Condividi tramite

Governance dei dati e baseline di sicurezza con Microsoft Purview

Con la strategia e l'architettura fondamentali, stabilire procedure di governance e sicurezza solide fin dall'inizio. Questo approccio garantisce che, man mano che i dati provenienti da tutti gli angoli dell'organizzazione passano alla piattaforma unificata, rimangono ben gestiti, conformi e sicuri. Raccomandazione: Impostare Microsoft Purview come sistema di record per la governance e la sicurezza dei dati in modo che l'organizzazione possa applicare criteri coerenti, responsabilità e conformità nell'intero patrimonio di dati (vedere la figura 1). Per applicare questa raccomandazione, usare questo articolo come elenco di controllo:

Diagramma che mostra come Microsoft Purview offre una singola governance e una base di sicurezza per tutti i dati dell'organizzazione. Nella parte inferiore ci sono tutte le origini dati, inclusi i sistemi locali, Dataverse, Microsoft 365, Azure, Google Cloud e Amazon S3. Queste origini dati appartengono ai domini dati dell'organizzazione. Ogni dominio dati analizza le origini dati nella mappa dei dati di Microsoft Purview. La mappa dei dati alimenta il Catalogo unificato, che funge da catalogo per tutti i dati nell'organizzazione. All'interno del Catalogo unificato si organizzano i dati in base ai domini di governance di Microsoft Purview allineati ai domini dati. Ogni dominio di governance è responsabile delle etichette di riservatezza, della classificazione dei dati, della tracciabilità, della conformità, della conservazione dei dati, della prevenzione della perdita dei dati e dell'uso dei dati nell'intelligenza artificiale. Le funzionalità di governance condivisa includono il glossario dei dati, i classificatori di dati e la tassonomia delle etichette di riservatezza. Nella parte superiore, i prodotti dati regolati vengono trasmessi a Microsoft Fabric. Strumenti come Microsoft Copilot Studio e Microsoft 365 Copilot li usano. Figura 1. Ruolo di Microsoft Purview nella governance dei dati e nei fondamenti di sicurezza.

1. Baseline di visibilità dei dati

La governance dei dati inizia con una visione chiara di tutti gli asset di dati nell'intero patrimonio. Raccomandazione: Stabilire una baseline di visibilità coerente con Microsoft Purview prima che i dati entrino in OneLake. Questo approccio aiuta le decisioni di governance a rimanere coerenti tra piattaforme e team. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

1.1. Creare un catalogo dati

Un catalogo dati centralizzato fornisce ai decision maker un unico sistema di record per comprendere quali dati esistono, dove risiedono e chi ne è proprietario. Raccomandazione: Usare Il Catalogo unificato di Microsoft Purview come inventario autorevole per tutti gli asset di dati aziendali. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Usare i domini di governance. Organizzare il catalogo unificato utilizzando i domini di governance di Purview che siano allineati ai domini di dati esistenti. Le raccolte, i ruoli e le autorizzazioni devono riflettere questi limiti, quindi ogni dominio dati ha autorità nell'area. Il Catalogo unificato inizia vuoto, ma man mano che le origini dati vengono registrate e analizzate, aumentano in una mappa accurata del patrimonio. Impostare i domini già nelle fasi iniziali porta chiarezza mentre il catalogo si espande.

  2. Popolare il glossario aziendale. Con la struttura in atto, creare un glossario aziendale condiviso che fissa i termini più importanti dell'organizzazione. I termini, come Cliente, Prodotto, Dipendente e Località, e le misure come Ricavi o Personale, spesso variano a seconda dei reparti, a meno che non siano armonizzati. Documentare queste definizioni come termini di glossario nel catalogo unificato e visualizzarle nel glossario aziendale di Purview. Comunicateli su larga scala per eliminare l'ambiguità. Questa chiarezza supporta procedure coerenti di intelligenza artificiale, analisi e creazione di report tra i team.

