Kopīgot, izmantojot

DLP stratēģijas izveide

  • Raksts

Datu zuduma novēršanas (Data loss prevention - DLP) politikas darbojas kā margas, lai neļautu lietotājiem netīši atklāt organizācijas datus un aizsargātu informācijas drošību nomniekā. DLP politikas ievieš noteikumus, kuriem savienotāji ir iespējoti katrai videi, un kurus savienotājus var izmantot kopā. Savienotāji tiek klasificēti kā tikai biznesa dati, biznesa dati nav atļauti vai bloķēti. Savienotāju grupā ´tikai biznesa dati´ var izmantot tikai ar citiem savienotājiem no šīs grupas tajā pašā lietojumprogrammā vai plūsmā. Papildinformāciju skatiet sadaļā: Pārvaldīt Microsoft Power Platform: Datu zuduma novēršanas politikas

DLP politikas izveide iet roku rokā ar jūsu vides stratēģiju.

Īsi fakti

  • Datu zuduma novēršanas (DLP) politikas darbojas kā margas, lai neļautu lietotājiem netīši atklāt datus.
  • DLP politikas var noteikt pēc vides līmeņa un nomnieka līmeņa, piedāvājot elastīgas prasmju politikas, kas ir saprātīgas un nebloķē augstu produktivitāti.
  • Vides DLP politikas nevar ignorēt nomnieka mēroga DLP politikas.
  • Ja vairākas politikas ir konfigurētas vienai videi, visstingrākā politika attiecas uz savienotāju kombināciju.
  • Pēc noklusējuma nomniekā nav implementēta neviena DLP politika.
  • Politikas nevar lietot lietotāja līmenī, tikai vides vai nomnieka līmenī.
  • DLP politikas ir saistītas ar savienotāju, bet tie nevar kontrolēt savienojumus, kas izveidoti, izmantojot savienotāju, citiem vārdiem, DLP politika nezina, vai jūs izmantojat savienotāju, lai izveidotu savienojumu ar izstrādes, testēšanas vai ražošanas vidi.
  • PowerShell un administrēšanas savienotāji var pārvaldīt politikas.
  • Vides resursu lietotāji var skatīt izmantotās politikas.

Savienotāju klasifikācija

Biznesa un ar biznesu nesaistītās klasifikācijas nosaka robežas ap to, kādus savienotājus var izmantot noteiktā lietojumprogrammā vai plūsmā. Savienotāji var tikt klasificēti šādās grupās, izmantojot DLP politikas:

  • Biznesa: noteikts Power App vai Power Automate resurss var izmantot vienu vai vairākus savienotājus no biznesa grupas. Ja Power App vai Power Automate resurss izmanto biznesa savienotāju, tas nevar izmantot nevienu savienotāju, kas nav bizness.
  • Ar biznesu nesaistītie: noteikts Power App vai Power Automate resurss var izmantot vienu vai vairākus savienotājus no ar biznesu nesaistītās grupas. Ja Power App vai Power Automate resurss izmanto savienotāju, kas nav biznesa savienotājs, tas nevar izmantot nevienu biznesa savienotāju.
  • Bloķētie: Neviens Power App vai Power Automate resurss nevar izmantot savienotāju no bloķētas grupas. Visus Microsoft piederošos premium savienotājus un trešo pušu savienotājus (standarta un premium) var bloķēt. Visus Microsoft piederošos standarta savienotājus un Common Data Service savienotājus nevar bloķēt.

Nosaukumiem "biznesa" un "ar biznesu nesaistītie" nav īpašas nozīmes—tās vienkārši ir etiķetes. Pašu savienotāju grupēšana ir svarīga, nevis tās grupas nosaukums, kurā tie atrodas.

Papildinformācija: Pārvaldīt Microsoft Power Platform: Savienotāju klasifikācija

DLP politiku izveides stratēģijas

Kā administrators, kas pārņem vidi vai sāk atbalstīt Power Apps un Power Automate, DLP politikām ir jābūt vienām no pirmajām lietām, ko iestatāt. Kad ir izveidota politiku pamatkopa, varat koncentrēties uz izņēmumu apstrādi un mērķtiecīgu DLP politiku izveidi, kas ievieš šos izņēmumus pēc apstiprināšanas.

