Exchange 2013에서 DLP 정책 템플릿 파일 개발
적용 대상: Exchange Server 2013
이 개요 문서에서는 DLP(데이터 손실 방지) 정책 템플릿 파일에 대한 XML 스키마 정의의 구성 요소에 대해 설명하고 XML 형식의 정책 파일 예를 제공합니다. 시작하기 전에 전체 DLP 아키텍처 및 규칙 개발 프로세스를 이해하는 것이 좋습니다. 자세한 내용은 데이터 손실 방지 및 고유한 DLP 템플릿 및 정보 유형 정의를 참조하세요.
데이터 손실 방지 솔루션을 쉽게 적용하고 관리할 수 있도록 Microsoft Exchange Server 2013에는 DLP 정책이라고 하는 개념 모델과 정책 템플릿이 도입되었습니다. DLP 정책 템플릿은 의도한 DLP 정책에 대한 예비 디자인을 제공합니다. DLP 정책 템플릿이 유용한 템플릿이 되기 위해서는 규정이나 비즈니스 요구 사항과 같은 구체적인 정책 목표를 충족하는 데 필요한 모든 지시문과 데이터 개체를 포함해야 합니다. 템플릿은 환경별로 다릅니다. 단순히 제품 구성의 일부로 제공되거나 독립 소프트웨어 게시자 및 파트너가 제공할 수 있는 정책의 정의 또는 모델일 뿐입니다. 반면 DLP 정책은 템플릿이 런타임에 인스턴스화된 것으로, 배포 환경마다 고유합니다. 전송 규칙을 사용하여 기존 메시징 정책 프레임워크에 다양한 DLP 정책을 통합할 수 있습니다. 전송 규칙은 DLP 솔루션의 다양한 기능을 적용하고 표현하는 데 부족함이 없을 만큼 유연합니다.
정책 템플릿 원본 및 구조
DLP 정책 템플릿은 일반적으로 다음 그림에 나오는 서버 기반 처리 지시문, 클라이언트 컴퓨터 정책 또는 기타 정책 구문과 같은 여러 원본으로부터 영향을 받습니다.
간단한 관리 작업은 Exchange 관리 셸과 인터넷 기반 인터페이스(예: 가져오기, 내보내기, 삭제 및 쿼리 기능을 포함하는 Exchange 관리 센터)를 통해 DLP 정책 템플릿에 사용할 수 있습니다. DLP 정책은 생성 과정에서 DLP 정책 템플릿을 참조하여 만들어집니다. 참조되는 DLP 정책 템플릿은 시스템에 설치되고 Active Directory 도메인 서비스에 저장된 정책 템플릿에 대한 참조이거나 외부에서 제공한 정책에서 직접 입력으로 제공될 수 있습니다.
DLP 정책 템플릿은 XML 문서로 표현됩니다. Exchange 내에 제공된 정책과 외부에서 제공된 정책에는 모두 단일 XML 스키마가 사용됩니다. XML 문서의 개념 구조와 주요 요소는 아래 표에 나와 있습니다. 정책 구성 요소 정의 집합은 규정 또는 비즈니스 요구 사항과 같은 특정 정책 목표를 달성하는 데 도움이 됩니다.
| 구조 요소 | 의미 또는 예 |
|---|---|
| Publisher | Microsoft 또는 파트너 |
| 버전 | 15.0.1.0 |
| 정책 이름 | PCI-DSS |
| 설명 | PCI-DSS DLP 정책은 신용 카드 또는 직불 카드 번호와 같은 정보를 포함하여 PCI DSS(데이터 보안 표준)에 적용되는 정보가 있는지 감지하는 데 도움이 됩니다. 이 정책을 사용하면 규정 준수가 보장되지 않습니다. 테스트가 완료된 후에는 Exchange에서 구성을 필요한 대로 변경하여 정보 전송 시 조직의 정책을 준수하도록 하십시오. 예를 들어 알려진 비즈니스 파트너와 함께 TLS를 구성하거나 이러한 유형의 데이터를 포함하는 메시지에 권한 보호를 추가하는 등 보다 제한적인 전송 규칙 작업을 추가하는 것이 있습니다. |
| 메타 데이터 | 국가별 규정, 국가 또는 지역, 키워드 등을 설명하는 태그 |
| 정책 구문 집합 | 조건 및 작업 같은 전송 규칙 정의 대화형 알림을 통해 클라이언트 환경을 제어하는 전자 메일 클라이언트 동작 정의 필요한 경우, 클라이언트 환경 관련 설정과 통합되어야 하는 구성 참조 |
| 데이터 분류 집합 | 분류 엔터티 또는 선호도를 지정합니다. 엔터티는 횟수와 신뢰도를 포함하고 선호도는 신뢰도만 포함합니다. 자체 속성 집합과 분류 스키마를 함께 제공합니다. |
정책 템플릿 형식 정의
DLP 정책 템플릿은 다음 스키마를 따르는 XML 문서로 표현됩니다. XML은 대/소문자를 구분합니다. instance 경우 는 dlpPolicyTemplates 작동하지만 DlpPolicyTemplates 작동하지 않습니다.
