Uspostavljanje DLP strategije

Smernice za sprečavanje gubitka podataka (DLP) deluju kao zaštitne ograde kako bi sprečile korisnike da nenamerno izlože organizacione podatke i zaštitile informacionu bezbednost u zakupcu. DLP smernice primenjuju pravila za koja su konektori omogućeni za svako okruženje i koji konektori mogu da se koriste zajedno. Konektori se klasifikuju kao samo poslovni podaci, podaci o preduzeću nisu dozvoljeni ili blokirani. Konektor u grupi samo za poslovne podatke može se koristiti samo sa drugim konektorima iz te grupe u istoj aplikaciji ili toku. Još informacija: Administracija Microsoft Power Platform: Smernice za sprečavanje gubitka podataka

Uspostavljanje DLP smernica ide ruku pod ruku sa strategijom zaštite životne sredine.

Brze činjenice

• Smernice za sprečavanje gubitka podataka (DLP) deluju kao zaštitne ograde kako bi sprečile korisnike da nenamerno izlažu podatke.
• DLP smernice se mogu primeniti na nivou okruženja i na nivou zakupca, nudeći fleksibilnost u izradi smernica koje su razumne i ne blokiraju visoku produktivnost.
• DLP smernice za zaštitu životne sredine ne mogu da ponište DLP smernice širom zakupca.
• Ako je za jedno okruženje konfigurisano više smernica, najrestriktivnija smernica se odnosi na kombinaciju konektora.
• U zakupcu se podrazumevano ne primenjuju DLP smernice.
• Smernice se ne mogu primenjivati na nivou korisnika, već samo na nivou okruženja ili zakupca.
• DLP smernice prepoznaju konektore, ali ne kontrolišu veze koje se uspostavljaju pomoću konektora – drugim rečima, DLP smernice ne prepoznaju da li konektor koristite za povezivanje sa razvojnim, testnim ili proizvodnim okruženjem.
• PowerShell i administratorski konektori mogu da upravljaju smernicama.
• Korisnici resursa u okruženjima mogu da vide smernice koje se primenjuju.

Klasifikacija konektora

Poslovna i neposlovna klasifikacija ne pravi razliku oko toga koji se konektori mogu koristiti zajedno u datoj aplikaciji ili toku. Konektori se mogu klasifikovati u sledeće grupe pomoću DLP smernica:

• Poslovno: Dati Power App ili Power Automate resurs može da koristi jedan ili više konektora iz poslovne grupe. Ako aplikacija za napajanje ili Power Automate resurs koristi poslovnu liniju spajanja, ona ne može da koristi poslovni konektor.
• Nije poslovne prirode: Dati Power App ili Power Automate resurs može da koristi jedan ili više konektora iz neposlovne grupe. Ako aplikacija za napajanje ili Power Automate resurs koristi liniju spajanja koja nije poslovna, ne može da koristi poslovnu liniju spajanja.
• Blokirano: Nijedan Power App ili Power Automate resurs ne može da koristi konektor iz blokirane grupe. Svi premijum konektori u vlasništvu kompanije Microsoft i konektori nezavisnih proizvođača (standardni i premijum) mogu biti blokirani. Svi standardni konektori u vlasništvu kompanije Microsoft i Common Data Service konektori ne mogu biti blokirani.

Nazivi „poslovno“ i „neposlovno“ nemaju nikakvo posebno značenje – to su samo oznake. Grupisanje samih konektora je od značaja, a ne naziv grupe u koju su postavljeni.

Još informacija: Upravljanje uslugom Microsoft Power Platform: Klasifikacija konektora

Strategije za kreiranje DLP smernica

Čim administrator preuzme okruženje ili počne da podržava upotrebu usluga Power Apps i Power Automate, smernice za DLP bi trebalo da budu jedna od prvih stvari koje podešavate. Kada se postavi osnovni skup smernica, možete se usredsrediti na rukovanje izuzecima i kreiranje ciljanih DLP smernica koje primenjuju ove izuzetke kada se odobre.

Preporučujemo sledeće polazište za DLP smernice za zajednička okruženja za produktivnost korisnika i tima:

• Kreirajte smernice koje obuhvataju sva okruženja osim izabranih (na primer, vaša proizvodna okruženja), a dostupne konektore u ovim smernicama ograničite na Office 365 i druge standardne mikro-usluge i blokirajte pristup svemu ostalom. Ove smernice se odnose na podrazumevano okruženje i na okruženja za obuku koja imate za vođenje internih trening događaja. Pored toga, ova smernica se primenjuje i na sva nova okruženja koja su kreirana.
• Kreirajte odgovarajuće i propustljivije DLP smernice za okruženja za produktivnost deljenog korisnika i tima. Ove smernice mogu proizvođačima omogućiti da koriste i konektore poput Azure usluge pored Office 365 usluga. Linije spajanja dostupne u ovim okruženjima zavise od vaše organizacije i od toga gde vaša organizacija skladišti poslovne podatke.

Preporučujemo sledeće polazište za DLP smernice za proizvodna okruženja (za poslovne jedinice i projekte):

• Isključite ta okruženja iz zajedničkih smernica za produktivnost korisnika i timova.
• Radite sa poslovnom jedinicom i projektom kako biste utvrdili koje konektore i kombinacije konektora će koristiti i kreirajte smernicu zakupaca koja uključuje samo izabrana okruženja.
• Administratori okruženja tih okruženja mogu da koriste smernice za zaštitu životne sredine da bi prilagođene linije spajanja kategorizovali samo kao poslovne podatke, ako je potrebno.

