기본적으로 Microsoft Purview를 사용하여 보호 및 초과 공유로부터 보호 - 4단계

이 가이드는 다음 네 단계로 나뉩니다.

• 소개
• 1단계: 기본 – 기본 레이블 지정 시작
• 2단계: 관리 – 민감도가 가장 높은 파일 주소 지정
• 3단계: 최적화 – 전체 Microsoft 365 데이터 자산으로 확장
• 4단계: 전략적 – 운영, 확장 및 소급 작업(이 페이지)

4단계: 전략적 - 운영, 확장 및 소급 작업

이 마지막 단계에서는 운영 절차를 구현하고 Microsoft 365 이상으로 확장하는 방법을 살펴봅니다.

사용자 레이블 지정 동작의 운영 검토

파일 레이블 지정은 이 청사진의 필수적인 부분입니다. 관리자는 표준에서 벗어나는 위험한 동작 및 구성을 검토해야 합니다.

검토할 핵심 운영 시나리오는 다음과 같습니다.

• 레이블이 지정되지 않은 사이트/Teams – Graph API 사용하여 사이트를 식별하고 사이트 소유자에게 문의하거나 정정 조치를 적용합니다.
• 사이트 레이블과 기본 라이브러리 레이블 간의 불일치 – Graph API 사용하여 불일치를 식별하고 사이트 소유자에게 문의하거나 수정 조치를 적용합니다.
• SIT 및 무제한 레이블에서 DLP(데이터 손실 방지) 활용 – 콘텐츠가 보호 및 공유 없이 레이블이 지정되고 공유가 시도될 때 DLP에서 예외를 catch합니다.
• 참가자 위험 관리 감사를 사용하여 위험한 사용자를 찾 습니다. 위험한 사용자 및 동작을 검토하고 IRM 정책을 미세 조정하며 더 엄격한 적응형 보호를 구현합니다.

새 레이블 지정 시나리오를 사용하여 반복

이 배포 모델에서는 대부분의 조직에 적합한 레이블 지정 시나리오에 중점을 두어 빠른 배포를 허용하고 모든 에지 사례를 식별할 필요 없이 데이터 자산을 신속하게 보호합니다.

이 섹션에서는 핵심 배포 후 조직에서 고려해야 할 잠재적 반복을 살펴봅니다.

신뢰할 수 있는 파트너/다중 테넌트 조직과의 보안 협업

organization 여러 테넌트가 있거나 신뢰할 수 있는 파트너와 공개적으로 작동하는 경우 "@contoso.com + @adventureworks.com”와 같은 여러 도메인을 지원하는 암호화와 함께 레이블을 사용하는 것이 좋습니다.

기밀 및 기밀 모두에 레이블이 지정됩니다.

텐트 프로젝트

텐트 프로젝트는 매우 기밀입니다. 예를 들어 콘텐츠에 대한 액세스를 특정 사용자 그룹으로 제한해야 하는 인수 합병 프로젝트가 있습니다.

보안 그룹에 대한 암호화를 사용하여 레이블을 만들고 동일한 개인에게만 게시할 수 있습니다. 이 프로젝트가 필요하지 않은 기간이 지나면 레이블을 게시 취소할 수 있으며 정보는 보호된 상태로 유지되지만 이 레이블로 새 레이블 지정은 수행되지 않습니다.

Full-Time 직원, 공급업체, 역외 또는 지역 팀

일부 조직에는 다음과 같은 사용자 세그먼트를 식별하고 보호해야 하는 요구 사항이 있습니다.

• Full-Time 직원(FTE)
• 공급 업체
• 해외
• 지역/국가

이 가이드에서는 "모든 직원"에 대한 레이블 지정을 간소화하지만 FTE와 공급업체/파트너 간에, 때로는 특정 지역에 대해 레이블 지정을 다르게 보호해야 할 수도 있음을 이해합니다.

이전 시나리오와 마찬가지로 사용자가 볼 수 있는 레이블 수를 가능한 한 5개 이하의 레이블(5x5)이 있는 5개 이하의 그룹 레이블로 제한하는 것이 좋습니다. 지역 또는 국가 레이블 지정의 컨텍스트에서 적절한 사용자에게 게시를 대상으로 지정하고 컨테이너를 사용하여 파일 레이블 지정을 사용하여 가장 적절한 레이블의 기본값을 간소화할 수 있습니다.

온-프레미스 파일 공유 및 SharePoint 서버 레이블 지정

온-프레미스 파일 공유 및 SharePoint 서버와 함께 민감도 레이블을 Information Protection 스캐너와 함께 사용할 수 있습니다. 이 가이드에서는 기본적으로 보안에 중점을 두므로 SharePoint에서 올바른 기본값을 구성하고, 콘텐츠를 SharePoint로 마이그레이션하고, 업로드될 때 콘텐츠에 자동으로 레이블을 지정하는 것이 좋습니다.

