Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью базовой стратегии и архитектуры создайте строгие методики управления и безопасности с самого начала. Этот подход гарантирует, что когда данные из всех уголков организации попадают на единую платформу, они остаются хорошо управляемыми, соответствующими нормам и безопасными. Recommendation: Задайте Microsoft Purview в качестве системы записи для управления данными и безопасности, чтобы ваша организация может применять согласованную политику, подотчетность и соответствие требованиям в полном объеме данных (см. рисунок 1). Чтобы применить эту рекомендацию, используйте эту статью в качестве контрольного списка:
Рисунок 1. Роль Microsoft Purview в управлении данными и основах безопасности.
1. Базовые показатели видимости данных
Управление данными начинается с четкого представления всех ресурсов данных по всему активу. Recommendation: Установите согласованную базовую линию видимости с Microsoft Purview перед тем как данные попадут в OneLake. Этот подход помогает решениям по управлению оставаться согласованными на разных платформах и командах. Чтобы применить эту рекомендацию, используйте следующий контрольный список:
1.1. Создание каталога данных
Централизованный каталог данных предоставляет лицам, принимающим решения, единую систему записей для понимания того, какие данные существуют, где он находится, и кто владеет им. Recommendation: Использовать единый каталог Microsoft Purview в качестве авторитетной инвентаризации для всех корпоративных ресурсов данных. Чтобы применить эту рекомендацию, используйте следующий контрольный список:
Используйте домены управления. Упорядочение единого каталога с помощью доменов управления Purview, которые соответствуют существующим доменам данных. Коллекции, роли и разрешения должны отражать эти границы, чтобы каждый домен данных имел полномочия в своей области. Унифицированный каталог начинается пустым, но по мере регистрации и сканирования источников данных он становится точной картой недвижимости. Настройка доменов рано приносит ясность по мере расширения каталога.
Заполните глоссарий. Когда структура уже выстроена, создайте общий глоссарий, который закрепит наиболее важные для организации термины. Термины, такие как "Клиент," "Продукт," "Сотрудник" и "Местоположение," и показатели, такие как "Доход" или "Численность персонала," часто различаются в разных отделах, если не согласованы. Задокументируйте эти определения как термины глоссария в едином каталоге и просмотрите их в глоссарии Purview. Общаться с ними широко, чтобы устранить неоднозначность. Эта ясность поддерживает согласованные методики ИИ, аналитики и отчетности в разных командах.
1.2. Карта источников данных
Карта данных Purview обеспечивает видимость ресурсов данных без копирования данных или замены элементов управления безопасностью на уровне источника. Рекомендации: Зарегистрируйте и проверьте все соответствующие системы данных, чтобы заполнить карту данных. Чтобы применить эту рекомендацию, используйте следующий контрольный список:
Создание архитектуры Purview. Используйте коллекции Purview и домены карты данных для выравнивания разрешений и управления с учетом потребностей доменов данных. Эти конструкции определяют границы для управления доступом, управления политиками и оперативной ответственности. Следуйте рекомендациям по архитектуре домена и коллекции Purview.
Настройте Purview для данных Microsoft 365. Purview имеет встроенную интеграцию с данными Microsoft 365 (например, SharePoint, OneDrive, Exchange, Teams). Убедитесь, что вы также управляете содержимым в Microsoft 365. При перемещении документов и сообщений Microsoft 365 в OneLake или иначе используйте их в аналитике, любые метки или классификации из Microsoft 365 переносятся. В Purview можно увидеть метки конфиденциальности и метки хранения, примененные в среде Microsoft 365. Дополнительные сведения см. в руководствах по настройке Microsoft Purview.
Выполните сканирование OneLake в Microsoft Fabric. Fabric OneLake не включается в карту данных Purview автоматически. Необходимо явно зарегистрировать и просканировать это. Сканирование OneLake позволяет обнаруживать метаданные, отслеживать происхождение и каталогизировать ресурсы Fabric в Purview. Для получения дополнительных сведений см. раздел Регистрация и сканирование Microsoft Fabric.
