다음을 통해 공유

DLP 전략 구현

DLP(데이터 손실 방지) 정책은 사용자가 실수로 조직 데이터를 노출하는 것을 방지하고 테넌트의 정보 보안을 보호하는 데 도움이 되는 가드 레일 역할을 합니다. DLP 정책은 각 환경에 대해 활성화되는 커넥터와 함께 사용할 수 있는 커넥터에 대한 규칙을 적용합니다. 커넥터는 비즈니스 데이터 전용, 비즈니스 데이터 허용 안됨 또는 차단됨으로 분류됩니다. 비즈니스 데이터 전용 그룹의 커넥터는 동일한 앱 또는 흐름에서 해당 그룹의 다른 커넥터와만 함께 사용할 수 있습니다. 자세한 내용은 데이터 유출 방지(DLP) 정책에서 확인하세요.

DLP 정책을 수립하는 것은 환경 전략과 함께 진행됩니다.

간단한 정보

  • 데이터 유출 방지(DLP) 정책은 사용자가 의도치 않게 데이터를 노출하는 것을 방지하는 가드레일 역할을 합니다.
  • DLP 정책은 환경 수준 및 테넌트 수준에서 범위를 지정할 수 있으므로 합리적이고 높은 생산성을 차단하지 않는 정책을 작성할 수 있는 유연성을 제공합니다.
  • 환경 DLP 정책은 테넌트 차원의 DLP 정책을 재정의할 수 없습니다.
  • 하나의 환경에 대해 여러 정책이 구성된 경우 가장 제한적인 정책이 커넥터 조합에 적용됩니다.
  • 기본적으로 테넌트에는 DLP 정책이 구현되지 않습니다.
  • 정책은 사용자 수준에서는 적용할 수 없고 환경이나 테넌트 수준에서만 적용할 수 있습니다.
  • DLP 정책은 커넥터를 인식하지만, 커넥터를 사용하여 이루어진 연결은 제어하지 않습니다. 즉, DLP 정책은 커넥터가 개발, 테스트 또는 프로덕션 환경에 연결하는 데 사용되는지 여부를 결정할 수 없습니다.
  • PowerShell 및 관리자 커넥터는 정책을 관리할 수 있습니다.
  • 환경의 리소스 사용자는 적용되는 정책을 볼 수 있습니다.

커넥터 분류

비즈니스 및 비 비즈니스 분류는 지정된 앱 또는 흐름에서 함께 사용할 수 있는 커넥터에 대한 경계를 그립니다. 커넥터는 DLP 정책을 사용하여 다음 그룹으로 분류할 수 있습니다.

  • 비즈니스: 특정 Power App 또는 리소스는 비즈니스 그룹의 커넥터를 하나 이상 사용할 수 있습니다. Power Automate Power App 또는 Power Automate 리소스는 비즈니스 커넥터를 사용하지만 비 비즈니스 커넥터는 사용할 수 없습니다.
  • 비즈니스가 아닌 경우: 특정 Power App 또는 리소스는 비즈니스가 아닌 그룹의 커넥터를 하나 이상 사용할 수 있습니다. Power Automate Power App 또는 Power Automate 리소스는 비 비즈니스 커넥터를 사용하지만 비즈니스 커넥터는 사용할 수 없습니다.
  • 차단됨: Power App이나 리소스가 차단된 그룹의 커넥터를 사용할 수 없습니다. Power Automate 모든 Microsoft 소유 프리미엄 커넥터 및 타사 커넥터(표준 및 프리미엄)를 차단할 수 있습니다. Microsoft 소유의 표준 커넥터와 Common Data Service 커넥터는 차단할 수 없습니다.

참고

"사업"과 "비사업"이라는 이름에는 특별한 의미가 없습니다. 그저 라벨일 뿐입니다. 커넥터 자체의 그룹화는 해당 커넥터가 배치된 그룹의 이름이 아니라 중요합니다.

