קביעת אסטרטגיית DLP

המדיניות למניעת אובדן נתונים (DLP) משמשת כרשת ביטחון המונעת ממשתמשים לחשוף בשוגג נתונים ארגוניים ועוזרת להגן על אבטחת המידע אצל הדייר. מדיניות DLP אוכפת כללים עבור אילו מחברים מופעלים לכל סביבה, ובאילו מחברים אפשר להשתמש יחד. מחברים מסווגים כאחד מהבאים: נתונים עסקיים בלבד, נתונים עסקיים אסורים, או חסום. אפשר להשתמש במחבר בקבוצת הנתונים העסקיים בלבד עם מחברים אחרים מאותה קבוצה באותו יישום או זרימה. לקבלת מידע נוסף: ניהול Microsoft Power Platform: מדיניות למניעת אובדן נתונים

קביעת מדיניות ה- DLP שלך תפעל יחד עם אסטרטגיית הסביבה שלך.

עובדות מהירות

  • מדיניות מניעת אובדן נתונים (DLP) משמשת כרשת ביטחון כדי למנוע ממשתמשים לחשוף נתונים בשוגג.
  • אפשר להרחיב את מדיניות ה- DLP ברמת הסביבה וברמת הדייר, ולהציע גמישות כדי לקבוע מדיניות הגיונית שלא תחסום פרודוקטיביות גבוהה.
  • פריטי מדיניות DLP של סביבה לא יכולים לעקוף פריטי מדיניות DLP בקנה מידה של דייר.
  • אם מוגדרים כמה קווי מדיניות עבור סביבה אחת, המדיניות המגבילה ביותר תחול על שילוב המחברים.
  • כברירת מחדל, מדיניות DLP לא תיושם אצל הדייר.
  • לא ניתן להחיל מדיניות ברמת המשתמש, רק בסביבה או ברמת הדייר.
  • מדיניות DLP מודעת למחברים אך איננה שולטת בחיבורים שנוצרו באמצעות המחבר – במילים אחרות, מדיניות DLP לא מודעת לשאלה אם אתה משתמש במחבר כדי להתחבר לסביבת פיתוח, בדיקה או סביבת ייצור.
  • מחברי PowerShell ומנהלי מערכת יכולים לנהל מדיניות.
  • משתמשים במשאבים בסביבות יכולים להציג מדיניות מוחלת.

סיווג מחבר

סיווגים עסקיים ולא עסקיים מציבים גבולות סביב המחברים שאפשר להשתמש בהם יחד ביישום או בזרימה מסוימים. אפשר לסווג מחברים בין הקבוצות הבאות באמצעות מדיניות DLP:

  • עסקי: ‏Power App נתון או משאב Power Automate יכולים להשתמש במחבר אחד או יותר מקבוצה עסקית. אם Power App או משאב Power Automate משתמשים במחבר עסקי, הם לא יכולים להשתמש במחבר שאינו עסקי.
  • לא עסקי: ‏Power App נתון או משאב Power Automate יכולים להשתמש במחבר אחד או יותר מקבוצה שאינה עסקית. אם Power App או משאב Power Automate משתמשים במחבר שאינו עסקי, הם לא יכולים להשתמש במחבר עסקי.
  • חסום : שום Power App או משאב Power Automate לא יכולים להשתמש במחבר מקבוצה חסומה. אפשר לחסום את כל מחברי הפרמיום שבבעלות Microsoft ומחברי צד שלישי (סטנדרטיים ופרמיום). אי אפשר לחסום את כל המחברים הסטנדרטיים שבבעלות Microsoft ואת מחברי Common Data Service.

לשמות "עסקי" ו"לא עסקי" אין משמעות מיוחדת—אלה רק תוויות. יש חשיבות לקיבוץ המחברים עצמם, ולא לשם הקבוצה שבה הם ממוקמים.

לקבלת מידע נוסף: ניהול Microsoft Power Platform: סיווג מחברים

אסטרטגיות ליצירת פריטי מדיניות DLP

כמנהל מערכת שמשתלט על סביבה או מתחיל לתמוך בשימוש ב- Power Apps וב- Power Automate, פריטי מדיניות DLP צריכים להיות אחד הדברים הראשונים שצריך להגדיר. כך תובטח קיומה של ערכת מדיניות בסיסית אשר תאפשר לך להתמקד בטיפול במקרים חריגים וביצירת פריטי מדיניות ממוקדים של DLP המיישמים את החריגים הללו לאחר אישורם.