1.3. Сканирование облачных, SaaS и локальных данных
Сканирование на основе соединителя требуется для данных, хранящихся в службах Azure, Microsoft Dataverse, локальных системах и других облаках (AWS, Google Cloud, Oracle). Необходимо зарегистрировать и проверить поддерживаемые источники данных на карте данных. Рекомендации: Следуйте рекомендациям по сканированию Purview. Выберите, следует ли сканировать исходные системы или проверять только слой OneLake Microsoft Fabric. Это решение зависит от потребностей видимости, требований к соответствию требованиям, операционным издержкам и роли каждой системы в аналитике и отчетности. Чтобы применить эту рекомендацию, ознакомьтесь со следующими параметрами:
Вариант 1. Сканирование исходных систем. Сканирование операционных систем, таких как базы данных Azure и хранилище AWS S3, обеспечивает сквозное происхождение данных из учетной системы. Эта информация важна для регулируемых или критически важных для бизнеса данных, где полное происхождение данных позволяет поддерживать проведение аудитов и обеспечение соответствия требованиям. Она обеспечивает наиболее четкое представление об внешних изменениях, но усложняет процесс. Конфигурация соединителя, учетные данные и планирование требуют внимания, а некоторые источники требуют выбора правильной среды выполнения интеграции.
Вариант 2: Сканирование только слоя Fabric. Если глубокое представление о вышестоящих системах не требуется, сканирование только уровня Fabric упрощает модель управления. Происхождение данных начинается, когда они поступают в систему Fabric. Такой подход снижает работу интеграции. Лучше всего подходит для данных, где вышестоящие системы имеют хорошее управление или где требования к соблюдению не требуют полного происхождения. Дополнительные сведения см. в Microsoft Purview Fabric.
1.4. Применяйте метки конфиденциальности
Метки конфиденциальности — это основное средство для классификации и защиты данных. В Microsoft Purview обычно существует два типа меток конфиденциальности:
Метки, доступные только для метаданных: Эти метки являются тегами метаданных в каталоге Purview. Например, метка таблицы Azure SQL как "Конфиденциальной" в каталоге без прямого влияния на исходную систему. Эти метки помогают отслеживать конфиденциальность данных в Purview и управлять ими за пределами Microsoft 365/Fabric.
Защитные метки: Эти метки помечают не только данные классификацией, например "Конфиденциально", но и принудительной защитой. Они могут применять шифрование или ограниченный доступ к файлам и сообщениям электронной почты. Активно используйте эти метки в Microsoft 365, и теперь они применяются в Fabric.
Оба способствуют согласованной модели управления, а ясность в их назначении помогает согласовать правильный тип метки с правильным сценарием. Recommendation: Применение единой стратегии маркировки конфиденциальности для Microsoft 365, Fabric и карты данных Purview. Чтобы применить эту рекомендацию, используйте следующий контрольный список:
Определите таксономию меток чувствительности. Определите схему маркировки организации. Схема классификации включает категории: не связанная с бизнесом, публичная, общая, конфиденциальная и строго конфиденциальная. Убедитесь, что каждый понимает, что означает каждая метка и какие типы данных попадают под каждую категорию. Получите одобрение на эту таксономию от отдела по соблюдению нормативных требований и заинтересованных сторон. См. статью "Начало работы с метками конфиденциальности".
Метка данных Microsoft 365 (защитная метка). Убедитесь, что данные Microsoft 365 помечены с помощью Защита информации Microsoft Purview. Эти метки накладывают средства управления безопасностью (шифрование, ограниченный доступ). Они сохраняются вместе с данными при переносе в OneLake или при совместном использовании через другие инструменты. Рекомендации: Многие организации настраивают политики автоматической маркировки для обнаружения конфиденциальных сведений, таких как номера кредитных карт или персональные данные, и автоматически применяют метку. См. автоматически применять метки конфиденциальности к данным Microsoft 365.
Метка данных Microsoft Fabric (защитная метка). Microsoft Fabric поддерживает защищенные метки конфиденциальности в собственных ресурсах, таких как таблицы в Lakehouse и в Power BI. Настройте политики меток default в Fabric, чтобы новые данные в OneLake были помечены соответствующим образом при создании. Например, можно указать, что любой новый набор данных в определенных рабочих областях по умолчанию помечен как внутренний или конфиденциальный, если не изменено. Этот подход гарантирует, что ни одни данные не попадали в озеро без классификации. Настройте эти значения по умолчанию для областей, обрабатывающих конфиденциальные данные. См. раздел Govern Fabric.
Запишите метки в карту данных Purview (только метки метаданных). Для источников данных, которые сканируются в Purview (например, контейнер Amazon S3 или локальная база данных), примените метки метаданных на карте данных Purview. Хотя эти метки не шифруют или не ограничивают данные в источнике, они сообщают пользователям и системам, что данные, скажем, конфиденциальны. Они также могут активировать другие рабочие процессы управления. Все в каталоге должно иметь обозначение конфиденциальности. Ознакомьтесь с политиками автоматической маркировки для обнаружения ресурсов данных и автоматического применения меток конфиденциальности только для метаданных.