자세히 알아보기: 커넥터 분류

세부적인 제어

커넥터 작업 제어를 구성하면 더욱 세부적인 제어가 가능합니다. 작업 제어를 통해 커넥터에서 어떤 작업을 허용할지 또는 허용하지 않을지 선택할 수 있습니다. 이 옵션은 DLP 정책의 비비즈니스 또는 비즈니스 데이터 그룹에 추가한 차단 가능한 커넥터를 위한 것입니다. 이를 사용하면 제작자가 커넥터에서 "읽기" 작업은 사용할 수 있지만 "수정" 작업은 사용할 수 없도록 할 수 있습니다. 커넥터는 업데이트되면 새로운 작업을 얻습니다. 새로운 작업을 허용할지 차단할지 설정할 수 있습니다.

더욱 세부적인 제어를 얻는 또 다른 방법은 커넥터 엔드포인트 필터링을 구성하는 것입니다. 엔드포인트 필터링을 통해 관리자는 앱, 흐름 또는 챗봇을 구축할 때 제작자가 연결할 수 있는 특정 엔드포인트를 관리할 수 있습니다. 커넥터 엔드포인트 필터링은 HTTP, HTTP with Microsoft Entra ID, HTTP Webhook, SQL Server, Azure Blob Storage, SMTP 등 6가지 커넥터에 적용됩니다. 이 규칙은 제작자가 정적 값을 사용하여 종료점을 지정하는 경우에만 적용됩니다.

Power Platform을 사용하면 제작자가 사용자 지정 커넥터를 만들고 공유할 수 있습니다. 테넌트 및 환경 수준 데이터 손실 방지(DLP) 정책에 대한 사용자 지정 커넥터를 관리할 수 있습니다. ...

구체적으로는 다음과 같습니다.

  • 환경 관리자는 Power Platform을 사용하여 관리 센터에서 환경 수준 데이터 정책에 대한 이름별로 개별 사용자 지정 커넥터를 분류할 수 있습니다.
  • 테넌트 관리자는 Power Platform 관리 센터 및 PowerShell을 사용하여 테넌트 수준 데이터 정책에 대한 패턴 일치 구문을 사용하여 호스트 URL 끝점별로 사용자 지정 커넥터를 분류할 수 있습니다.

Copilot Studio용 DLP

데이터 유출 방지(DLP) 정책을 사용하면 조직 내부 및 외부에서 에이전트가 데이터 및 서비스에 연결하고 상호 작용하는 방식을 관리할 수 있습니다. 자세한 내용은 에이전트에 대한 데이터 손실 방지 정책 구성에서 확인하세요.

데스크톱 흐름용 DLP

Power Automate 데스크톱 흐름 모듈과 개별 모듈 작업을 업무용, 비업무용 또는 차단됨으로 분류하는 DLP 정책을 만들고 적용할 수 있습니다. 이 분류는 제작자가 다른 범주의 모듈과 작업을 데스크톱 흐름으로 결합하거나 클라우드 흐름과 사용하는 데스크톱 흐름 간에 결합하는 것을 방지합니다. 데스크톱 흐름에 대한 데이터 손실 방지 정책에서 자세히 알아보세요. ...

DLP 정책을 만들기 위한 전략

환경을 인수하거나 Power Platform 사용 지원을 시작하는 관리자는 DLP 정책을 가장 먼저 설정해야 합니다. 기본적인 정책 집합을 구축하면 예외 처리에 집중하고, 승인되면 이러한 예외를 구현하는 타겟팅된 DLP 정책을 만들 수 있습니다.

공유 사용자 및 팀 생산성 환경에 대한 DLP 정책의 시작점은 다음과 같습니다.