אנו ממליצים על נקודת הההתחלה הבאה למדיניות DLP עבור סביבות פרודוקטיביות משותפות של משתמשים וצוותים:

  • צור מדיניות המתפרסת על כל הסביבות פרט לסביבות שנבחרו (למשל, סביבות הייצור שלך), הגבל את המחברים הזמינים במדיניות זו ל- Office 365 ולמיקרו-שירותים סטנדרטיים אחרים, וחסום את הגישה לכל השאר. מדיניות זו תחול על סביבת ברירת המחדל ועל סביבות ההדרכה שלך להפעלת אירועי הדרכה פנימיים. בנוסף, מדיניות זו תחול גם על כל סביבה חדשה שתיווצר.
  • צור מדיניות DLP מתאימה ומתירנית יותר עבור סביבות הפרודוקטיביות המשותפות של המשתמשים והצוותים שלך. מדיניות זו עשויה לאפשר ליצרנים להשתמש במחברים כמו שירותי Azure בנוסף לשירותי Office 365. המחברים הזמינים בסביבות אלה יהיו תלויים בארגון שלך ובמקום שבו הארגון שלך מאחסן נתונים עסקיים.

אנו ממליצים על נקודת ההתחלה הבאה למדיניות DLP עבור סביבות ייצור (יחידה עסקית ופרויקט):

  • אל תכלול את הסביבות האלה בקווי מדיניות פרודוקטיבית משותפים של משתמשים וצוותים.
  • עבוד עם היחידה העסקית והפרויקט כדי לקבוע באילו מחברים ושילובי מחברים הם ישתמשו וצור מדיניות דיירים שתכלול רק את הסביבות שנבחרו.
  • מנהלי סביבה של סביבות אלה יכולים להשתמש במדיניות סביבה כדי לסווג מחברים מותאמים אישית כנתונים עסקיים בלבד, לפי הצורך.

בנוסף לאמור לעיל, אנו ממליצים גם על הצעדים הבאים:

  • יצירת מספר מינימלי של קווי מדיניות לכל סביבה. אין היררכיה קפדנית בין קווי המדיניות של הדיירים והסביבה, ובזמן התכנון ובזמן הריצה, כל קווי המדיניות החלים על הסביבה שבה שוכנים היישום או הזרימה עוברים הערכה יחד כדי להחליט אם המשאב עומד בתנאי מדיניות ה- DLP או מפר אותה. כמה קווי מדיניות DLP המוחלים על סביבה אחת יפצלו את שטח המחבר שלך בדרכים מורכבות, וזה עלול להקשות על הבנת הבעיות שניצבות בפני היצרנים שלך.
  • ניהול מרכזי של מדיניות DLP באמצעות מדיניות ברמת דיירים, ושימוש במדיניות סביבה אך ורק כדי לקטלג מחברים מותאמים אישית או במקרים חריגים.

לאחר שדאגת לכל זה, תכנן כיצד לטפל במקרים חריגים. באפשרותך:

  • דחיית הבקשה.
  • הוספת המחבר למדיניות ברירת המחדל של DLP.
  • הוסף את הסביבות לרשימת "הכול למעט" ל- DLP המוגדר כברירת מחדל, וצור מדיניות DLP למקרים ספציפיים כולל החריגה.

דוגמה: אסטרטגיית ה-DLP של Contoso

בואו נראה איך Contoso Corporation, ארגון המדגם שלנו להנחיות אלו, קבע את מדיניות ה-DLP שלו. הגדרת מדיניות ה- DLP של הארגון קשורה בקשר הדוק לאסטרטגיית הסביבה שלו.

מנהלי המערכת של Contoso רוצים לתמוך בתרחישים פרודוקטיביים של משתמשים וצוותים וביישומים עסקיים, בנוסף לניהול פעילויות של מרכז מצוינות (CoE).

הסביבה ואסטרטגיית ה-DLP שמנהלי המערכת של Contoso הגישו כאן מורכבות מ:

  1. מדיניות DLP מגבילה לכל הדיירים החלה על כל הסביבות בדייר, למעט כמה סביבות ספציפיות שהחריגו מטווח המדיניות. מנהלים מתכוונים להגביל את המחברים הזמינים במדיניות זו ל- Office 365 ולמיקרו-שירותים סטנדרטיים אחרים על ידי חסימת הגישה לכל השאר. מדיניות זו תחול גם על סביבת ברירת המחדל.

