Технічна безпека Copilot: Zero Trust, Purview та Compliance
Zero Trust архітектура, Microsoft Purview, Conditional Access, аудит та compliance requirements для IT та Security команд
Безпека Copilot для IT та Security команд
Цей урок призначений для IT-адміністраторів та спеціалістів з безпеки ДП НАІС. Ми розглянемо технічну архітектуру безпеки Microsoft 365 Copilot, інструменти контролю та моніторингу, а також вимоги compliance.
Zero Trust архітектура
Microsoft 365 Copilot побудований на принципах Zero Trust — "ніколи не довіряй, завжди перевіряй":
Як Zero Trust працює на практиці
Сценарій: Працівник відкриває Word і просить Copilot "Покажи останній фінансовий звіт"
1. Entra ID перевіряє: хто цей користувач? (Identity verification)
2. Conditional Access: чи дозволено з цього пристрою? з цієї мережі? (Device compliance)
3. Microsoft 365 Graph: до яких файлів має доступ цей користувач? (Data access)
4. Copilot шукає ТІЛЬКИ серед файлів, доступних цьому користувачу
5. Результат повертається через захищений канал (TLS 1.3)
6. Purview логує: хто, коли, що запитував (Audit log)
Ключовий принцип: Якщо працівник не має доступу до файлу через SharePoint/OneDrive, Copilot також не покаже цей файл. Copilot не може обійти систему прав доступу.
Microsoft Purview: контроль та аудит
Microsoft Purview — це набір інструментів для governance, compliance та аудиту використання Copilot.
Що Purview контролює
| Інструмент | Функція | Для кого |
|---|---|---|
| Audit Log | Запис всіх взаємодій з Copilot | Security team |
| Data Loss Prevention (DLP) | Запобігання витоку чутливих даних | Compliance officer |
| Sensitivity Labels | Класифікація документів (Public, Internal, Confidential) | Всі працівники |
| Information Barriers | Ізоляція даних між відділами | Адміністратор |
| eDiscovery | Пошук та аналіз Copilot-взаємодій для розслідувань | Legal/Security |
Sensitivity Labels та Copilot
Sensitivity Labels визначають, як Copilot може використовувати документ:
Приклад налаштування Sensitivity Label:
Label: "НАІС — Конфіденційно"
- Encryption: Yes (AES-256)
- Access: тільки група "НАІС-Управління"
- Copilot access: Restricted
- Watermark: "Конфіденційно — ДП НАІС"
- Expiration: 365 днів
Conditional Access для Copilot
Conditional Access дозволяє контролювати, хто і звідки може використовувати Copilot:
Рекомендовані політики для ДП НАІС
Політика 1: Базова безпека
- Хто: всі користувачі Copilot
- Умова: будь-який вхід
- Вимога: MFA обов'язкова
- Дія: дозволити з MFA
Політика 2: Корпоративні пристрої
- Хто: всі користувачі Copilot
- Умова: вхід з особистого пристрою
- Вимога: пристрій має бути enrolled в Intune
- Дія: обмежений доступ (тільки веб, без завантаження)
Політика 3: Географічне обмеження
- Хто: всі користувачі
- Умова: вхід з-за кордону (не Україна)
- Вимога: додаткова перевірка + повідомлення Security
- Дія: дозволити з підвищеною верифікацією
Політика 4: Високий ризик
- Хто: Sign-in risk = High
- Дія: блокувати доступ, вимагати скидання пароля
Compliance Requirements
GDPR (для обробки даних громадян ЄС)
- Data Processing Agreement (DPA): Microsoft надає DPA для Copilot
- Data residency: Дані обробляються в обраному регіоні (EU)
- Right to erasure: Можливість видалити дані через eDiscovery
- Data minimization: Copilot обробляє лише запитані дані
Українське законодавство
- Закон "Про захист персональних даних": Copilot не змінює зобов'язання ДП НАІС як розпорядника даних
- Закон "Про захист інформації в інформаційно-комунікаційних системах": Необхідна атестація системи
- Закон "Про електронні документи": AI-згенеровані документи потребують підпису відповідальної особи
Моніторинг та аудит використання
Що відстежувати
Ключові метрики для Security Dashboard
1. Кількість Copilot-сесій по користувачах (аномальна активність?)
2. Запити до конфіденційних документів (хто запитував що?)
3. DLP-інциденти (спроби витоку через Copilot)
4. Blocked requests (Conditional Access відхилення)
5. Географія входів (підозрілі локації)
6. Час використання (нетиповий час — ніч, вихідні)
PowerShell для аудиту
# Отримати логи Copilot-активності за останні 7 днів
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) `
-EndDate (Get-Date) `
-Operations "CopilotInteraction" `
-ResultSize 5000 |
Export-Csv -Path "copilot-audit.csv" -NoTypeInformation
Для адміністраторів: Налаштуйте автоматичні алерти в Microsoft Sentinel для виявлення аномальної активності Copilot: масові запити до конфіденційних документів, активність у нетиповий час, спроби доступу до чужих файлів.
Чеклісст безпеки перед розгортанням Copilot
- Налаштовані Sensitivity Labels для всіх категорій документів
- Перевірені права доступу в SharePoint/OneDrive (oversharing audit)
- Активований MFA для всіх користувачів Copilot
- Створені Conditional Access політики
- Налаштований DLP для Copilot
- Активований аудит в Microsoft Purview
- Створені алерти для аномальної активності
- Розроблена та затверджена AI Usage Policy
- Проведено навчання працівників з безпеки
Створіть Conditional Access політику
Опишіть Conditional Access політику для вашої організації, використовуючи Copilot для генерації документації.
Що означає принцип 'Least Privilege' у контексті Microsoft 365 Copilot?
Яку роль відіграє Microsoft Purview у безпеці Copilot?
Zero Trust архітектура, Purview налаштування, Conditional Access та compliance guide