Takođe preporučujemo:

• Kreiranje minimalnog broja smernica po okruženju. Ne postoji striktna hijerarhija između smernica zakupaca i okruženja, a u dizajnu i vremenu izvršavanja, sve smernice koje su primenljive na okruženje u kojem se aplikacija ili tok nalaze zajedno se procenjuju da bi se odlučilo da li je resurs u skladu sa DLP smernicama. Više DLP smernica primenjenih na jedno okruženje fragmentiraće prostor konektora na komplikovane načine i možda će otežati razumevanje problema sa kojima se suočavaju vaši autori.
• DLP smernice za centralno upravljanje koriste smernice na nivou zakupca i koriste smernice za okruženje samo za kategorizaciju prilagođenih konektora ili u izuzetnim slučajevima.

Sa osnovnom strategijom, isplanirajte kako da postupate sa izuzecima. Možete:

• Da odbijete zahtev.
• Da dodate konektor podrazumevanoj DLP smernici.
• Dodajte okruženja na listu „Sve osim“ za globalni podrazumevani DLP i kreirajte DLP smernice specifične za svaki slučaj sa uključenim izuzetkom.

Primer: Contoso DLP strategija

Pogledajmo kako je Contoso Corporation, naša organizacija za primere ovih smernica, postavila svoje DLP smernice. Podešavanje njihovih DLP politika blisko se povezuje sa njihovom strategijom zaštite životne sredine.

Contoso administratori žele da podrže scenarije produktivnosti korisnika i timova i poslovne aplikacije, pored upravljanja aktivnostima centra izvrsnosti (CoE).

Okruženje i DLP strategija Kontoso admini koji se ovde primenjuju sastoje se od:

1. Restriktivna DLP politika širom zakupca koja se primenjuje na sva okruženja u zakupcima osim na neka specifična okruženja koja su isključili iz opsega politike. Administratori nameravaju da ograniče dostupne konektore u ovim smernicama na Office 365 i druge standardne mikro-usluge blokirajući pristup svemu ostalom. Ove smernice se primenjuju i na podrazumevano okruženje.

2. Contoso admini su kreirali još jedno deljeno okruženje za korisnike kako bi kreirali aplikacije za slučajeve korišćenja produktivnosti korisnika i tima. Ovo okruženje ima povezane DLP smernice na nivou zakupca koja nije tako nesklona riziku kao podrazumevana smernica i omogućava autorima da koriste konektore poput Azure usluga pored Office 365 usluga. Pošto ovo okruženje nije podrazumevano okruženje, administratori mogu aktivno da kontrolišu autor okruženja listu za njega. Ovo je slojeviti pristup zajedničkom okruženju produktivnosti korisnika i tima i povezanim DLP postavkama.

3. Pored toga, da bi poslovne jedinice kreirale line-of-business aplikacije, kreirale su razvojna, testna i proizvodna okruženja za svoje poreske i revizorske podružnice u različitim zemljama/regionima. Pristupom autora okruženja tim okruženjima se pažljivo upravlja, a odgovarajući konektori prve i treće strane su dostupni koristeći DLP smernice na nivou zakupca uz konsultacije sa zainteresovanim stranama poslovne jedinice.

4. Slično tome, razvojna/testna/proizvodna okruženja se kreiraju za korišćenje u centralnom IT odeljenju za razvoj i pokretanje relevantnih ili odgovarajućih aplikacija. Ovi scenariji poslovnih aplikacija obično imaju dobro definisan skup konektora koji moraju biti dostupni autorima, testerima i korisnicima u ovim okruženjima. Pristupom tim konektorima se upravlja pomoću namenskih smernica na nivou zakupca.

5. Contoso takođe ima okruženje posebne namene posvećeno njihovim aktivnostima u centru izvrsnosti. U Kontosu, politika DLP-a za okruženje specijalnih namena ostaje visokog dodira s obzirom na eksperimentalnu prirodu teorijske knjige timova. U ovom slučaju, upravnici zakupaca delegirali su DLP menadžment za ovu sredinu direktno na pouzdani administrator okruženja tima SE i isključili ga iz škole svih politika na nivou stanara. Ovim okruženjem upravlja samo DLP smernica na nivou okruženja, koja je pre izuzetak nego pravilo u kompaniji Contoso.

Kao što se i očekivalo, sva nova okruženja koja se kreiraju u Contoso mapi prema originalnoj politici svih okruženja.

Ovo podešavanje DLP smernica koje su centrisane za zakupce ne sprečava administratore okruženja da sami stinu DLP smernice na nivou okruženja, ako žele da uvedu više ograničenja ili da klasifikuju prilagođene konektore.

Podešavanje smernica podataka

1. Kreirajte svoje smernice u Power Platform centru administracije. Više informacija:Upravljanje smernicama podataka

2. Koristite DLP SDK za dodavanje prilagođenih konektora u DLP smernice.

Jasno objavite autorima kakve su DLP smernice organizacije

Podesite SharePoint lokaciju ili wiki koji jasno saopštava:

• DLP smernice na nivou zakupca i ključnog nivoa okruženja (na primer, podrazumevano okruženje, probno okruženje) primenjene u organizaciji, uključujući liste konektora klasifikovanih kao poslovni, neposlovni i blokirani.
• ID adrese e-pošte vaše administratorske grupe kako bi autori mogli da stupe u kontakt zbog scenarija izuzetaka. Na primer, administratori mogu pomoći autorima da povrate usklađenost uređivanjem postojećih DLP smernica, premeštanjem rešenja u drugo okruženje, kreiranjem novog okruženja i novih DLP smernica i premeštanjem autora i resursa u to novo okruženje.

Takođe jasno komunicirajte strategiju okruženja vaše organizacije sa tvorcima.