1.2. Eseguire il mapping delle origini dati

Purview Data Map offre visibilità sugli asset di dati senza copiare dati o sostituire i controlli di sicurezza a livello di origine. Raccomandazione: Registrare e analizzare tutti i sistemi dati pertinenti per popolare la mappa dati. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Creare un'architettura Purview. Usare le raccolte di Purview e i domini della mappa dei dati, per allineare le autorizzazioni e la governance alle esigenze dei domini di dati. Questi costrutti definiscono i limiti per il controllo di accesso, la gestione dei criteri e la responsabilità operativa. Seguire le procedure consigliate per l'architettura di dominio e raccolta di Purview.

  2. Configurare Purview per i dati di Microsoft 365. Purview ha un'integrazione nativa con i dati di Microsoft 365 ( ad esempio SharePoint, OneDrive, Exchange, Teams). Assicurarsi di controllare anche il contenuto in Microsoft 365. Quando si inseriscono documenti e messaggi di Microsoft 365 in OneLake o si usano in altro modo nell'analisi, le etichette o le classificazioni di Microsoft 365 vengono portate avanti. In Purview è possibile visualizzare le etichette di riservatezza e le etichette di conservazione applicate nell'ambiente Microsoft 365. Per altre informazioni, vedere Guide all'installazione di Microsoft Purview.

  3. Analizzare Microsoft Fabric OneLake. Fabric OneLake non viene incluso automaticamente nella mappa dei dati di Purview. È necessario registrarlo ed eseguirne l'analisi in modo esplicito. L'analisi di OneLake consente l'individuazione dei metadati, il rilevamento della derivazione e la catalogazione degli asset di Fabric in Purview. Per altre informazioni, vedere Registrare e scansionare Microsoft Fabric.

1.3. Analizzare dati cloud, SaaS e locali

L'analisi basata su connettore è necessaria per i dati archiviati in servizi di Azure, Microsoft Dataverse, sistemi locali e altri cloud (AWS, Google Cloud, Oracle). È necessario registrare ed analizzare le origini dati supportate in Mappa dati. Raccomandazione: Seguire le procedure consigliate per l'analisi di Purview. Scegliere se analizzare i sistemi di origine o analizzare solo il livello OneLake di Microsoft Fabric. Questa decisione dipende dalle esigenze di visibilità, dai requisiti di conformità, dal sovraccarico operativo e dal ruolo svolto da ogni sistema nell'analisi e nella creazione di report. Per applicare questa raccomandazione, esaminare le opzioni seguenti:

Opzione 1: Analizzare i sistemi di origine. La scansione di sistemi operativi come i database di Azure o AWS S3 offre una derivazione end-to-end dal sistema di registrazione. Queste informazioni sono importanti per i dati regolamentati o critici per l'azienda, in cui la provenienza completa supporta controlli e conformità. Offre la visibilità più chiara delle modifiche upstream, ma introduce complessità. La configurazione del connettore, le credenziali e la pianificazione richiedono attenzione, e alcune sorgenti richiedono di scegliere il runtime di integrazione corretto.

Opzione 2: analizza solo il livello Fabric. Se non è necessaria una visibilità approfondita sui sistemi upstream, l'analisi solo del livello fabric semplifica il modello di governance. Il tracciamento inizia quando i dati entrano in Fabric. Questo approccio riduce il lavoro di integrazione. È consigliabile per i dati in cui i sistemi upstream sono ben regolati o in cui gli obblighi di conformità non richiedono una derivazione completa. Per ulteriori informazioni, vedere Fabric in Microsoft Purview.

1.4. Applicare etichette di sensibilità

Le etichette di riservatezza sono uno strumento fondamentale per classificare e proteggere i dati. In Microsoft Purview esistono in genere due tipi di etichette di riservatezza:

  • Etichette solo metadati: Queste etichette sono tag di metadati nel catalogo purview. Ad esempio, l'etichettatura di una tabella SQL di Azure come "Riservato" nel catalogo senza influire direttamente sul sistema di origine. Queste etichette consentono di tenere traccia e gestire la riservatezza dei dati in Purview per gli asset esterni a Microsoft 365/Fabric.

