Partajați prin

Stabilirea unei strategii DLP

  • Articol

Politicile de prevenire a pierderii de date (DLP) acționează ca bare de protecție pentru a împiedica utilizatorii să expună neintenționat datele organizaționale și pentru a proteja securitatea informațiilor în entitatea găzduită. Politicile DLP aplică reguli pentru care conectori sunt activați pentru fiecare mediu, și care conectori pot fi utilizați împreună. Conectorii sunt clasificați ca numai date de business, nu sunt permise date de business, sau blocat. Un conector din grupul numai date de business poate fi utilizat numai cu alți conectori din grupul respectiv în aceeași aplicație sau flux. Informații suplimentare: Administrare Microsoft Power Platform: Politicile de prevenire a pierderii datelor

Stabilirea politicilor dvs. DLP merge mână în mână cu strategia dvs. de mediu.

Idei sumare

  • Politicile de prevenire a pierderii datelor (DLP) acţionează ca balustrade pentru a împiedica utilizatorii să expună în mod neintenţionat datele.
  • Politicile DLP pot fi cuprinse la nivel de mediu și la nivel de entitate găzduită, oferind flexibilitate pentru elaborarea politicilor care sunt sensibile și care nu blochează productivitatea ridicată.
  • Politicile DLP de mediu nu pot suprascrie politicile DLP la nivelul chiriașilor.
  • Dacă sunt configurate mai multe politici pentru un mediu, politica cea mai restrictivă se aplică combinației de conectori.
  • În mod implicit, nu sunt implementate politici DLP în entitatea găzduită.
  • Politicile nu pot fi aplicate la nivel de utilizator, doar la nivel de mediu sau entitate găzduită.
  • Politicile DLP sunt conștiente de conectori, dar nu controlează conexiunile realizate utilizând conectorul - cu alte cuvinte, politicile DLP nu știu dacă utilizați conectorul pentru a vă conecta la un mediu de dezvoltare, testare sau producție.
  • Conectorii PowerShell și administrator pot gestiona politicile.
  • Utilizatorii de resurse din medii pot vizualiza politicile care se aplică.

Clasificarea conectorilor

Clasificările de business și non-business trasează limite în jurul conectorilor care pot fi folosiți împreună într-o anumită aplicație sau flux. Conectorii pot fi clasificați în următoarele grupuri folosind politicile DLP:

  • Afaceri: o anumită resursă Power App sau Power Automate poate folosi unul sau mai mulți conectori dintr-un grup de afaceri. Dacă o resursă Power App sau Power Automate folosește un conector de afaceri, nu poate folosi niciun conector care nu este comercial.
  • Non-business: o anumită resursă Power App sau Power Automate poate folosi unul sau mai mulți conectori dintr-un grup non-business. Dacă o resursă Power App sau Power Automate folosește un conector non-business, nu poate folosi niciun conector business.
  • Blocat: nicio resursă Power App sau Power Automate nu poate folosi un conector dintr-un grup blocat. Toți conectorii premium deținuți de Microsoft și conectorii terți (standard și premium) pot fi blocați. Toți conectorii standard deținuți de Microsoft și conectorii Common Data Service nu pot fi blocați.

Numele „business” și „non-business” nu au nicio semnificație specială—sunt pur și simplu etichete. Gruparea conectorilor în sine este semnificativă, nu numele grupului în care sunt amplasați.

Mai multe informații: Administrare Microsoft Power Platform: Clasificarea conectorilor

Strategii pentru crearea politicilor DLP

Ca un administrator care preia un mediu sau începe să susțină utilizarea Power Apps și Power Automate, politicile DLP ar trebui să fie unul dintre primele lucruri pe care le configurați. Odată ce un set de bază de politici este în vigoare, vă puteți concentra apoi pe gestionarea excepțiilor și crearea de politici DLP direcționate care implementează aceste excepții odată aprobate.

Vă recomandăm următorul punct de plecare pentru politicile DLP pentru medii de productivitate partajate ale utilizatorilor și echipei:

  • Creați o politică care acoperă toate mediile, cu excepția celor selectate (de exemplu, mediile dvs. de producție), mențineți conectorii disponibili în această politică limitați la Office 365 și alte microservicii standard și blocați accesul la orice altceva. Această politică se aplică mediului implicit și mediilor de instruire pe care le aveți pentru desfășurarea evenimentelor interne de instruire. În plus, această politică se aplică și oricăror medii noi care sunt create.
  • Creați politici DLP adecvate și mai permisive pentru mediile de productivitate ale utilizatorilor și echipelor partajate. Aceste politici ar putea permite creatorilor să utilizeze conectori precum serviciile Azure în plus față de serviciile Office 365. Conectorii disponibili în aceste medii depind de organizația dvs. și de locul în care organizația dvs. stochează datele de afaceri.

Vă recomandăm următorul punct de plecare pentru politicile DLP pentru medii de producție (unitate de business și proiect):

  • Excludeți aceste medii din politicile de productivitate partajate ale utilizatorilor și echipelor.
  • Colaborați cu unitatea de business și proiectați pentru a stabili ce conectori și combinații de conectori vor folosi și pentru a crea o politică pentru entitatea găzduită care să includă numai mediile selectate.
  • Administratorii de mediu ai acestor medii pot folosi politicile de mediu pentru a clasifica conectorii personalizați doar ca date de afaceri, dacă este necesar.

