Governance dei dati e baseline di sicurezza con Microsoft Purview

Con la strategia e l'architettura fondamentali, stabilire procedure di governance e sicurezza solide fin dall'inizio. Questo approccio garantisce che, man mano che i dati provenienti da tutti gli angoli dell'organizzazione passano alla piattaforma unificata, rimangono ben gestiti, conformi e sicuri. Recommendation: Impostare Microsoft Purview come sistema di record per la governance e la sicurezza dei dati in modo che l'organizzazione possa applicare criteri coerenti, responsabilità e conformità nell'intero patrimonio di dati (vedere la figura 1). Per applicare questa raccomandazione, usare questo articolo come elenco di controllo:

Diagramma che illustra come Microsoft Purview fornisce una singola base di governance e sicurezza per tutti i dati dell'organizzazione. Nella parte inferiore ci sono tutte le origini dati, tra cui sistemi locali, Dataverse, Microsoft 365, Azure, Google Cloud e Amazon S3. Queste origini dati appartengono ai domini dati dell'organizzazione. Ogni dominio dati scansiona le sue origini dati nella mappa dati di Microsoft Purview. La mappa dei dati alimenta il Catalogo unificato, che funge da catalogo per tutti i dati nell'organizzazione. All'interno del Catalogo unificato si organizzano i dati in base ai domini di governance Purview allineati ai domini dati. Ogni dominio di governance è responsabile delle etichette di riservatezza, della classificazione dei dati, della provenienza, della conformità, della conservazione dei dati, della prevenzione della perdita dei dati e dell'uso dei dati nell'intelligenza artificiale. Le funzionalità di governance condivisa includono il glossario dei dati, i classificatori di dati e la tassonomia delle etichette di riservatezza. Nella parte superiore, i prodotti dati regolati vengono trasmessi in Microsoft Fabric. Strumenti come Microsoft Copilot Studio e Microsoft 365 Copilot li utilizzano. Figura 1. ruolo di Microsoft Purview nella governance dei dati e nelle baseline di sicurezza.

1. Baseline di visibilità dei dati

La governance dei dati inizia con una visione chiara di tutti gli asset di dati nell'intero patrimonio. Recommendation: Stabilire una baseline di visibilità coerente con Microsoft Purview prima che i dati entrino in OneLake. Questo approccio aiuta le decisioni di governance a rimanere coerenti tra piattaforme e team. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

1.1. Creare un catalogo dati

Un catalogo dati centralizzato fornisce ai decision maker un unico sistema di record per comprendere quali dati esistono, dove risiedono e chi ne è proprietario. Recommendation: Use Microsoft Purview's Unified Catalog come inventario autorevole per tutti gli asset di dati aziendali. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Usare i domini di governance. Organizzare il catalogo unificato utilizzando i domini di governance di Purview che siano allineati ai domini di dati esistenti. Le raccolte, i ruoli e le autorizzazioni devono riflettere questi limiti, quindi ogni dominio dati ha autorità nell'area. Il Catalogo unificato inizia vuoto, ma man mano che le origini dati vengono registrate e analizzate, aumentano in una mappa accurata del patrimonio. Impostare i domini già nelle fasi iniziali porta chiarezza mentre il catalogo si espande.

  2. Popolare il glossario aziendale. Con la struttura in atto, creare un glossario aziendale condiviso che fissa i termini più importanti dell'organizzazione. I termini, come Cliente, Prodotto, Dipendente e Località, e le misure come Ricavi o Personale, spesso variano a seconda dei reparti, a meno che non siano armonizzati. Documentare queste definizioni come termini di glossario nel catalogo unificato e visualizzarle nel glossario aziendale di Purview. Comunicateli su larga scala per eliminare l'ambiguità. Questa chiarezza supporta procedure coerenti di intelligenza artificiale, analisi e creazione di report tra i team.

