다음을 통해 공유

DLP 전략 수립

  • 아티클

DLP(데이터 손실 방지) 정책은 사용자가 실수로 조직 데이터를 노출하는 것을 방지하고 테넌트의 정보 보안을 보호하는 데 도움이 되는 가드 레일 역할을 합니다. DLP 정책은 각 환경에 대해 활성화되는 커넥터와 함께 사용할 수 있는 커넥터에 대한 규칙을 적용합니다. 커넥터는 비즈니스 데이터 전용, 비즈니스 데이터 허용 안됨 또는 차단됨으로 분류됩니다. 비즈니스 데이터 전용 그룹의 커넥터는 동일한 앱 또는 흐름에서 해당 그룹의 다른 커넥터와만 함께 사용할 수 있습니다. 추가 정보: Microsoft Power Platform 관리: 데이터 손실 방지 정책

DLP 정책 설정은 환경 전략과 함께 진행됩니다.

간단한 정보

  • 데이터 손실 방지(DLP) 정책은 사용자가 실수로 데이터를 노출하는 것을 방지하는 가드 레일 역할을 합니다.
  • DLP 정책은 환경 수준 및 테넌트 수준에서 범위를 지정할 수 있으므로 합리적이고 높은 생산성을 차단하지 않는 정책을 작성할 수 있는 유연성을 제공합니다.
  • 환경 DLP 정책은 테넌트 차원의 DLP 정책을 재정의할 수 없습니다.
  • 하나의 환경에 대해 여러 정책이 구성된 경우 가장 제한적인 정책이 커넥터 조합에 적용됩니다.
  • 기본적으로 테넌트에는 DLP 정책이 구현되지 않습니다.
  • 정책은 사용자 수준에서 적용할 수 없으며 환경 또는 테넌트 수준에서만 적용할 수 있습니다.
  • DLP 정책은 커넥터를 인식하지만 커넥터를 사용하여 이루어진 연결을 제어하지 않습니다. 즉, DLP 정책은 커넥터를 사용하여 개발, 테스트 또는 프로덕션 환경에 연결하는지 여부를 인식하지 못합니다.
  • PowerShell 및 관리자 커넥터는 정책을 관리할 수 있습니다.
  • 환경의 리소스 사용자는 적용되는 정책을 볼 수 있습니다.

커넥터 분류

비즈니스 및 비 비즈니스 분류는 지정된 앱 또는 흐름에서 함께 사용할 수 있는 커넥터에 대한 경계를 그립니다. 커넥터는 DLP 정책을 사용하여 다음 그룹으로 분류할 수 있습니다.

  • 비즈니스: 지정된 Power App 또는 Power Automate 리소스는 비즈니스 그룹에서 하나 이상의 커넥터를 사용할 수 있습니다. Power App 또는 Power Automate 리소스는 비즈니스 커넥터를 사용하지만 비 비즈니스 커넥터는 사용할 수 없습니다.
  • 비 비즈니스: 지정된 Power App 또는 Power Automate 리소스는 비 비즈니스 그룹에서 하나 이상의 커넥터를 사용할 수 있습니다. Power App 또는 Power Automate 리소스는 비 비즈니스 커넥터를 사용하지만 비즈니스 커넥터는 사용할 수 없습니다.
  • 차단됨: Power App 또는 Power Automate 리소스는 차단된 그룹의 커넥터를 사용할 수 없습니다. 모든 Microsoft 소유 프리미엄 커넥터 및 타사 커넥터(표준 및 프리미엄)를 차단할 수 있습니다. 모든 Microsoft 소유 표준 커넥터 및 Common Data Service 커넥터는 차단할 수 없습니다.

"비즈니스"및 "비 비즈니스"라는 이름은 특별한 의미가 없습니다. 즉, 단순히 레이블입니다. 커넥터 자체의 그룹화는 해당 커넥터가 배치된 그룹의 이름이 아니라 중요합니다.

