Cykl życia danych na platformie Microsoft 365 

Narzędzia do współpracy, zmiana paradygmatu w zarządzaniu danymi 

Nowe zastosowania narzędzi do współpracy, zwłaszcza w Microsoft 365, zmieniły rolę użytkownika, który stał się administratorem własnych danych. Może udostępniać dane za pośrednictwem OneDrive, udostępniać je wewnętrznie i zewnętrznie w Teams za pośrednictwem linków, tworzyć przestrzenie Teams, dodawać członków i nie tylko. 

Ten nowy sposób udostępniania sprzyja jednak błędom ludzkim. Firmy muszą być coraz bardziej wyczulone na przetwarzanie danych w Microsoft 365: Jak je przetwarzać? Jak je identyfikować? Jaką politykę należy wdrożyć? Jak zrozumieć ewolucję funkcji Microsoft? 

W tym celu należy wziąć pod uwagę kilka elementów, aby mieć dobrą kontrolę i zarządzanie danymi, w szczególności ze względu na znaczną ilość danych do przetworzenia. Koncentracja na cyklu życia danych. 

Lepsze zarządzanie wewnętrznymi i zewnętrznymi uprawnieniami i tożsamościami 

Zarządzanie cyklem życia danych wymaga między innymi zarządzania uprawnieniami i tożsamościami. Microsoft zarządza i zapewnia architekturę i infrastrukturę dla dzierżawcy. Jednak każdy klient jest odpowiedzialny za 3 elementy bezpieczeństwa: 

• Ustalenie konfiguracji platformy (baza bezpieczeństwa, środowisko pracy), aby móc współpracować wewnętrznie i zewnętrznie, zwłaszcza w przypadku danych wrażliwych. 
• Poznanie i zarządzanie tożsamością użytkowników i danych.
• Monitorowanie i nadzorowanie poziomu bezpieczeństwa i ryzyka w celu zapewnienia, że znajdujemy się w sytuacji nominalnej. 

Każda firma ma możliwość wdrożenia polityki bezpieczeństwa odpowiedniej do jej potrzeb. Konieczna jest jednak możliwość śledzenia rzeczywistej aktywności danych, w tym różnych tożsamości, które mają dostęp do danych. 

1. Zarządzanie tożsamościami w Microsoft 365 

Użytkownicy są teraz odpowiedzialni za swoje dane. Każdy użytkownik może zmieniać uprawnienia, modyfikować dane lub je wyodrębniać. 

Istnieje 5 profili tożsamości do monitorowania w czasie, które mają fundamentalne znaczenie dla ochrony danych: użytkownicy, użytkownicy anonimowi, użytkownicy federacyjni i użytkownicy Azure AD B2B. 

2. Zarządzanie tożsamościami aplikacji 

Tożsamości aplikacji (administracja, aplikacje innych firm) mogą być niebezpieczne, gdy użytkownik deleguje zgodę na aplikację. Ta ostatnia może robić, co chce, korzystając z nadanych jej uprawnień. Wymaga to możliwości: 

• Wykrywanie danych w usłudze Microsoft 365 

Aplikacja będzie mogła odczytywać dane w mojej usłudze OneDrive, odczytywać pliki, do których ktoś uzyskał dostęp, lub modyfikować odczyt. Głównymi zagrożeniami związanymi z takim delegowaniem bez zarządzania dostępem może być eksploracja danych, zrzucanie danych z usługi Azure AD w celu przyszłego ataku, a nawet oprogramowanie ransomware. 

• Uzyskaj widoczność w Microsoft 365 

Użytkownicy czasami nie mają dobrego wglądu w uprawnienia przyznane aplikacji i nie widzą, do czego mają dostęp. 

• Śledzenie i odwoływanie uprawnień w Microsoft 365 

Zwykle delegowana zgoda jest dożywotnia, ale użytkownicy o tym nie wiedzą. Konieczne jest śledzenie i kontrolowanie tych uprawnień w czasie. 

