DLP stratejisi belirleme

  • Makale

Veri kaybı önleme (DLP) ilkeleri, kullanıcıların istemeden kuruluş verilerini açığa çıkarmalarını önlemeye ve kiracıdaki bilgi güvenliğini korumaya yardımcı olmak için koruma görevi görür. DLP ilkeleri, her ortam için bağlayıcıların etkinleştirildiği ve bağlayıcıların birlikte kullanılabildiği kuralları uygular. Bağlayıcılar yalnızca iş verileri, iş verilerine izin verilmeyenler veya bloke olarak sınıflandırılır. Bir bağlayıcıyı yalnızca iş verileri grubuna yerleştirirseniz, yalnızca aynı uygulama ya da akışta bulunan bu gruptaki diğer bağlayıcılarla birlikte kullanılabilir. Daha fazla bilgi: Microsoft Power Platform yönetimi: Veri Kaybını Önleme İlkeleri

DLP ilkelerinizi oluşturmak, ortam stratejinizle paralel gidecektir.

Hızlı bilgiler

  • Veri kaybı önleme (DLP) ilkeleri, kullanıcıların verileri istemeden açığa çıkarmasını önlemeye yardımcı olmak için koruma görevi görür.
  • DLP ilkeleri ortam düzeyinde veya kiracı düzeyinde kapsamda oluşturulabilir; bu, mantıklı ve yüksek verimliliği engellemeyen uygun ilkeler için esneklik sunar.
  • Ortam DLP ilkeleri kiracıyı kapsayan DLP ilkelerini geçersiz kılamaz.
  • Tek bir ortam için birden çok ilke yapılandırılırsa, bağlayıcı birleşimi için en kısıtlayıcı ilke geçerlidir.
  • Varsayılan olarak, kiracıda DLP ilkeleri uygulanmaz.
  • İlkeler kullanıcı düzeyinde uygulanamaz; yalnızca ortam veya kiracı düzeyinde uygulanabilir.
  • DLP ilkeleri bağlayıcıya duyarlıdır, ancak bağlayıcı kullanılarak oluşturulan bağlantıları denetlemez; diğer bir deyişle, DLP ilkeleri bağlayıcıyı bir geliştirme, test veya üretim ortamına bağlanmak için kullanıp kullanmadığınızdan haberdar değildir.
  • PowerShell ve yönetici bağlayıcıları ilkeleri yönetebilir.
  • Ortamlardaki kaynakların kullanıcıları, geçerli ilkeleri görüntüleyebilir.

Bağlayıcı sınıflandırması

İş ve iş dışı sınıflandırmaları, belirli bir uygulamada veya akışta hangi bağlayıcıların birlikte kullanılabileceğiyle ilgili sınırlar çizer. Bağlayıcılar, DLP ilkeleri kullanılarak aşağıdaki gruplar arasında sınıflandırılabilir:

  • İş: Belirli bir Power App veya Power Automate kaynak, bir iş grubundan bir veya daha fazla bağlayıcı kullanabilir. Bir Power App veya Power Automate kaynağı bir iş bağlayıcısı kullanıyorsa, iş dışı bağlayıcı kullanamaz.
  • İş dışı: Belirli bir Power App veya Power Automate kaynak, iş dışı bir gruptan bir veya daha fazla bağlayıcı kullanabilir. Bir Power App veya Power Automate kaynağı bir iş dışı bağlayıcı kullanıyorsa, iş bağlayıcısı kullanamaz.
  • Engellendi: Hiçbir Power App veya Power Automate kaynak, engellenen bir gruptan bağlayıcı kullanamaz. Tüm Microsoft premium bağlayıcılar ve üçüncü taraf bağlayıcılar (standart ve premium) engellenebilir. Tüm Microsoft sahip olunan standart bağlayıcılar ve Common Data Service bağlayıcılar engellenemez.

"İş" ve "iş dışı" adlarının özel bir anlamı yoktur, yalnızca etikettir. Bağlayıcıların yerleştirildikleri grubun adı değil, gruplanmaları önemlidir.

Daha fazla bilgi: Microsoft Power Platform yönetimi: Bağlayıcı sınıflandırması

DLP ilkeleri oluşturma stratejileri

Bir ortamın sahipliğini alan bir yönetici veya Power Apps ve Power Automate kullanmaya başlayacak biri olarak DLP ilkeleri ilk ayarlayacağınız şeylerden biri olmalıdır. Temel bir ilke kümesi olmasını sağlar ve daha sonra özel durumları işleme odaklanacak ve bu özel durumları bir kez onaylandıktan sonra uygulayan hedeflenen DLP ilkeleri oluşturmaktan daha fazla yer açabilirsiniz.

