Etichettatura di riservatezza per Power BI e asset di dati per la conformità del governo australiano con PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sull'estensione delle funzionalità di etichettatura di riservatezza di Microsoft Purview alle origini dati. Lo scopo è dimostrare in che modo queste funzionalità possono rafforzare un approccio delle organizzazioni alla sicurezza dei dati etichettando le informazioni nei sistemi di origine. I consigli in questo articolo hanno lo scopo di rafforzare gli approcci alla classificazione e alla protezione delle informazioni descritte in Protective Security Policy Framework (PSPF).
Esistono due funzionalità di Microsoft Purview che estendono l'etichettatura di riservatezza in e le protezioni associate nello spazio dati e di analisi:
Le funzionalità Asset di dati schematizzati o Mappa dati consentono di identificare le informazioni sensibili mentre si trovano nei sistemi di database e di applicare etichette ai dati sul posto.
L'integrazione di Power BI consente l'etichettatura degli asset di Power BI, inclusi dashboard, report, set di dati, flussi di dati, report impaginati e file di Power BI (con estensione pbix). Le etichette possono essere mantenute in tutti i file Excel o PDF esportati e la crittografia di Azure Rights Management basata su etichette può essere applicata agli elementi esportati.
Lo scopo di queste funzionalità è supportare meglio la protezione delle informazioni durante tutto il ciclo di vita. Ad esempio:
Nota
Queste funzionalità sono attualmente in anteprima e devono essere abilitate acconsentendo esplicitamente all'anteprima tramite il prompt disponibile nel menu Etichette Information Protection>.
Asset di dati schematizzati
L'etichettatura di asset di dati schematizzati consente l'applicazione automatica delle etichette ai dati, ad esempio quelli che si trovano nelle colonne del database. Lo scopo di questo servizio è consentire l'identificazione di informazioni sensibili nei sistemi di origine e usarle per proteggere le informazioni per tutto il ciclo di vita e l'uso all'interno di qualsiasi sistema connesso. L'etichettatura delle informazioni all'origine può anche semplificare la gestione delle informazioni nei sistemi downstream, riducendo la necessità di usare strumenti come Exact Data Match per identificare il contenuto dopo l'esportazione.
Le opzioni degli asset di dati schematizzati possono essere abilitate per un'etichetta tramite le opzioni di ambito all'interno della configurazione di un'etichetta.
Dopo l'abilitazione dell'opzione di ambito degli asset di dati schematizzati, vengono selezionati tipi di informazioni riservate (come illustrato nell'identificazione delle informazioni riservate) allineati all'etichetta configurata. Questo processo è simile alla raccomandazione di etichette basate sul rilevamento del contenuto sensibile.
Dopo la configurazione dell'etichetta, è necessario registrare gli asset di dati. Le etichette di riservatezza sono supportate per le origini dati seguenti:
- SQL Server
- Azure SQL database
- Istanza gestita di SQL di Azure
- Aree di lavoro di Azure Synapse Analytics
- Azure Cosmos DB per NoSQL
- Azure Database per MySQL
- Database di Azure per PostgreSQL
- Esplora dati di Azure
Il servizio richiede tempo per analizzare l'origine dati per individuare informazioni sensibili definite. Il catalogo Microsoft Purview, disponibile dall'interno del portale di Azure può essere usato per visualizzare le informazioni sensibili etichettate.
Per altre informazioni sugli asset di dati schematizzati e sull'etichettatura tramite Microsoft Purview Data Map, vedere etichettatura nel Microsoft Purview Data Map.
Integrazione di Power BI
La possibilità che un'etichetta di riservatezza sia disponibile per il contenuto dell'applicazione in Power BI è associata all'ambito dell'etichetta "file".
Per usare l'integrazione delle etichette di Power BI, le opzioni di Information Protection dovranno essere abilitate da con il portale di amministrazione di Power BI nelle impostazioni dell'organizzazione.
