다음을 통해 공유

호주 정부가 PSPF를 준수하기 위해 보안 기밀 정보의 부적절한 배포 방지

  • 아티클

이 문서에서는 Microsoft 365 서비스를 통해 보안 기밀 정보를 부적절하게 공개할 위험을 줄이기 위한 구성에 대한 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 조직이 정보 보안 태세를 개선할 수 있도록 돕는 것입니다. 이 문서의 조언은 PSPF(보호 보안 정책 프레임워크)ISM(정보 보안 매뉴얼)에 설명된 요구 사항에 부합합니다.

PSPF(보호 보안 정책 프레임워크)는 x-보호 표시 x 헤더 이상을 다루며 다양한 다른 요구 사항 및 컨트롤을 다룹니다. 이 문서에서는 PSPF 정책 9: 정보에 대한 액세스에 필요한 보안 분류 또는 기타 중요한 정보의 공개를 제한하는 것과 관련된 요구 사항에 중점을 둡니다.

이 문서에서는 다음과 관련된 조언을 제공하고 구성에 대해 설명합니다.

  • Exchange Online 전자 메일 시나리오
  • Microsoft Teams 채팅 및 채널 메시징,
  • SharePoint 및 OneDrive를 통한 공유 시나리오
  • 클라우드 스토리지 서비스에 업로드 및
  • 관리되는 디바이스에서 다운로드하거나 인쇄합니다.

기밀 정보의 전자 메일 배포 방지

이 섹션의 DLP(데이터 손실 방지) 정책은 받는 사람 도메인과 같은 필수 정책 조건을 사용하도록 설정하기 위해서만 Exchange 서비스를 대상으로 하며, 다른 서비스를 선택한 경우에는 사용할 수 없습니다.

PSPF 요구 사항을 충족하려면 DLP 정책도 사용자 지정 정책 템플릿을 사용해야 합니다. DLP 정책과 함께 레이블 상속에서 다루는 전자 메일 첨부 파일에 대한 레이블 상속을 사용하도록 설정해야 합니다. 레이블 상속을 통해 전자 메일의 민감도가 첨부 파일보다 낮은 경우 사용자가 첨부 파일에 맞게 전자 메일의 레이블을 상승하도록 요청하는 권장 사항이 트리거됩니다. 권장 사항 및 사용자 기관의 승인은 높은 민감도 첨부 파일의 분류에 적용되는 모든 정책의 scope 전자 메일을 제공합니다.

참고

DLP 정책에서 전자 메일 및 첨부 파일의 민감도를 모두 고려할 수 있는 미리 보기 기능이 있습니다. 이러한 기능을 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털: 데이터 손실 방지 - 메시지/첨부 파일에 EXO 조건자가 포함되어 있습니다.를 참조하세요.

권한이 없는 조직에 기밀 정보가 전자 메일로 배포되지 않도록 방지

PSPF 정책 9 요구 사항 1은 보안 기밀 정보를 승인된 조직에만 공개해야 한다고 명시합니다.

요구 사항 자세한 정보
PSPF 정책 9 요구 사항 1 - 정보 및 리소스를 공유하기 위한 공식화된 계약(v2018.6) 보안 기밀 정보 또는 리소스를 정부 외부의 개인 또는 organization 공개하는 경우, 기관은 정보가 활용되고 보호되는 방식을 제어하는 계약 또는 행위와 같은 합의 또는 계약을 체결해야 합니다.

참고

PSPF 정책 8(v2018.6)에 따라 공식: 민감도가 DLM(보급 제한 표식)에서 보안 분류로 변경되었습니다. 이는 공식: 중요한 정보의 공유에 대한 organization 접근 방식에 영향을 주어야 합니다.

PSPF 요구 사항을 충족하려면 정부 조직에 다음이 있어야 합니다.

  • 비즈니스 프로세스는 보안 기밀 정보를 공유하는 엔터티와의 공식 계약을 식별, 설정 및 검토합니다.
  • 사용자가 보안 기밀 정보를 외부 조직으로 보낼 수 있도록 하거나 방지하기 위한 구성 수정을 위한 기술 변경 프로세스입니다.

