dati riservati con documento Fingerprinting
Con Exchange 2013 SP1, è possibile usare l'impronta digitale del documento per creare facilmente un tipo di informazioni sensibili basato su un modulo standard. Per informazioni su come proteggere i dati del modulo, vedere Proteggere i dati del modulo con l'impronta digitale del documento.
Notifica agli utenti con un suggerimento per il criterio circa le aspettative di contenuti sensibili
È possibile usare i messaggi di notifica dei suggerimenti per i criteri per informare i mittenti di posta elettronica sui possibili problemi di conformità durante la composizione di un messaggio di posta elettronica. Quando si configura un suggerimento per il criterio in un criterio DLP, il messaggio di notifica verrà mostrato solo se il messaggio di posta elettronica del mittente corrisponde alle condizioni descritte nel criterio. I suggerimenti per i criteri sono simili ai suggerimenti per i messaggi introdotti in Microsoft Exchange 2010. Per ulteriori informazioni, vedere Suggerimenti per i criteri.
Rilevamento di informazioni sensibili con classificazione tradizionale dei messaggi
Exchange 2013 presenta un nuovo metodo per gestire i dati dei messaggi e degli allegati rispetto alla classificazione tradizionale dei messaggi. Un fattore chiave nell'efficacia della soluzione DLP è la possibilità di identificare correttamente contenuti confidenziali o sensibili che possono essere univoci per l'organizzazione, necessità normative, geografia o altre necessità aziendali. Exchange 2013 può garantire il risultato utilizzando una nuova architettura per l'analisi approfondita dei contenuti accoppiata a criteri di rilevazione stabiliti da regole nei propri criteri DLP. L'aiuto nel prevenire la perdita di dati in Exchange 2013 si basa sulla configurazione di un corretto gruppo di regole per le informazioni sensibili in modo che forniscano un alto grado di protezione mentre riducono l'inappropriata interruzione del flusso di posta con falsi positivi e negativi. Questi tipi di regole, cui si fa riferimento nelle informazioni DLP come al rilevamento delle informazioni sensibili, funzionano nella cornice offerta dalle regole di trasporto per consentire l'abilitazione delle funzionalità DLP.
Per altre informazioni su queste nuove funzionalità, vedere Integrazione di regole relative alle informazioni riservate con le regole di trasporto. I campi di classificazione dei messaggi tradizionali possono comunque essere applicati ai messaggi in Exchange e questi possono essere combinati con il nuovo rilevamento delle informazioni sensibili insieme all'interno di un singolo criterio DLP o in esecuzione simultaneamente in modo che vengano valutati in modo indipendente all'interno di Exchange. Per altre informazioni sulle classificazioni dei messaggi legacy di Exchange 2010, vedere Informazioni sulle classificazioni dei messaggi.
Informazioni sui messaggi elaborati DLP
Per Exchange 2013 per ottenere informazioni sui messaggi e i rilevamenti dei criteri DLP nell'ambiente, vedere Visualizzare i report di rilevamento dei criteri DLP e Creare report sugli eventi imprevisti per i rilevamenti dei criteri DLP. I dati relativi al rilevamento DLP sono integrati nello strumento di verifica dei messaggi rapporti di recapito di Exchange 2013.
Prerequisiti di installazione
Per usare le funzionalità DLP, è necessario che Exchange 2013 sia configurato con almeno una cassetta postale del mittente. Prevenzione perdita dati è una funzionalità premium che richiede una licenza CAL (Client Access License). Per altre informazioni su come iniziare a usare Exchange Server, vedere Pianificazione e distribuzione.