GraphWarden vs Microsoft Purview pour la gouvernance des données Graph API
Gouvernance des données au repos contre application en transit. Deux approches complémentaires pour protéger les données Microsoft 365.
En bref
Microsoft Purview gouverne les données au repos - classification, étiquetage, politiques DLP sur les fichiers et les courriels. GraphWarden gouverne les données en transit via Graph API - filtrant quelles propriétés et quels objets vos applications peuvent accéder. Ils résolvent des problèmes différents et sont complémentaires, pas compétitifs.
Comparaison en un coup d'oeil
| Fonctionnalité | GraphWarden | Microsoft Purview |
|---|---|---|
| Ce qu'il gouverne | Données en transit (réponses API) | Données au repos (fichiers, courriels) |
| Filtrage des réponses Graph API | Oui - par propriété et par objet | Non |
| Classification et étiquetage des données | Non | Oui - étiquettes de sensibilité |
| Politiques DLP | Non | Oui |
| Politiques d'accès par application | Oui - 11 types de conditions | Non |
| Transformations de données (hash, masquage, suppression) | 9 intégrées | Non |
| Gestion des identifiants sans connaissance | Oui - Key Vault | Non applicable |
| Journal d'audit au niveau API | Oui - par requête | Activité fichiers/courriels uniquement |
| Modèle de déploiement | Sur site + cloud | SaaS (géré par Microsoft) |
| Complémentaires ? | Oui - utilisez les deux ensemble | |
Comparaison détaillée
1. Ce qu'il gouverne
Microsoft Purview se concentre sur les données au repos. Il classifie les fichiers dans SharePoint, OneDrive et Exchange. Il applique des étiquettes de sensibilité. Il applique des politiques DLP pour empêcher le partage inapproprié de données sensibles. Sa portée s'étend aux bases de données, aux partages de fichiers sur site et aux environnements multi-cloud via sa carte de données.
GraphWarden se concentre sur les données en transit via Microsoft Graph API. Lorsqu'une application appelle Graph pour récupérer des utilisateurs, des groupes, des messages ou des fichiers, GraphWarden intercepte la réponse et applique des politiques sur les données que l'application est autorisée à voir. Il opère au niveau de la couche API, pas de la couche de stockage.
Verdict : Couches différentes, problèmes différents. Purview protège les données là où elles résident. GraphWarden protège les données lorsqu'elles circulent via l'API. Aucun ne remplace l'autre.
2. Comment ça fonctionne
Purview utilise un moteur de classification qui analyse le contenu pour détecter les types d'informations sensibles (numéros de sécurité sociale, numéros de carte de crédit, modèles personnalisés). Il applique des étiquettes de sensibilité qui accompagnent le document et imposent le chiffrement, les restrictions d'accès et les marquages visuels. Les politiques DLP surveillent ensuite les violations et agissent - bloquer le partage, notifier les administrateurs ou exiger une justification.
GraphWarden fonctionne comme un proxy en ligne. Les applications pointent vers GraphWarden au lieu de graph.microsoft.com. Chaque requête passe par le moteur de règles, qui évalue les conditions (point de terminaison, méthode, identité de l'application, et plus) et applique des transformations de réponse (filtrage de propriétés, limitation des objets, masquage de données). L'application ne reçoit que les données qu'elle est autorisée à voir.
Verdict : Purview classifie et étiquette les données de manière proactive. GraphWarden filtre les données de manière réactive au point d'accès API. Les deux mécanismes sont précieux dans une stratégie de défense en profondeur.
3. Couverture Graph API
Purview ne contrôle pas le contenu des réponses Graph API. Si une application dispose de la permission User.Read.All dans Azure AD, elle peut récupérer toutes les propriétés utilisateur de tous les utilisateurs du locataire - indépendamment des étiquettes de sensibilité existantes sur les données sous-jacentes. Les politiques DLP de Purview s'appliquent aux actions de partage de contenu, pas aux charges utiles des réponses API.
GraphWarden filtre chaque appel Graph API. Même si une application dispose de permissions Graph étendues, GraphWarden peut restreindre les propriétés retournées (supprimer les numéros de téléphone personnels, les adresses domicile ou d'autres attributs sensibles), les objets visibles (uniquement les utilisateurs de groupes AAD spécifiques) et les méthodes HTTP autorisées par point de terminaison.
Verdict : C'est la lacune clé que Purview laisse ouverte. Des permissions Graph étendues plus aucun filtrage au niveau API égale exposition de données. GraphWarden comble cette lacune.
4. Gestion des identifiants
Purview ne gère pas les identifiants des applications pour l'accès Graph API. Chaque application qui appelle Graph maintient sa propre inscription d'application, son secret client ou certificat, et son flux d'acquisition de jeton. Purview n'a aucune visibilité ni contrôle sur ces identifiants.
