Chia sẻ qua

Thiết lập Chiến lược DLP

  • Bài viết

Các chính sách Ngăn mất dữ liệu (DLP) hoạt động như các hành lang giúp ngăn người dùng vô tình tiết lộ dữ liệu của tổ chức và để bảo vệ an toàn thông tin trong đối tượng thuê. Chính sách DLP thực thi các quy tắc trình kết nối nào được bật cho từng môi trường và trình kết nối nào có thể sử dụng cùng nhau. Trình kết nối được phân loại là chỉ dữ liệu kinh doanh, không có dữ liệu kinh doanh được phép hoặc là bị chặn. Chỉ có thể dùng trình kết nối trong nhóm chỉ dữ liệu doanh nghiệp với các trình kết nối khác từ nhóm đó trong cùng một ứng dụng hoặc quy trình. Thêm thông tin: Quản trị viên Microsoft Power Platform: Chính sách ngăn mất dữ liệu

Việc thiết lập các chính sách DLP đi đôi với chiến lược môi trường của bạn.

Thông tin nhanh

  • Chính sách ngăn mất dữ liệu (DLP) đóng vai trò như rào chắn giúp ngăn chặn việc người dùng vô tình tiết lộ dữ liệu.
  • Có thể áp dụng các chính sách DLP ở cấp độ môi trường và cấp độ đối tượng thuê, mang lại sự linh hoạt để đưa ra các chính sách hợp lý và không cản trở năng suất cao.
  • Chính sách DLP môi trường không thể ghi đè chính sách DLP trên toàn đối tượng thuê.
  • Nếu nhiều chính sách được định cấu hình cho một môi trường, thì chính sách hạn chế nhất sẽ áp dụng cho sự kết hợp các trình kết nối.
  • Theo mặc định, không có chính sách DLP nào được triển khai trong đối tượng thuê.
  • Không thể áp dụng chính sách ở cấp người dùng, chỉ ở cấp môi trường hoặc đối tượng thuê.
  • Chính sách DLP nhận biết trình kết nối, nhưng không kiểm soát các kết nối được tạo bằng trình kết nối — nói cách khác, các chính sách DLP không biết liệu bạn có sử dụng trình kết nối để kết nối với môi trường phát triển, thử nghiệm hay sản xuất hay không.
  • PowerShell và trình kết nối quản trị có thể quản lý các chính sách.
  • Người dùng tài nguyên trong môi trường có thể xem các chính sách được áp dụng.

Phân loại trình kết nối

Các phân loại kinh doanh và phi kinh doanh vạch ra ranh giới quanh những trình kết nối có thể sử dụng cùng nhau trong một ứng dụng hoặc luồng nhất định. Có thể phân loại các trình kết nối theo các nhóm sau bằng cách sử dụng chính sách DLP:

  • Kinh doanh: Một Power App đã cho hoặc tài nguyên Power Automate có thể sử dụng một hoặc nhiều trình kết nối từ một nhóm kinh doanh. Nếu Power App hoặc tài nguyên Power Automate sử dụng trình kết nối doanh nghiệp thì ứng dụng đó không thể sử dụng bất kỳ trình kết nối phi doanh nghiệp nào.
  • Phi kinh doanh: Một Power App đã cho hoặc tài nguyên Power Automate có thể sử dụng một hoặc nhiều trình kết nối từ một nhóm phi kinh doanh. Nếu Power App hoặc tài nguyên Power Automate sử dụng trình kết nối phi doanh nghiệp thì ứng dụng đó không thể sử dụng bất kỳ trình kết nối kinh doanh nào.
  • Bị chặn: Không có Power App hoặc tài nguyên Power Automate nào có thể sử dụng trình kết nối từ một nhóm bị chặn. Tất cả các trình kết nối cao cấp do Microsoft sở hữu và trình kết nối của bên thứ ba (tiêu chuẩn và cao cấp) đều có thể bị chặn. Tất cả các trình kết nối tiêu chuẩn do Microsoft sở hữu và trình kết nối Common Data Service không thể bị chặn.

Tên "liên quan đến công việc" và "không liên quan đến công việc" không mang ý nghĩa đặc biệt nào, mà chỉ đơn thuần là nhãn. Bản thân việc nhóm các trình kết nối có ý nghĩa, chứ không phải tên của nhóm mà chúng được đặt vào.

Thêm thông tin: Quản trị viên Microsoft Power Platform: Phân loại trình kết nối

Chiến lược tạo chính sách DLP

Là quản trị viên tiếp quản môi trường hoặc bắt đầu hỗ trợ việc sử dụng Power Apps và Power Automate, chính sách DLP phải là một trong những điều đầu tiên bạn thiết lập. Khi đã có bộ chính sách cơ bản, bạn có thể tập trung vào việc xử lý các ngoại lệ và tạo các chính sách DLP được nhắm mục tiêu để triển khai các ngoại lệ này sau khi được phê duyệt.