Le opzioni seguenti sono disponibili nelle impostazioni di amministrazione di Power BI Information Protection:
| Impostazione | Finalità |
|---|---|
| Consentire agli utenti di applicare etichette di riservatezza per il contenuto | Abilita l'integrazione di Power BI mpip e deve essere abilitato per consentire l'etichettatura degli elementi di Power BI. |
| Applicare etichette di riservatezza dalle origini dati ai dati in Power BI | Questa opzione consente di ereditare le etichette da quelle applicate alle informazioni di origine, ad esempio Azure Synapse Analytics e database Azure SQL. Questa funzionalità si basa sulle funzionalità degli asset di dati schematizzati, illustrate nella sezione precedente. |
| Applicare automaticamente le etichette di riservatezza al contenuto downstream | Questa opzione consente di ereditare le etichette sugli elementi generati dagli asset di dati di Power BI. Ad esempio, un'etichetta applicata a un set di dati passa attraverso report e dashboard che usano il contenuto. Le etichette ereditate non sovrascrivono le etichette applicate manualmente e vengono visualizzate come gratuite con ISM-0271, garantendo un livello minimo di protezione per gli elementi downstream. |
| Consenti agli amministratori dell'area di lavoro di ignorare le etichette di riservatezza applicate automaticamente | Questa opzione consente agli amministratori dell'area di lavoro di sostituire le etichette, che vengono automaticamente etichettate tramite l'impostazione precedente. Questa opzione è disponibile oltre alla possibilità dell'amministratore di modificare le etichette per ignorare i controlli basati su Azure Rights Management che potrebbero bloccare gli amministratori o gli utenti dagli elementi. |
| Limitare la condivisione del contenuto con etichette protette tramite collegamento con tutti gli utenti dell'organizzazione | Questa opzione consente di personalizzare le impostazioni di condivisione per limitare i collegamenti di condivisione degli utenti di creazione nell'organizzazione , riducendo la potenziale esposizione ai dati. |
Dopo aver configurato le opzioni di Power BI Information Protection e aver avuto tempo per eseguire la replica delle etichette nel servizio Power BI, le etichette sono disponibili per l'applicazione nelle risorse di Power BI. Ad esempio:
Come illustrato durante i criteri delle etichette di riservatezza, i criteri di etichetta possono essere configurati per applicare l'etichettatura obbligatoria per tutto il contenuto di Power BI.
L'abilitazione di questa opzione oltre all'impostazione del contenuto downstream di Power BI consente di garantire che le informazioni sensibili generate o visualizzate tramite Power BI siano protette in linea con i criteri DLP delle organizzazioni, inclusi quelli consigliati per impedire la distribuzione inappropriata delle informazioni classificate per la sicurezza.
Queste impostazioni estendono la capacità di un'organizzazione di soddisfare il requisito principale 1 di Criteri PSPF 8. Ciò è dovuto al fatto che consentono di estendere le classificazioni, i contrassegni e i controlli associati alle posizioni di Power BI.
| Requisito | Dettagli |
|---|---|
| Criteri PSPF 8, Requisito 1 (requisito principale) - Identificazione delle aziende informative (v2018.6) | L'originatore deve determinare se le informazioni generate sono informazioni ufficiali (destinate all'uso come record ufficiale) e se tali informazioni sono riservate o classificate per la sicurezza. |
Le impostazioni del contenuto downstream di Power BI applicano automaticamente un'etichetta in base alla riservatezza delle informazioni di origine. Questo non viene in genere usato nelle impostazioni per enti pubblici perché non segue il requisito 2 di PSPF Policy 8 Core. Il motivo è che l'etichetta viene applicata al contenuto senza che un utente debba valutare la riservatezza delle informazioni.
| Requisito | Dettagli |
|---|---|
| Criterio PSPF 8 Requisito 2 (requisito di base) - Valutare la riservatezza e la classificazione di sicurezza delle aziende informative (v2018.6) | Per decidere quale classificazione di sicurezza applicare, l'originatore deve: i. Valutare il valore, l'importanza o la sensibilità delle informazioni ufficiali considerando il potenziale danno per il governo, l'interesse nazionale, le organizzazioni o i singoli individui, che si verificherebbe se la riservatezza delle informazioni fosse compromessa (vedere la tabella seguente) e ii. Impostare la classificazione di sicurezza al livello ragionevole più basso. |
Potrebbero esserci circostanze eccezionali che richiedono questa funzione (ad esempio un Machinery of Government (MoG) in cui i dati in blocco vengono spostati da una taskforce a un reparto, quindi è incluso qui a questo scopo.
Per altre informazioni sull'abilitazione dell'integrazione di Power BI, prerequisiti, vedere Abilitare le etichette di riservatezza in Power BI.