DLP Policies: concetti e gruppi
Comprendere le politiche di prevenzione perdita dati nella Microsoft Power Platform: differenze tra livello tenant e ambiente, categorizzazione dei connettori e protezione dei dati aziendali.
Introduzione alle Data Loss Prevention Policies
Le Data Loss Prevention (DLP) Policies sono una componente essenziale della sicurezza nella Microsoft Power Platform. Queste politiche definiscono regole chiare su come i connettori possono essere utilizzati in Power Apps e Power Automate, proteggendo i dati aziendali da esposizioni non intenzionali verso sistemi non sicuri o non autorizzati. L’obiettivo è evitare che flussi automatizzati o app trasferiscano informazioni sensibili da fonti interne, come Dataverse o database aziendali, verso connettori esterni, ad esempio social network o servizi pubblici di messaggistica.
In assenza di politiche DLP, i maker e gli sviluppatori potrebbero creare soluzioni che espongono dati riservati a rischi significativi. Per questo motivo, Microsoft raccomanda di configurare le DLP policies prima che gli utenti inizino a creare applicazioni o flussi.
Livelli di ambito: Tenant e Ambiente
Le DLP policies possono essere definite su due livelli distinti di ambito: tenant ed environment.
- Tenant level: Le politiche a livello tenant si applicano a tutti o a una selezione di ambienti Power Platform presenti all’interno del tenant Microsoft 365. Solo gli amministratori globali o di servizio possono creare e gestire queste policy. Vengono usate per garantire uniformità e coerenza nella protezione dei dati aziendali in tutta l’organizzazione.
- Environment level: Le politiche create a livello di ambiente si applicano solo all’interno di un singolo ambiente Power Platform. Queste non possono sovrascrivere le politiche a livello tenant, ma possono renderle più restrittive. Sono gestibili da amministratori di ambiente e permettono una sicurezza più granulare in contesti specifici, come ambienti di sviluppo, test o produzione.
Quando più politiche DLP si sovrappongono, prevale sempre la configurazione più restrittiva. Ciò garantisce che i dati rimangano protetti anche in presenza di policy multiple.
Gruppi di connettori nelle DLP Policies
Le DLP policies organizzano i connettori in gruppi logici che determinano come possono essere combinati tra loro. Questa categorizzazione è fondamentale per evitare che i dati aziendali vengano accidentalmente condivisi con servizi non affidabili.
| Gruppo | Descrizione | Esempi |
|---|---|---|
| Business data | I connettori in questo gruppo possono essere combinati solo tra loro. È consigliato collocare qui tutti i connettori che accedono a dati aziendali sensibili. | Dataverse, SQL Server, SharePoint, Dynamics 365 |
| Non-business data | È il gruppo predefinito di tutti i connettori. Include connettori che non gestiscono dati sensibili o aziendali. | Twitter, RSS Feed, Weather Service |
| Blocked | I connettori in questo gruppo sono completamente disabilitati. Non possono essere utilizzati in flussi o app. | Connettori non conformi alle policy interne |
La gestione dei gruppi di connettori consente di controllare non solo quali connettori possono essere usati, ma anche come possono interagire. Ad esempio, un flusso che combina un connettore “business” come SQL Server con un connettore “non-business” come Twitter verrà bloccato automaticamente dalle DLP policies.
Configurazione avanzata delle DLP Policies
Oltre alla semplice classificazione dei connettori, le DLP policies consentono configurazioni più dettagliate, tra cui:
- Definizione delle azioni di connettore consentite o bloccate (ad esempio, consentire la lettura di dati ma non la scrittura).
- Restrizioni sugli endpoint ai quali un determinato connettore può connettersi.
- Blocchi selettivi basati su parametri di sicurezza o conformità interna.
Queste impostazioni avanzate permettono alle organizzazioni di allineare la propria governance con standard di sicurezza specifici, come ISO 27001 o GDPR.
Best practice per l’implementazione
Per un’applicazione efficace delle DLP policies, Microsoft e gli esperti di architettura Power Platform raccomandano di:
- Creare e applicare le politiche DLP prima che i maker inizino a sviluppare app e flussi, evitando configurazioni retroattive difficili da gestire.
- Utilizzare il Center of Excellence Starter Kit per monitorare e gestire le DLP policies esistenti.
- Stabilire una strategia multi-ambiente coerente, distinguendo chiaramente tra ambienti di sviluppo, test e produzione.
- Garantire che le politiche tenant siano meno restrittive di quelle ambiente, per evitare conflitti e blocchi imprevisti.
Domande frequenti sulle DLP Policies
Che cosa sono le DLP Policies nella Power Platform?
Le DLP Policies sono regole di governance che proteggono i dati aziendali da esposizioni accidentali, definendo come i connettori possono essere combinati tra loro in app e flussi.
Qual è la differenza tra DLP a livello tenant e ambiente?
Le politiche DLP a livello tenant si applicano a tutto il tenant e vengono gestite solo da amministratori globali. Quelle a livello ambiente, invece, si applicano a un singolo ambiente e offrono maggiore granularità, ma non possono essere meno restrittive di quelle tenant.
Come vengono classificati i connettori?
I connettori sono classificati in tre gruppi principali: Business data, Non-business data e Blocked. Questa separazione impedisce la condivisione non autorizzata di informazioni sensibili.
Approfondisci la Governance della Power Platform
Scopri come implementare strategie di sicurezza e controllo efficaci nella tua organizzazione. Esplora i temi di autenticazione, ALM e ambienti gestiti.