Heute haben wir Cloudflare One for Data Protection vorgestellt – eine einheitliche Suite zum Schutz von Daten überall im Web sowie in SaaS-Lösungen und privaten Anwendungen. Sie vereint Funktionen wie Data Loss Prevention (DLP), den Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Remote Browser Isolation (RBI) und cloudbasierte E-Mail-Sicherheitsdienste. Die Suite ist ab sofort verfügbar und wird als Teil von Cloudflare One, unserer SASE-Plattform, angeboten.
In unserem der Präsentation der Lösung gewidmeten Blogbeitrag haben wir uns darauf konzentriert, wie die Datenschutz-Suite Kunden dabei hilft, mit den Risiken umzugehen, denen Daten in der heutigen Zeit ausgesetzt sind. Wir haben dabei wichtige Anwendungsfälle und Beispiele aus der Praxis vorgestellt.
In diesem begleitenden Beitrag rekapitulieren wir die Funktionen, die im vergangenen Jahr in die Cloudflare One-Suite integriert wurden. Außerdem präsentieren wir neue Funktionen, auf die sich Kunden in naher Zukunft freuen können. Dieser Blogbeitrag richtet sich in erster Linie an Praktikerinnen und Praktiker, die sich für den Schutz von Daten und SaaS-Umgebungen mit Cloudflare One interessieren.
Im vergangenen Jahr eingeführte DLP- und CASB-Funktionen
Cloudflare hat sowohl die DLP- als auch die CASB-Dienste im September 2022 auf den Markt gebracht. Seitdem haben wir die Funktionen zügig ausgebaut, um die wachsenden Anforderungen von Unternehmen jeder Größe zu erfüllen. Bevor wir Ihnen einen Ausblick auf die Entwicklung dieser Dienste geben, lohnt es sich, die vielen Verbesserungen des letzten Jahres noch einmal Revue passieren zu lassen.
Die DLP-Lösung von Cloudflare hilft Unternehmen, sensible Daten in ihrer gesamten Umgebung anhand verschiedener Merkmale zu erkennen und zu schützen. DLP-Kontrollen können entscheidend sein, um schädliche Datenlecks zu verhindern (und zu erkennen) und die Compliance für regulierte Datenkategorien wie Finanz-, Gesundheits- und personenbezogene Daten zu gewährleisten.
Die Verbesserungen bei der DLP-Erkennung und den entsprechenden Richtlinien lassen sich durch drei wesentliche Schwerpunkte charakterisieren:
- Anpassbarkeit: DLP-Richtlinien können von Administratoren unkompliziert und mit der gewünschten Flexibilität erstellt werden.
- Umfassende Erkennung: Administratoren können zunehmend präziser festlegen, welche Daten geschützt werden sollen und wie.
- Detaillierte Erkennung: Zur Analyse der Wirksamkeit ihrer DLP-Richtlinien erhalten Administratoren detailliertere Einblicke und Protokolle.
Der CASB von Cloudflare hilft Unternehmen, sich mit SaaS-Anwendungen von Drittanbietern zu verbinden, sie zu scannen und auf Fehlkonfigurationen, unzulässige Datenweitergabe und andere Sicherheitsrisiken zu überwachen – und das alles mittels ressourceneffizienter API-Integrationen. Auf diese Weise erhalten Unternehmen wieder einen Überblick und die Kontrolle über ihre SaaS-Anwendungen, in die sie zunehmend mehr investieren.
Die Verbesserungen unseres CASB lassen sich ebenfalls in drei Schwerpunkten unterteilen:
- Ausweitung der API-Integrationen: Heute lässt sich unser CASB mit 18 der beliebtesten SaaS-Anwendungen integrieren – darunter Microsoft 365 (einschließlich OneDrive), Google Workspace (einschließlich Drive), Salesforce und GitHub. Für die Einrichtung dieser API-Integrationen sind weniger Klicks erforderlich als bei CASB-Lösungen der ersten Generation und die Abdeckung ist vergleichbar mit anderen Anbietern im Bereich der Security Services Edge (SSE).
- Verbesserung der Ergebnisse von CASB-Scans: Wir haben die Behebung der bei CASB-Scans ermittelten Fehlkonfigurationen vereinfacht, sowohl mit Anleitungen als auch mit in das Dashboard integrierten Richtlinien-Maßnahmen.