조직에는 각 보안 분류 또는 하위 집합(예: IMM(정보 관리 표식) 또는 주의 사항)에 대해 서로 다른 정보 보안 요구 사항이 있습니다. 각 분류 또는 하위 집합에 대한 요구 사항을 해결하기 위해 별도의 정책 또는 규칙을 만들어야 합니다.

승인되지 않은 조직에 보안 기밀 정보가 전자 메일 기반 배포되지 않도록 DLP 규칙을 만들려면 다음을 수행합니다.

  1. 콘텐츠 조건 만들기는 Microsoft 365에서 내organization 외부 사용자와 공유됩니다.
  2. 콘텐츠 포함, 민감도 레이블 및 선택한 적절한 레이블(예: PROTECTED 레이블 및 연결된 하위 레이블)의 두 번째 조건을 만듭니다.
  3. AND 피연산자를 통해 연결된 두 번째 조건 그룹을 만듭니다.
    1. 두 번째 그룹은 NOT으로 설정됩니다.
    2. 두 번째 그룹에는 선택한 보안 분류를 수신하기 위해 승인된 도메인 목록과 함께 받는 사람 도메인의 조건이 포함됩니다.
  4. 구성된 받는 사람 도메인 중 하나가 아닌 받는 사람에게 전자 메일을 차단하거나 리디렉션하는 작업을 만듭니다.

보호된 전자 메일에 대한 정책 조건의 예입니다.

예제 DLP 규칙: 승인되지 않은 조직에 대한 보호된 전자 메일 차단

다음 규칙은 정보 수신 승인으로 나열되지 않은 조직에 PROTECTED 전자 메일을 보내는 것을 제한합니다. 사용자가 PROTECTED 레이블이 적용된 전자 메일의 초안을 작성하는 동안 사용자가 승인되지 않은 organization 받는 사람을 추가하는 경우 DLP 정책 팁이 사용자에게 경고하는 것처럼 보입니다. 사용자가 정책 팁을 무시하고 보내려고 하면 이메일이 차단됩니다.

조건 작업
콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 외부 사용자와 함께
AND
콘텐츠에는 민감도 레이블이 포함됩니다.
- 모든 PROTECTED 레이블
및 그룹화 안 했습니다.
받는 사람 도메인은 다음과 같습니다.
- PROTECTED 전자 메일 수신이 승인된 도메인 목록		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

정책 팁 구성:
"이 전자 메일의 수신자는 PROTECTED 정보를 수신할 권한이 없는 organization 수신자입니다. 이 전자 메일은 권한이 없는 받는 사람이 에서 필드로 제거되지 않는 한 차단됩니다. 잘못된 경우 고객 지원팀에 문의하여 요구 사항을 논의하세요."

적절한 인시던트 심각도 및 알림 옵션을 구성합니다.

오스트레일리아 정부 조직은 PROTECTED 및 OFFICIAL: 중요한 전자 메일 모두에 대해 승인되지 않은 조직으로 전자 메일을 제한하는 DLP 규칙을 구성하는 것을 고려해야 합니다.

승인된 게스트에게 기밀 정보의 이메일 배포 허용

알아야 할 요구 사항에 따라 정부 조직은 도메인 기반 접근 방식을 게스트 액세스와 통합하고 적용된 레이블 및 게스트 그룹 또는 도메인에 따라 여러 수준의 게스트 액세스를 통합해야 합니다.

권한 있는 게스트 권한은 다음 중 하나를 통해 수행됩니다.

  • 허가 상태 확인한 승인된 외부 조직의 게스트를 포함하는 수동으로 유지 관리된 그룹(예: 보호된 게스트) 만들기

  • 지정된 도메인의 게스트 계정을 포함하도록 구성된 동적 그룹 만들기 이는 사용자의 UPN(사용자 계정 이름)을 평가하는 동적 쿼리를 사용하여 수행할 수 있습니다. 예시:

    (user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")

동적 그룹 멤버 자격에 대한 자세한 내용은 Microsoft Entra ID 그룹에 대한 동적 멤버 자격 규칙을 참조하세요.

보호된 정보를 도메인 및 게스트 계정의 하위 집합으로 수신하는 기능을 제한하는 이점은 다음 이메일 기반 시나리오에서 보여 줍니다.