<?xml version="1.0" encoding="UTF-8"?>
<dlpPolicyTemplates>
<dlpPolicyTemplate id="F7C29AEC-A52D-4502-9670-141424A83FAB" mode="Audit" state="Enabled" version="15.0.2.0">
<contentVersion>4</contentVersion>
<publisherName>Microsoft</publisherName>
<name>
<localizedString lang="en">PCI-DSS</localizedString>
</name>
<description>
<localizedString lang="en">Detects the presence of information subject to Payment Card Industry Data Security Standard (PCI-DSS) compliance requirements.</localizedString>
</description>
<keywords></keywords>
<ruleParameters></ruleParameters>
<ruleParameters/>
<policyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP Policy."]]>
</commandBlock>
<commandBlock>
<![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "%%DlpPolicyName%%" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP Policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]>
</commandBlock>
</policyCommands>
<policyCommandsResources></policyCommandsResources>
</dlpPolicyTemplate>
</dlpPolicyTemplates>
모든 요소에 대한 XML 파일에 포함하는 매개 변수에 공백이 포함된 경우 매개 변수를 큰따옴표로 묶어야 합니다. 그렇지 않으면 제대로 작동하지 않습니다. 아래 예제에서 다음 -SentToScope 매개 변수는 허용 가능하며 공백이 없는 연속 문자 문자열이므로 큰따옴표를 포함하지 않습니다. 그러나 에 제공된 Comments 매개 변수는 큰따옴표가 없고 공백이 포함되어 있으므로 Exchange 관리 센터에 표시되지 않습니다.
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments Monitors payment card information sent inside the organization -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
localizedString 요소
템플릿 형식은 템플릿에서 문자열을 지역화하는 기능을 제공합니다. 이 기능은 최종 사용자에게 표시될 수 있습니다(예: 설치된 DLP 정책 템플릿 선택의 일부). localizedString 요소를 사용하여 Name 및 Description 필드에 대한 여러 개의 정의를 제공할 수 있습니다.
ruleParameters 노드
이는 배포별 개체에 매핑하는 DLP 정책을 만들 때 템플릿 인스턴스화 단계에서 제공해야 하는 선택적 매개 변수 집합입니다. 배포에 사용할 수 있는 실제 메일 그룹을 예로 들 수 있습니다.
dlpPolicyTemplate 요소
DLP 정책 템플릿의 루트 요소로서 모든 템플릿에 필요합니다. 다음 표에는 사용 가능한 특성이 나와 있습니다.
| 특성 이름 | 필수 여부 | 설명 |
|---|---|---|
| 버전 | 예 | 이 DLP 정책 템플릿 문서에 사용된 버전 번호입니다. |
| 상태 | 아니오 | 정책 상태에 대한 선택적 기본 구성입니다. |
| 모드 | 아니오 | 정책 모드에 대한 선택적 기본 구성입니다. |
| Id | 아니오 | "A29C69BF-4F98-47F1-9A99-5771DFD2C27F"와 같은 형식으로 이 DLP 정책 템플릿 정의를 고유하게 식별하는 GUID입니다. |
하위 요소는 다음 요소를 순서대로 포함합니다.
