Power Platform vyöryy organisaatioihin, mikä on valtavan hienoa. Koko organisaation käytössä oleviin helppokäyttöisiin työkaluihin liittyy kuitenkin myös riskejä.

Power Automaten avulla käyttäjä voi tehdä työnkulun, joka kopioi SharePoint dokumenttikirjastoon lisätyn tiedoston saman tien myös henkilökohtaiseen DropBox:iin. Mikäli käyttäjällä on oikeus organisaation Dynamics 365 -ympäristöön,  voi hän helposti lisätä kaikki Dynamics 365:stä löytyvät kontaktit Google-tilinsä kontakteihin.

Vastaavia esimerkkejä on helppo keksiä lisää.

Kuulostaa huolestuttavalta.

Tämän vuoksi organisaation IT:n tulisi olla tietoinen yhdestä Power Platform -alustan keskeisestä perusominaisuudesta.

Nimittäin DLP-käytännöistä (Data Loss Prevention policies).

DLP-käytännöt – Lyhyt oppimäärä

Power Apps ja Power Automate tekemisessä kaiken keskiössä ovat yhdistimet (connector). Niiden avulla käytetään eri tietolähteitä ja palveluja (SharePoint, SQL, Azure Cognitive Services, Office 365 Users, Google, SalesForce jne…).

DLP-käytännöillä rajataan mitä yhdistimiä missäkin ympäristössä voi käyttää.

Yhdistimen käytön voi kieltää kokonaan (Blocked connectors) ja jäljelle jääneet yhdistimet voi jakaa kahteen koriin.

  • Liiketoimintaan liittyvät yhdistimet (Business connectors)
  • Liiketoimintaan liittymättömät yhdistimet (Non-Business connectors).

Oletuksena kaikki yhdistimet kuuluvat samaan (Non-Business connectors) koriin.

Power Appsia tai Flow:ta tehdessä yhdistimiä voi käyttää ainoastaan yhdestä korista.

DLP Policies basics

DLP-käytäntöjä voi olla tenantissa useita. Käytäntö voi kattaa (scope)

  • Kaikki ympäristöt
  • Valitut ympäristöt
  • Kaikki muut paitsi valitut ympäristöt

Käytäntöjä voi siis rakentaa useaan kerrokseen. Esimerkiksi

  • DLP-käytäntö, joka estää valitun yhdistinjoukon käyttämisen kaikissa ympäristöissä
  • DLP-käytäntö, joka estää edellämainittujen lisäksi vielä n kpl muita yhdistimiä Default-ympäristössä

Miten hyödynnän DLP-käytäntöjä?

Nyt kun ymmärrämme mitä DLP-käytännöillä voi teknisesti tehdä, on aika siirtyä pohtimaan, mitä niillä käytännössä kannattaa tehdä.

Käydään läpi muutama skenario.

Kielletään kaikki premium-yhdistimet

Premium-yhdistimen käyttö synnyttää kustannuksia lisenssien muodossa. Onkin houkutteleva ajatus kieltää kaikki premium-yhdistimet Default-ympäristöstä.

Tätä en kuitenkaan tekisi, sillä

  • Yhdistimiä on 350+ kappaletta ja niitä tulee jatkuvasti lisää. DLP-käytäntöä saa olla jatkuvasti päivittämässä
  • Kansalaiskehittäjien innovatiivisuutta ei kannata rajoittaa poistamalla heidän käytöstään hyödyllisiä rakennuspalikoita.

Premium-yhdistimien käyttöä kannattaa kuitenkin seurata. Se on helppoa Center of Excellence Starter Kit:in avulla. Alla Power BI -raportilla suodatettuna kaikki tenantin Power Appsit ja Flow:t, jotka sisältävät Premium-yhdistimiä.

CoE find premium

Voit toki tehdä myös Flow:n, joka tunnistaa premium-yhdistimiä käyttävät ratkaisut Default-ympäristöstä.

Kielletään kuluttajapalvelujen käyttö

Organisaation tietoturvaohjeet kieltävät tyypillisesti kuluttajapalvelujen käytön työasioissa. Dokumentteja ei jaeta DropBox:lla jne.

Työsähköpostin ja kalenterin hoituessa Outlook:illa, on vaikea myöskään nähdä tarvetta sallia Google:n vastaavien palvelujen käyttö Power Platform ratkaisuissa.