  • 선택한 환경(예: 프로덕션 환경)을 제외한 모든 환경에 적용되는 정책을 만들고, 이 정책에서 사용 가능한 커넥터를 Microsoft 365 및 기타 표준 마이크로서비스로 제한하고, 나머지 모든 항목에 대한 액세스는 차단합니다. 이 정책은 기본 환경과 내부 교육 이벤트를 실행하기 위한 교육 환경에 적용됩니다. 또한 이 정책은 새로 만들어지는 모든 환경에도 적용됩니다.
  • 공유 사용자 및 팀 생산성 환경 에 적합하고 더 관대한 DLP 정책을 만드세요. 이러한 정책을 사용하면 제작자는 Azure 서비스와 같은 커넥터를 Microsoft 365 함께 사용할 수 있습니다. 이러한 환경에서 사용할 수 있는 커넥터는 조직과 조직에서 비즈니스 데이터를 저장하는 위치에 따라 다릅니다.

프로덕션(사업부 및 프로젝트) 환경에 대한 DLP 정책의 시작점은 다음과 같습니다.

  • 공유 사용자 및 팀 생산성 정책에서 이러한 환경을 제외합니다.
  • 사업부 및 프로젝트와 협력하여 사용하는 커넥터와 커넥터 조합을 설정하고 선택한 환경만 포함하는 테넌트 정책을 만듭니다.
  • 필요에 따라 환경 정책을 사용하여 사용자 정의 커넥터를 비즈니스 데이터로만 분류합니다.

또한 다음 사항을 권장합니다.

  • 환경당 최소한의 정책을 만듭니다. 세입자와 환경 정책 사이에는 엄격한 위계가 없습니다. 설계 및 런타임 시, 앱이나 흐름이 있는 환경에 적용 가능한 모든 정책을 함께 평가하여 리소스가 DLP 정책을 준수하는지 또는 위반하는지 여부를 결정합니다. 하나의 환경에 여러 DLP 정책 을 적용하면 커넥터 공간이 복잡하게 분산되고 제작자가 직면한 문제를 이해하기 어려울 수 있습니다.
  • 테넌트 수준 정책을 사용하여 DLP 정책을 중앙에서 관리하고, 환경 정책은 사용자 지정 커넥터를 분류하거나 예외 사례에만 사용합니다.

기본 전략이 마련되어 있으면 예외를 처리하는 방법을 계획합니다. 다음이 가능합니다.

  • 요청을 거부합니다.
  • 기본 DLP 정책에 커넥터를 추가합니다.
  • 전역 기본 DLP의 모든 제외 목록에 환경을 추가하고 예외가 포함된 사용 사례별 DLP 정책을 만듭니다.

예: Contoso의 DLP 전략

이 지침의 샘플 조직인 Contoso Corporation이 DLP 정책을 어떻게 설정했는지 살펴보겠습니다. DLP 정책의 설정은 환경 전략과 밀접하게 관련되어 있습니다.

Contoso 관리자는 사용자 및 팀 생산성 시나리오, 비즈니스 애플리케이션, 우수성 센터(CoE) 활동 관리를 지원하려고 합니다.

Contoso 관리자가 적용하는 환경 및 DLP 전략은 다음과 같습니다.

  1. 테넌트 전체에 적용되는 제한적인 DLP 정책으로, 정책 범위에서 제외된 일부 특정 환경을 제외한 모든 테넌트 환경에 적용됩니다. 관리자는 이 정책에서 사용 가능한 커넥터를 Microsoft 365 및 기타 표준 마이크로 서비스로 제한하고 다른 모든 것에 대한 액세스를 차단하려고 합니다. 이 정책은 기본 환경에도 적용됩니다.

  2. Contoso 관리자는 사용자가 사용자 및 팀 생산성 사용 사례에 맞는 앱을 만들 수 있는 또 다른 공유 환경을 만듭니다. 이 환경에는 기본 정책만큼 위험을 회피하지 않는 연관된 테넌트 수준 DLP 정책이 있으며, 제작자는 Azure 서비스와 같은 커넥터를 Microsoft 365 서비스 외에도 사용할 수 있습니다. 이 환경은 기본 환경이 아니므로 관리자가 해당 환경 제작자 목록을 적극적으로 제어합니다. 이 전략은 공유 사용자 및 팀 생산성 환경과 관련 DLP 설정에 대한 계층적 접근 방식을 취합니다.