- Zusammenführung von CASB- und DLP-Funktionen: Wir ermöglichen Unternehmen nun die Durchsuchung von SaaS-Anwendungen nach sensiblen Daten gemäß ihrer Klassifizierung in den DLP-Richtlinien. Auf diese Weise werden Unternehmen beispielsweise beispielsweise darauf aufmerksam, wenn sich in Google-Dokumenten oder Tabellen, die über das Internet öffentlich zugänglich sind, Kreditkarten- oder Sozialversicherungsnummern befinden.
Insbesondere das letzte Beispiel verdeutlicht, wie wichtig es zur Ermöglichung einfacher und optimierter Arbeitsabläufe ist, Datenschutzfunktionen auf einer einzigen Plattform zu bündeln. In der folgenden Tabelle sind einige wichtige Funktionen aufgeführt, die seit der Bekanntgabe der allgemeinen Verfügbarkeit im September letzten Jahres freigeschaltet wurden.
Tabelle 1: Ausgewählte DLP- und CASB-Funktionen, die seit dem vierten Quartal 2022 eingeführt wurden
| Kategorie | Funktion | Beschreibung |
|---|---|---|
| DLP: Anpassbarkeit | Integration der Vertraulichkeitsbezeichnungen von Microsoft | Nach einer schnellen API-Integration synchronisiert sich Cloudflare kontinuierlich mit den Vertraulichkeitsbezeichnungen von Microsoft (Information Protection Labels – MIP-Labels), die Sie bereits verwenden, um die Erstellung von DLP-Richtlinien zu optimieren. |
| Benutzerdefinierte DLP-Profile | Administratoren können benutzerdefinierte Erkennungen mit demselben Regex-Richtlinien-Builder einrichten, der auf unserer gesamten Zero Trust-Plattform verwendet wird, sodass die Konfiguration für alle Dienste einheitlich erfolgt. | |
| Match-Count-Kontrollen | Administratoren können einen Mindestwert für die Anzahl der Erkennungen festlegen, ab dem eine Maßnahme (wie Blockieren oder Protokollieren) ausgelöst wird. Auf diese Weise lassen sich Richtlinien erstellen, die zwar einzelne Transaktionen zulassen, aber Up-/Downloads mit großen Mengen sensibler Daten blockieren. | |
| DLP: Umfangreichere Erkennung | Kontextanalyse | Die Kontextanalyse trägt zur Reduzierung von Fehlalarmen bei, indem sie nah beieinander liegende Keywords analysiert (wenn z. B. das Wort „Ablaufdatum“ in der Nähe einer Kreditkartennummer auftaucht, erhöht sich die Wahrscheinlichkeit, dass eine Erkennung ausgelöst wird). |
| Steuerung über den Dateityp | DLP-Scans können auf bestimmte Dateitypen beschränkt werden, z. B. auf Microsoft Office-Dokumente, PDF-Dateien und ZIP-Dateien. | |
| Erweiterte vordefinierte DLP-Profile | Seit Einführung der DLP-Lösung wurde ihre Palette an Erkennungsfunktionen auf gängige Datentypen wie Finanzdaten, personenbezogene Daten und Zugangsdaten ausgeweitet. | |
| DLP: Detaillierte Erkennung | Erweiterte Protokolldetails | Cloudflare erfasst jetzt in Protokollen mehr und genauere Informationen zu DLP-bezogenen Aktivitäten. Dazu gehören eine Analyse des Payloads, Dateinamen und detailliertere Angaben zu einzelnen Dateien. Viele unserer Kunden ziehen es vor, diese Protokolle an SIEM-Tools wie DataDog und Sumo Logic zu übermitteln. |
| CASB: Ausweitung der Integrationen und Erkenntnisse | API-basierte Integrationen Verwaltung der Ergebnisse |
Heute ist Cloudflare in 18 der am häufigsten genutzten SaaS-Anwendungen integriert, unter anderem in Produktivitätssuites, Cloud-Speicher und Chat-Tools. API-basierte Scans legen nicht nur Fehlkonfigurationen offen, sondern bieten auch integrierte Workflows zur Erstellung von HTTP-Richtlinien und Schritt-für-Schritt-Anleitungen zur Fehlerbeseitigung. |
| Zusammenführung von DLP und CASB | Scannen nach sensiblen Daten in SaaS-Anwendungen | Heute können Unternehmen den CASB so einrichten, dass jede öffentlich zugängliche Datei in Google Workspace nach Text durchsucht wird, der einem DLP-Profil entspricht (z. B. Finanzdaten oder personenbezogene Daten). |
Neue und geplante DLP- und CASB-Funktionen
Die heute eingeführte Datenschutz-Suite von Cloudflare One unterstreicht unsere Absicht, weiterhin in DLP- und CASB-Funktionen für diese Bereiche zu investieren. Im Folgenden geben wir Ihnen eine Vorschau auf einige neue und geplante Funktionen der Cloudflare One Datenschutz-Suite. Diese werden in den kommenden Wochen verfügbar gemacht und werden einen besseren Überblick über Datenumgebungen sowie eine größere Kontrolle darüber ermöglichen.
