Sdílet prostřednictvím

Stanovení strategie DLP

  • Článek

Zásady prevence ztráty dat (DLP) fungují jako zábradlí, které pomáhá uživatelům zabránit v neúmyslném odhalení dat organizace a chránit zabezpečení informací v klientovi. Zásady DLP vynucují pravidla, které konektory jsou povoleny pro každé prostředí a které konektory lze použít společně. Konektory jsou klasifikovány takto: pouze podniková data, nepovolena žádná podniková data nebo blokováno. Konektor ve skupině pouze pro obchodní data lze použít pouze s jinými konektory z této skupiny ve stejné aplikaci nebo toku. Další informace: Správa Microsoft Power Platform: zásady prevence ztráty dat

Stanovení zásad DLP jde ruku v ruce s vaší strategií prostředí.

Rychlá fakta

  • Zásady prevence ztráty dat (DLP) fungují jako zábrany, které pomáhají uživatelům zabránit v neúmyslném prozrazení dat.
  • Zásady DLP lze vymezit na úrovni prostředí a na úrovni klienta, což nabízí flexibilitu pro vytváření zásad, které jsou rozumné a neblokují vysokou produktivitu.
  • Zásady ochrany před únikem informací v prostředí nemohou potlačit zásady ochrany před únikem informací platné pro všechny klienty.
  • Pokud je pro jedno prostředí nakonfigurováno více zásad, platí pro kombinaci konektorů nejpřísnější zásady.
  • Ve výchozím nastavení nejsou v klientovi implementovány žádné zásady DLP.
  • Zásady nelze použít na úrovni uživatele, pouze na úrovni prostředí nebo klienta.
  • Zásady DLP zohledňují konektor, ale nekontrolují připojení, která jsou vytvořena pomocí konektoru - jinými slovy, zásady DLP si nejsou vědomy toho, zda konektor používáte pro připojení k vývojovému, testovacímu nebo produkčnímu prostředí.
  • Zásady mohou spravovat konektory PowerShell a správce.
  • Uživatelé zdrojů v prostředích mohou zobrazit platné zásady.

Klasifikace konektorů

Obchodní a nepodnikatelské klasifikace vytyčují hranice kolem toho, jaké konektory lze v dané aplikaci nebo toku použít společně. Konektory lze klasifikovat do následujících skupin pomocí zásad DLP:

  • Business: Daná Power App nebo Power Automate zdroj může používat jeden nebo více konektorů z obchodní skupiny. Pokud zdroj Power App nebo Power Automate používá obchodní konektor, nemůže použít žádný neobchodní konektor.
  • Neobchodní: Daná Power App nebo Power Automate zdroj může používat jeden nebo více konektorů z nepodnikatelské skupiny. Pokud zdroj Power App nebo Power Automate používá neobchodní konektor, nemůže použít žádný neobchodní konektor.
  • Blokováno: Žádná aplikace Power ani Power Automate zdroj nemůže použít konektor z blokované skupiny. Všechny Microsoft vlastněné prémiové konektory a konektory třetích stran (standardní a prémiové) lze zablokovat. Všechny Microsoftvlastněné standardní konektory a Common Data Service konektory nelze zablokovat.

Názvy „obchodní“ a „neobchodní“ nemají žádný zvláštní význam – jsou to prostě nálepky. Důležité je seskupení samotných konektorů, nikoli název skupiny, do které jsou umístěny.

Více informací: Správa Microsoft Power Platform: Klasifikace konektorů

Strategie pro vytváření zásad ochrany před únikem informací

Vzhledem k tomu, že správce přebírá prostředí nebo začíná podporovat používání Power Apps a Power Automate, měly by být Zásady DLP jednou z prvních věcí, které nastavíte. Když je zavedena základní sada zásad, můžete se zaměřit na zpracování výjimek a vytváření cílených zásad DLP, které tyto výjimky implementují, jakmile budou schváleny.

Doporučujeme následující výchozí bod pro zásady DLP pro sdílená prostředí produktivity uživatelů a týmů:

  • Vytvořte zásadu zahrnující všechna prostředí kromě vybraných (například vaše produkční prostředí), omezte dostupné konektory v této zásadě na Office 365 a další standardní mikroslužby a zablokujte přístup ke všem ostatním. Tato zásada se vztahuje na výchozí prostředí a na tréninková prostředí, která máte ke spouštění interních tréninkových událostí. Tato zásada navíc platí i pro všechna nová prostředí, která jsou vytvořena.
  • Vytvořte vhodné a tolerantnější zásady DLP pro svá sdílená prostředí produktivity uživatelů a týmů. Tyto zásady by mohly tvůrcům umožnit kromě konektorů služeb Office 365 používat konektory jako služby Azure. Konektory dostupné v těchto prostředích závísí na vaší organizaci a na tom, kde vaše organizace ukládá obchodní data.

Doporučujeme následující výchozí bod pro zásady DLP pro produkční prostředí (organizační jednotka a projekt):

  • Vyloučte tato prostředí ze sdílených zásad produktivity uživatelů a týmů.
  • Spolupracujte s obchodní jednotkou a projektem, abyste zjistili, které konektory a kombinace konektorů budou používat, a vytvořte zásadu klienta, která bude zahrnovat pouze vybraná prostředí.
  • Správci těchto prostředí mohou pomocí zásad prostředí v případě nutnosti kategorizovat vlastní konektory pouze jako obchodní data.