게스트 시나리오 도메인 기반 컨트롤만 도메인 및 게스트 기반 컨트롤
승인되지 않은 도메인의 게스트 위험 완화
보안 기밀 정보를 받을 수 없음1		 위험 완화
보안 기밀 정보를 받을 수 없음1
보안 기밀 정보에 대해 승인된 도메인의 게스트 위험 존재
모든 도메인 사용자는 알아야 할 사항에 관계없이 보안 기밀 정보를 받을 수 있습니다.		 위험 완화
보안 기밀 정보를 받을 수 없음2
승인되지 않은 도메인의 게스트 위험 완화
보안 기밀 정보를 받을 수 없음1		 위험 완화
보안 기밀 정보를 받을 수 없음2
승인된 도메인의 게스트 위험 존재
모든 도메인 사용자는 알아야 할 필요성에 관계없이 보안 기밀 정보를 받을 수 있습니다.		 위험 완화
보안 기밀 정보를 받을 수 없음2
승인된 도메인의 게스트 및 보호된 게스트 그룹의 일부 위험 존재
모든 도메인 사용자는 알아야 할 필요성에 관계없이 보안 기밀 정보를 받을 수 있습니다.		 위험 완화
보호된 게스트로 추가된 도메인 사용자만 보안 기밀 정보를 받을 수 있습니다.

참고

1무단 조직에 기밀 정보가 전자 메일로 배포되지 않도록 하기 위해 설명된 구성을 제공했습니다.

2 기밀 정보 수신은 도메인 기반 제어 외에도 승인된 게스트로 제한되었습니다.

이러한 구성을 사용하는 조직에는 게스트 그룹 멤버 자격 유지 관리를 지원하기 위한 비즈니스 프로세스가 필요합니다. 또한 organization 기밀 전자 메일의 배포를 제한하는 DLP 규칙에 예외로 보호된 게스트 그룹을 추가해야 합니다.

승인된 게스트에게 보안 기밀 정보의 이메일 기반 배포를 허용하는 DLP 규칙은 다음과 같습니다.

  1. 콘텐츠 조건 만들기는 Microsoft 365에서 내organization 외부 사용자와 공유됩니다.
  2. 콘텐츠 포함, 민감도 레이블 및 선택한 적절한 레이블(예: PROTECTED 레이블 및 연결된 하위 레이블)의 두 번째 조건을 만듭니다.
  3. AND 피연산자를 통해 연결되는 두 번째 조건 그룹을 만듭니다.
    1. 두 번째 그룹은 NOT으로 설정됩니다.
    2. 여기에는 보호된 게스트의 구성원인 받는 사람의 조건이 포함됩니다.
  4. 선택한 그룹에 속하지 않은 받는 사람에게 전자 메일을 차단하거나 리디렉션하는 작업을 만듭니다.

예제 DLP 규칙: 승인되지 않은 게스트에 대한 PROTECTED 메일 차단

다음 규칙은 이전에 제공된 예제를 기반으로 하여 승인된 도메인 보호된 게스트 그룹에 포함된 사용자에게 PROTECTED 전자 메일을 보낼 수 있도록 합니다.

조건 작업
콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 외부 사용자와 함께
AND
콘텐츠에는 민감도 레이블이 포함됩니다.
- 모든 PROTECTED 레이블
및 그룹화 안 했습니다.
받는 사람 도메인은 다음과 같습니다.
- PROTECTED 전자 메일 수신이 승인된 도메인 목록
및 그룹화 안 했습니다.
받는 사람은 다음의 구성원입니다.
- 보호된 게스트		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

적절한 정책 팁을 구성합니다.
"이 전자 메일의 수신자는 PROTECTED 정보를 수신할 수 있는 권한이 없습니다. 이 전자 메일은 권한이 없는 받는 사람이 에서 필드로 제거되지 않는 한 차단됩니다. 잘못된 경우 고객 지원팀에 문의하여 요구 사항을 논의하세요."

적절한 인시던트 심각도 및 알림 옵션을 구성합니다.

권한이 없는 사용자에게 기밀 정보의 전자 메일 배포 방지

PSPF 정책 9 요구 사항 3은 보안 기밀 정보에 액세스하는 데 필요한 허가 수준과 관련이 있습니다.

