Share via

Stanovení strategie DLP

  • Článek

Zásady prevence ztráty dat (DLP) fungují jako zábradlí, které pomáhá uživatelům zabránit v neúmyslném odhalení dat organizace a chránit zabezpečení informací v klientovi. Zásady DLP vynucují pravidla, které konektory jsou povoleny pro každé prostředí a které konektory lze použít společně. Konektory jsou klasifikovány takto: pouze podniková data, nepovolena žádná podniková data nebo blokováno. Konektor ve skupině pouze pro obchodní data lze použít pouze s jinými konektory z této skupiny ve stejné aplikaci nebo toku. Další informace: Správa Microsoft Power Platform: zásady prevence ztráty dat

Stanovení zásad DLP půjde ruku v ruce s vaší strategií prostředí.

Rychlá fakta

  • Zásady prevence ztráty dat (DLP) fungují jako zábradlí, které pomáhá zabránit uživatelům v neúmyslném vystavení dat.
  • Zásady DLP lze vymezit na úrovni prostředí a na úrovni klienta, což nabízí flexibilitu pro vytváření zásad, které jsou rozumné a neblokují vysokou produktivitu.
  • Zásady ochrany před únikem informací v prostředí nemohou potlačit zásady ochrany před únikem informací platné pro všechny klienty.
  • Pokud je pro jedno prostředí nakonfigurováno více zásad, platí pro kombinaci konektorů nejpřísnější zásady.
  • Ve výchozím nastavení nejsou v klientovi implementovány žádné zásady DLP.
  • Zásady nelze použít na úrovni uživatele, pouze na úrovni prostředí nebo klienta.
  • Zásady DLP zohledňují konektor, ale nekontrolují připojení, která jsou vytvořena pomocí konektoru - jinými slovy, zásady DLP si nejsou vědomy toho, zda konektor používáte pro připojení k vývojovému, testovacímu nebo produkčnímu prostředí.
  • Zásady mohou spravovat konektory PowerShell a správce.
  • Uživatelé zdrojů v prostředích mohou zobrazit platné zásady.

Klasifikace konektorů

Obchodní a nepodnikatelské klasifikace vytyčují hranice kolem toho, jaké konektory lze v dané aplikaci nebo toku použít společně. Konektory lze klasifikovat do následujících skupin pomocí zásad DLP:

  • Obchodní: Příslušný zdroj Power App nebo Power Automate může využívat jeden nebo více konektorů z obchodní skupiny. Pokud zdroj Power App nebo Power Automate používá obchodní konektor, nemůže použít žádný neobchodní konektor.
  • Neobchodní: Příslušný zdroj Power App nebo Power Automate může využívat jeden nebo více konektorů z neobchodní skupiny. Pokud zdroj Power App nebo Power Automate používá neobchodní konektor, nemůže použít žádný neobchodní konektor.
  • Blokováno: Žádný zdroj Power App nebo Power Automate nemůže používat konektor ze zablokované skupiny. Všechny prémiové konektory vlastněné společností Microsoft a konektory jiných výrobců (standardní a prémiové) lze zablokovat. Všechny standardní konektory vlastněné společností Microsoft a konektory Common Data Service nelze blokovat.

Názvy „obchodní“ a „neobchodní“ nemají žádný zvláštní význam – jsou to prostě nálepky. Důležité je seskupení samotných konektorů, nikoli název skupiny, do které jsou umístěny.

Více informací: Správa Microsoft Power Platform: Klasifikace konektorů

Strategie pro vytváření zásad ochrany před únikem informací

Vzhledem k tomu, že správce přebírá prostředí nebo začíná podporovat používání Power Apps a Power Automate, měly by být Zásady DLP jednou z prvních věcí, které nastavíte. Tím je zajištěno, že je zavedena základní sada zásad, a poté se můžete zaměřit na zpracování výjimek a vytváření cílených zásad DLP, které tyto výjimky implementují, jakmile budou schváleny.

Doporučujeme následující výchozí bod pro zásady DLP pro sdílená prostředí produktivity uživatelů a týmů:

  • Vytvořte zásadu zahrnující všechna prostředí kromě vybraných (například vaše produkční prostředí), omezte dostupné konektory v této zásadě na Office 365 a další standardní mikroslužby a zablokujte přístup ke všem ostatním. Tato zásada se bude vztahovat na výchozí prostředí a na tréninková prostředí, která máte ke spouštění interních tréninkových událostí. Tato zásada bude navíc platit i pro všechna nová prostředí, která budou vytvořena.
  • Vytvořte vhodné a tolerantnější zásady DLP pro svá sdílená prostředí produktivity uživatelů a týmů. Tyto zásady by mohly tvůrcům umožnit kromě konektorů služeb Office 365 používat konektory jako služby Azure. Konektory dostupné v těchto prostředích budou záviset na vaší organizaci a na tom, kde vaše organizace ukládá obchodní data.

Doporučujeme následující výchozí bod pro zásady DLP pro produkční prostředí (organizační jednotka a projekt):

  • Vyloučte tato prostředí ze sdílených zásad produktivity uživatelů a týmů.
  • Spolupracujte s obchodní jednotkou a projektem, abyste zjistili, které konektory a kombinace konektorů budou používat, a vytvořte zásadu klienta, která bude zahrnovat pouze vybraná prostředí.
  • Správci těchto prostředí mohou pomocí zásad prostředí v případě potřeby kategorizovat vlastní konektory pouze jako obchodní data.