1.2. Eseguire il mapping delle origini dati

Purview Data Map offre visibilità sugli asset di dati senza copiare dati o sostituire i controlli di sicurezza a livello di origine. Raccomandazione: Registrare e analizzare tutti i sistemi dati pertinenti per popolare la mappa dati. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Creare un'architettura Purview. Usare le raccolte di Purview e i domini della mappa dei dati, per allineare le autorizzazioni e la governance alle esigenze dei domini di dati. Questi costrutti definiscono i limiti per il controllo di accesso, la gestione dei criteri e la responsabilità operativa. Seguire le procedure consigliate per l'architettura di dominio e raccolta di Purview.

  2. Configurare Purview per i dati Microsoft 365. Purview include l'integrazione nativa con i dati di Microsoft 365 , ad esempio SharePoint, OneDrive, Exchange, Teams. Assicurarsi di controllare anche il contenuto in Microsoft 365. Quando si portano documenti e messaggi di Microsoft 365 in OneLake o li si utilizza in altro modo nell'analisi, eventuali etichette o classificazioni di Microsoft 365 vengono trasferiti. In Purview è possibile visualizzare le etichette di riservatezza e le etichette di conservazione applicate nell'ambiente Microsoft 365. Per altre informazioni, vedere guide alla configurazione di Microsoft Purview.

  3. Scansionare Microsoft Fabric OneLake. Fabric OneLake non è incluso automaticamente nella mappa dei dati di Purview. È necessario registrarlo ed eseguirne l'analisi in modo esplicito. L'analisi di OneLake consente l'individuazione dei metadati, il rilevamento della derivazione e la catalogazione degli asset di Fabric in Purview. Per altre informazioni, vedere Register and scan Microsoft Fabric.

1.3. Analizzare dati cloud, SaaS e locali

L'analisi basata su connettore è necessaria per i dati archiviati in servizi Azure, Microsoft Dataverse, sistemi locali e altri cloud (AWS, Google Cloud, Oracle). È necessario registrare ed analizzare le origini dati supportate in Mappa dati. Raccomandazione: Seguire le procedure consigliate per l'analisi di Purview. Scegliere se analizzare i sistemi di origine o analizzare solo il livello Microsoft Fabric OneLake. Questa decisione dipende dalle esigenze di visibilità, dai requisiti di conformità, dal sovraccarico operativo e dal ruolo svolto da ogni sistema nell'analisi e nella creazione di report. Per applicare questa raccomandazione, esaminare le opzioni seguenti:

Opzione 1: Analizzare i sistemi di origine. L'analisi di sistemi operativi aziendali come i database Azure o AWS S3 offre una tracciabilità end-to-end dal sistema di registrazione. Queste informazioni sono importanti per i dati regolamentati o critici per l'azienda, in cui la provenienza completa supporta controlli e conformità. Offre la visibilità più chiara delle modifiche upstream, ma introduce complessità. La configurazione del connettore, le credenziali e la pianificazione richiedono attenzione, e alcune sorgenti richiedono di scegliere il runtime di integrazione corretto.

Opzione 2: scansiona solo il livello Fabric. Se non è necessaria una visibilità approfondita nei sistemi upstream, l'analisi solo del livello Fabric semplifica il modello di governance. La derivazione inizia quando i dati entrano Fabric. Questo approccio riduce il lavoro di integrazione. È consigliabile per i dati in cui i sistemi upstream sono ben regolati o in cui gli obblighi di conformità non richiedono una derivazione completa. Per altre informazioni, vedere Fabric in Microsoft Purview.

1.4. Applicare etichette di sensibilità

Le etichette di riservatezza sono uno strumento fondamentale per classificare e proteggere i dati. In Microsoft Purview esistono in genere due tipi di etichette di riservatezza:

  • Etichette solo metadati: Queste etichette sono tag di metadati nel catalogo purview. Ad esempio, l'etichettatura di una tabella Azure SQL come "Riservato" nel catalogo senza influire direttamente sul sistema di origine. Queste etichette consentono di tenere traccia e gestire la riservatezza dei dati in Purview per gli asset all'esterno di Microsoft 365/Fabric.

  • Etichette protettive: Queste etichette non solo contrassegnano i dati con una classificazione, ad esempio "Riservato", ma applicano anche la protezione. Possono applicare la crittografia o l'accesso limitato ai file e ai messaggi di posta elettronica. Usare ampiamente queste etichette in Microsoft 365 e ora sono estese anche su Fabric.