Paylaşılan kullanıcı ve takım üretkenliği ortamları için DLP ilkelerine yönelik aşağıdaki başlangıç noktasını öneririz:

  • Seçili olanlar (örneğin, üretim ortamlarınız) dışındaki tüm ortamları kapsayan bir ilke oluşturun, bu ilkedeki kullanılabilir bağlayıcıları Office 365 ve diğer standart mikro hizmetlerle sınırlı tutun ve diğer her şeye erişimi engelleyin. Bu ilke varsayılan ortama ve dahili eğitim etkinliklerini çalıştırmak için sahip olduğunuz eğitim ortamlarına uygulanır. Ayrıca, bu ilke, oluşturulacak tüm yeni ortamlar için de geçerli olacaktır.
  • Paylaşılan kullanıcı ve takım üretkenliği ortamlarınız için uygun ve daha esnek DLP ilkeleri oluşturun. Bu ilkeler, geliştiricilerin Office 365 hizmetlerine ek olarak Azure hizmetleri gibi bağlayıcıları kullanmasına olanak sağlayabilir. Bu ortamlarda kullanılabilen bağlayıcılar kuruluşunuza ve kuruluşunuzun iş verilerini nerede depoladığına bağlıdır.

Üretim (iş birimi ve proje) ortamları için DLP politikalarına yönelik olarak aşağıdaki başlangıç noktasını öneririz:

  • Bu ortamları paylaşılan kullanıcı ve takım üretkenliği ilkelerinden hariç tutun.
  • Hangi bağlayıcıları ve bağlayıcı kombinasyonlarıı kullanacaklarını belirlemek ve yalnızca seçili ortamları içerecek bir kiracı ilkesi oluşturmak için iş birimi ve projeyle çalışın.
  • Bu ortamların ortam yöneticileri, gerektiğinde özel bağlayıcıları yalnızca iş verileri olarak sınıflandırmak için ortam ilkeleri kullanabilir.

Ayrıca şunları da öneririz:

  • Ortam başına en az sayıda ilke oluşturma. Kiracı ile ortam ilkeleri arasında katı bir hiyerarçi yoktu ve tasarım ve çalışma zamanında, uygulamanın veya akışın bulunduğu ortama uygulanabilen tüm ilkeler, bir DLP ilkelerine uygunluk veya ihlalin uygun olmasına karar vermek için birlikte değerlendirilir. Bir ortama uygulanan birden çok DLP ilkesi , bağlayıcı alanınızı karmaşık yollarla parçalara ayırır ve oluşturucularınızın karşılaştığı sorunları anlamayı zorlaştırabilir.
  • Kiracı düzeyi ilkelerini kullanarak DLP İlkelerini merkezi olarak yönetme ve yalnızca özel bağlayıcıları veya özel durumları sınıflandırmak için ortam ilkelerini kullanma.

Temel strateji ile özel durumların nasıl işleyeceğini planlayın. Şunları yapabilirsiniz:

  • İsteği reddedin.
  • Bağlayıcıyı varsayılan DLP ilkesine ekleyin.
  • Genel varsayılan DLP için Şunlar Hariç Tümü listesine ortamları ekleyin ve özel durumlar dahil olmak üzere duruma özgü bir DLP ilkesi oluşturun.

Örnek: Contoso'nun DLP stratejisi

Bu kılavuz için örnek kuruluşumuz olan Contoso Corporation'ın DLP ilkelerini nasıl oluşturduğuna bakalım. DLP ilkelerinin kurulumu, ortam stratejileriyle yakından ilgilidir.

Contoso yöneticileri, Mükemmelliyet Merkezi (CoE) etkinlik yönetimine ek olarak kullanıcı ve takım üretkenliği senaryolarını ve iş uygulamalarını desteklemek istiyor.

Contoso yöneticilerinin uyguladığı Ortam ve DLP stratejisi şunlardan oluşur:

  1. İlke kapsamı dışında bıraktıkları belirli ortamlar dışında, kiracıdaki tüm ortamlar için geçerli olan kiracı genelinde kısıtlayıcı bir DLP ilkesi. Yöneticiler, diğer her şeye erişimi engelleyerek bu ilkedeki kullanılabilir bağlayıcıları Office 365 ve diğer standart mikro hizmetlerle sınırlı tutmayı amaçlıyor. Bu ilke varsayılan ortam için de geçerli olacaktır.