Chúng tôi đề xuất điểm bắt đầu sau cho các chính sách DLP cho môi trường năng suất của người dùng và nhóm được chia sẻ:

  • Tạo chính sách bao gồm tất cả các môi trường ngoại trừ những môi trường đã chọn (ví dụ: môi trường sản xuất của bạn), giữ các trình kết nối có sẵn trong chính sách này ở Office 365 và các vi dịch vụ tiêu chuẩn khác, đồng thời chặn quyền truy cập vào mọi thứ khác. Chính sách này áp dụng cho môi trường mặc định và cho môi trường đào tạo mà bạn có để chạy các sự kiện đào tạo nội bộ. Ngoài ra, chính sách này cũng áp dụng cho mọi môi trường mới được tạo.
  • Tạo các chính sách DLP phù hợp và dễ dàng hơn cho môi trường năng suất chung của người dùng và nhóm của bạn. Các chính sách này có thể cho phép người tạo sử dụng các trình kết nối như dịch vụ Azure bên cạnh các dịch vụ Office 365. Các trình kết nối có sẵn trong các môi trường này tùy thuộc vào tổ chức của bạn và nơi tổ chức của bạn lưu trữ dữ liệu doanh nghiệp.

Chúng tôi đề xuất điểm bắt đầu sau cho các chính sách DLP cho môi trường sản suất (đơn vị kinh doanh và dự án):

  • Loại trừ những môi trường đó khỏi chính sách năng suất của người dùng và nhóm được chia sẻ.
  • Làm việc với đơn vị kinh doanh và dự án để thiết lập trình kết nối và kết hợp trình kết nối nào họ sẽ sử dụng và tạo chính sách đối tượng thuê để chỉ bao gồm các môi trường đã chọn.
  • Quản trị viên môi trường của những môi trường đó có thể sử dụng chính sách môi trường để phân loại trình kết nối tùy chỉnh chỉ là dữ liệu doanh nghiệp, nếu cần.

Chúng tôi cũng khuyến nghị:

  • Tạo một số lượng chính sách tối thiểu cho mỗi môi trường. Không có hệ thống phân cấp chặt chẽ giữa chính sách đối tượng thuê và môi trường, cũng như trong quá trình thiết kế và thời gian chạy, tất cả các chính sách áp dụng cho môi trường chứa ứng dụng hoặc luồng đều được đánh giá cùng nhau để quyết định xem tài nguyên có tuân thủ hay vi phạm chính sách DLP hay không. Nhiều chính sách DLP được áp dụng cho một môi trường sẽ phân mảnh không gian trình kết nối của bạn theo những cách phức tạp và có thể khiến bạn khó hiểu các vấn đề mà người tạo của bạn đang gặp phải.
  • Quản lý tập trung Chính sách DLP bằng chính sách cấp đối tượng thuê và chỉ sử dụng chính sách môi trường để phân loại trình kết nối tùy chỉnh hoặc trong các trường hợp ngoại lệ.

Với chiến lược cơ bản đã sẵn sàng, hãy lên kế hoạch xử lý các trường hợp ngoại lệ. Bạn có thể:

  • Từ chối yêu cầu.
  • Thêm trình kết nối vào chính sách DLP mặc định.
  • Thêm các môi trường vào danh sách Tất cả Ngoại trừ cho DLP mặc định chung và tạo chính sách DLP dành riêng cho trường hợp sử dụng với ngoại lệ được bao gồm.

Ví dụ: Chiến lược DLP của Contoso

Hãy xem cách Contoso Corporation, tổ chức mẫu của chúng tôi về hướng dẫn này, thiết lập các chính sách DLP của họ. Việc thiết lập các chính sách DLP của họ có mối liên hệ chặt chẽ với chiến lược môi trường của họ.

Quản trị viên Contoso muốn hỗ trợ các kịch bản năng suất của người dùng và nhóm cũng như các ứng dụng kinh doanh, ngoài việc quản lý hoạt động của Center of Excellence (CoE).

Môi trường và chiến lược DLP mà quản trị viên Contoso áp dụng ở đây bao gồm:

  1. Chính sách DLP hạn chế trên toàn đối tượng thuê áp dụng cho tất cả các môi trường trong đối tượng thuê ngoại trừ một số môi trường cụ thể mà chúng đã loại trừ khỏi phạm vi chính sách. Quản trị viên dự định giữ các trình kết nối khả dụng trong chính sách này giới hạn ở Office 365 và các dịch vụ vi mô tiêu chuẩn khác bằng cách chặn quyền truy cập vào mọi thứ khác. Chính sách này cũng áp dụng cho môi trường mặc định.

