文/MetaAge迈达特云端技术顾问 陈景钦(Clare Chen)、MetaAge迈达特程式工程师 沈冠纬(David Shen)
Microsoft 365是微软云端服务的管理平台,可用来管理云端使用者、群组、组织装置、组织安全性、License、Exchange 管理中心、Teams等。近年来技术的发展加上云端资料的普及,许多公司将企业内部的相关资源转移到云端作为管控。从这样的角度也让许多非法使用者关注到了违规的气息有迹可循,好比资料窃取或是窜改资料内容等种种危害到企业组织营运的一大隐忧。因此Microsoft 365也提供了许多的资安的应用服务保护用户端在组织中的任何资料,好比透过DLP、Information Protection或是组织装置及应用程式管控等。最大的目的尽可能地来防堵非法使用者透过各种途径侵害组织的资产,并尽最大的努力将组织的伤害降到最低。
此次的议题主要分享Microsoft 365 Data Loss Prevention (DLP)-资料外泄防护。透过DLP的原则针对所触发的条件来做即时的阻挡,避免组织档案被进一步的外泄。
什麽是Microsoft 365 DLP(资料遗失防护策略)?
Microsoft Purview 中资料外泄防护 (DLP) 可协助用户端防止意外或意外共用敏感性资讯。DLP 会检查电子邮件讯息和档案中的敏感性资讯,例如信用卡号码。主旨在保护机构内的敏感资料,防止意外或恶意泄漏。DLP原则策略可以应用於多个环境,包括Exchange Online、SharePoint site、OneDrive account、Teams chat and channel message、装置、Microsoft Defender for Cloud Apps以及内部部属存放库等。
1. Microsoft 365 DLP的主要功能
2. 如何建立DLP策略原则?以下是快速建立DLP策略的基本步骤:
一、 登入Microsoft 365管理中心的合规性。
二、 选择「资料外泄防护」
三、 选择「建立新策略」
四、 用户可依照自身需求选择一个预设的范本(支援多个国家的应用)或自定义策略
五、 为所建立的原则命名,并添加描述。目的用以告知原则建立或修改者了解到建立此原则的目的六、 选择您希望建立策略的位置(例如,Exchange Online、SharePoint site、OneDrive account、Teams chat and channel message、装置、Microsoft Defender for Cloud Apps以及内部部属存放库等)
七、 配置原则设置,例如规则、条件、例外和动作
八、 检查原则,然後储存。
3. DLP原则中的条件,最主要是依照用户所选用的位置而有所不同,如图一所示,可看到个别采用不同位置所提供触发的DLP原则条件以及触发条件後所采取的防范动作有各式的应用可以做选用。在条件上彼此之间是一个交集的概念存在,举例若针对Exchange Online、SharePoint site建立原则。所存在的可用条件会只剩(内容包含、从 Microsoft 365 共用内容、副档名为、文件名称包含文字或字词、文件大小等於或大於),并且可防范的动作仅剩(限制存取权或加密 Microsoft 365 位置中的内容)。在DLP服务中目的针对组织资料做进一步的防止外泄动作,因此较常会在触发条件带入相关的敏感性资讯或是敏感度标签等应用,如下图二所示。
(图一)
(图二)
4. DLP原则中的动作,同样的如上图一中提到最主要也是依照用户所选用的位置而有所不同。举几个较常使用的应用,限制存取权或加密 Microsoft 365 位置中的内容、稽核或限制装置上的活动以及限制存取或移除内部部署档案。首先限制存取权或加密 Microsoft 365 位置中的内容,可针对云端已触发到DLP原则之档案或内容限制存取权限,好比封锁所有人或是仅封锁组织外部成员,如下图三所示。
