호주 정부가 PSPF를 준수하기 위해 부적절한 분류를 수신하여 데이터 유출 방지
이 문서에서는 부적절한 분류가 있는 항목이 Microsoft 365 서비스에서 수신되는 것을 모니터링하고 방지하여 데이터 유출 위험을 줄이기 위한 구성에 대한 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 조직이 정보 보안 태세를 개선할 수 있도록 돕는 것입니다. 이 문서의 조언은 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항에 부합합니다.
정부 조직은 매우 중요한 정보가 낮은 민감도 환경으로 전달되지 않도록 보호해야 합니다. 여기에는 organization 허용하는 것보다 높은 분류가 적용된 정보와 Microsoft 365 클라우드 환경 내에서 사용하기에 부적절한 정보(예: SECRET 및 TOP SECRET 정보)가 포함됩니다.
부적절하게 레이블이 지정된 전자 메일의 전송 차단
ISM-0565는 이메일을 통해 데이터 유출로부터 보호하기 위한 조치를 의무화합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0565(2024년 6월) | Email 서버는 부적절한 보호 표시를 사용하여 전자 메일을 차단, 로그 및 보고하도록 구성됩니다. |
이 가이드의 컨트롤은 ISM-0565 외에도 PSPF( 보호 보안 정책 프레임워크 )와 일치합니다. Microsoft 365 내에서 보안 분류는 민감도 레이블을 사용하여 ISM(정보 보안 설명서) 및 PSPF 보안 제어에 맞춰집니다. 규정된 보안 제어 및 관리가 항목과 연결되므로 항목에는 정부에서 민감도 레이블이 있어야 합니다.
오스트레일리아 정부 조직을 위한 Microsoft Purview 배포는 일반적으로 모든 항목에 레이블 애플리케이션이 필요한 쌍을 이루는 구성입니다. 이 필수 레이블 지정 구성을 사용하면 조직에서 항목을 만들 때 레이블이 적용되므로 PSPF 정책 8 요구 사항 1을 충족할 수 있습니다. 모든 항목에 레이블을 적용하면 적절한 보호를 받고 손상 위험을 줄일 수 있습니다.
DLP(데이터 손실 방지) 정책은 다음 둘 다로 구성됩니다.
- 환경에서 허용되는 것보다 높은 분류 항목의 전송, 수신 및 추가 배포를 방지하여 데이터 유출을 방지합니다(이 문서에서는 허용되지 않는 분류라고 함). 그리고
- 민감도를 평가하지 않았거나 보안 제어를 우회하려는 시도를 나타낼 수 있는 레이블이 지정되지 않은 전자 메일의 전송을 방지합니다.
허용되지 않는 분류의 전송 차단
분류된 항목 및 플랫폼에 존재하지 않아야 하는 항목의 수신 및/또는 추가 전송을 차단하려면 먼저 이러한 정보를 식별하는 방법을 설정해야 합니다. 이러한 메서드는 다음과 같습니다.
- 들어오는 항목에 적용되는 분류를 결정하기 위해 주체 표시 및 이메일 x 보호 표시 x 헤더의 평가입니다.
- 중요한 정보 식별에서 설명한 대로 SID(중요한 정보 유형)를 사용하여 플랫폼에 존재하지 않아야 하는 정보를 식별합니다. 이러한 SID에는 'SEC=SECRET' 및 'SEC=TOP-SECRET'과 같은 키워드(keyword) 식별자와 매우 중요한 항목에 있는 기타 Government 키워드가 포함됩니다.
- 게시 되지 않은 민감도 레이블을 플랫폼에 존재하지 않아야 하는 항목을 식별하는 방법으로 자동 레이블 지정과 함께 사용합니다. 자세한 내용은 PROTECTED 수준을 초과하는 정보에 대한 레이블을 참조하세요.
허용되지 않는 분류의 유출을 차단하기 위해 DLP 정책 집합이 사용됩니다. 사용 가능한 정책 조건은 organization 사용하는 서비스에 따라 달라지므로 사용 가능한 모든 통신 채널을 포함하려면 몇 가지 정책이 필요합니다. Exchange 서비스를 다루는 정책은 대부분의 조직에 권장되는 시작점입니다.
DLP 정책에는 다음과 같은 조건을 사용하는 하나 이상의 규칙이 포함되어 있습니다.
- 콘텐츠 포함, 중요한 정보 유형, 비밀 키워드 SIT, OR
- 콘텐츠 포함, 민감도 레이블, SECRET, OR
-
헤더는 패턴,
X-Protective-Marking : SEC=SECRET, OR와 일치합니다. -
제목은 패턴과 일치합니다.
\[SEC=SECRET
규칙에는 액세스 제한 또는 Microsoft 365 위치 옵션의 콘텐츠 암호화에서 사용할 수 있는 모든 사용자를 차단하는 작업이 있어야 합니다.
ISM-0133은 보고 작업과 관련된 DLP입니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0133(2024년 6월) | 데이터 유출이 발생하면 데이터 소유자에게 권장되며 데이터에 대한 액세스가 제한됩니다. |
경고 작업은 추가 데이터 유출을 방지하고 정리 작업을 신속하게 수행하는 데 중요합니다. 단일 DLP 규칙에서 여러 작업을 구성할 수 있습니다. 조직 보안 팀이 적절한 경고 작업을 결정합니다. DLP 인터페이스를 통해 사용할 수 있는 옵션은 power Automate 및 SIEM(보안 정보 및 이벤트 관리) 솔루션(예: Sentinel)을 통해 확장됩니다.
다음은 Exchange에서 SECRET 항목의 배포를 식별하고 중지하는 완료된 DLP 규칙의 예입니다.