요구 사항 자세한 정보
PSPF 정책 9 요구 사항 3: 지속적인 액세스 보안 기밀 정보 및 리소스 엔터티는 보안 기밀 정보 또는 리소스에 지속적으로 액세스해야 하는 사용자가 적절한 수준으로 보안이 지워지도록 해야 합니다.

보안이 혼합된 사용자 유형이 혼합된 환경이 있는 정부 조직에서는 특정 사용자가 organization 보존하는 정보 유형에 액세스하기 위해 필요한 허가가 없거나 알 필요가 없습니다. 이러한 조직에는 보안 기밀 정보에 액세스할 수 없어야 하는 사용자와 이메일을 통해 수신하지 못하도록 제어가 필요합니다. 이러한 구성은 DLP를 통해 수행됩니다.

전자 메일을 불분명한 사용자로 제한하는 DLP 규칙에는 기밀 정보를 받을 수 있는 내부 사용자를 결정하는 방법이 필요합니다. 이전 예제와 마찬가지로 이 그룹에는 그룹이 사용됩니다(예: 보호된 사용자 그룹). 이 그룹은 각 개인 보안 허가와 일치하는 특성에 따라 유지 관리되는 멤버 자격으로 동적입니다. 이는 HR 또는 ID 시스템에서 조달할 수 있습니다. 또는 수신자 AD 특성 일치 패턴 의 조건을 DLP 정책에서 직접 구성할 수 있습니다.

새 정책에 포함되거나 이전 섹션에서 설명한 정책에 추가된 DLP 규칙입니다. 규칙에는 다음이 있습니다.

  • 콘텐츠 조건은 Microsoft 365에서 내organization 내 내부 사용자와 공유됩니다.
  • 콘텐츠 조건에는 관련 레이블(예: 모든 PROTECTED 레이블)이 선택된 이러한 민감도 레이블이 포함됩니다.
  • AND 피연산자를 통해 연결되는 두 번째 조건 그룹입니다. 두 번째 그룹은 NOT으로 설정됩니다. 여기에는 보호된 사용자의구성원인 받는 사람의 조건이 포함됩니다.
  • 선택한 그룹에 속하지 않은 받는 사람에게 전자 메일을 차단하거나 리디렉션하는 작업이 필요한 정책입니다.

예제 DLP 규칙: 비핵심 내부 사용자에게 보호된 전자 메일 차단

이 규칙은 보호된 사용자 그룹에 속하지 않은 사용자가 PROTECTED 레이블이 적용된 전자 메일을 받지 못하도록 차단합니다.

조건 작업
Microsoft 365에서 콘텐츠 공유
내 organization 안에 있는 사용자만
AND
콘텐츠에는 민감도 레이블이 포함되어 있습니다.
- 모든 PROTECTED 레이블
및 그룹화 안 했습니다.
받는 사람은 다음의 구성원입니다.
- 보호된 사용자		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

적절한 정책 팁을 구성합니다. 예를 들면 다음과 같습니다.
"지정한 사용자가 PROTECTED 항목에 액세스하도록 승인되지 않았습니다."

적절한 인시던트 심각도 및 알림 옵션을 구성합니다.

그 결과 전자 메일 기반 자동 레이블 지정 구성의 예에 따라 자동 레이블 지정이 구성되고, 외부 조직에서 받은 표시된 전자 메일은 수신 시 레이블이 지정되고 불분명한 사용자에게 차단됩니다. 자동 레이블 지정을 사용하려면 E5 또는 동등한 라이선스가 필요합니다. 그러나 자동 레이블 지정 기능을 사용하지 않도록 선택하는 조직은 민감도 레이블이 아닌 표시를 평가하여 PSPF 정책 9 요구 사항 3을 여전히 충족할 수 있습니다.

참고

조직에서는 자동 레이블 지정을 사용하여 재 분류 고려 사항에서 설명한 대로 항목이 비속어적으로 레이블이 지정되거나 레이블이 악의적으로 낮아진 상황에서 반출을 방지할 수 있으므로 표시를 평가하는 규칙을 구현하는 것이 좋습니다.

다음 규칙은 x-protection-mark x-headers 또는 주체 표시에 적용되는 PROTECTED 표시를 확인하고 받는 사람이 보호된 사용자 그룹에 속하지 않는 경우 전자 메일을 차단합니다.