  2. Quản trị viên Contoso đã tạo một môi trường chia sẻ khác để người dùng tạo ứng dụng phục vụ các trường hợp sử dụng năng suất của người dùng và nhóm. Môi trường này có chính sách DLP cấp đối tượng thuê được liên kết, chính sách này không sợ rủi ro như chính sách mặc định và cho phép người tạo sử dụng các trình kết nối như dịch vụ Azure ngoài dịch vụ Office 365. Vì môi trường này là môi trường không mặc định nên quản trị viên có thể chủ động kiểm soát danh sách người tạo trong môi trường cho môi trường đó. Đây là một cách tiếp cận theo từng cấp đối với môi trường năng suất của người dùng và nhóm dùng chung và các cài đặt DLP liên quan.

  3. Ngoài ra, để các đơn vị kinh doanh tạo ra các ứng dụng kinh doanh, họ đã tạo ra môi trường phát triển, thử nghiệm và sản xuất cho các công ty con về thuế và kiểm toán ở nhiều quốc gia/khu vực khác nhau. Quyền truy cập của người tạo môi trường vào các môi trường này được quản lý cẩn thận và các trình kết nối bên thứ nhất và bên thứ ba thích hợp được cung cấp bằng cách sử dụng các chính sách DLP cấp đối tượng thuê với sự tham vấn của các bên liên quan của đơn vị kinh doanh.

  4. Tương tự như vậy, môi trường phát triển/kiểm thử/sản xuất được tạo ra để CNTT trung tâm dùng để phát triển và triển khai các ứng dụng phù hợp hoặc liên quan. Các tình huống ứng dụng kinh doanh này thường có một tập hợp các trình kết nối được xác định rõ ràng cần được cung cấp cho người tạo, người kiểm tra và người dùng trong các môi trường này. Quyền truy cập vào các trình kết nối này được quản lý bằng chính sách cấp đối tượng thuê riêng.

  5. Contoso cũng có một môi trường có mục đích đặc biệt dành riêng cho các hoạt động của Trung tâm Xuất sắc. Trong Contoso, chính sách DLP dành cho môi trường có mục đích đặc biệt vẫn có tính liên quan cao do tính chất thử nghiệm của cuốn sách nhóm lý thuyết. Trong trường hợp này, quản trị viên đối tượng thuê đã ủy quyền quản lý DLP cho môi trường này trực tiếp cho quản trị viên trong môi trường đáng tin cậy của nhóm CoE và loại trừ nó khỏi trường học trong tất cả các chính sách cấp độ đối tượng thuê. Môi trường này chỉ được quản lý bởi chính sách DLP cấp môi trường, đây là một ngoại lệ chứ không phải quy tắc tại Contoso.

Đúng như mong đợi, mọi môi trường mới được tạo trong Contoso đều ánh xạ tới chính sách tất cả môi trường ban đầu.

Việc thiết lập chính sách DLP lấy đối tượng thuê làm trung tâm này không ngăn cản quản trị viên môi trường đưa ra các chính sách DLP cấp môi trường của riêng họ, nếu họ muốn đưa ra nhiều hạn chế hơn hoặc phân loại trình kết nối tùy chỉnh.

Cách Contoso thiết lập chính sách DLP của họ.

Thiết lập chính sách dữ liệu

  1. Tạo chính sách của bạn trong trung tâm quản trị Power Platform. Thông tin thêm: Quản lý chính sách dữ liệu

  2. Sử dụng DLP SDK để thêm trình kết nối tùy chỉnh vào chính sách DLP.

Thông báo rõ ràng về Chính sách DLP đối với người tạo của tổ chức

Thiết lập một trang web SharePoint hoặc wiki thông báo rõ ràng:

  • Các chính sách DLP ở cấp đối tượng thuê và cấp môi trường chính (ví dụ: môi trường mặc định, môi trường thử nghiệm) được thực thi trong tổ chức, bao gồm danh sách các trình kết nối được phân loại là doanh nghiệp, phi kinh doanh và bị chặn.
  • ID email của nhóm quản trị viên để người tạo có thể liên hệ với các trường hợp ngoại lệ. Ví dụ: quản trị viên có thể giúp người tạo tuân thủ khi chỉnh sửa chính sách DLP hiện có, chuyển giải pháp sang một môi trường khác, tạo một môi trường mới và chính sách DLP mới, đồng thời chuyển người tạo và tài nguyên sang môi trường mới này.

Đồng thời truyền đạt rõ ràng chiến lược môi trường của tổ chức bạn tới các nhà sản xuất.