정책 이름: EXO - 허용되지 않는 분류 차단
| 규칙 이름 | 조건 | 작업 |
|---|---|---|
| 비밀 항목 차단 | 콘텐츠에는 중요한 정보 유형이 포함됩니다. 비밀 키워드 비밀 분류와 일치할 가능성이 있는 용어를 포함하는 사용자 지정 SIT입니다. 또는 헤더는 패턴과 일치합니다. X-Protective-Marking : SEC=SECRET 또는 제목은 패턴과 일치합니다. \[SEC=SECRET 또는 콘텐츠에 민감도 레이블이 포함되어 있습니다. 비밀 |
Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다. - 사용자가 전자 메일을 받지 못하도록 차단 - 모든 사용자 차단 적절한 인시던트 심각도 및 경고를 구성합니다. |
이전 규칙에 적용된 논리를 사용하여 더 많은 DLP 정책을 만들어 다음을 비롯한 다른 서비스에서 허용되지 않는 분류의 배포를 차단할 수 있습니다.
- SharePoint
- OneDrive
- Teams 채팅 및 채널 메시지(민감도 레이블 조건 제외)
- EndPoint DLP를 통한 디바이스(허용되지 않는 네트워크, USB, 위치 등 포함)
- Defender for Cloud Apps 통해 클라우드 서비스에 업로드
- 온-프레미스 파일 리포지토리
레이블이 지정되지 않은 전자 메일의 전송 차단
레이블이 지정되지 않은 전자 메일의 전송을 차단하기 위해 사용자 지정 정책 템플릿에 따라 DLP 정책을 구성하고 Exchange 서비스에 적용할 수 있습니다.
레이블이 지정되지 않은 전자 메일 정책의 전송을 차단하려면 다음 두 가지 규칙이 필요합니다.
- Microsoft 365에서 공유되는 콘텐츠를 통해 나가는 항목에 대한 첫 번째 규칙이며, 내 organization 조건 이외의 사용자와 함께 적용됩니다.
- Microsoft 365에서 공유되는 콘텐츠에 적용되는 두 번째 규칙은 organization 내 내부 사용자와만 적용됩니다.
규칙에는 NOT 피연산자를 사용하도록 설정된 조건 그룹을 통해 적용되는 예외가 필요합니다. 조건 그룹에는 콘텐츠 포함 조건, 민감도 레이블이 포함되며 환경에서 사용할 수 있는 모든 레이블이 선택되어 있습니다.
전자 메일을 생성하는 서비스는 Microsoft 365 앱 클라이언트에 적용되는 필수 레이블 지정 구성을 벗어났습니다. 따라서 이 DLP 정책은 비사용자 생성 전자 메일이 전송될 때마다 트리거됩니다. Microsoft 서비스에서 생성된 보안 경고, 스캐너 및 MFD(다기능 디바이스)의 이메일 및 인적 자원 또는 급여 시스템과 같은 애플리케이션의 전자 메일에 대해 트리거됩니다. 정책이 필수 비즈니스 프로세스를 차단하지 않도록 하려면 예외를 NOT 그룹에 포함해야 합니다. 예시:
- 또는보낸 사람 도메인은보안 및 SharePoint 경고를 캡처하는 microsoft.com.
- OR발신자는 그룹의 구성원이며 이 요구 사항을 무시할 권한이 있는 계정이 포함된 그룹입니다.
- 또는보낸 사람 IP 주소는 사무실 MFD의 주소와 함께 입니다.
규칙은 보낸 사람이 구성된 예외 중 하나를 통해 제외되지 않는 한 나열된 민감도 레이블 중 하나를 포함하지 않는 전자 메일이 전송될 때마다 트리거됩니다.
이러한 DLP 규칙에는 적절한 심각도 및 보고 작업과 함께 모든 사람을 차단하는 작업이 있어야 합니다.
다음 경고 요구 사항은 나가는 항목에 적용되는 DLP 규칙과 관련이 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-1023(2024년 6월) | 차단된 인바운드 전자 메일의 의도된 수신자와 차단된 아웃바운드 전자 메일의 보낸 사람에게 알림이 전송됩니다. |
이 요구 사항을 충족하기 위해 나가는 항목에 적용되는 DLP 규칙은 항목을 보내려고 시도한 사용자에게 알리도록 구성됩니다.
팁
민감도 레이블 지정으로 전환하는 정부 조직은 차단 또는 경고 작업 대신 정책 팁을 구성하도록 선택할 수 있습니다. 이러한 정책은 하드 요구 사항으로 구성하지 않고 레이블 선택을 제안하는 데 사용할 수 있습니다. 이는 ISM의 요구 사항을 엄격하게 충족하지는 않지만 사용자를 위한 Microsoft Purview 기능을 보다 정상적으로 배포할 수 있습니다.
레이블이 지정되지 않은 전자 메일을 차단하는 DLP 정책 예제
다음 DLP 정책은 Exchange 서비스에 적용되며 레이블이 지정되지 않은 전자 메일을 통해 정보 손실을 방지합니다.
정책 이름: EXO - 레이블이 지정되지 않은 전자 메일 차단
| 규칙 | 조건 | 작업 |
|---|---|---|
| 레이블이 지정되지 않은 발신 메일 차단 | 콘텐츠는 Microsoft 365에서 공유되며, 내 organization 외부 사용자와 공유됩니다. AND 조건 그룹 NOT 콘텐츠에는 민감도 레이블이 포함되어 있습니다. - 모든 레이블 선택 OR 보낸 사람 도메인은 다음과 같습니다. - microsoft.com - 다른 예외 포함 |
Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다. - 사용자가 전자 메일을 받지 못하도록 차단 - 모든 사용자 차단 |