조건 작업
콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 안에 있는 사용자만
및 그룹화 안 했습니다.
받는 사람은 다음의 구성원입니다.
- 보호된 사용자
AND GROUP
헤더는 패턴과 일치합니다.
X-Protective-Marking : SEC=PROTECTED
OR
제목은 패턴과 일치합니다.
\[SEC=PROTECTED		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

적절한 정책 팁을 구성합니다. 예를 들면 다음과 같습니다.
"지정한 사용자가 PROTECTED 항목에 액세스하도록 승인되지 않았습니다."

적절한 인시던트 심각도 및 알림 옵션을 구성합니다.

권한이 없는 사용자의 기밀 정보 전자 메일 방지

권한이 없는 사용자가 이미 테넌트 내에서 기밀 정보를 받지 못하도록 하는 것이 중요합니다. 그러나 사용자가 로컬 스토리지, USB 또는 기타 nonemail 기반 메서드를 통해 PROTECTED 파일에 액세스할 수 있는 상황을 고려합니다. 그런 다음, 사용자는 항목을 전자 메일에 첨부하고 보냅니다. 사용자에게 보안 기밀 정보를 보낼 권한이 있는지 확인하면 데이터 위반의 위험이 줄어듭니다.

DLP 규칙은 사용자가 기밀 정보에 액세스할 수 있는 권한이 있는 경우 이를 보내기 전에 검사 합니다.

  1. 콘텐츠의 조건을 만들면 관련 레이블(예: 모든 PROTECTED 레이블)이 선택된 이러한 민감도 레이블이 포함됩니다.
  2. AND 피연산자를 통해 연결되는 두 번째 조건 그룹을 만듭니다.
    1. 두 번째 그룹은 NOT으로 설정됩니다.
    2. 여기에는 보호된 사용자의구성원인 보낸 사람의 조건이 포함됩니다.
  3. 정책에는 선택한 그룹에 속하지 않은 받는 사람에게 전자 메일을 차단하거나 리디렉션하는 작업이 필요합니다.

권한이 없는 사용자의 보안 분류 전자 메일 배포를 제한하는 DLP 규칙 예제

다음 DLP 규칙은 PROTECTED 정보에 대한 액세스 권한이 있는 사용자만 보낼 수 있도록 합니다. 이러한 규칙은 보안 이벤트(예: 우발적이거나 악의적인 초과 공유, 부적절한 권한 또는 보안 구성)에서 기밀 항목에 대한 액세스 권한을 얻는 불분명한 사용자가 보안 기밀 정보를 추가로 배포하여 데이터 위반을 악화시킬 수 없도록 합니다.

규칙 조건 작업
PROTECTED 전자 메일의 내부 전송 제한 콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 안에 있는 사용자만
AND
콘텐츠에는 민감도 레이블이 포함되어 있습니다.
- 모든 PROTECTED 레이블
및 그룹화 안 했습니다.
발신자는 다음의 구성원입니다.
- 보호된 사용자		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

원하는 경우 정책 팁을 구성합니다.
적절한 인시던트 심각도 및 경고 구성
PROTECTED 전자 메일의 외부 전송 제한 콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 외부의 사람들만
AND
콘텐츠에는 민감도 레이블이 포함되어 있습니다.
- 모든 PROTECTED 레이블
및 그룹화 안 했습니다.
발신자는 다음의 구성원입니다.
보호된 사용자		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- 모든 사용자 차단

원하는 경우 정책 팁을 구성합니다.
적절한 인시던트 심각도 및 경고 구성

Teams 채팅을 통해 보안 분류 항목 배포 방지

Microsoft Purview DLP를 사용하여 Microsoft Teams를 보호하는 방법에 대한 자세한 내용은 손실 방지 및 Microsoft Teams를 참조하세요.

Teams의 파일 공유 활동은 링크 공유를 통해 작동하므로 레이블이 지정된 항목은 보안 기밀 정보 공유 방지에 설명된 DLP 정책 설정을 통해 보호할 수 있습니다.

Teams 채팅에는 민감도 레이블이 적용될 수 없습니다. 따라서 분류 기반 DLP 정책은 직접 적용되지 않습니다. 그러나 중요한 정보 및 보안 표시를 검색 하는 정책은 DLP를 통해 외부 채팅을 제한하는 데 설명되어 있습니다.