De asemenea, vă recomandăm:

  • Crearea unui număr minim de politici per mediu. Nu există o ierarhie strictă între politicile de chiriaș și cele de mediu, iar la proiectare și rulare, toate politicile care sunt aplicabile mediului în care se află aplicația sau fluxul sunt evaluate împreună pentru a decide dacă resursa respectă sau încalcă politicile DLP. Mai multe politici DLP aplicate unui singur mediu vă vor fragmenta spațiul de conectare în moduri complicate și ar putea face dificilă înțelegerea problemelor cu care se confruntă producătorii dvs.
  • Gestionarea centralizată a politicilor DLP utilizând politici la nivel de entitate găzduită și utilizarea politicilor de mediu numai pentru a clasifica conectori personalizați sau în cazuri excepționale.

Cu o strategie de bază implementată, planificați cum să gestionați excepțiile. Aveți posibilitatea să:

  • Refuzați solicitarea.
  • Adăugați conectorul la politica implicită DLP.
  • Adăugați mediile în lista Toate exceptând pentru DLP implicit global și creați o politică DLP specifică cazului de utilizare, cu excepția inclusă.

Exemplu: strategia DLP Contoso

Să ne uităm la modul în care Contoso Corporation, organizația noastră eșantion pentru acest ghid, și-a configurat politicile DLP. Configurarea politicilor lor DLP este strâns legată de strategia lor de mediu.

Administratorii Contoso doresc să sprijine scenariile de productivitate ale utilizatorilor și echipelor și aplicațiile de business, pe lângă gestionarea activității Centrului de excelență (CoE).

Mediul și strategia DLP Contoso aplicate aici constă în:

  1. O politică DLP restrictivă la nivel de chiriaș care se aplică tuturor mediilor din locatar, cu excepția unor medii specifice pe care le-au exclus din domeniul de aplicare al politicii. Administratorii intenționează să păstreze conectorii disponibili în această politică limitați la Office 365 și alte micro-servicii standard prin blocarea accesului la orice altceva. Această politică se aplică și mediului implicit.

  2. Administratorii Contoso au creat un alt mediu partajat pentru ca utilizatorii să creeze aplicații pentru cazurile de utilizare a productivității utilizatorilor și echipelor. Acest mediu are o politică DLP la nivel de entitate găzduită asociată, care nu este la fel de opusă riscurilor ca o politică implicită și permite creatorilor să utilizeze conectori precum serviciile Azure în plus față de serviciile Office 365. Deoarece acest mediu nu este un mediu implicit, administratorii pot controla în mod activ lista creator de mediu pentru el. Aceasta este o abordare pe niveluri a mediului partajat de productivitate a utilizatorilor și echipei și a setărilor DLP asociate.

  3. În plus, pentru ca unitățile de afaceri să creeze aplicații de linie de afaceri, au creat medii de dezvoltare, testare și producție pentru filialele lor fiscale și de audit din diferite țări/regiuni. Accesul creatorului de mediu la aceste medii este gestionat cu atenție, iar conectorii corespunzători primari și terții sunt puși la dispoziție utilizând politici DLP la nivel de entitate găzduită în consultare cu părțile interesate ale unității de business.

  4. În mod similar, mediile dezvoltare/testare/producție sunt create pentru utilizarea IT central pentru a dezvolta și lansa aplicații relevante sau corecte. Aceste scenarii de aplicații de business au de obicei un set bine definit de conectori care trebuie să fie disponibili pentru producători, testatori și utilizatori din aceste medii. Accesul la acești conectori este gestionat utilizând o politică dedicată la nivel de entitate găzduită.

  5. Contoso are, de asemenea, un mediu special dedicat activităților Centrului de excelență. În Contoso, politica DLP pentru mediul cu scop special rămâne o atingere ridicată, având în vedere natura experimentală a cărții echipelor de teorie. În acest caz, administratorii chiriașilor au delegat managementul DLP pentru acest mediu direct unui administrator de mediu de încredere al echipei CoE și l-au exclus dintr-o școală cu toate politicile la nivel de chiriaș. Acest mediu este gestionat numai de politica DLP la nivel de mediu, care este mai degrabă o excepție decât regulă la Contoso.

După cum era de așteptat, orice medii noi care sunt create în Contoso se corelează cu politica originală pentru toate mediile.

Această configurare a politicilor DLP centrate pe chiriași nu îi împiedică pe administratorii de mediu să vină cu propriile politici DLP la nivel de mediu, dacă doresc să introducă mai multe restricții sau să clasifice conectori personalizați.

Cum Contoso și-a configurat politica DLP.

Configurați politici de date

  1. Creați-vă politica în centrul de administrare Power Platform. Mai multe informații: Gestionați politicile de date

  2. Folosiți DLP SDK pentru a adăuga conectori personalizați la o politică DLP.

Comunicați în mod clar politicile DLP ale organizației dvs. către creatori

Configurați un site SharePoint sau wiki care comunică clar:

  • Politicile DLP la nivel de entitate găzduită și la nivel de mediu cheie (de exemplu, mediu implicit, mediu de încercare) aplicate în organizație, inclusiv liste de conectori clasificați ca business, non-business și blocați.
  • ID-ul de e-mail al grupului dvs. de administrator, astfel încât creatorii să poată contacta pentru scenarii de excepție. De exemplu, administratorii pot ajuta creatorii să revină la conformare editând o politică DLP existentă, mutând soluția într-un mediu diferit, creând un mediu nou și o nouă politică DLP și mutând creatorul și resursa în acest mediu nou.

De asemenea, comunicați clar factorilor de decizie strategia de mediu a organizației dvs..