| 하위 요소 | (최소, 최대) | 설명 |
|---|---|---|
| PublisherName | (1, 1) | 템플릿 게시자에 대한 메타 데이터 |
| 이름 | (1, 1) | 이 템플릿에 대한 지역화 가능한 이름입니다. |
| 설명 | (1, 1) | 이 템플릿에 대한 지역화 가능한 설명입니다. |
| 키워드 | (1, 1) | 이 템플릿에 적용되는 키워드 목록입니다. 템플릿의 키워드 목록을 비워 둘 수도 있습니다. |
| RuleParameters | (0, 1) | 정책 정의에 사용된 템플릿 매개 변수 목록입니다. |
| PolicyCommands | (0, 1) | 이 정책에 대한 전송 규칙 정의 목록입니다. 이 요소는 선택적 요소입니다. |
DLP 정책 템플릿: PolicyCommands
정책 템플릿의 이 부분은 정책 정의를 인스턴스화하는 데 사용되는 Exchange 관리 셸 명령 목록을 포함합니다. 가져오기 프로세스는 인스턴스화 프로세스의 일부로 각 명령을 실행합니다. 다음은 샘플 정책 명령입니다.
<PolicyCommands>
<!-- The contents below are applied/executed as rules directly in PS - -->
<CommandBlock> <![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Outside" -DlpPolicy "PCI-DSS" -SentToScope NotInOrganization -SetAuditSeverity High -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } -Comments "Monitors payment card information sent to outside the organization as part of the PCI-DSS DLP policy."]]></CommandBlock>
<CommandBlock><![CDATA[ new-transportRule "PCI-DSS: Monitor Payment Card Information Sent To Within" -DlpPolicy "PCI-DSS" -Comments "Monitors payment card information sent inside the organization as part of the PCI-DSS DLP policy." -SentToScope InOrganization -SetAuditSeverity Low -MessageContainsDataClassifications @{Name="Credit Card Number"; MinCount="1" } ]]> </CommandBlock>
</PolicyCommands>
cmdlet 형식은 사용되는 cmdlet에 대한 표준 Exchange 관리 셸 cmdlet 구문입니다. 명령은 순서대로 실행됩니다. 각 명령 노드에는 여러 명령으로 구성된 스크립트 블록이 포함될 수 있습니다. 다음은 DLP 정책 템플릿 내에 분류 규칙 팩을 포함하는 방법과 정책 생성 프로세스의 일부로 규칙 팩을 설치하는 방법을 보여 주는 예입니다. 분류 규칙 팩은 정책 템플릿에 포함되고 나중에 템플릿에서 cmdlet에 매개 변수로 전달됩니다.
<CommandBlock>
<![CDATA[
$rulePack = [system.Text.Encoding]::Unicode.GetBytes('<?xml version="1.0" encoding="utf-8"?>
<rulePackage xmlns="http://schemas.microsoft.com/office/2011/mce">
<RulePack id="c3f021a3-c265-4dc2-b3a7-41a1800bf518">
<Version major="1" minor="0" build="0" revision="0"/>
<Publisher id="e17451d3-9648-4117-a0b1-493a6d5c73ad"/>
<Details defaultLangCode="en-us">
<LocalizedDetails langcode="en-us">
<PublisherName>Contoso</PublisherName>
<Name>Contoso Sample Rule Pack</Name>
<Description>This is a sample rule package</Description>
</LocalizedDetails>
</Details>
</RulePack>
<Rules>
<Entity id="7cc35258-6b35-4415-baff-a76d1a018980" patternsProximity="300" recommendedConfidence="85" workload="Exchange">
<Pattern confidenceLevel="85">
<IdMatch idRef="Regex_Contoso" />
<Any minMatches="1">
<Match idRef="Regex_conf" />
</Any>
</Pattern>
</Entity>
<Regex id="Regex_Contoso">(?i)(\bContoso\b)</Regex>
<Regex id="Regex_conf">(?i)(\bConfidential\b)</Regex>
<LocalizedStrings>
<Resource idRef="7cc35258-6b35-4415-baff-a76d1a018980">
<Name default="true" langcode="en-us">
Confidential Information Rule
</Name>
<Description default="true" langcode="en-us">
Sample rule pack - Detects Contoso confidential information
</Description>
</Resource>
</LocalizedStrings>
</Rules>
</RulePackage>
')
New-ClassificationRuleCollection -FileData $rulePack
New-TransportRule -name "customEntity" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotInOrganization -MessageContainsDataClassifications @{Name="Confidential Information Rule"} -SetAuditSeverity High]]>
</CommandBlock>
하위 요소는 다음 요소를 순서대로 포함합니다.
| 하위 요소 | (최소, 최대) | 설명 |
|---|---|---|
| CommandBlock | (1, n) | PowerShell에서 실행되는 명령 블록입니다. 명령 블록은 각각 순서대로 실행됩니다. |