  • Etichette protettive: Queste etichette non solo contrassegnano i dati con una classificazione, ad esempio "Riservato", ma applicano anche la protezione. Possono applicare la crittografia o l'accesso limitato ai file e ai messaggi di posta elettronica. Utilizzare intensivamente queste etichette in Microsoft 365 e ora si estendono anche a Fabric.

Entrambi contribuiscono a un modello di governance coerente e la chiarezza sul loro scopo consente di allineare il tipo di etichetta corretto allo scenario corretto. Raccomandazione: Applicare una strategia di etichettatura unificata di riservatezza tra Microsoft 365, Fabric e Purview Data Map. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Definire una tassonomia delle etichette di riservatezza. Definire uno schema di etichettatura dell'organizzazione. Uno schema comune è Non aziendale, Pubblico, Generale, Riservato e Altamente Riservato. Assicurarsi che tutti comprendano cosa significa ogni etichetta e quali tipi di dati rientrano in ogni categoria. Ottenere il consenso su questa tassonomia dagli stakeholder delle conformità e del business. Vedere Introduzione alle etichette di riservatezza.

  2. Etichettare i dati di Microsoft 365 (etichetta protettiva). Assicurarsi che le informazioni di Microsoft 365 siano etichettate usando Microsoft Purview Information Protection. Queste etichette impongono controlli di sicurezza (crittografia, accesso limitato). Persistono insieme ai dati quando vengono inseriti in OneLake o condivisi tramite altri strumenti. Procedure consigliate: Molte organizzazioni configurano criteri di etichettatura automatica per rilevare informazioni sensibili, ad esempio numeri di carta di credito o dati personali, e applicare automaticamente un'etichetta. Vedere Applicare automaticamente etichette di riservatezza ai dati di Microsoft 365.

  3. Etichettare i dati di Microsoft Fabric (etichetta protettiva). Microsoft Fabric supporta le etichette di riservatezza protette nei propri asset, ad esempio tabelle in un lakehouse e set di dati di Power BI. Configurare i criteri di etichetta predefiniti in Fabric in modo che i nuovi dati in OneLake siano etichettati in modo appropriato dalla creazione. Ad esempio, è possibile specificare che qualsiasi nuovo set di dati in determinate aree di lavoro è etichettato per impostazione predefinita come interno o riservato, a meno che non venga modificato. Questo approccio garantisce che non vengano immessi dati nel lake senza classificazione. Modificare queste impostazioni predefinite per le aree che gestiscono i dati sensibili. Consultare Govern Fabric.

  4. Elementi di etichetta in Purview Data Map (etichetta solo metadato). Per le origini dati analizzate in Purview (ad esempio un bucket AWS S3 o un database locale), applicare etichette di metadati nella mappa dei dati purview. Anche se queste etichette non crittografano o limitano i dati all'origine, informano gli utenti e i sistemi che i dati sono, ad esempio, riservati. Possono anche attivare altri flussi di lavoro di governance. Tutti gli elementi del catalogo devono avere una designazione di riservatezza. Vedere Usare i criteri di etichettatura automatica per rilevare gli asset di dati e applicare automaticamente queste etichette di riservatezza solo per metadati.

1.5. Acquisire la tracciabilità dei dati

La derivazione dei dati offre visibilità sul modo in cui i dati vengono spostati e modificati nei sistemi. Raccomandazione: Abilitare la derivazione automatica, se disponibile e chiudere manualmente le lacune, se necessario. Procedure consigliate: Usare Microsoft Purview per automatizzare l'acquisizione del lineage per molti asset. Se l'automazione non è disponibile, aggiungere manualmente la derivazione in Purview per riempire le lacune. Vedere Configurazione manuale della derivazione. Configurare la derivazione dei dati in Purview per Fabric e, in base alle esigenze, per Azure Databricks.