Mēs iesakām šādu sākumpunktu DLP politikām koplietojamas lietotāja un darba grupas produktivitātes vidēm.

  • Izveidojiet politiku, kas aptver visas vides, izņemot atlasītas (piemēram, ražošanas vides), paturiet šajā politikā pieejamos savienotājus ierobežotus līdz Office 365 un citiem standarta apakšpakalpojumiem un bloķējiet piekļuvi visam citam. Šī politika attiecas uz noklusējuma vidi un treniņu vidēm, kas ir pieejamas iekšējo treniņu pasākumu rīkošanai. Turklāt šī politika attiecas arī uz visām jaunajām vidēm, kas tiek izveidotas.
  • Izveidojiet atbilstošas un pielaidīgākas DLP politikas koplietojamām lietotāju un darba grupu produktivitātes vidēm. Šīs politikas varētu atļaut veidotājiem izmantot tādus savienotājus kā Azure pakalpojumi papildus Office 365 pakalpojumiem. Šajās vidēs pieejamie savienotāji ir atkarīgi no jūsu organizācijas un no tā, kur jūsu organizācija glabā biznesa datus.

Mēs iesakām šādu sākumpunktu DLP politikām ražošanas (biznesa vienības un projekta) vidēm.

  • Izslēdziet šīs vides no koplietojamas lietotāju un darba grupas produktivitātes politikām.
  • Strādājiet ar biznesa vienību un projektu, lai noteiktu, kurus savienotājus un savienotāju kombinācijas tie izmantos, un izveidojiet nomnieka politiku, iekļaujot tikai atlasīto vidi.
  • Šo vidi vides administratori var izmantot vides politikas, lai klasificētu pielāgotus savienotājus kā tikai biznesa datus, ja nepieciešams.

Mēs iesakām arī:

  • Izveidojot minimālu politiku skaitu katrā vidē. Starp nomnieka un vides politikām nav stingras hierarhijas, un noformējuma un izpildlaika laikā visas politikas, kas ir piemērojamas videi, kurā atrodas programma vai plūsma, tiek novērtētas kopā, lai izlemtu, vai resurss atbilst vai pārkāpj DLP politikas. Vairākas DLP politikas, kas tiek lietotas vienā vidē, sadalīs jūsu savienotāja telpu sarežģītos veidos un var apgrūtināt to problēmu izpratni, ar kurām saskaras veidotāji.
  • Centralizēta DLP politiku pārvaldīšana, izmantojot nomnieka līmeņa politikas un izmantojot vides politikas tikai pielāgotu savienotāju kategorizēšanai vai izņēmuma gadījumos.

Ja ir ieviesta bāzes stratēģija, plānojiet, kā rīkoties ar izņēmumiem. Varat veikt šādas darbības:

  • Noraidīt pieprasījumu.
  • Pievienot savienotāju noklusējuma DLP politikai.
  • Pievienojiet vidi globālajam noklusējuma DLP sarakstam All Except (Visi, izņemot) un izveidojiet lietojuma gadījuma DLP politiku ar tajā iekļauto izņēmumu.

Piemērs: Bērziņa uzņēmuma DLP stratēģija

Apskatīsim, kā Bērziņa korporācija, mūsu paraugorganizācija šiem norādījumiem, izveido savas DLP politikas. Viņu DLP politikas iestatījumi ir cieši saistīti ar viņu vides stratēģiju.

Bērziņa uzņēmuma administratori vēlas atbalstīt lietotāju un darba grupas produktivitātes scenārijus un biznesa lietojumprogrammas, kā arī izcilības centra (CoE) darbību pārvaldību.

Vides un DLP stratēģija Contoso administratori, kas tiek lietoti šeit, sastāv no:

  1. Nomnieka mēroga ierobežojoša DLP politika, kas attiecas uz visām nomnieka vidēm, izņemot dažas specifiskas vides, kuras tās izslēdza no politikas tvēruma. Administratori plāno šajā politikā pieejamos savienotājus ierobežot līdz Office 365 un citiem standarta mikropakalpojumiem, bloķējot piekļuvi visam citam. Šī politika attiecas arī uz noklusējuma vidi.