• Rozszerzenie tej refleksji na platformę Power Platform 

Power Platform umożliwia tworzenie połączeń między ich danymi a aplikacją workflow. Dzięki temu właściciel może mieć dostęp do wszystkich swoich danych. Aby to zrobić, ważne jest, aby wdrożyć „ograniczenie najemcy” i zapewnić, że poprawki są sprawdzane przez użytkowników. 

Ochrona danych wrażliwych i zarządzanie nimi w środowisku M365 

Dane wrażliwe oznaczają dane, które wymagają zwiększonej ochrony. Polityka bezpieczeństwa musi być dostosowana do poziomu poufności informacji i musi być znana każdemu. Bezpieczeństwo nie powinno być jednak postrzegane jako przeszkoda, ale raczej jako wsparcie dla nowych zastosowań cyfrowych i współpracy. 

Microsoft zmienił nazwę swojego narzędzia MIP (Microsoft Information Protection) na Microsoft Purview Information Protection, aby stworzyć swój system klasyfikacji, oznaczać dane automatycznie lub dając użytkownikom kontrolę i stosować mechanizmy ochrony. 

Ta struktura ochrony danych oparta na klasyfikacji danych stworzy: 

• Etykiety prywatności (etykiety danych nieustrukturyzowanych (wiadomości e-mail, dokumenty), etykiety kontenerów (grupa Microsoft 365, witryny SharePoint) i etykiety danych ustrukturyzowanych za pomocą usługi Azure AD. 
• Ochrona danych dzięki szyfrowaniu danych i usłudze Office 365 Data Loss Prevention.
• Ochrona kontenerów (ograniczenia dostępu i udostępniania).
• Zaawansowana ochrona za pomocą Microsoft 365 E5 (zasady alertów dotyczących danych z Defender for Cloud Apps i kontekstowe zasady dostępu warunkowego z etykietą grupy lub witryny) 

Wciąż jednak istnieją pewne ograniczenia tego narzędzia Microsoft Purview, w tym przegląd dostępu do wrażliwych danych, który jest skomplikowany i nie jest możliwy na pewnym poziomie Purview, a także obsługa alertów DLP i ładu. 

Rewalidacja dostępu w czasie dzięki automatycznej identyfikacji właściciela 

Każda firma musi mieć możliwość śledzenia różnych dostępów w czasie. Microsoft oferuje w tym celu usługę Azure AD Access Review, która jest oferowana w ramach licencji Azure AD P2. 

Administratorzy usługi Azure AD mogą ręcznie śledzić i ponownie certyfikować grupy wewnętrzne oraz uruchamiać kampanie użytkowników. Istnieją 2 główne scenariusze przeglądu dostępu: 

Scenariusz 1: Uruchomienie kampanii przeglądu dla wszystkich gości grupy Microsoft 365. Przegląd jest możliwy tylko dla członków grupy, a nie dla śledzenia linków udostępniania lub uprawnień SharePoint. 
Administratorzy nie mają scentralizowanego przeglądu. 

Scenariusz 2: Uruchomienie kampanii przeglądu członków grupy, która obejmie strony wewnętrzne i zewnętrzne, chociaż nadal nie będziemy mieć przeglądu linków do udostępniania i uprawnień. 

Lepsze zarządzanie danymi i użytkownikami w celu kontrolowania danych w czasie 

Dla skutecznej ochrony danych i zarządzania nimi ważne jest, aby każda firma mogła śledzić, kto co robi? Kto co udostępnia? Kto uzyskuje dostęp do czego? Zwłaszcza w kontekście, w którym użytkownik stał się podmiotem zarządzającym swoimi danymi, dostępem do nich oraz ich wewnętrznym i zewnętrznym udostępnianiem. 

Aby to zrobić, musisz być w stanie zapewnić użytkownikowi widoczność, aby mógł zarządzać cyklem życia swoich danych w środowisku Microsoft 365, a działy IT mogły szybko reagować na wszelkie anomalie behawioralne.