Изучение Windows Information Protection
В современных предприятиях увеличение совместной работы между внутренними и внешними пользователями и распространением устройств, принадлежащих сотрудникам, известным как BYOD, увеличило риск случайной или вредоносной утечки данных. Этот риск вырос с расширенным использованием мобильных приложений, облачных служб и социальных сетей.
Традиционно предприятия контролируют доступ к данным, назначая учетные данные пользователям и настраивая разрешения и списки доступа на ресурсах. Однако управление доступом пользователей не запрещает авторизованным пользователям случайно предоставлять доступ к файлам или отправлять данные в сообщениях электронной почты, что приводит к новым системам защиты. Кроме того, большинство технологий, основанных на проверке подлинности или авторизации для защиты, зависят от расположения, то есть они обычно работают только в том случае, если данные находятся в управляемой компанией среде.
Защита от потери данных
Организации используют системы защиты от потери данных (DLP) для преодоления ограничений систем, основанных на проверке подлинности и авторизации. Система защиты от потери данных автоматически обнаруживает и управляет данными, которые должны быть защищены и предоставляют способ защиты данных, несмотря на расположение. Для системы защиты от потери данных требуется:
- Правила, определяющие и классифицирующие данные, необходимые для защиты.
- Приложения программного обеспечения, такие как Microsoft Exchange или Microsoft SharePoint, чтобы проверить, соответствуют ли они правилам.
- Способ определить, какие действия приложения должны выполнять при поиске данных, соответствующих правилу.
Проблема системы защиты от потери данных заключается в том, что чем больше правил вы создаете, тем более вероятные работники будут чувствовать, что система не позволит им выполнять работу, и они будут находить способы обхода системы. Например, они могут совместно использовать данные, отправляя по электронной почте ссылки на незащищенную систему, а не присоединять файлы к электронной системе, содержащей защиту от потери данных. Несмотря на улучшения защиты от потери данных в Microsoft Office SharePoint Online и Microsoft Exchange Online, такие как разрешение пользователям переопределить правила, это может быть перебор пользователей и прерывание естественного рабочего процесса.
Управление правами на доступ к данным
Как уже говорилось ранее, предприятиям необходимо защитить данные после того, как она покидает компанию. Для удовлетворения этой потребности системы на основе управления правами на доступ к информации (IRM) используются для защиты неотъемлемой части документов. Сотрудник может создать документ, а затем определить уровень защиты, который должен применяться к документу, например запретить несанкционированным пользователям открывать документ. В некоторых сценариях защита также может применяться автоматически в зависимости от условий, которые определяет администратор.
Для систем IRM требуется настройка клиентских и серверных сред. Клиентское приложение, которое открывает документ, отвечает за обработку правил защиты после проверка с серверным компонентом системы для проверка обновлений авторизации.
В сценарии, когда сотрудник покидает организацию с личным устройством или просто не решает, что они больше не хотят разрешать организации управлять личным устройством. Оптимальным вариантом в данном случае является удаление данных организации с личного устройства. Системы защиты, реализованные на платформе Microsoft 365, позволяют это сделать. Эти системы позволяют создавать правила на основе того, какие приложения могут получать доступ к данным организации. Кроме того, вы можете решить, какие данные могут получить доступ к этим приложениям.
Azure Rights Management (Azure RMS) расширяет защиту данных за пределами устройства пользователя через систему IRM, которая интегрируется с WIP, ключевой частью Azure Information Protection. Intune позволяет контролировать действия пользователей с защищенными данными даже за пределами организационной среды.
Кроме того, приложения, которые могут указывать разницу между корпоративными или личными данными, известными как просвещенные приложения, позволяют применять правила WIP только к данным организации, оставляя персональные данные нетронутыми. Это означает, например, что сотрудник может безопасно использовать Microsoft Word на личном устройстве как для бизнеса, так и для личных документов, не опасаясь потерять свои персональные данные при выходе из организации.