GraphWarden centralise la gestion des identifiants Graph via Azure Key Vault avec une architecture sans connaissance. Les applications s'authentifient auprès de GraphWarden avec des identifiants spécifiques au proxy et ne voient jamais les vrais secrets client Graph. Si un identifiant est compromis, vous révoquez l'identifiant proxy sans rotation de l'inscription Graph sous-jacente.
Verdict : La gestion des identifiants est entièrement hors du périmètre de Purview. Si la gestion centralisée des secrets pour Graph est une exigence, GraphWarden y répond directement.
5. Conformité
Purview excelle dans la conformité de la classification des données - identification des informations sensibles, application des politiques de rétention, gestion du cycle de vie des données et démonstration aux auditeurs que le contenu sensible est correctement étiqueté et protégé. Il s'intègre au centre de conformité Microsoft 365 et fournit un score de conformité.
GraphWarden fournit une conformité au niveau API - des journaux d'audit détaillés montrant exactement quelle application a accédé à quelles données via Graph, quelles propriétés ont été filtrées, quels objets ont été exclus et quelles règles ont correspondu. C'est la preuve dont vous avez besoin quand les auditeurs demandent "quelles applications peuvent accéder aux données personnelles des employés via vos API ?"
Verdict : Questions de conformité différentes, outils différents. Purview répond à "nos données sont-elles correctement classifiées ?" GraphWarden répond à "qui a accédé à quoi via nos API ?"
6. Déploiement
Purview est un service SaaS entièrement géré par Microsoft. Il n'y a rien à déployer ou à maintenir sur votre infrastructure. La configuration se fait via le centre d'administration Microsoft 365 et le portail de conformité Purview. Cette simplicité a pour contrepartie que vous ne pouvez pas l'exécuter sur site ou en dehors du cloud Microsoft.
GraphWarden se déploie sous forme d'un exécutable unique qui fonctionne sur site ou dans n'importe quel environnement cloud. Vous contrôlez où il fonctionne, comment il évolue et où les données d'audit résident. Pour les organisations ayant des exigences de souveraineté des données ou des environnements déconnectés, cette flexibilité est essentielle.
Verdict : Purview est un SaaS sans maintenance. GraphWarden vous donne un contrôle total sur le déploiement. Le bon choix dépend de vos exigences d'infrastructure.
Mieux ensemble : utilisez les deux
GraphWarden et Microsoft Purview ne sont pas des concurrents - ils protègent différentes couches de votre environnement Microsoft 365. Une stratégie de gouvernance des données complète utilise les deux.
- ✓ Purview classifie et étiquette les données sensibles au repos - fichiers dans SharePoint, courriels dans Exchange, enregistrements dans les bases de données.
- ✓ GraphWarden contrôle quelles données vos applications peuvent accéder en transit via Graph API - filtrant les propriétés, limitant les objets et gérant les identifiants.
- ✓ Ensemble, ils créent une défense en profondeur : les données sont protégées là où elles résident (Purview) et là où elles circulent (GraphWarden).
Qui devrait utiliser Microsoft Purview
- ✓ Toute organisation Microsoft 365. Les capacités de classification et d'étiquetage des données de Purview sont fondamentales pour toute stratégie de gouvernance des données.
- ✓ Les équipes axées sur la DLP - empêcher le partage externe de documents sensibles ou leur déplacement vers des emplacements non autorisés.
- ✓ Les organisations ayant des exigences de rétention et de cycle de vie des données qui nécessitent une classification automatisée et l'application de politiques au niveau du contenu.
- ✓ Les équipes de conformité qui doivent démontrer un traitement approprié des données via des étiquettes de sensibilité et des rapports de classification.
Qui devrait utiliser GraphWarden
- ✓ Les organisations où plusieurs applications accèdent à Microsoft Graph et chacune ne devrait voir que des propriétés et objets spécifiques - pas tout ce que leurs permissions leur permettent techniquement.
- ✓ Les équipes de sécurité qui doivent combler l'écart entre les permissions Graph API étendues et le principe du moindre privilège au niveau des données.
- ✓ Les équipes de conformité qui ont besoin de journaux d'audit au niveau API montrant exactement quelles applications ont accédé à quelles données via Graph.
- ✓ Les organisations qui souhaitent centraliser la gestion des identifiants Graph pour qu'aucune application ne stocke de vrais secrets client.
Comblez le fossé de la couche API dans votre gouvernance des données
Purview protège les données au repos. GraphWarden protège les données en transit. Découvrez comment ils fonctionnent ensemble pour créer une stratégie de gouvernance des données complète pour votre environnement Microsoft 365.