추가 정보: Microsoft Power Platform 관리: 커넥터 분류

DLP 정책을 만들기 위한 전략

관리자가 환경을 인수하거나 Power Apps 및 Power Automate 사용을 지원하기 시작하면 DLP 정책은 가장 먼저 설정한 것 중 하나여야 합니다. 기본 정책 집합이 준비되면 예외를 처리하고 승인된 후 이러한 예외를 구현하는 대상 DLP 정책을 만드는 데 집중할 수 있습니다.

공유 사용자 및 팀 생산성 환경에 대한 DLP 정책의 시작점은 다음과 같습니다.

  • 선택한 환경(예: 프로덕션 환경)을 제외한 모든 환경에 적용되는 정책을 만들고 이 정책에서 사용 가능한 커넥터를 Office 365 및 기타 표준 마이크로 서비스로 제한하고 다른 모든 환경에 대한 액세스를 차단합니다. 이 정책은 기본 환경과 내부 교육 이벤트를 실행하기 위한 교육 환경에 적용됩니다. 또한 이 정책은 새로 만들어지는 모든 환경에도 적용됩니다.
  • 공유 사용자 및 팀 생산성 환경에 대해 적절하고 더 관대한 DLP 정책을 만듭니다. 이러한 정책을 통해 제작자는 Office 365 서비스 외에 Azure 서비스와 같은 커넥터를 사용할 수 있습니다. 이러한 환경에서 사용할 수 있는 커넥터는 조직과 조직에서 비즈니스 데이터를 저장하는 위치에 따라 다릅니다.

프로덕션(사업부 및 프로젝트) 환경에 대한 DLP 정책의 시작점은 다음과 같습니다.

  • 공유 사용자 및 팀 생산성 정책에서 이러한 환경을 제외합니다.
  • 사업부 및 프로젝트와 협력하여 사용할 커넥터 및 커넥터 조합을 설정하고 선택한 환경만 포함하는 테넌트 정책을 만듭니다.
  • 이러한 환경의 환경 관리자는 필요한 경우 환경 정책을 사용하여 사용자 지정 커넥터를 비즈니스 데이터로만 분류할 수 있습니다.

또한 다음을 권장합니다:

  • 환경당 최소한의 정책 생성. 테넌트와 환경 정책 사이에는 엄격한 계층이 없으며 설계 및 런타임시 앱 또는 흐름이 있는 환경에 적용되는 모든 정책을 함께 평가하여 리소스가 DLP 정책을 준수하는지 또는 위반하는지 여부를 결정합니다. 여러 DLP 정책을 하나의 환경에 적용하면 커넥터 공간이 복잡한 방식으로 조각화되고 제작자가 직면한 문제를 이해하기 어려울 수 있습니다.
  • 테넌트 수준 정책을 사용하여 DLP 정책을 중앙에서 관리하고 환경 정책을 사용하여 사용자 지정 커넥터를 분류하거나 예외적인 경우에만 사용합니다.

기본 전략이 마련되어 있으면 예외를 처리하는 방법을 계획합니다. 다음이 가능합니다.

  • 요청을 거부합니다.
  • 기본 DLP 정책에 커넥터를 추가합니다.
  • 전역 기본 DLP의 모든 제외 목록에 환경을 추가하고 예외가 포함된 사용 사례별 DLP 정책을 만듭니다.

예: Contoso의 DLP 전략

이 지침의 샘플 조직인 Contoso Corporation이 DLP 정책을 설정하는 방법을 살펴 보겠습니다. DLP 정책의 설정은 환경 전략과 밀접하게 관련되어 있습니다.

Contoso 관리자는 CoE(Center of Excellence) 활동 관리 외에도 사용자 및 팀 생산성 시나리오와 비즈니스 응용 프로그램을 지원하려고 합니다.

Contoso 관리자가 여기에 적용한 환경 및 DLP 전략은 다음으로 구성됩니다.

  1. 정책 범위에서 제외된 일부 특정 환경을 제외하고 테넌트의 모든 환경에 적용되는 테넌트 전체의 제한적인 DLP 정책입니다. 관리자는 다른 모든 항목에 대한 액세스를 차단하여 이 정책에서 사용 가능한 커넥터를 Office 365 및 기타 표준 마이크로 서비스로 제한하려고 합니다. 이 정책은 기본 환경에도 적용됩니다.

