데이터 손실 방지 정책 설계
정책을 구현하기 전에 시간을 내어 의도하지 않은 문제를 만들고 시행착오만으로 조정하는 것보다 더 적은 수의 의도하지 않은 문제로 원하는 결과를 더 빠르게 얻을 수 있습니다. 정책 디자인을 문서화하면 통신, 정책 검토, 문제 해결 및 추가 튜닝에도 도움이 됩니다.
Microsoft Purview DLP를 접하는 경우 정책 디자인을 시작하기 전에 다음 문서를 통해 작업하는 것이 좋습니다.
팁
보안용 Microsoft Copilot를 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 보안용 Microsoft Copilot에 대해 자세히 알아보세요.
시작하기 전에
Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 필요한 핵심 문서 목록은 다음과 같습니다.
- 관리 단위
- Microsoft Purview 데이터 손실 방지에 대해 알아보기 - 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
- DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
- 데이터 손실 방지 정책 참조 - 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
- DLP 정책 디자인 - 이 문서(지금 읽고 있는 문서)는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
- 데이터 손실 방지 정책 만들기 및 배포 - 이 문서에서는 구성 옵션에 매핑하는 몇 가지 일반적인 정책 의도 시나리오를 제시한 다음, 이러한 옵션을 구성하는 방법을 안내합니다.
- 데이터 손실 방지 경고 조사에 대해 알아보기 - 이 문서에서는 최종 수정 및 정책 튜닝을 통해 생성되는 경고의 수명 주기를 소개합니다. 또한 경고를 조사하는 데 사용하는 도구도 소개합니다.
정책 디자인 개요
정책 디자인 은 주로 비즈니스 요구 사항을 명확하게 정의하고 정책 의도 문에 문서화한 다음 정책 구성에 대한 요구 사항을 매핑하는 것입니다. 계획 단계에서 내린 결정을 사용하여 정책 디자인 결정의 일부를 알립니다.
정책에 대한 의도 정의
단일 문에서 모든 정책에 대한 비즈니스 의도를 요약할 수 있어야 합니다. 이 문을 개발하면 조직에서 대화가 진행되며, 완전히 구체화되면 이 설명은 정책을 비즈니스 목적에 직접 연결하고 정책 설계를 위한 로드맵을 제공합니다. DLP(데이터 손실 방지 계획) 문서의 단계를 통해 정책 의도 문을 시작할 수 있습니다.
DLP 정책 구성 개요에 설명된 대로 모든 DLP 정책에는 다음이 필요합니다.
- 모니터링할 항목 선택
- 정책 범위 지정을 선택합니다.
- 모니터링할 위치를 선택합니다.
- 항목에 적용할 정책에 대해 일치해야 하는 조건을 선택합니다.
- 정책 조건이 충족될 때 수행할 작업을 선택합니다.
예를 들어 다음은 다섯 가지 질문에 대한 답변을 제공하는 의도 문의 가상의 첫 번째 초안입니다.
"우리는 미국에 기반을 둔 조직이며 OneDrive/SharePoint에 저장된 HIPAA에서 다루는 중요한 의료 정보가 포함된 Office 문서를 검색하고 Teams 채팅 및 채널 메시지에서 해당 정보를 공유하지 않도록 보호하고 모든 사람이 권한이 없는 제3자와 공유하지 못하도록 제한해야 합니다."
정책 디자인을 개발할 때 문을 수정하고 확장할 수 있습니다.
정책 구성에 비즈니스 요구 사항 매핑
예제 초안 문을 세분화하고 DLP 정책 구성 지점에 매핑해 보겠습니다. 이 예제에서는 무제한 DLP 관리자 계정을 사용하고 있으며 관리 단위가 구성되지 않은 것으로 가정합니다.
중요
시작하기 전에 관리 단위를 읽어 무제한 관리자와 관리 단위 제한 관리자 간의 차이점을 이해해야 합니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"우리는 미국에 기반을 둔 조직이며 HIPAA에서 다루는 중요한 의료 정보가 포함된 Office 문서를 검색해야 합니다... |
-
모니터링할 내용: Office 문서, 일치 항목에 대한 HIPAA(미국 건강 보험법) 템플릿 - 조건 사용: (미리 구성되었지만 편집 가능) - 항목에는 미국 SSN 및 DEA(마약 단속국) 번호, 국제 질병 분류(ICD-9-CM), 국제 질병 분류(ICD-10-CM), 콘텐츠가 조직 외부의 사람들과 공유됩니다. 신뢰 수준 및 인스턴스 수 (누출 허용 오차라고 함). |
... OneDrive/SharePoint에 저장되고 Teams 채팅 및 채널 메시지에서 공유되는 정보로부터 보호하는... | - 모니터링할 위치: OneDrive 및 SharePoint 사이트 및 Teams 채팅/채널 계정 또는 메일 그룹을 포함하거나 제외하여 위치 범위 지정 정책 범위 지정 (미리 보기): 전체 디렉터리 |
... 모든 사람이 해당 항목을 무단 제3자와 공유하지 못하도록 제한합니다." |
-
수행할 작업: Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화 추가 - 공유 제한, 알림 및 경고와 같은 인식 작업, 차단 작업의 사용자 재정의 허용과 같은 사용자 권한 부여 작업과 같은 보호 작업을 포함하여 정책이 트리거될 때 수행할 작업에 대한 대화를 유도합니다. |
이 예제에서는 DLP 정책의 모든 구성 요소를 다루지 않습니다. 확장해야 합니다. 그러나 고유한 DLP 정책 의도 문을 개발할 때 올바른 방향으로 생각하게 됩니다.
