Делите путем

Успостављање DLP стратегије

  • Чланак

Смернице за спречавање губитка података (DLP) делују као заштитне ограде како би спречиле кориснике да ненамерно изложе организационе податке и заштитиле информациону безбедност у закупцу. DLP смернице примењују правила за која су конектори омогућени за свако окружење и који конектори могу да се користе заједно. Конектори се класификују као само пословни подаци, подаци о предузећу нису дозвољени или блокирани. Конектор у групи само за пословне податке може се користити само са другим конекторима из те групе у истој апликацији или току. Још информација: Администрација Microsoft Power Platform: Смернице за спречавање губитка података

Успостављање ваших ДЛП политика иде руку под руку са вашом стратегијом заштите животне средине.

Брзе чињенице

  • Политике за спречавање губитка података (ДЛП) делују као ограде како би се спречило кориснике да ненамерно излажу податке.
  • DLP смернице се могу применити на нивоу окружења и на нивоу закупца, нудећи флексибилност у изради смерница које су разумне и не блокирају високу продуктивност.
  • ДЛП политике окружења не могу надјачати ДЛП политике широм станара.
  • Ако је за једно окружење конфигурисано више смерница, најрестриктивнија смерница се односи на комбинацију конектора.
  • У закупцу се подразумевано не примењују DLP смернице.
  • Смернице се не могу примењивати на нивоу корисника, већ само на нивоу окружења или закупца.
  • DLP смернице препознају конекторе, али не контролишу везе које се успостављају помоћу конектора – другим речима, DLP смернице не препознају да ли конектор користите за повезивање са развојним, тестним или производним окружењем.
  • PowerShell и администраторски конектори могу да управљају смерницама.
  • Корисници ресурса у окружењима могу да виде смернице које се примењују.

Класификација конектора

Пословна и непословна класификација не прави разлику око тога који се конектори могу користити заједно у датој апликацији или току. Конектори се могу класификовати у следеће групе помоћу DLP смерница:

  • посао : Дати Повер Апп или Power Automate ресурс може користити један или више конектора из пословне групе. Ако Повер Апп или Power Automate ресурс користи пословни конектор, не може да користи ниједан не-пословни конектор.
  • Не-пословни : Дати Повер Апп или Power Automate ресурс може користити један или више конектора из не-пословне групе. Ако Повер Апп или Power Automate ресурс користи не-пословни конектор, не може користити ниједан пословни конектор.
  • Блокиран : Ниједна Повер апликација или ресурс не Power Automate може користити конектор из блокиране групе. Врхунски Microsoft конектори у свом власништву и конектори независних произвођача (стандардни и премијски) могу се блокирати. MicrosoftСтандардни конектори и конектори Common Data Service у свом власништву не могу бити блокирани.

Називи „пословно“ и „непословно“ немају никакво посебно значење – то су само ознаке. Груписање самих конектора је од значаја, а не назив групе у коју су постављени.

Више информација: Управљање услугом Microsoft Power Platform: Класификација конектора

Стратегије за креирање DLP смерница

Чим администратор преузме окружење или почне да подржава употребу услуга Power Apps и Power Automate, смернице за DLP би требало да буду једна од првих ствари које подешавате. Када се успостави основни скуп политика, можете се фокусирати на руковање изузецима и креирање циљаних ДЛП политика које имплементирају ове изузетке након одобрења.

Препоручујемо следеће полазиште за DLP смернице за заједничка окружења за продуктивност корисника и тима:

  • Креирајте смернице које обухватају сва окружења осим изабраних (на пример, ваша производна окружења), а доступне конекторе у овим смерницама ограничите на Office 365 и друге стандардне микро-услуге и блокирајте приступ свему осталом. Ова политика се односи на подразумевано окружење и на окружења за обуку која имате за покретање интерних догађаја обуке. Поред тога, ова политика се односи и на сва нова окружења која су створена.
  • Креирајте одговарајуће и пермисивније ДЛП политике за заједничка окружења за продуктивност корисника и тимова. Ове смернице могу произвођачима омогућити да користе и конекторе попут Azure услуге поред Office 365 услуга. Конектори доступни у овим окружењима зависе од ваше организације и места где ваша организација чува пословне податке.

Препоручујемо следеће полазиште за DLP смернице за производна окружења (за пословне јединице и пројекте):

  • Искључите та окружења из заједничких смерница за продуктивност корисника и тимова.
  • Радите са пословном јединицом и пројектом како бисте утврдили које конекторе и комбинације конектора ће користити и креирајте смерницу закупаца која укључује само изабрана окружења.
  • Администратори окружења тих окружења могу користити политике окружења да категоризују прилагођене конекторе само као пословне податке, ако је потребно.