보안 기밀 정보의 공유 방지

참고

보안 클라우드용 ASD의 청사진 에는 SharePoint 공유 구성에 대한 지침이 포함되어 있습니다. ASD 조언은 모든 공유 링크를 organization 사용자로만 제한하는 것이 좋습니다. 모든 공유를 내부 전용으로 설정하는 것은 PROTECTED 수준에서 작동하는 조직에 좋은 기본 상태입니다.

일부 조직에서는 다른 조직과의 보안 협업과 같은 고급 사용 사례를 충족하도록 공유 구성을 조정해야 합니다. 높은 외부 공동 작업 제어보안 클라우드용 ASD 청사진의 기타 관련 섹션에 포함된 것과 같은 조언을 제공했으며, 이를 낮은 수준의 위험으로 수행할 수 있으며 파일 첨부 파일을 전자 메일로 전송하는 기존 방법보다 정보 보안을 더 잘 충족하는 구성을 쉽게 만들 수 있습니다.

각 organization SharePoint 공유 구성으로 구성된 기본 공유 구성이 있습니다. 이렇게 하면 공유 링크 수신이 승인된 도메인 목록을 구성할 수 있습니다. 이러한 구성은 정보 및 리소스를 공유하기 위한 PSPF 정책 9 요구 사항 1 - 공식화된 계약과 일치합니다.

레이블 그룹 및 사이트 설정은 레이블 공유 구성에서 설명한 대로 레이블이 지정된 위치에서 항목 의 공유를 추가로 제한할 수 있습니다. 설정이 구성되면 PROTECTED 문서와 같은 보안 분류 항목에 PROTECTED 위치의 공유 옵션이 제한됩니다. 예제 그룹 및 사이트 구성의 구성은 이러한 위치에서 내부 받는 사람으로만 공유를 제한합니다.

조직에서는 위치 기반 공유 제한 외에도 DLP 정책을 구현하여 외부 배포에 적합하지 않은 항목의 외부 공유를 차단하거나 사용자에게 경고하고 단념해야 합니다. 다음 예제 정책은 PROTECTED 문서에 적용되어 외부 사용자와 공유되지 않도록 합니다.

조건 작업
콘텐츠는 Microsoft 365에서 공유됩니다.
내 organization 밖에 있는 사람들만
AND
콘텐츠에는 민감도 레이블이 포함되어 있습니다.
- 모든 PROTECTED 레이블		 Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단
- organization 외부 사용자만 차단

적절한 정책 팁을 구성합니다. 예를 들면 다음과 같습니다.
"PROTECTED 항목은 외부 받는 사람과 공유하는 데 적합하지 않습니다."

적절한 인시던트 심각도 및 경고 구성

SharePoint 기반 DLP 정책은 사용자 기반이 아닌 위치이므로 사용자 또는 그룹별로 예외가 적용되지 않습니다. 그러나 OneDrive에 적용되는 정책의 범위는 특정 사용자로 지정할 수 있습니다.

사용자에게 유용한 피드백을 제공하도록 DLP 정책 팁을 구성할 수 있습니다. SharePoint 기반 위치 내에 저장된 정책 팁과 일치하는 파일은 문서 라이브러리 내의 아이콘 표시를 활용할 수 있습니다. 예제 DLP 정책에는 정책 팁이 포함되어 있고 정책에 액세스 제한이 적용되므로 하이픈이 있는 원을 표시하는 아이콘이 문서 라이브러리에 표시되어 항목에 제한이 적용됨을 사용자에게 알립니다.

문서 라이브러리의 DLP 정책 팁 아이콘입니다.

사용자가 정책 팁을 무시하고 PROTECTED 항목을 외부에서 공유하려고 하면 정책 팁이 공유 대화 상자에 표시됩니다.

공유하는 동안 DLP 정책 팁입니다.

예를 들어 사용자가 다른 사용자 링크와 같은 더 허용적인 링크 유형을 외부 사용자에게 메일로 전송하여 DLP 정책을 무시하려고 하면 DLP 정책은 여전히 트리거되고, 보고를 생성하며, 구성된 경우 사용자에게 DLP 알림을 보냅니다.

기타 공유 시나리오

정부 조직에서 적용할 수 있는 다른 공유 시나리오는 이 섹션에서 설명합니다.