중요
선택한 위치는 중요한 정보 유형, 민감도 레이블 및 보존 레이블을 사용할 수 있는지 여부에 영향을 줍니다. 선택한 위치도 사용 가능한 작업에 영향을 줍니다. 자세한 내용은 데이터 손실 방지 정책 참조 를 참조하세요.
복잡한 규칙 디자인
SharePoint 및 OneDrive의 위의 HIPAA 콘텐츠는 DLP 정책의 간단한 예입니다. DLP 규칙 작성기에서는 부울 논리(AND, OR, NOT) 및 중첩된 그룹을 지원합니다.
중요
- 모든 기존 예외는조건 내의 중첩된 그룹에서 NOT 조건으로 바뀝니다.
- 여러 연산자를 사용하려면 그룹을 만들어야 합니다.
중요
Office 데스크톱 클라이언트 앱(Word, Outlook, Excel 및 PowerPoint)의 작업이 복잡한 조건을 사용하는 정책과 일치하는 경우 콘텐츠에 중요한 정보 조건이 포함된 규칙을 사용하는 규칙에 대한 정책 팁만 표시됩니다.
예제 1 신용 카드 번호가 포함된 모든 받는 사람 또는 '매우 기밀' 민감도 레이블이 적용된 전자 메일을 차단해야 하지만 재무 팀의 다른 사람이 보낸 전자 메일은 차단하지 않습니다. adele.vance@contoso.com
예제 2 Contoso는 암호로 보호된 파일 또는 zip 문서 파일 확장명('zip' 또는 '7z')이 포함된 모든 전자 메일을 차단해야 하지만 받는 사람이 contoso.com 도메인 또는 fabrikam.com 도메인에 있거나 보낸 사람이 Contoso HR 그룹의 구성원인 경우 전자 메일을 차단하지 마세요.
중요
- 중첩된 그룹에서 NOT 조건을 사용하면 예외 기능이 대체 됩니다 .
- 여러 연산자를 사용하려면 그룹을 만들어야 합니다.
중요
Office 데스크톱 클라이언트 앱(Word, Outlook, Excel 및 PowerPoint)의 작업이 복잡한 조건을 사용하는 정책과 일치하는 경우 콘텐츠에 중요한 정보 조건이 포함된 규칙을 사용하는 규칙에 대한 정책 팁만 표시됩니다.
정책 디자인 프로세스
DLP(데이터 손실 방지 계획)의 단계를 완료합니다. 이 문서를 통해 다음을 수행합니다.
DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 이해할 수 있도록 데이터 손실 방지 정책 참조 를 숙지합니다.
DLP 정책 템플릿에 포함된 내용을 숙지합니다.
주요 관련자와 함께 정책 의도 문을 개발합니다. 이 문서의 앞부분에 있는 예제를 참조하세요.
이 정책이 전체 DLP 정책 전략에 어떻게 적합한지 결정합니다.
중요
정책을 만든 후에는 이름을 바꿀 수 없습니다. 정책 이름을 바꿔야 하는 경우 원하는 이름으로 새 정책을 만들고 이전 이름을 사용 중지해야 합니다. 따라서 처음부터 모든 정책에서 사용할 명명 구조를 결정합니다.
정책 의도 문의 항목을 구성 옵션에 매핑합니다.
시작할 정책 템플릿(미리 정의된 템플릿 또는 사용자 지정)을 결정합니다.
템플릿을 살펴보고 정책을 만들기 전에 필요한 모든 정보를 어셈블합니다. 정책 의도 문에서 다루지 않는 몇 가지 구성 요소가 있을 수 있습니다. 괜찮아요. 이해 관계자로 돌아가 누락된 구성 요소에 대한 요구 사항을 제거합니다.
모든 정책 설정의 구성을 문서화하고 관련자와 검토합니다. 이제 완전히 구체화된 구성 지점에 대한 정책 의도 문 매핑을 다시 사용할 수 있습니다.
초안 정책을 만들고 정책배포 계획을 다시 참조하세요.