Doporučujeme také:

  • Vytváření minimálního počtu zásad na prostředí. Mezi zásadami klienta prostředí neexistuje žádná přísná hierarchie a při návrhu a běhu se všechny zásady, které jsou použitelné pro prostředí, ve kterém se nachází aplikace nebo tok, vyhodnotí společně, aby se rozhodlo, zda je zdroj v souladu nebo v rozporu se zásadami DLP. Více zásad DLP aplikovaných na jedno prostředí bude komplikovaným způsobem fragmentovat váš prostor konektoru a může ztížit pochopení problémů, kterým vaši tvůrci čelí.
  • Centrální správa zásad DLP pomocí zásad na úrovni klienta a používání zásad prostředí pouze ke kategorizaci vlastních konektorů nebo ve výjimečných případech.

S nasazením základní strategie naplánujte, jak zpracovat výjimky. Můžete provádět následující akce:

  • Zamítněte žádost.
  • Přidejte konektor do výchozích zásad ochrany před únikem informací.
  • Přidejte prostředí do seznamu Vše kromě pro globální výchozí DLP a vytvořte zásadu DLP pro konkrétní případ použití se zahrnutou výjimkou.

Příklad: Strategie DLP společnosti Contoso

Podívejme se na to, jak společnost Contoso Corporation, naše ukázková organizace pro tyto pokyny, nastavila své zásady DLP. Nastavení jejích zásad DLP úzce souvisí s její strategií prostředí.

Správci společnosti Contoso chtějí kromě správy aktivit Center of Excellence (CoE) podporovat scénáře produktivity uživatelů a týmů a obchodní aplikace.

Strategie prostředí a DLP, kterou zde správci společnosti Contoso použili, se skládá z:

  1. Omezující zásada DLP platná pro celého klienta, která se vztahuje na všechna prostředí v klientovi, s výjimkou některých konkrétních prostředí, která vyloučili z rozsahu zásady. Správci mají v úmyslu ponechat dostupné konektory v této zásadě omezené na Office 365 a další standardní mikroslužby blokováním přístupu ke všem ostatním. Tato zásada také platí pro výchozí prostředí.

  2. Správci společnosti Contoso vytvořili další sdílené prostředí k vytváření aplikací pro případy použití produktivity uživatelů a týmů. Toto prostředí má přidruženou zásadu DLP na úrovni tenanta, která není tak náchylná k riziku jako výchozí zásada a umožňuje tvůrcům kromě těchto služeb používat kromě služeb Office 365 také služby Azure. Protože je toto prostředí jiné než výchozí prostředí, mohou správci aktivně řídit seznam tvůrců prostředí. Jedná se o stupňovitý přístup ke sdílenému uživatelskému a týmovému prostředí produktivity a souvisejícímu nastavení DLP.

  3. Kromě toho, aby obchodní jednotky mohly vytvářet podnikové aplikace, vytvořily vývojové, testovací a produkční prostředí pro své daňové a auditorské pobočky v různých zemích/oblastech. Přístup tvůrce prostředí do těchto prostředí je pečlivě spravován a pomocí konektorů DLP na úrovni klienta po konzultaci se zúčastněnými stranami obchodní jednotky jsou k dispozici vhodné konektory první a třetí strany.

  4. Podobně jsou vytvořena vývojová / testovací / produkční prostředí pro použití Central IT pro vývoj a zavádění relevantních nebo správných aplikací. Tyto scénáře podnikových aplikací obvykle mají dobře definovanou sadu konektorů, které je třeba zpřístupnit tvůrcům, testerům a uživatelům v těchto prostředích. Přístup k těmto konektorům je spravován pomocí vyhrazené zásady na úrovni klienta.

  5. Společnost Contoso má také speciální prostředí určené pro aktivity Center of Excellence. Vzhledem k experimentální povaze knihy teoretických týmů v zásadě společnosti Contoso zůstávají zásady DLP pro speciální účel prostředí velmi důležité. V tomto případě správci klienta delegovali správu DLP pro toto prostředí přímo na důvěryhodného správce prostředí týmu CoE a vyloučili ji ze školy všech zásad na úrovni klienta. Toto prostředí je spravováno pouze zásadami DLP na úrovni prostředí, což je spíše výjimka než pravidlo v Contoso.

Jak se dalo očekávat, všechna nová prostředí, která jsou vytvořena ve společnosti Contoso, jsou mapována na původní zásady všech prostředí.

Toto nastavení zásad DLP zaměřených na klienta nezabrání správcům prostředí přijít s vlastními zásadami DLP na úrovni prostředí, pokud chtějí zavést další omezení nebo klasifikovat vlastní konektory.

Jak společnost Contoso nastavila své zásady DLP.

Nastavení datových zásad

  1. Vytvořte své zásady v centru pro správu Power Platform. Další informace: Správa zásad pro data

  2. Pomoí DLP SDK přidejte vlastní konektory k zásadám DLP.

Jasně sdělte tvůrcům zásady DLP vaší organizace

Zřiďte web SharePoint nebo wiki, který jasně komunikuje:

  • Na úrovni klienta a na klíčové úrovni prostředí (například výchozí prostředí, zkušební prostředí) jsou v organizaci vynucovány zásady DLP, včetně seznamů konektorů klasifikovaných jako obchodní, neobchodní a blokované.
  • ID e-mailu vaší skupiny správců, aby tvůrci mohli navázat kontakt při výjimkách. Správci mohou například pomoci tvůrcům dostat se zpět do souladu s úpravami existujících zásad DLP, přesunutím řešení do jiného prostředí, vytvořením nového prostředí a nové zásady DLP a přesunem tvůrce a zdroje do tohoto nového prostředí.

Jasně také informujte strategii prostředí pro tvůrce vaší organizace.