Такође препоручујемо:

  • Креирање минималног броја смерница по окружењу. Не постоји строга хијерархија између политика станара и окружења, а приликом дизајна и извођења, све политике које се примењују на окружење у којем се налази апликација или ток процењују се заједно како би се одлучило да ли је ресурс у складу са ДЛП политикама или их крши. Вишеструке ДЛП политике које се примењују на једно окружење ће фрагментирати ваш простор конектора на компликоване начине и могу отежати разумевање проблема са којима се суочавају ваши произвођачи.
  • DLP смернице за централно управљање користе смернице на нивоу закупца и користе смернице за окружење само за категоризацију прилагођених конектора или у изузетним случајевима.

Са основном стратегијом на месту, планирајте како да се носите са изузецима. Можете:

  • Да одбијете захтев.
  • Да додате конектор подразумеваној DLP смерници.
  • Додајте окружења на листу „Све осим“ за глобални подразумевани DLP и креирајте DLP смернице специфичне за сваки случај са укљученим изузетком.

Пример: Contoso DLP стратегија

Погледајмо како је Contoso Corporation, наша организација за примере ових смерница, поставила своје DLP смернице. Постављање њихових ДЛП политика уско је повезано са њиховом стратегијом заштите животне средине.

Contoso администратори желе да подрже сценарије продуктивности корисника и тимова и пословне апликације, поред управљања активностима центра изврсности (CoE).

Окружење и ДЛП стратегија Цонтосо администратори који се овде примењују састоји се од:

  1. Рестриктивна ДЛП политика за целог станара која се односи на сва окружења у станару, осим неких специфичних окружења која су искључена из обима политике. Администратори намеравају да ограниче доступне конекторе у овим смерницама на Office 365 и друге стандардне микро-услуге блокирајући приступ свему осталом. Ова политика се такође односи на подразумевано окружење.

  2. Цонтосо администратори су створили још једно заједничко окружење за кориснике да креирају апликације за случајеве коришћења продуктивности корисника и тимова. Ово окружење има повезане DLP смернице на нивоу закупца која није тако несклона ризику као подразумевана смерница и омогућава ауторима да користе конекторе попут Azure услуга поред Office 365 услуга. Пошто је ово окружење неподразумевано окружење, администратори могу активно контролисати листу < ДИЦТ__аутор окружења > енвиронмент макер за њега. Ово је слојевити приступ заједничком окружењу продуктивности корисника и тима и повезаним DLP поставкама.

  3. Поред тога, за пословне јединице за креирање пословних апликација, створили су развојна, тестна и производна окружења за своје пореске и ревизијске подружнице у различитим земљама / регионима. Приступом креатора окружења тим окружењима се пажљиво управља, а одговарајући конектори прве и треће стране су доступни користећи DLP смернице на нивоу закупца уз консултације са заинтересованим странама пословне јединице.

  4. Слично томе, развојна/тестна/производна окружења се креирају за коришћење у централном IT одељењу за развој и покретање релевантних или одговарајућих апликација. Ови сценарији пословних апликација обично имају добро дефинисан скуп конектора који морају бити доступни ауторима, тестерима и корисницима у овим окружењима. Приступом тим конекторима се управља помоћу наменских смерница на нивоу закупца.

  5. Contoso такође има окружење посебне намене посвећено њиховим активностима у центру изврсности. У Цонтосо, ДЛП политика за посебне намене окружења остаје висок додир с обзиром на експерименталну природу теорије тимова књиге. У овом случају, администратори станара делегирали су управљање ДЛП-ом за ово окружење директно поузданом < ДИЦТ__администратор окружења > енвиронмент админ тима ЦоЕ и искључили га из школе свих политика на нивоу станара. Овим окружењем управља само DLP смерница на нивоу окружења, која је пре изузетак него правило у компанији Contoso.

Као што се и очекивало, сва нова окружења која су креирана у Цонтосо мапирају се на оригиналну политику свих окружења.

Ово подешавање ДЛП политика усмјерених на станаре не спречава администраторе окружења да дођу до сопствених ДЛП политика на нивоу окружења, ако желе да уведу више ограничења или да класификују прилагођене конекторе.

Како је Цонтосо поставио своју ДЛП политику.

Подесите политику података

  1. Креирајте своје смернице у Power Platform центру администрације. Више информација: Управљање политикама података

  2. Користите DLP SDK за додавање прилагођених конектора у DLP смернице.

Јасно објавите ауторима какве су DLP смернице организације

Подесите SharePoint локацију или wiki који јасно саопштава:

  • DLP смернице на нивоу закупца и кључног нивоа окружења (на пример, подразумевано окружење, пробно окружење) примењене у организацији, укључујући листе конектора класификованих као пословни, непословни и блокирани.
  • ID адресе е-поште ваше администраторске групе како би аутори могли да ступе у контакт због сценарија изузетака. На пример, администратори могу помоћи ауторима да поврате усклађеност уређивањем постојећих DLP смерница, премештањем решења у друго окружење, креирањем новог окружења и нових DLP смерница и премештањем аутора и ресурса у то ново окружење.

Такође јасно комуницирајте стратегију животне средине ваше организације произвођачима.