  2. Contoso yöneticileri, kullanıcıların kullanıcı ve takım üretkenlik kullanım senaryolarına yönelik uygulamalar oluşturması için başka bir paylaşılan ortam oluşturmuştur. Bu ortam, varsayılan bir ilke kadar riskten sakınmayan ve geliştiricilerin Office 365 hizmetlerine ek olarak Azure hizmetleri gibi bağlayıcıları kullanmasına olanak tanıyan ilişkili bir kiracı düzeyinde DLP ilkesine sahiptir. Bu ortam varsayılan olmayan bir ortam olduğundan, yöneticiler bunun için ortam oluşturucu listesini etkin olarak denetleyebilir. Bu, paylaşılan kullanıcı ve takım üretkenliği ortamına ve ilişkili DLP ayarlarına katmanlı bir yaklaşımdır.

  3. Buna ek olarak, iş birimlerinin iş birimi uygulamaları oluşturması için çeşitli ülkelerdeki/bölgelerdeki vergi ve denetim yan kuruluşları için geliştirme, test ve üretim ortamları oluşturdular. Bu ortamlara ortam geliştirici erişimi dikkatle yönetilir ve uygun birinci ve üçüncü taraf bağlayıcıları, iş birimi paydaşlarıyla danışılarak kiracı düzeyindeki DLP ilkeleri kullanılarak kullanıma sunulur.

  4. Benzer şekilde, Merkezi BT'nin kullanımı için ilgili veya doğru uygulamaları geliştirmek ve kullanıma sunmak için geliştirme/test/üretim ortamları oluşturulur. Bu iş uygulama senaryoları genellikle bu ortamlarda geliştiriciler, test uzmanları ve kullanıcılar için kullanılabilir hale getirilmesi gereken iyi tanımlanmış bir bağlayıcı kümesine sahiptir. Bu bağlayıcılara erişim, özel bir kiracı düzeyinde ilke kullanılarak yönetilir.

  5. Contoso, aynı zamanda Mükemmelliyet Merkezi faaliyetlerine özel bir amaca yönelik bir ortama sahiptir. Contoso'da, özel amaçlı ortam için DLP ilkesi, teori takımları kitabının deneysel doğası göz önüne alındığında önemli temas noktası olmaya devam edecektir. Bu durumda, kiracı yöneticileri bu ortamın DLP yönetimini doğrudan CoE takımının güvenilir bir ortam yöneticisine devretti ve tüm kiracı düzeyindeki ilkeler setinden hariç tuttu. Bu ortam yalnızca Contoso'daki kural yerine bir özel durum olan ortam düzeyinde DLP ilkesi tarafından yönetilir.

Beklenen şekilde, Contoso'da oluşturulan her yeni ortam orijinal tüm ortamlar politikasına eşlenebilir.

Kiracı merkezli DLP ilkelerinin bu kurulumu, ek kısıtlamalar getirmek veya özel bağlayıcıları sınıflandırmak isteyen ortam yöneticilerinin kendilerine ait ortam düzeyinde DLP ilkelerini oluşturmalarını engellemez.

Contoso DLP ilkesini nasıl kurdu.

Veri ilkeleri ayarlama

  1. Power Platform yönetim merkezinde ilkenizi oluşturun. Daha fazla bilgi: Veri ilkelerini yönetme

  2. DLP ilkesine özel bağlayıcılar eklemek için DLP SDK'sını kullanın.

Kuruluşunuzun DLP ilkelerini geliştiricilere açıkça iletin

Açıkça iletişim kuran bir SharePoint sitesi veya wiki kurun:

  • Kuruluşta uygulanan kiracı düzeyi ve önemli ortam düzeyi (örneğin, varsayılan ortam, deneme ortamı) DLP ilkeleri; iş, iş dışı ve bloke olarak sınıflandırılan bağlayıcıların listelerini de kapsar.
  • Geliştiricilerin özel durum senaryolarıyla ilgili iletişim kurabilmeleri için yönetici grubunuzun e-posta kimliği. Örneğin, yöneticiler, geliştiricilerin var olan bir DLP ilkesini düzenleyerek uyumlu hale geri getirmelerine, çözümü farklı bir ortama taşımalarına, yeni bir ortam ve yeni bir DLP ilkesi oluşturmalarına ve geliştirici ile kaynağı bu yeni ortama taşımalarına yardımcı olabilir.

Ayrıca, kuruluşunuzun ortam stratejisini de geliştiricilere açıkça bildirin.