PROTECTED 팀과 같은 보안 위치의 구성원이 부적절한 항목을 공유하는 경우 어떻게 해야 할까요?

Microsoft의 신뢰하지만 확인 접근 방식을 사용하면 팀 내의 모든 사용자가 위치의 공유 정책에 따라 콘텐츠를 공유할 수 있습니다. 추가 제한 사항이 필요한 경우 옵션은 다음과 같습니다.

  • 민감도 레이블 그룹 및 사이트 구성 은 레이블이 지정된 위치에 조건부 액세스 정책을 적용하는 데 사용됩니다. 또한 인증 컨텍스트 는 사용자가 레이블이 지정된 위치의 콘텐츠에 대한 액세스를 허용하기 전에 권한이 부여된 사용자 그룹의 일부인지도 확인합니다.

  • 레이블이 지정된 위치는 더 제한될 수 있습니다. PowerShell을 사용하여 레이블의 구성을 설정하면 MemberShareNone 사이트 또는 팀 소유자가 레이블이 적용된 위치에서 정보 배포를 제어할 수 있습니다. 멤버 공유 제한에 대한 자세한 내용은 멤버 공유를 참조하세요.

  • 정보 장벽암시적 Microsoft 365 그룹 컨트롤을 사용하여 비팀 멤버와의 항목 공유를 차단할 수 있습니다. 이 기능은 사용자 그룹 간에 통신 및 공동 작업을 방지해야 하는 상황에 적합합니다.

사용자가 보호된 항목을 공유가 더 허용되는 다른 위치로 이동하면 어떻게 될까요?

  • 사용자가 공유 및 액세스 제어를 무시하려고 하면 PROTECTED 항목을 더 낮은 민감도 위치(예: 공유가 더 허용되는 다른 팀)로 이동하면 다음을 수행합니다.

    1. 데이터 중단 경고가 트리거되어 사용자에게 작업을 경고합니다.
    2. 모니터링 데이터의 구성에 따라 보안 팀에 경고 경고

  • SharePoint 공유 구성은 사용자가 공유할 수 있는 도메인 목록을 구성하는 데 사용됩니다. 구성되면 사용자는 승인된 조직 외부에서 항목을 공유할 수 없습니다.

  • OneDrive 위치에는 레이블이 지정된 위치에 적용되는 것보다 더 관대한 공유 정책이 있을 수 있습니다. 위치 기반 컨트롤을 우회하기 위해 OneDrive에서 공유하는 사용자와 관련된 위험을 완화하기 위해 DLP 정책은 OneDrive에서 특정 레이블이 있는 항목의 공유를 제한하도록 구성됩니다. 또한 신뢰할 수 있는 사용자만 OneDrive 위치의 레이블이 지정된 항목을 게스트와 공유할 수 있도록 사용자 그룹에 정책이 적용됩니다.

중요

PROTECTED 항목에 액세스할 수 있는 권한이 있는 사용자는 organization 전역 OneDrive 공유 구성과 계정에 적용된 OneDrive 공유 구성 모두에 따라 OneDrive에서 이러한 항목을 공유할 수 있습니다.

악의적인 내부자가 보안 기밀 정보를 유출하기 위해 활동을 반복적으로 공유하려고 하면 어떻게 될까요?

동기 부여된 악의적인 내부자는 이 문서에 제시된 데이터 보안 제어를 우회하기 위해 수많은 시도를 수행할 가능성이 높습니다. Microsoft의 IRM(Insider Risk Management) 기능은 활동에 따라 사용자의 위험 프로필을 결정하는 데 사용됩니다. IRM을 사용하면 보안 팀이 다음과 같은 의심스러운 사용자 시퀀스를 모니터링할 수 있습니다.

  • 특정 레이블이 적용된 Microsoft 365 위치에서 정보를 다운로드한 다음 USB에 복사합니다.
  • 레이블을 낮추거나 제거한 다음 외부 사용자와 공유합니다.
  • 중요한 것으로 식별된 정보를 난독 처리한 다음 클라우드 서비스를 통해 유출합니다.

IRM은 적응형 보호라는 기능을 통해 Microsoft Purview DLP 정책과 통합됩니다. 이는 구성된 정책을 지속적으로 트리거하기 때문에 위험한 것으로 간주되는 사용자를 식별하고, 보안 팀이 조사할 수 있게 될 때까지 위험을 완화하기 위해 자동으로 추가 제한을 적용합니다.