(图三)
稽核或限制装置上的活动,可针对地端已Onboarding之受管控组织电脑如Win10、macOS。限制其装置中档案触发到DLP原则时,可提供像档案到服务网域和浏览器活动、复制到剪贴簿、复制到USB、复制到网路共享资料夹、列印、蓝芽应用程式接收或是RDP方式复制移动等应用上封锁此动作或是稽核,如下图四所示。
(图四)
限制存取或移除内部部署档案,可针对在组织Windows Server共享资料夹已触发到DLP原则之档案或Information Protection原则之档案之限制。好比禁止人员存取储存在内部部属存放库的档案以及档案移置隔离资料夹或者触发到Information Protection原则之档案自动为其套用上标签等,如下图五所示。
(图五)
并且在限制存取或移除内部部署档案此动作需搭配扫描程式上线做搭配才有办法运作,扫描程式上线如图六所示。
(图六)
5. DLP原则能够为组织资料外泄防护达到几个可行性的应用,举例存放於OneDrive中已触发DLP原则之档案,会将其封锁并且告知用户已触发哪像DLP原则同时会限制其档案之存取权,如图七所示。在云端Outlook发布一封已触发DLP原则之档案,会警示用户此动作并且也无此档案之存取权,如图八所示。在Teams发布DLP原则中所定义的敏感性资讯或触发DLP原则之档案,会封锁此用户讯息并且接收端有无法接收此资料,如图九所示。在共享资料夹中夹带触发DLP原则之档案,会将其封锁相关之权限,如图十所示。在地端之装置若将触发DLP原则之档案执行了如之前所提到稽核或限制装置的设定,会依照用户的定义去限制此档案之活动,如图十一所示。
(图七)
(图八)
(图九)
(图十)
(图十一)
6. 管理与调整DLP策略 在Microsoft 365安全与合规中心,您可以查看和管理现有的DLP策略,包括编辑、关闭或删除策略。为了确保策略有效并适应组织需求,定期审核和调整DLP策略是很重要的。以下是一些管理和调整DLP策略的建议:
a. 查看现有策略:定期查看现有策略以确保其保持最新,并根据机构需求进行调整。
b. 更新规则和条件:根据机构的合规需求和政策变更,您可能需要更新策略中的规则和条件。
c. 添加新的敏感资讯类型:随着业务需求的变化,可能需要识别和保护新的敏感资讯类型。检查Microsoft 365 DLP是否支持这些类型,并将其添加到相应的策略中。
d. 检查例外:检查策略中的例外,确保它们仍然适用并符合机构的安全需求。
e. 评估策略效果:通过分析报告和事件日志来评估策略的效果,确保您的策略达到预期的目标。
7. 监控与报告
监控DLP策略的执行情况和事件是确保数据安全的重要环节。Microsoft 365提供了多种报告和仪表板,以帮助您了解机构内的资料活动。以下是一些可用的报告类型:
8. 常见问题与解答
在本节中,我们将回答一些关於Microsoft 365 DLP的常见问题。
Q1: DLP策略是否会影响正常用户的工作流程?
A1: 在设计DLP策略时,应确保将可能对正常工作流程产生影响的例外情况纳入考虑范围。通常,DLP策略旨在对用户进行指导,而不是阻止他们完成工作。在某些情况下,DLP策略可能会提示用户考虑安全风险并采取适当措施,例如对敏感资料进行加密或使用安全的共享方法。
Q2: 如何确保DLP策略适用於全球范围内的机构?
A2: 为了确保您的DLP策略适用於全球范围内的机构,您需要考虑不同国家和地区的法律和合规要求。Microsoft 365 DLP支持多种内置的敏感资讯类型,涵盖了各个国家的法规。您可以根据需要为不同的用户组或地点定制DLP策略。
Q3: Microsoft 365 DLP是否能保护机构内的所有资料?