Entrambi contribuiscono a un modello di governance coerente e la chiarezza sul loro scopo consente di allineare il tipo di etichetta corretto allo scenario corretto. Recommendation: Applicare una strategia di etichettatura unificata di riservatezza tra Microsoft 365, Fabric e Mappa dati Purview. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Definire una tassonomia delle etichette di riservatezza. Definire uno schema di etichettatura dell'organizzazione. Uno schema comune è Non aziendale, Pubblico, Generale, Riservato e Altamente Riservato. Assicurarsi che tutti comprendano cosa significa ogni etichetta e quali tipi di dati rientrano in ogni categoria. Ottenere il consenso su questa tassonomia dagli stakeholder delle conformità e del business. Vedere Introduzione alle etichette di riservatezza.

  2. Etichettare i dati di Microsoft 365 (etichetta protettiva). Assicurarsi che le informazioni Microsoft 365 siano etichettate usando Microsoft Purview Information Protection. Queste etichette impongono controlli di sicurezza (crittografia, accesso limitato). Persistono insieme ai dati quando vengono inseriti in OneLake o condivisi tramite altri strumenti. Procedure consigliate: Molte organizzazioni configurano criteri di etichettatura automatica per rilevare informazioni sensibili, ad esempio numeri di carta di credito o dati personali, e applicare automaticamente un'etichetta. Consulta applicare automaticamente le etichette di riservatezza ai dati Microsoft 365.

  3. Etichetta dati di Microsoft Fabric (etichetta di protezione) Microsoft Fabric supporta etichette di riservatezza protette su risorse proprie, ad esempio tabelle in una lakehouse e set di dati Power BI. Configurare criteri di etichetta predefiniti in Fabric in modo che i nuovi dati in OneLake vengano etichettati in modo appropriato dalla creazione. Ad esempio, è possibile specificare che qualsiasi nuovo set di dati in determinate aree di lavoro è etichettato per impostazione predefinita come interno o riservato, a meno che non venga modificato. Questo approccio garantisce che non vengano immessi dati nel lake senza classificazione. Modificare queste impostazioni predefinite per le aree che gestiscono i dati sensibili. Vedere Govern Fabric.

  4. Elementi di etichetta in Purview Data Map (etichetta solo metadato). Per le origini dati analizzate in Purview (ad esempio un bucket AWS S3 o un database locale), applicare etichette di metadati nella mappa dei dati purview. Anche se queste etichette non crittografano o limitano i dati all'origine, informano gli utenti e i sistemi che i dati sono, ad esempio, riservati. Possono anche attivare altri flussi di lavoro di governance. Tutti gli elementi del catalogo devono avere una designazione di riservatezza. Vedere Usare i criteri di etichettatura automatica per rilevare gli asset di dati e applicare automaticamente queste etichette di riservatezza solo per metadati.

1.5. Acquisire la tracciabilità dei dati

La derivazione dei dati offre visibilità sul modo in cui i dati vengono spostati e modificati nei sistemi. Raccomandazione: Abilitare la derivazione automatica, se disponibile e chiudere manualmente le lacune, se necessario. Best practices: Usare Microsoft Purview per automatizzare l'acquisizione dell'origine per molti asset. Se l'automazione non è disponibile, aggiungere manualmente la derivazione in Purview per riempire le lacune. Vedere Configurazione manuale della derivazione. Configurare la derivazione dei dati in Purview per Fabric e, in base alle esigenze, per Azure Databricks.