1.5. Отслеживание происхождения данных
Происхождение данных обеспечивает представление о том, как данные перемещаются и изменяются в системах. Рекомендация: Включите автоматическое отслеживание, где это возможно, и вручную устраните возникающие пробелы. Лучшие практики: Используйте Microsoft Purview для автоматизации записи происхождения для множества ресурсов. Если автоматизация недоступна, вручную добавьте происхождение в Purview для устранения пробелов. См. раздел "Настройка происхождения вручную". Настройте происхождение данных в Purview для Fabric и при необходимости для Azure Databricks.
2. Базовый стандарт соответствия информационного фонда
Соответствие определяет юридические, нормативные и внутренние обязательства, которые применяются к данным на разных платформах. Лица, принимающие решения, должны понимать эти обязательства перед применением контроля. Этот подход гарантирует, что действия по управлению остаются обоснованными и проверяемыми в Microsoft Fabric и в более широкой системе данных. Recommendation: Определите требования соответствия централизованно и постоянно отслеживайте выравнивание с помощью Microsoft Purview. Решения по управлению данными должны оставаться согласованными в Microsoft 365, Azure, других облаках и локальных системах. Чтобы применить эту рекомендацию, используйте следующий контрольный список:
Определите требования к соответствию требованиям. Требования к соответствию зависят от отрасли, региона и рабочей нагрузки. Модель управления должна отражать их перед применением каких-либо защитных или технических элементов управления. Определите, какие нормативные платформы или отраслевые стандарты относятся к вашей организации. Лучшие практики: используйте Microsoft Purview регуляторные шаблоны и оценки. Они представляют такие стандарты, как HIPAA и HITECH, PCI DSS версии 4.0, законSarbanes-Oxley и ISO 27001. Просмотрите эти шаблоны, чтобы понять, какие правила применяются в Microsoft 365, Azure, AWS и Google Cloud. Эти шаблоны предоставляют контрольный список элементов управления и методик, которые должны быть установлены. Используйте оценки и рекомендации диспетчера соответствия требованиям для оценки текущего положения, выявления пробелов и определения приоритетов, которые необходимо решить первым.
Мониторинг соответствия данным. После настройки шаблонов соответствия Purview регулярно просматривайте оценку соответствия и отчеты. Purview автоматически оценивает аспекты соответствия требованиям для данных Microsoft 365 и данных в Azure, AWS и Google Cloud. В нем рассматриваются проблемы и предлагаемые действия по улучшению соответствия требованиям. Настройте оповещения для любых критически важных нарушений политики соответствия. Рекомендации: Если Purview находит конфиденциальные данные в неутвержденном расположении или если политика хранения нарушена, сообщите ответственным командам немедленно, чтобы они могли принять меры. Постоянный мониторинг и постепенные улучшения гарантируют, что вы не застигнуты врасплох аудитами или инцидентами.
Настройте хранение Microsoft 365 данных. Определите, как долго хранить различные типы данных и когда его удалять или архивировать. Неоднозначность в хранении может привести к слишком долгому хранению данных (рискуя нарушениями соответствия или ненужными затратами на хранение) или удалению слишком рано (потеря ценной истории). Best practices: Использовать управление жизненным циклом данных Microsoft Purview для данных Microsoft 365 для задания политик хранения или удаления сообщений электронной почты, документов и сообщений Teams.
Настройте Azure хранение данных. Службам Azure требуется настройка хранения и резервного копирования, специфичная для каждой службы. Best practices: Настройка хранения резервных копий для служб, таких как Azure SQL, Cosmos DB и MySQL. Используйте правила управления служба хранилища Azure lifecycle для архивации или удаления данных. Руководство по использованию База данных SQL Azure, Cosmos DB и MySQL.
Настройте сохранение данных для внутренних и других облачных сред. Для данных за пределами Microsoft платформ по-прежнему требуются соответствующие элементы управления жизненным циклом. Чтобы избежать неуправляемого риска соответствия требованиям, примените преднамеренные стратегии хранения ко всем не Azure и локальным источникам данных. Рекомендации: Используйте Azure Backup или сторонние решения для хранения локальных данных, AWS и Google Cloud. Следуйте инструкциям по резервному копированию облачных и локальных рабочих нагрузок в облако. При необходимости вручную загрузите данные в служба хранилища Azure и архивируйте блоб.