A3: 虽然Microsoft 365 DLP在多个Microsoft 365服务中提供资料保护功能,但它无法保护机构内所有的资料。例如,它无法保护非Microsoft 365应用程序中的资料。为了获得全面的资料保护,您可能需要结合其他资料保护技术,如资料加密、防火墙和端点安全。
9. 总结
Microsoft 365 DLP是一个强大的资料保护工具,可以帮助您保护机构内的敏感资讯免受意外或恶意泄露。通过了解DLP的基本概念、建立和管理策略,以及监控和报告资料活动,您可以确保机构内的资料安全并符合各种合规要求。不过,请注意,DLP仅是资料保护策略的一部分,您可能需要结合其他安全措施来确保机构的整体资料安全。 在本节中,我们将提供一些实际案例,以帮助您更好地理解Microsoft 365 DLP在不同场景下的应用。
案例1:金融机构 一家金融机构需要确保其客户的敏感资讯,如信用卡号码、账户号码和身分证保障号码受到保护。他们可以通过Microsoft 365 DLP创建策略来识别和保护这些敏感资讯。例如,他们可以建立一个策略,以防止员工将未加密的敏感资料发送到机构外部。如果员工尝试发送包含此类资讯的电子邮件,DLP策略将自动阻止该操作并提示员工加密敏感资料。
案例2:医疗保健提供者 医疗保健提供者需要遵守严格的资料保护法规,如美国的HIPAA。他们可以使用Microsoft 365 DLP来建立针对医疗保健资讯的保护策略。这可能包括限制将个人健康资讯(PHI)共享给未经授权的人员,或要求对PHI进行加密。这样的策略有助於确保机构内的敏感健康资讯不被意外泄露。
案例3:教育机构 教育机构需要确保学生和教职员工的隐私得到保护。他们可以利用Microsoft 365 DLP来建立策略,以防止学生的个人资讯、成绩和其他敏感资料被未经授权的人员访问。此外,他们还可以建立策略,以确保教职员工的个人资料资讯不被外泄。
案例4:跨国公司 一家跨国公司需要确保遵守多个国家和地区的资料保护法规。他们可以使用Microsoft 365 DLP创建针对特定法规的策略,例如欧盟的一般资料保护条例(GDPR)。这样的策略可以帮助确保公司在所有运营地区遵守适用的资料保护法规。例如,他们可以建立一个策略,要求在传输涉及欧盟公民的个人资料时对其进行加密,以遵守GDPR的要求。此外,他们还可以建立针对其他法规的策略,例如加州消费者隐私法(CCPA)或新加坡的个人资料保护法(PDPA)。
案例5:政府机构 政府机构需要确保机密资料和国家安全资讯不被泄露。他们可以使用Microsoft 365 DLP来创建针对不同机密等级的资料保护策略。例如,他们可以建立一个策略,限制将机密资料发送给未经授权的人员,或要求对机密资料进行特定类型的加密。此外,他们还可以使用DLP来监控潜在的内部威胁,例如员工将机密资料上传到不受信任的网站或共享给外部实体。
案例6:知识产权保护 一家技术公司拥有大量的知识产权,包括专利、商业秘密和软件原始码。他们可以使用Microsoft 365 DLP来创建针对不同类型知识产权的保护策略。例如,他们可以建立一个策略,以防止员工无意中将未公开的专利申请或机密原始码发送给外部联系人。此外,他们还可以使用DLP来监控潜在的内部威胁,例如员工将敏感文件保存到个人云存储账户中。
案例7:律师事务所 律师事务所需要确保客户的机密资料和诉讼资讯受到保护。他们可以使用Microsoft 365 DLP来建立针对不同类型客户资讯的保护策略。例如,他们可以建立一个策略,以防止员工将涉及客户的机密合同或诉讼资料与未经授权的人共享。这样的策略有助於确保客户的隐私得到保护,并维护律师事务所的声誉。
案例8:非政府组织(NGO) 非政府组织(NGO)需要确保捐款人、志愿者和受益者的敏感资讯得到保护。他们可以利用Microsoft 365 DLP来建立针对这些敏感资讯的保护策略。例如,他们可以建立一个策略,以防止捐款人的信用卡资讯被未经授权的人员访问,或要求对这些资讯进行加密。这样的策略有助於确保捐款人和志愿者的隐私得到保护,并维护NGO的信誉。
案例9:零售业 零售公司需要确保客户的个人资讯和支付资讯受到保护。他们可以使用Microsoft 365 DLP来建立针对客户资料的保护策略。例如,他们可以建立一个策略,以防止员工将客户的信用卡资讯或个人
这些案例展示了Microsoft 365 DLP在各种业务场景中的应用。通过建立针对特定需求的资料保护策略,各类机构可以确保他们的敏感资料得到适当保护,并符合适用的法律和合规要求。然而,请记住,DLP策略仅是综合资料保护策略的一部分,您可能需要结合其他安全措施以确保机构的资料安全。