2. Baseline di conformità dei dati

La conformità definisce gli obblighi legali, normativi e interni applicabili ai dati in tutte le piattaforme. I decisori devono comprendere questi obblighi prima di applicare i controlli. Questo approccio garantisce che le azioni di governance rimangano defensabili e controllabili in Microsoft Fabric e nel patrimonio di dati più ampio. Raccomandazione: Definire i requisiti di conformità in modo centralizzato e monitorare l'allineamento in modo continuo usando Microsoft Purview. Le decisioni di governance dei dati devono rimanere coerenti in Microsoft 365, Azure, altri cloud e sistemi locali. Per applicare questa raccomandazione, usare l'elenco di controllo seguente:

  1. Definire i requisiti di conformità. I requisiti di conformità variano in base a settore, area geografica e carico di lavoro. Il modello di governance deve rifletterli prima di applicare controlli protettivi o tecnici. Identificare i framework normativi o gli standard di settore rilevanti per l'organizzazione. Procedure consigliate: Usare modelli e valutazioninormativi di Microsoft Purview. Rappresentano standard come GDPR, HIPAA e HITECH, PCI DSS v4.0, Sarbanes-Oxley Act e ISO 27001. Esaminare questi modelli per comprendere quali regole si applicano a Microsoft 365, Azure, AWS e Google Cloud. Questi modelli forniscono un elenco di controllo dei controlli e delle procedure da applicare. Usare i punteggi e le raccomandazioni di Compliance Manager per misurare il comportamento corrente, identificare le lacune e assegnare priorità a cosa risolvere per primo.

  2. Monitorare la conformità dei dati. Dopo aver configurato i modelli di conformità di Purview, esaminare regolarmente il punteggio di conformità e i report. Purview valuta automaticamente gli aspetti della conformità per i dati e i dati di Microsoft 365 in Azure, AWS e Google Cloud. Evidenzia i problemi e le azioni suggerite per migliorare la conformità. Configurare gli avvisi per eventuali violazioni critiche dei criteri di conformità. Procedure consigliate: Se Purview trova dati sensibili in una posizione non approvata o se viene violato un criterio di conservazione, inviare immediatamente una notifica ai team responsabili in modo che possano intervenire. Il monitoraggio costante e i miglioramenti incrementali assicurano che non siate colti di sorpresa da controlli o incidenti.

  3. Configurare la conservazione dei dati di Microsoft 365. Decidere per quanto tempo conservare tipi diversi di dati e quando eliminarli o archiviarli. L'ambiguità nella conservazione può portare a mantenere i dati troppo lunghi (rischiando violazioni della conformità o costi di archiviazione non necessari) o eliminando troppo presto (perdendo una cronologia preziosa). Procedure consigliate: Usare la gestione del ciclo di vita dei dati di Microsoft Purview per i dati di Microsoft 365 per impostare criteri di conservazione o eliminazione su messaggi di posta elettronica, documenti e Teams.

  4. Configurare la conservazione dei dati di Azure. I servizi di Azure richiedono una configurazione di backup e conservazione specifica del servizio. Procedure consigliate: Configurare la conservazione dei backup per i servizi, ad esempio AZURE SQL, Cosmos DB e MySQL. Usare le regole di gestione del ciclo di vita di Archiviazione di Azure per archiviare o eliminare i dati. Indicazioni sul servizio di riferimento per il database SQL di Azure, Cosmos DB e MySQL.

  5. Configurare la conservazione dei dati in locale e in altri cloud. I dati esterni alle piattaforme Microsoft richiedono comunque controlli del ciclo di vita conformi. Per evitare rischi di conformità non gestiti, applicare strategie di conservazione intenzionali a tutte le origini dati non Azure e locali. Procedure consigliate: Usare Backup di Azure o soluzioni di terze parti per conservare i dati locali, AWS e GCP. Seguire le indicazioni per eseguire il backup dei carichi di lavoro cloud e locali nel cloud. Se necessario, caricare manualmente i dati su Azure Storage e archiviare il BLOB.

3. Baseline di sicurezza dell'infrastruttura dati

Una baseline di sicurezza coerente garantisce che i dati sensibili rimangano protetti tra i carichi di lavoro di Microsoft 365, Microsoft Fabric, Servizi di Azure e intelligenza artificiale. Raccomandazione: Definire e applicare una singola postura di sicurezza nell'intero patrimonio di dati in modo che la classificazione, la protezione e l'imposizione funzionino in modo uniforme su larga scala. Per applicare questa raccomandazione, usare l'elenco di controllo seguente.