민감도 레이블 암호화에서 설명한 대로 암호화 컨트롤을 중요한 데이터에 사용해야 합니다. 레이블 암호화는 내부 및 외부의 권한 있는 사용자만 항목 위치에 관계없이 보안 분류 항목에 액세스할 수 있도록 하는 데 도움이 됩니다.

관리되지 않는 위치에 보안 분류 항목 업로드 방지

Defender for Cloud Apps organization 클라우드 서비스 사용에 대한 보안 태세를 지원합니다. 이렇게 하려면 사용자 활동 및 중요한 정보에 대한 세부적인 가시성 및 제어를 제공합니다.

Defender for Cloud Apps 정책은 클라우드 앱>정책 메뉴 아래의 Microsoft 365 Defender 콘솔 내에서 구성됩니다. 관리자는 PROTECTED 레이블이 있는 파일을 대상으로 지정하고 승인되지 않은 도메인과 공유되지 않도록 하는 정책을 만들 수 있습니다. 이 구성은 보안 분류 항목을 공식적으로 승인된 조직과만 공유해야 한다는 PSPF 정책 9 요구 사항 1과 일치합니다.

Defender for Cloud Apps 및 Microsoft Purview Information Protection 간의 통합에 대한 자세한 내용은 Microsoft Purview Information Protection 통합을 참조하세요.

보안 분류 항목의 다운로드 또는 인쇄 방지

이 섹션에서는 보안 분류 항목 또는 정보를 Microsoft 365 테넌트가 제어할 수 없는 위치에 복사할 수 있는 위험을 해결합니다. 예시:

  • 사용자가 PROTECTED 항목을 암호화되지 않은 USB 드라이브에 복사한 다음 분실하거나 도난당합니다.
  • PROTECTED 항목은 온-프레미스 네트워크 공유 또는 위치에 복사되며 PROTECTED 항목의 스토리지에 적합하지 않습니다.
  • PROTECTED 항목에 포함된 정보는 동일한 컨트롤이 적용되지 않고 복사되어 새 항목에 붙여넣어 정보 반출을 허용합니다.

엔드포인트 DLP(엔드포인트 데이터 손실 방지)는 이러한 위험을 해결하는 데 사용됩니다. 엔드포인트 DLP의 온보딩 절차에 대한 자세한 내용은 엔드포인트 DLP 시작을 참조하세요.

정부 조직은 Microsoft 365 DLP 인식 브라우저만 사용하도록 제한해야 합니다. Chromium DLP 인식이며 Google Chrome은 브라우저 추가 기능을 통해 DLP를 인식할 수 있습니다. Microsoft Purview Chrome 확장에 대한 자세한 내용은 Microsoft Purview Chrome 확장 시작을 참조하세요.

엔드포인트 DLP를 사용하여 디바이스를 대상으로 지정하려면 디바이스 위치로 범위가 지정된 DLP 정책을 만듭니다.

다른 DLP 예제와 마찬가지로 콘텐츠 포함, 민감도 레이블 을 조건으로 사용하여 정책을 구성할 수 있습니다. 정책 작업에서 감사, 재정의로 차단 또는 다음 작업을 차단 하도록 선택할 수 있습니다.

  • 제한된 클라우드 서비스 도메인(예: Google 드라이브)에 항목 업로드(정부 조직에서 차단 에 공통)
  • 항목에서 클립보드로 복사
  • 제거 가능한 USB에 항목 복사(정부 조직에서 재정의를 사용하여 차단 에 공통)
  • 네트워크 공유에 복사
  • 인쇄
  • 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동(정부 조직에서 차단 에 공통)
  • 원격 데스크톱 프로토콜을 사용하여 복사 또는 이동(정부 조직에서 차단 에 공통)

참고

EndPoint DLP를 사용하면 조직에서 애플리케이션, 경로 제외, 허용된 브라우저, 허용된 프린터 및 허용되는 USB 디바이스를 비롯한 다양한 옵션을 구성할 수 있습니다. 이러한 설정은 정책과 함께 사용하여 레이블이 지정된 항목의 사용이 허용되는 상황을 정의할 수 있습니다.