  2. Contoso 관리자는 사용자가 사용자 및 팀 생산성 사용 사례를 위한 앱을 만들 수 있는 또 다른 공유 환경을 만들었습니다. 이 환경에는 기본 정책만큼 위험을 회피하지 않고 제작자가 Office 365 서비스 외에도 Azure 서비스와 같은 커넥터를 사용할 수 있는 관련 테넌트 수준 DLP 정책이 있습니다. 이 환경은 기본이 아닌 환경이므로 관리자는 환경 제작자 목록을 적극적으로 제어할 수 있습니다. 이는 공유 사용자 및 팀 생산성 환경과 관련 DLP 설정에 대한 계층화된 접근 방식입니다.

  3. 또한 비즈니스 단위가 LOB(기간 업무) 응용 프로그램을 만들 수 있도록 여러 국가/지역의 세금 및 감사 자회사에 대한 개발, 테스트 및 생산 환경을 만들었습니다. 이러한 환경에 대한 환경 제작자 액세스는 신중하게 관리되며 사업부 이해 관계자와 협의하여 테넌트 수준 DLP 정책을 사용하여 적절한 자사 및 타사 커넥터를 사용할 수 있습니다.

  4. 마찬가지로 개발/테스트/프로덕션 환경은 중앙 IT가 관련성 있거나 올바른 애플리케이션을 개발하고 출시하는 데 사용할 수 있도록 생성됩니다. 이러한 비즈니스 응용 프로그램 시나리오에는 일반적으로 이러한 환경의 제작자, 테스터 및 사용자가 사용할 수 있어야 하는 잘 정의된 커넥터 집합이 있습니다. 이러한 커넥터에 대한 액세스는 전용 테넌트 수준 정책을 사용하여 관리됩니다.

  5. Contoso는 또한 우수성 센터 활동에 전념하는 특수 목적 환경을 가지고 있습니다. Contoso에서 특수 목적 환경에 대한 DLP 정책은 이론 팀 책의 실험적 특성을 고려할 때 높은 수준으로 유지됩니다. 이 경우 테넌트 관리자는 이 환경에 대한 DLP 관리를 CoE 팀의 신뢰할 수 있는 환경 관리자에게 직접 위임하고 모든 테넌트 수준 정책 학교에서 제외했습니다. 이 환경은 Contoso의 규칙이 아닌 예외인 환경 수준 DLP 정책에 의해서만 관리됩니다.

예상대로 Contoso에서 만든 모든 새 환경은 원래 모든 환경 정책에 매핑됩니다.

이러한 테넌트 중심 DLP 정책 설정은 추가 제한을 도입하거나 사용자 지정 커넥터를 분류하려는 경우 환경 관리자가 자신의 환경 수준 DLP 정책을 제시하는 것을 방지하지 않습니다.

Contoso가 DLP 정책을 설정하는 방법입니다.

데이터 정책 설정

  1. Power Platform 관리 센터에서 정책을 만듭니다. 상세 정보: 데이터 정책 관리

  2. DLP SDK를 사용하여 DLP 정책에 사용자 지정 커넥터를 추가합니다.

조직의 제작자에 대한 DLP 정책을 분명하게 소통합니다.

명확하게 전달하는 SharePoint 사이트 또는 위키를 설정합니다.

  • 테넌트 수준 및 주요 환경 수준(예: 기본 환경, 평가판 환경) 비즈니스, 비 비즈니스 및 차단으로 분류된 커넥터 목록을 포함하여 조직에서 시행되는 DLP 정책.
  • 제작자가 예외 시나리오에 대해 연락할 수 있도록 관리자 그룹의 이메일 ID. 예를 들어 관리자는 제작자가 기존 DLP 정책을 수정하고, 솔루션을 다른 환경으로 이동하고, 새 환경과 새 DLP 정책을 만들고, 제작자와 리소스를 이 새로운 환경으로 이동하도록 도와줄 수 있습니다.

또한 조직의 환경 전략을 제작자에게 명확하게 전달합니다.