BYOK(Bring Your Own Key) 및 DKE(이중 키 암호화)

BYOK와 DKE는 모두 규정 요구 사항을 충족하는 데 사용할 수 있는 옵션이며 이 가이드의 scope 벗어났습니다. BYOK는 소유권과 암호화 키의 롤링이 작동하는 방식에 관한 것이지만 DKE는 더 많은 보안이 필요한 매우 중요한 콘텐츠의 작은 부분을 위한 것입니다. DKE는 여러 공동 작업 기능에 영향을 줍니다.

BYOK에 대한 자세한 내용은 서비스 암호화 및 키 관리 - Microsoft Purview에서 확인할 수 있습니다.

DKE에 대한 자세한 내용은 DKE(이중 키 암호화)에서 확인할 수 있습니다.

책임 체인 및 수명 주기 관리 설정

SharePoint와의 협업 강화에는 사이트 소유자에 대한 책임이 있습니다. 다음 권장 사항을 사용하여 책임 및 수명 주기 관리 체인을 구현하는 것이 중요합니다.

• 모든 사이트에서 2개 이상의 사이트 소유자 – 사이트 소유권 정책을 사용하여 두 명 이상의 소유자가 없는 사이트를 식별하고 현재 소유자 또는 구성원에게 문의하여 resolve.
• 비활성 사이트 – 사용하지 않는 사이트를 제거하기 위한 비활성 사이트 정책입니다.
• 사이트 증명 – 사이트 소유자가 정기적으로 사이트를 증명해야 합니다.
• "외부 사용자를 제외한 모든 사용자"와 공유되는 콘텐츠 검토 – SharePoint 고급 관리 보고를 사용하여 게스트를 제외한 모든 사용자와 공유되는 콘텐츠를 식별하고 사이트 소유자에게 문의하세요.
• 사이트 액세스 검토 – SharePoint 고급 관리를 사용하고, 사이트 데이터 거버넌스를 검토하고, 특히 공유 또는 액세스가 많은 사이트의 경우 사이트 액세스 검토를 시작합니다.

Azure SQL 및 비 Microsoft 365 스토리지로 보호 확장

민감도 레이블은 이제 비 Microsoft 365 데이터 원본으로 보호를 확장할 수 있습니다. 현재 공개 미리 보기에서 다음 데이터 원본을 지원합니다.

• Azure SQL 데이터베이스
• Azure Blob 저장소
• Azure Data Lake Storage Gen2
• Amazon S3 버킷

Microsoft Purview는 이전에 Azure Purview와 Microsoft Purview로 알려진 항목의 조합입니다. 이 환경은 이제 2024년 7월 현재 일반 공급되는 새로운 Microsoft Purview 포털 아래에 있습니다. 이를 통해 데이터 보안 관리자는 Microsoft 365 및 비 Microsoft 365 모두에서 레이블 지정, 자동 레이블 지정 및 보호 정책을 설정할 수 있습니다.

데이터 수준에서 "제외한 모든 권한 거부" 권한으로 초과 공유 보호를 설정할 수 있는 비 Microsoft 365 데이터 자산에 대한 보호 정책입니다. 예를 들어 의도한 것보다 중요한 콘텐츠에 실수로 사용되는 스토리지 계정은 보호 정책을 통해 권한이 데이터 보안 관리자로 제한되도록 할 수 있습니다.

마찬가지로 Azure SQL 데이터베이스의 경우 보호 정책은 중요한 콘텐츠가 발견되고 열에 레이블이 지정된 경우 열에 대한 액세스를 제한합니다. 각 데이터 자산에 대한 액세스를 유지할 수 있는 사용자를 설정하는 데 세분화된 구성을 사용할 수 있습니다.

4단계 - 요약

• 데이터 액세스 거버넌스 보고서에 대한 사이트 액세스 검토 시작 - Microsoft 365의 SharePoint
• 내부 위험 관리 감사 로그를 사용하여 활동 검토
• 내부 위험 관리에서 경고 볼륨을 관리하기 위한 모범 사례
• 사이트 수명 주기 정책 관리 - Microsoft 365의 SharePoint
• 데이터 액세스 거버넌스 보고서에 대한 사이트 액세스 검토 시작 - Microsoft 365의 SharePoint

참고 항목

• Microsoft Purview 포털에 대해 알아보기
• 보호 정책 작성 및 게시(미리 보기)
• Azure 원본에 대한 보호 정책 작성 및 게시(미리 보기)
• Amazon S3에 대한 보호 정책 작성 및 게시(미리 보기)