2. Baseline di conformità dei dati

La conformità definisce gli obblighi legali, normativi e interni applicabili ai dati in tutte le piattaforme. I decisori devono comprendere questi obblighi prima di applicare i controlli. Questo approccio assicura che le azioni di governance rimangano defensabili e controllabili in Microsoft Fabric e nel patrimonio di dati più ampio. Recommendation: Definire i requisiti di conformità in modo centralizzato e monitorare continuamente l'allineamento usando Microsoft Purview. Le decisioni di governance dei dati devono rimanere coerenti tra Microsoft 365, Azure, altri cloud e sistemi locali. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Definire i requisiti di conformità. I requisiti di conformità variano in base a settore, area geografica e carico di lavoro. Il modello di governance deve rifletterli prima di applicare controlli protettivi o tecnici. Identificare i framework normativi o gli standard di settore rilevanti per l'organizzazione. Best practices: Usa i modelli normativi e le valutazioni di Microsoft Purview. Rappresentano standard come GDPR, HIPAA e HITECH, PCI DSS v4.0, Sarbanes-Oxley Act e ISO 27001. Esaminare questi modelli per comprendere quali regole si applicano a Microsoft 365, Azure, AWS e Google Cloud. Questi modelli forniscono un elenco di controllo dei controlli e delle procedure da applicare. Usare i punteggi e le raccomandazioni di Compliance Manager per misurare il comportamento corrente, identificare le lacune e assegnare priorità a cosa risolvere per primo.

  2. Monitorare la conformità dei dati. Dopo aver configurato i modelli di conformità di Purview, esaminare regolarmente il punteggio di conformità e i report. Purview valuta automaticamente gli aspetti della conformità per i dati Microsoft 365 e i dati in Azure, AWS e Google Cloud. Evidenzia i problemi e le azioni suggerite per migliorare la conformità. Configurare gli avvisi per eventuali violazioni critiche dei criteri di conformità. Procedure consigliate: Se Purview trova dati sensibili in una posizione non approvata o se viene violato un criterio di conservazione, inviare immediatamente una notifica ai team responsabili in modo che possano intervenire. Il monitoraggio costante e i miglioramenti incrementali assicurano che non siate colti di sorpresa da controlli o incidenti.

  3. Configurare la conservazione dei dati di Microsoft 365. Decidere per quanto tempo conservare tipi diversi di dati e quando eliminarli o archiviarli. L'ambiguità nella conservazione può portare a mantenere i dati troppo lunghi (rischiando violazioni della conformità o costi di archiviazione non necessari) o eliminando troppo presto (perdendo una cronologia preziosa). Best practices: Usare la gestione del ciclo di vita dei dati di Microsoft Purview per Microsoft 365 dati per impostare criteri di conservazione o eliminazione su messaggi di posta elettronica, documenti e Teams.

  4. Configurare la conservazione dei dati di Azure. I servizi di Azure richiedono una configurazione di conservazione e backup specifica del servizio. Best practices: Configurare la conservazione dei backup per i servizi, ad esempio Azure SQL, Cosmos DB e MySQL. Usare le regole di gestione Archiviazione di Azure lifecycle per archiviare o eliminare i dati. Indicazioni sul servizio di riferimento per database SQL di Azure, Cosmos DB e MySQL.

  5. Configurare la conservazione dei dati in locale e in altri cloud. I dati esterni alle piattaforme Microsoft richiedono comunque controlli del ciclo di vita conformi. Per evitare rischi di conformità non gestiti, applicare strategie di conservazione intenzionali a tutte le origini dati non Azure e locali. Migliori pratiche: Usare Backup di Azure o soluzioni di terze parti per conservare i dati on-premises, AWS e GCP. Seguire le indicazioni per eseguire il backup dei carichi di lavoro cloud e locali nel cloud. Se necessario, caricare manualmente i dati in Archiviazione di Azure e archiviare il BLOB.

3. Baseline di sicurezza dell'infrastruttura dati

Una baseline di sicurezza coerente garantisce che i dati sensibili rimangano protetti tra carichi di lavoro di Microsoft 365, Microsoft Fabric, Azure e intelligenza artificiale. Raccomandazione: Definire e applicare una singola postura di sicurezza nell'intero patrimonio di dati in modo che la classificazione, la protezione e l'imposizione funzionino in modo uniforme su larga scala. Per applicare questa raccomandazione, usare l'elenco di controllo seguente.