3. Базовые показатели безопасности хранилища данных
Согласованные базовые показатели безопасности обеспечивают защиту конфиденциальных данных в Microsoft 365, Microsoft Fabric, Azure службах и рабочих нагрузках ИИ. Рекомендации: Определите и примените единую систему безопасности во всем пространстве данных, чтобы классификация, защита и принудительное применение работали равномерно. Чтобы применить эту рекомендацию, используйте следующий контрольный список.
Классификация конфиденциальных данных.Классификаторы конфиденциальных данных в Microsoft Purview определяют регулируемые и критически важные для бизнеса данные, чтобы средства управления защитой могли действовать автоматически и согласованно в разных службах.
Вариант 1. Автоматическое сопоставление шаблонов. Используйте механизмы сопоставления шаблонов, такие как типы конфиденциальной информации, отпечаток документов и точное сопоставление данных, когда выравнивание нормативных требований является основной целью, а типы данных соответствуют стандартным определениям.
Вариант 2. Обучаемые классификаторы. Добавьте обучаемые классификаторы к средствам автоматического сопоставления с шаблонами в тех случаях, когда специфичные для бизнеса данные несут риск, который стандартное сопоставление с шаблонами не выявляет, например торговые секреты или закрытые исследования. Компромисс: обучаемые классификаторы увеличивают охват, но для сохранения точности с течением времени требуют надлежащего управления и контроля.
Применение защиты от потери данных (DLP). Настройте политики защиты от потери данных в Microsoft Purview, чтобы предотвратить утечку конфиденциальных данных с помощью повседневных действий. Настройте защиту от потери данных для обеих Microsoft 365 (для покрытия сообщений электронной почты, документов Office и чатов Teams) и Microsoft Fabric. Политика защиты от потери данных может заблокировать пользователя от отправки файла за пределы организации, если он содержит конфиденциальную информацию, такую как персональные данные клиента или информация о здоровье. В Fabric система предотвращения утечки данных помогает предотвратить совместное использование аналитиками набора данных или отчета, содержащего конфиденциальные данные. Подробные сведения о конфигурации см. в руководстве по приложениям Microsoft 365, Copilot и Microsoft Fabric. Руководство по принятию решений:
Только мониторинг (режим аудита): Начните с DLP, режима только мониторинга, если вы хотите избежать нарушения работы. Он позволяет наблюдать и настраивать поведение политики, но данные могут по-прежнему быть раскрыты, так как применение политики не активно.
Блокировка или ограничение: Перейдите к блокировке или ограничению режима, когда утечка данных будет иметь серьезные последствия, и правила обнаружения являются надежными. Некоторые законные действия могут быть заблокированы изначально и требовать обработки исключений и корректировки политики.
Защита данных в службах Azure. Microsoft Purview в службах Azure каталогизирует и маркирует данные, но не заменяет встроенные средства управления безопасностью для этих служб. Best practices: Применение элементов управления безопасностью уровня обслуживания, таких как изоляция сети и покрытие Microsoft Defender для База данных SQL Azure, Azure Cosmos DB и служба хранилища Azure. Выровняйте эти элементы управления с классификациями Purview, чтобы мониторинг и оповещение отражали конфиденциальность данных и бизнес-риск.
Защита данных, используемых приложениями ИИ. Приложения ИИ вводят новые пути раскрытия данных, требующие явного выравнивания с корпоративными политиками управления данными и безопасностью. Microsoft Purview интегрируется с Microsoft Foundry и другими платформами ИИ для обеспечения этого элемента управления.
Рекомендации
- Используйте Управление состоянием безопасности данных Microsoft Purview (DSPM). Она обеспечивает централизованную видимость и защиту рисков данных, связанных с ИИ. Сведения о подключении и автоматизации управления DSPM для искусственного интеллекта см. в разделе "Управление агентами данных" и "Акселератор безопасности".
- Используйте API Purview и функции безопасности, относящиеся к ИИ, для передачи контекста конфиденциальности в рабочие процессы ИИ, чтобы приложения могли применять ограничения маскирования или реагирования при необходимости. См. Microsoft Purview и Искусственный интеллект и Purview с Foundry.
- Установите контрольные точки проверки для сценариев СИ, чтобы убедиться, что доступ к данным соответствует стандартам управления.