  1. Abilitare classificatori di dati sensibili.I classificatori di dati sensibili in Microsoft Purview identificano i dati regolamentati e critici per l'azienda, in modo che i controlli di protezione possano agire automaticamente e in modo coerente tra i servizi. Procedure consigliate: Abilitare i tipi di informazioni sensibili incorporati pertinenti allineati ai rischi normativi e aziendali. Creare classificatori personalizzati per dati specifici del dominio, ad esempio segreti commerciali o ricerche proprietarie. Usare questi classificatori come base per l'etichettatura, la prevenzione della perdita dei dati e i controlli di controllo. Indicazioni sulle decisioni: Decidere di basarsi sui classificatori predefiniti quando l'allineamento normativo è l'obiettivo principale e i tipi di dati corrispondono alle definizioni standard. Scegliere classificatori personalizzati quando i dati specifici dell'azienda comportano rischi non rilevati dai classificatori standard. I classificatori personalizzati aumentano la copertura, ma richiedono la supervisione della governance per rimanere accurati nel tempo.

  2. Applicare la prevenzione della perdita dei dati (DLP). Configurare i criteri di prevenzione della perdita dei dati in Microsoft Purview per evitare perdite di dati sensibili tramite azioni quotidiane. Configurare la prevenzione della perdita dei dati per Microsoft 365 (per i messaggi di posta elettronica, i documenti di Office e le chat di Teams) e Microsoft Fabric. Un criterio di prevenzione della perdita dei dati può impedire a un utente di condividere un file esternamente se contiene dati riservati, ad esempio dati personali dei clienti o informazioni sull'integrità. In Fabric, DLP può impedire agli analisti di condividere un set di dati o un report che include dati sensibili. Per una configurazione dettagliata, vedere le linee guida per le app di Microsoft 365, Copilot e Microsoft Fabric. Indicazioni sulle decisioni:

    • Solo monitoraggio (modalità di audit): Iniziare con DLP in modalità di solo monitoraggio quando si è preoccupati di interrompere il lavoro. Consente di osservare e ottimizzare il comportamento dei criteri, ma i dati potrebbero essere ancora esposti perché l'imposizione non è attiva.

    • Blocco o limitazione: Passare alla modalità di blocco o di limitazione quando la perdita di dati avrebbe effetti gravi e le regole di rilevamento sono affidabili. Alcune azioni legittime potrebbero essere bloccate inizialmente e richiedere la gestione delle eccezioni e le regolazioni dei criteri.

  3. Proteggere i dati nei servizi di Azure. Microsoft Purview cataloga ed etichetta i dati nei servizi di Azure, ma non sostituisce i controlli di sicurezza nativi per tali servizi. Procedure consigliate: Applicare controlli di sicurezza a livello di servizio, ad esempio isolamento della rete e copertura di Microsoft Defender per il database SQL di Azure, Azure Cosmos DB e Archiviazione di Azure. Allineare questi controlli alle classificazioni purview in modo che il monitoraggio e l'invio di avvisi riflettano la riservatezza dei dati e i rischi aziendali.

  4. Proteggere i dati usati dalle app di intelligenza artificiale. Le applicazioni di intelligenza artificiale introducono nuovi percorsi di esposizione dei dati che richiedono un allineamento esplicito con i criteri di sicurezza e governance dei dati aziendali. Microsoft Purview si integra con Microsoft Foundry e altre piattaforme di intelligenza artificiale per fornire questo controllo. Procedure consigliate: Usare le API Purview e le funzionalità di sicurezza specifiche dell'intelligenza artificiale per passare il contesto di riservatezza ai flussi di lavoro di intelligenza artificiale in modo che le applicazioni possano applicare restrizioni di maschera o risposta quando necessario. Stabilire checkpoint di revisione per scenari di intelligenza artificiale ad alto impatto per verificare che l'accesso ai dati sia allineato agli standard aziendali. Per altre informazioni, vedere Microsoft Purview e intelligenza artificiale e Purview con Foundry.

Passo successivo

Governance dell'infrastruttura e baseline di sicurezza

  • Last updated on