  1. Abilitare i classificatori di dati sensibili. I classificatori di dati sensibili in Microsoft Purview identificano i dati regolamentati e critici per l'attività aziendale per consentire ai controlli di protezione di agire automaticamente e in modo coerente attraverso i servizi. Procedure consigliate: Abilitare i tipi di informazioni sensibili incorporati pertinenti allineati ai rischi normativi e aziendali. Creare classificatori personalizzati per dati specifici del dominio, ad esempio segreti commerciali o ricerche proprietarie. Usare questi classificatori come base per l'etichettatura, la prevenzione della perdita dei dati e i controlli di controllo. Indicazioni sulle decisioni: Decidere di basarsi sui classificatori predefiniti quando l'allineamento normativo è l'obiettivo principale e i tipi di dati corrispondono alle definizioni standard. Scegliere classificatori personalizzati quando i dati specifici dell'azienda comportano rischi non rilevati dai classificatori standard. I classificatori personalizzati aumentano la copertura, ma richiedono la supervisione della governance per rimanere accurati nel tempo.

  2. Applicare la prevenzione della perdita dei dati (DLP). Configurare i criteri DLP in Microsoft Purview per evitare perdite di dati sensibili tramite azioni quotidiane. Configurare la prevenzione della perdita dei dati sia per Microsoft 365 (per coprire i messaggi di posta elettronica, i documenti di Office e le chat di Teams) sia per Microsoft Fabric. Un criterio di prevenzione della perdita dei dati può impedire a un utente di condividere un file esternamente se contiene dati riservati, ad esempio dati personali dei clienti o informazioni sull'integrità. In Fabric la prevenzione della perdita dei dati può impedire agli analisti di condividere un set di dati o un report che include dati sensibili. Per una configurazione dettagliata, vedere le linee guida per le app Microsoft 365, Copilot e Microsoft Fabric. Indicazioni sulle decisioni:

    • Solo monitoraggio (modalità di audit): Iniziare con DLP in modalità di solo monitoraggio quando si è preoccupati di interrompere il lavoro. Consente di osservare e ottimizzare il comportamento dei criteri, ma i dati potrebbero essere ancora esposti perché l'imposizione non è attiva.

    • Blocco o limitazione: Passare alla modalità di blocco o di limitazione quando la perdita di dati avrebbe effetti gravi e le regole di rilevamento sono affidabili. Alcune azioni legittime potrebbero essere bloccate inizialmente e richiedere la gestione delle eccezioni e le regolazioni dei criteri.

  3. Proteggere i dati nei servizi di Azure. Microsoft Purview cataloga ed etichetta i dati nei servizi Azure, ma non sostituisce i controlli di sicurezza nativi di quei servizi. Best practices: Applica controlli di sicurezza a livello di servizio, ad esempio isolamento della rete e copertura Microsoft Defender per database SQL di Azure, Azure Cosmos DB e Archiviazione di Azure. Allineare questi controlli alle classificazioni purview in modo che il monitoraggio e l'invio di avvisi riflettano la riservatezza dei dati e i rischi aziendali.

  4. Proteggere i dati usati dalle app di intelligenza artificiale. Le applicazioni di intelligenza artificiale introducono nuovi percorsi di esposizione dei dati che richiedono un allineamento esplicito con i criteri di sicurezza e governance dei dati aziendali. Microsoft Purview si integra con Microsoft Foundry e altre piattaforme di intelligenza artificiale per fornire questo controllo.

    Procedure consigliate:

    • Usare Gestione della postura di sicurezza dei dati di Microsoft Purview (DSPM). Offre visibilità e protezione centralizzate per il rischio di dati correlati all'intelligenza artificiale. Per l'onboarding e l'automazione della governance di DSPM per l'intelligenza artificiale, vedere Data Agent Governance and Security Accelerator (Governance dell'agente di dati e acceleratore di sicurezza).
    • Usa le API Purview e le funzionalità di sicurezza specifiche per l'intelligenza artificiale per trasferire il contesto di sensibilità nei flussi di lavoro di IA, in modo che le applicazioni possano applicare mascheramento o restrizioni di risposta quando necessario. Consulta Microsoft Purview e AI e Purview con Foundry.
    • Stabilire checkpoint di revisione per scenari di intelligenza artificiale ad alto impatto per verificare che l'accesso ai dati sia allineato agli standard di governance.

Passo successivo

Fabric governance e baseline di sicurezza

  • Last updated on