Samaa logiikka voi jatkaa Twitter, Facebook jne yhdistimien kanssa.

Näiden palvelujen käyttö voi olla järkevää kieltää kokonaan DLP-käytännöllä.

Office 365 -palvelut liiketoimintaan liittyvien yhdistimien koriin (Business connectors)

Kansalaiskehittäjät rakentavat ratkaisuja tyypillisesti hyvin pienellä yhdistinjoukolla.

Lähes kaikki ratkaisut syntyvät seuraavilla

  • SharePoint
  • OneDrive for Business
  • Office 365 Users
  • Office 365 Outlook
  • Excel

Jos luodaan DLP-käytäntö, jossa yllämainitut luokitellaan liiketoimintaan liittyviksi yhdistimiksi, voivat kansalaiskehittäjät tehdä rauhassa ratkaisuja näitä yhdistimiä käyttäen. Tällöin he eivät voi käyttää esimerkiksi SharePointia ja kuluttajapuolen OneDrivea samassa ratkaisussa.

Sääntö ei kuitenkaan estä tekemästä Flow:ta, joka kopioi Dynamics 365:stä sisältöä DropBoxiin (mikäli käyttäjällä on oikeus Dynamics 365:een).  Dynamics 365 ja DropBox ovat molemat samassa yhdistinkorissa (Non-Business), jolloin niitä voi käyttää yhdessä.

Millaisella säännöstöllä aloittaisin?

Tehdään seuraavaksi perus DLP-säännöstö. Käytä omaa harkintaasi soveltuuko tämä oman organisaatiosi käyttöön.

DLP-käytännöt luodaan Power Platform Admin centeristä.

DLP Policies

Luodaan aluksi uusi käytäntö (New Policy), jolla rajataan ulos kuluttajapuolen palvelut

  • Google
  • Facebook
  • Twitter
  • DropBox

Haetaan rajattavat yhdistimet yksi kerrallaan ja siirretään ne Block-painikkeella Blocked-osioon.

DLP blocked

Määritellään käytäntö koskemaan kaikkia ympäristöjä.

DLP scope all

Tallennetaan ja käytäntö on valmis.

DLP policy list

Rajataan vastaavalla tavalla Default-ympäristöstä pois Azure SQL:n ja Blob Storagen käyttö. Ne mahdollistavat yleiskäyttöisen yhteyden jakamisen resursseihin ja ovat siksi vaarallisia Default-ympäristössä.

DLP policy list 2

Lopuksi luodaan Default-ympäristöön käytäntö, jossa kansalaiskehittäjiä kiinnostavat Microsoftin palvelut siirretään liiketoimintaan liittyvien yhdistimien (Business connectors) koriin.

DLP business connectors

Jatkossa sinne voi lisätä aina tarpeen mukaan uusia yhdistimiä.

Valmista!

DLP policy list3

DLP-käytäntöjen luominen käytännössä

Uusia DLP-käytäntöjä luodessa on syytä olla varovainen.

Mitä tapahtuu Power Appseille ja Flow:lle jotka rikkovat uutta käytäntöä?

Ne lakkaavat toimimasta.

Flow:n tilaksi vaihtuu Suspended.

Suspended Flow

Eikä Power Apps enää aukea.

power app DLP

Mistä tiedän mitkä ratkaisut lakkaavat toimimasta jos kuristan DLP-käytäntöjä?

Ratkaisu on jälleen kerran Center of Excellence. Sen Power BI -raportin Connections-välilehdellä voit suodattaa Power Appsit ja Flow:t niiden käyttämien yhdistimien perusteella. Suosittelen tarkistamaan ennen kuin teet uusia DLP-käytäntöjä.

CoE find connectors

Center of Excellence sisältää myös DLP Editor– työkalun jolla voit rakentaa uusia käytäntöjä. Työkalu kertoo samantien, mihin Power Appseihin käytäntö tulee vaikuttamaan.

DLP Editor

Huomaa että DLP Editor kattaa vainPower Appsit, eikä se (toistaiseksi) tue yhdistimien estämistä.

Yhteenveto

DLP säännöt ovat helppo ja nopea tapa lisätä Power Platformin turvallisuutta.

Käytännössä sopivan tasapainon löytäminen turvallisuuden (yhdistimien kieltäminen)  ja kansalaiskehittäjien vapauksien ja innovatiivisuuden ruokkimisen (yhdistimien salliminen) välillä voi olla hankalaa.