  2. Contoso administratori izveidoja vēl vienu koplietojamu vidi lietotājiem, lai izveidotu programmas lietotāju un darba grupu produktivitātes lietošanas gadījumiem. Šai videi ir saistītā nomnieka līmeņa DLP politika, kas ne tik ļoti izvairas no riska kā noklusējuma politika un ļauj veidotājiem izmantot savienotājus, piemēram, Azure pakalpojumus, papildus Office 365 pakalpojumiem. Tā kā šī vide nav noklusējuma vide, administratori var aktīvi kontrolēt tās vides veidotājs sarakstu. Šī ir diferencēta pieeja kopīgotas lietotāju un darba grupu produktivitātes vidēm un saistītajiem DLP iestatījumiem.

  3. Turklāt, lai uzņēmējdarbības vienības varētu izveidot uzņēmējdarbības nozares lietojumprogrammas, tās izveidoja izstrādes, testēšanas un ražošanas vidi saviem nodokļu un revīzijas meitasuzņēmumiem dažādās valstīs/reģionos. Vides veidotāju piekļuve šīm vidēm tiek rūpīgi pārvaldīta, un atbilstošie pirmās un trešās puses savienotāji ir pieejami, izmantojot nomnieka līmeņa DLP politiku, konsultējoties ar biznesa vienības dalībniekiem.

  4. Līdzīgi tiek izveidotas izstrādes/testēšanas/ražošanas vides, kas paredzētas centrālā IT izmantošanai, lai izstrādātu un izskatītu atbilstošas vai pareizas lietojumprogrammas. Šie biznesa lietojumprogrammas scenāriji parasti ir precīzi definēti savienotāju kopumi, kas jādara pieejami veidotājiem, testētājiem un lietotājiem šajās vidēs. Piekļuvi šiem savienotājiem pārvalda, izmantojot īpašu nomnieka līmeņa politiku.

  5. Bērziņa uzņēmumam ir arī īpašas nozīmes vide, kas ir veltīta viņu izcilības centra darbībām. Programmā Contoso DLP politika īpašam nolūkam paredzētajai videi joprojām ir ļoti svarīga, ņemot vērā teorijas grupu grāmatas eksperimentālo raksturu. Šajā gadījumā nomnieka administratori deleģēja DLP pārvaldību šai videi tieši izcilības centru darba grupas uzticamai vides administrators un izslēdza to no visu nomnieka līmeņa politiku skolas. Šo vidi pārvalda tikai vides līmeņa DLP politika, kas Bērziņa uzņēmumā ir izņēmums, nevis noteikums.

Kā paredzēts, visas jaunās vides, kas tiek izveidotas Contoso, tiek kartētas atbilstoši sākotnējai visu vides politikai.

Šī uz nomnieku orientēto DLP politiku iestatīšana neliedz vides administratoriem nākt klajā ar savām vides līmeņa DLP politikām, ja viņi vēlas ieviest papildu ierobežojumus vai klasificēt pielāgotus savienotājus.

Kā Contoso iestata savu DLP politiku.

Datu politiku iestatīšana

  1. Izveidojiet savu politiku Power Platform administrēšanas centrā. Papildinformācija: Datu politiku pārvaldība

  2. Lietojiet DLP SDK, lai pievienotu pielāgotus savienotājus DLP politikai.

Skaidri informējiet savas organizācijas DLP politikas veidotājus

Iestatiet SharePoint vietni vai vikivietni, kas skaidri paziņo:

  • Nomnieka līmeņa un galvenā vides līmeņa (piemēram, noklusējuma vide, izmēģinājumversijas vide) DLP politikas, kas ieviestās organizācijā, ieskaitot savienotāju sarakstus, kas klasificēti kā biznesa, ar biznesu nesaistītie un bloķēti.
  • Jūsu administratora grupas e-pasta ID, lai veidotāji varētu izmantot izņēmumu scenārijus. Piemēram, administratori var palīdzēt veidotājiem atgūt atbilstību esošas DLP politikas rediģēšanai, pārvietot risinājumu uz citu vidi, izveidot jaunu vidi un jaunu DLP politiku, kā arī pārvietot veidotāju un resursu uz šo jauno vidi.

Skaidri informējiet veidotājus arī par savas organizācijas vides stratēģiju.