  3. 사업부는 다양한 국가와 지역에 있는 세무 및 감사 자회사를 위해 개발, 테스트 및 운영 환경을 구축하여 사업 부문 애플리케이션을 구축합니다. 환경 제작자의 접근은 신중하게 관리되며, 사업부 이해 관계자와 협의하여 테넌트 수준 DLP 정책을 사용하여 적절한 1차 및 3차 커넥터가 제공됩니다.

  4. 마찬가지로, 중앙 IT 부서가 관련 애플리케이션을 개발하고 출시할 수 있도록 개발, 테스트 및 프로덕션 환경이 조성됩니다. 이러한 비즈니스 애플리케이션 시나리오에는 일반적으로 해당 환경의 제작자, 테스터 및 사용자가 사용할 수 있어야 하는 명확하게 정의된 커넥터 세트가 있습니다. 이러한 커넥터에 대한 액세스는 전용 테넌트 수준 정책을 사용하여 관리됩니다.

  5. Contoso는 또한 우수성 센터 활동에 전념하는 특수 목적 환경을 가지고 있습니다. Contoso에서 특수 목적 환경에 대한 DLP 정책은 이론 팀 책의 실험적 특성을 고려할 때 높은 수준으로 유지됩니다. 이 경우 테넌트 관리자는 이 환경에 대한 DLP 관리를 CoE 팀의 신뢰할 수 있는 환경 관리자에게 직접 위임하고 모든 테넌트 수준 정책에서 제외합니다. 이 환경은 Contoso의 규칙이 아닌 예외인 환경 수준 DLP 정책에 의해서만 관리됩니다.

예상대로 Contoso에서 만든 모든 새 환경은 원래 모든 환경 정책에 매핑됩니다.

이러한 테넌트 중심 DLP 정책 설정은 추가 제한을 도입하거나 사용자 지정 커넥터를 분류하려는 경우 환경 관리자가 자신의 환경 수준 DLP 정책을 제시하는 것을 방지하지 않습니다.

Contoso의 환경과 DLP 전략을 설명하는 다이어그램입니다.

데이터 정책 설정

  1. Power Platform 관리 센터에서 정책을 만듭니다. 자세한 내용은 데이터 정책 관리에서 확인하세요.

  2. DLP SDK를 사용하여 DLP 정책에 사용자 지정 커넥터를 추가합니다.

조직의 DLP 정책을 제작자에게 명확하게 전달하세요.

명확하게 전달하는 SharePoint 사이트 또는 위키를 설정합니다.

  • 테넌트 수준 및 주요 환경 수준(예: 기본 환경, 평가판 환경) 비즈니스, 비 비즈니스 및 차단으로 분류된 커넥터 목록을 포함하여 조직에서 시행되는 DLP 정책.
  • 제작자가 예외 상황에 연락할 수 있도록 관리자 그룹의 이메일 ID를 입력하세요. 예를 들어, 관리자는 기존 DLP 정책을 편집하고, 솔루션을 다른 환경으로 이동하고, 새로운 환경과 새로운 DLP 정책을 만들고, 제작자와 리소스를 이 새로운 환경으로 이동하는 등의 방법으로 제작자가 규정을 준수하도록 도울 수 있습니다.

또한, 귀하의 조직의 환경 전략을 제작자에게 명확하게 전달하세요.

다음 단계:

보안 태세를 더욱 강화하려면 이 시리즈의 자세한 문서를 검토하세요.

문서를 검토한 후 보안 체크리스트를 검토하여 배포가 견고하고 복원력이 있으며 모범 사례에 부합하는지 확인하세요. Power Platform

보안 체크리스트를 검토하세요