Kromě výše uvedeného také doporučujeme:

  • Vytváření minimálního počtu zásad na prostředí. Mezi zásadami klienta prostředí neexistuje žádná přísná hierarchie a při návrhu a běhu se všechny zásady, které jsou použitelné pro prostředí, ve kterém se nachází aplikace nebo tok, vyhodnotí společně, aby se rozhodlo, zda je zdroj v souladu nebo v rozporu se zásadami DLP. Více zásad DLP aplikovaných na jedno prostředí bude fragmentovat prostor vašeho konektoru komplikovaným způsobem a může ztěžovat pochopení problémů, kterým vaši tvůrci čelí.
  • Centrální správa zásad DLP pomocí zásad na úrovni klienta a používání zásad prostředí pouze ke kategorizaci vlastních konektorů nebo ve výjimečných případech.

S tímto nasazením naplánujte, jak zpracovat výjimky. Můžete provádět následující akce:

  • Zamítněte žádost.
  • Přidejte konektor do výchozích zásad ochrany před únikem informací.
  • Přidejte prostředí do seznamu Vše kromě pro globální výchozí DLP a vytvořte zásadu DLP pro konkrétní případ použití se zahrnutou výjimkou.

Příklad: Strategie DLP společnosti Contoso

Podívejme se na to, jak společnost Contoso Corporation, naše ukázková organizace pro tyto pokyny, nastavila své zásady DLP. Nastavení jejích zásad DLP úzce souvisí s její strategií prostředí.

Správci společnosti Contoso chtějí kromě správy aktivit Center of Excellence (CoE) podporovat scénáře produktivity uživatelů a týmů a obchodní aplikace.

Strategie prostředí a DLP, kterou zde správci společnosti Contoso použili, se skládá z:

  1. Omezující zásada DLP platná pro celého klienta, která se vztahuje na všechna prostředí v klientovi, s výjimkou některých konkrétních prostředí, která vyloučili z rozsahu zásady. Správci mají v úmyslu ponechat dostupné konektory v této zásadě omezené na Office 365 a další standardní mikroslužby blokováním přístupu ke všem ostatním. Tato zásada bude také platit pro výchozí prostředí.

  2. Správci společnosti Contoso vytvořili další sdílené prostředí pro uživatele k vytváření aplikací pro případy použití uživatelů a týmové produktivity. Toto prostředí má přidruženou zásadu DLP na úrovni tenanta, která není tak náchylná k riziku jako výchozí zásada a umožňuje tvůrcům kromě těchto služeb používat kromě služeb Office 365 také služby Azure. Protože se jedná o jiné než výchozí prostředí, mohou správci aktivně řídit seznam tvůrců prostředí. Jedná se o stupňovitý přístup ke sdílenému uživatelskému a týmovému prostředí produktivity a souvisejícímu nastavení DLP.

  3. Kromě toho, aby obchodní jednotky mohly vytvářet podnikové aplikace, vytvořily vývojové, testovací a produkční prostředí pro své daňové a auditorské pobočky v různých zemích/oblastech. Přístup tvůrce prostředí do těchto prostředí je pečlivě spravován a pomocí konektorů DLP na úrovni klienta po konzultaci se zúčastněnými stranami obchodní jednotky jsou k dispozici vhodné konektory první a třetí strany.

  4. Podobně jsou vytvořena vývojová / testovací / produkční prostředí pro použití Central IT pro vývoj a zavádění relevantních nebo správných aplikací. Tyto scénáře podnikových aplikací obvykle mají dobře definovanou sadu konektorů, které je třeba zpřístupnit tvůrcům, testerům a uživatelům v těchto prostředích. Přístup k těmto konektorům je spravován pomocí vyhrazené zásady na úrovni klienta.

  5. Společnost Contoso má také speciální prostředí určené pro aktivity Center of Excellence. Vzhledem k experimentální povaze knihy teoretických týmů v zásadě společnosti Contoso zůstanou zásady DLP pro speciální účel prostředí velmi důležité. V tomto případě správci klienta delegovali správu DLP pro toto prostředí přímo na důvěryhodného správce prostředí týmu CoE a vyloučili ji ze školy všech zásad na úrovni klienta. Toto prostředí je spravováno pouze zásadami DLP na úrovni prostředí, což je spíše výjimka než pravidlo v Contoso.

Jak se dalo očekávat, všechna nová prostředí vytvořená v Contoso budou mapována na původní zásady všech prostředí.

Toto nastavení zásad DLP zaměřených na klienta nezabrání správcům prostředí přijít s vlastními zásadami DLP na úrovni prostředí, pokud chtějí zavést další omezení nebo klasifikovat vlastní konektory.

Jak společnost Contoso nastavila své zásady DLP.

Nastavení datových zásad

  1. Vytvořte své zásady v centru pro správu Power Platform. Další informace: Správa zásad pro data

  2. Pomoí DLP SDK přidejte vlastní konektory k zásadám DLP.

Jasně sdělte tvůrcům zásady DLP vaší organizace

Zřiďte web SharePoint nebo wiki, který jasně komunikuje:

  • Na úrovni klienta a na klíčové úrovni prostředí (například výchozí prostředí, zkušební prostředí) jsou v organizaci vynucovány zásady DLP, včetně seznamů konektorů klasifikovaných jako obchodní, neobchodní a blokované.
  • ID e-mailu vaší skupiny správců, aby tvůrci mohli navázat kontakt při výjimkách. Správci mohou například pomoci tvůrcům dostat se zpět do souladu s úpravami existujících zásad DLP, přesunutím řešení do jiného prostředí, vytvořením nového prostředí a nové zásady DLP a přesunem tvůrce a zdroje do tohoto nového prostředí.

Jasně také informujte strategii prostředí pro tvůrce vaší organizace.