  2. מנהלי המערכת של Contoso יצרו סביבה משותפת נוספת שהמשתמשים יכולים ליצור בה יישומים למקרי שימוש בפרודוקטיביות של משתמשים וצוותים. לסביבה זו יש מדיניות DLP משויכת ברמת דייר שאינה נרתעת מסיכונים כמו מדיניות ברירת מחדל ומאפשרת ליצרנים להשתמש במחברים כמו שירותי Azure בנוסף לשירותי Office 365. מכיוון שמדובר בסביבה שאינה ברירת מחדל, המנהלים יכולים לשלוט עבורה באופן פעיל ברשימת יצרני הסביבה. זו גישה מדורגת לסביבת פרודוקטיביות משותפת של משתמשים וצוותים והגדרות DLP משויכות.

  3. בנוסף, כדי שהיחידות העסקיות ייצרו יישומי קו עסקי, הן יצרו סביבות פיתוח, בדיקות וייצור עבור חברות הבת שלהם למס וביקורת במדינות שונות. הגישה של יצרן הסביבה לסביבות אלה מנוהלת בקפידה, ומחברים מתאימים של צד ראשון ושלישי זמינים באמצעות מדיניות DLP ברמת הדייר בהתייעצות עם בעלי העניין של היחידה העסקית.

  4. באופן דומה, נוצרות סביבות פיתוח/בדיקה/ייצור לשימוש ה- IT המרכזי לפיתוח ופריסה של יישומים רלוונטיים או מתאימים. תרחישים של יישומים עסקיים אלה כוללים בדרך כלל קבוצה מוגדרת היטב של מחברים שצריכים להיות זמינים עבור יצרנים, בודקים ומשתמשים בסביבות אלה. הגישה למחברים אלה מנוהלת באמצעות מדיניות ייעודית ברמת הדייר.

  5. יש ל-Contoso גם סביבת ייעוד מיוחדת המוקדשת לפעילות מרכז המצוינות שלהם. ב-Contoso, מדיניות ה-DLP בסביבת המטרה המיוחדת תישאר במגע גבוה בהתחשב באופי הניסוי של ספר צוותי התיאוריה. במקרה זה, מנהלי הדיירים האצילו את ניהול ה- DLP לסביבה זו ישירות למנהל סביבה מהימן של צוות CoE והחריגו אותה משורה של קווי מדיניות ברמת הדיירים. סביבה זו מנוהלת רק על ידי מדיניות DLP ברמת הסביבה, ומדובר במקרה חריג שאינו מעיד על הכלל אצל Contoso.

כצפוי, כל הסביבות החדשות שנוצרות ב-Contoso ימופו למדיניות המקורית של כל הסביבות.

הגדרה זו של מדיניות DLP ממוקדת-דיירים אינה מונעת ממנהלי סביבה להגיע למדיניות DLP ברמת הסביבה שלהם, אם הם רוצים להכניס מגבלות נוספות או לסווג מחברים מותאמים אישית.

איך Contoso מגדירים את מדיניות ה-DLP שלהם.

הגדרת מדיניות DLP

  1. צור את המדיניות שלך במרכז הניהול של Power Platform. לקבלת מידע נוסף: יצירת מדיניות DLP

  2. השתמש ב- DLK SDK כדי להוסיף מחברים מותאמים אישית למדיניות ה- DLP.

הבהר את מדיניות ה- DLP של הארגון שלך ליצרנים

הגדר אתר SharePoint או wiki‎ שיבהירו את:

  • מדיניות ה- DLP ברמת הדייר וברמת הסביבה המרכזית (למשל, סביבת ברירת מחדל, סביבת ניסיון) הנאכפת בארגון, כולל רשימות של מחברים המסווגים כעסקיים, לא עסקיים וחסומים.
  • מזהה הדואר האלקטרוני של קבוצת הניהול שלך כדי שיצרנים יוכלו ליצור קשר במקרה של תרחישים חריגים. למשל, מנהלים יכולים לעזור ליצרנים לחזור לתאימות בעריכת מדיניות DLP קיימת, להעביר את הפתרון לסביבה אחרת, ליצור סביבה חדשה ומדיניות DLP חדשה, ולהעביר את היצרן והמשאב לסביבה חדשה זו.

הבהר גם את אסטרטגיית הסביבה של הארגון שלך ליצרנים.