Exakter Datenabgleich mit benutzerdefinierten Wortlisten
Bereits eingeführt: Exact Data Match ist nach abgeschlossener Beta-Phase nun allgemein verfügbar. Mit dieser Funktion können Kunden der DLP von Cloudflare genau mitteilen, nach welchen Daten sie suchen wollen. Dafür wird ein Datensatz mit Namen, Telefonnummern oder anderen Informationen hochgeladen.
In den nächsten 30 Tagen: Demnächst werden Kunden eine Liste mit bestimmten Wörtern hochladen, DLP-Richtlinien zur Suche nach diesen Keywords in Dateien erstellen sowie die entsprechenden Aktivitäten blockieren und protokollieren können.
Der Vorteil für die Kunden: Administratoren können näher definieren, welche Daten sie schützen müssen, und sparen Zeit bei der Erstellung von Richtlinien, indem sie die für sie wichtigsten Daten und Begriffe per Massenupload übermitteln. Im Lauf der Zeit haben viele Unternehmen lange Listen von Begriffen geschaffen, die für herkömmliche DLP-Dienste konfiguriert wurden. Diese individuell anpassbaren Upload-Funktionen vereinfachen den Wechsel zu Cloudflare. Genau wie bei allen anderen DLP-Profilen sucht Cloudflare im Inline-Traffic und in integrierten SaaS-Anwendungen nach diesen benutzerdefinierten Listen und Keywords.
Erkennen von Quellcode und Gesundheitsdaten
In den nächsten 30 Tagen: Bald wird die DLP-Lösung von Cloudflare vordefinierte Profile enthalten, um Entwicklerquellcode und geschützte Gesundheitsdaten (Protected Health Information oder kurz PHI) zu erkennen. Zunächst werden bei den Quellcodedaten vier der heute am weitesten verbreiteten Sprachen abgedeckt, nämlich Python, JavaScript, Java und C++. Die PHI-Daten werden die Namen von Medikamenten und Diagnosen umfassen, beides hochsensible Informationen im Gesundheitswesen.
Der Vorteil für die Kunden: Diese vordefinierten Profile decken einige der wertvollsten Arten von Daten innerhalb eines Unternehmens ab – im Fall der geschützten Gesundheitsdaten auch eine der am stärksten regulierten Datenkategorien.
Zusammenführung von API-gesteuertem CASB und DLP für den Schutz ruhender Daten
In den nächsten 30 Tagen: Bald werden Unternehmen in der Lage sein, nach sensiblen ruhenden Daten in Microsoft 365 (z. B. OneDrive) zu suchen. API-basierte Scans dieser Umgebungen erkennen dann zum Beispiel, ob Kreditkartennummern, Quellcode oder andere über DLP-Richtlinien konfigurierte Daten in öffentlich zugänglichen Dateien enthalten sind. Administratoren können dann mit Inline-CASB-Gateway-Richtlinien entsprechende Behebungsmaßnahmen ergreifen.
Einführung bis Jahresende: In einigen Monaten wird die gleiche Integration für GitHub verfügbar sein.
Die Vorteile für Kunden: Mit der bestehenden Google Workspace-Integration und der kommenden Integration in Microsoft 365 können Kunden in zwei der wichtigsten Cloud-Produktivitätssuiten nach sensiblen Daten suchen. Dort verbringen Nutzer einen Großteil ihrer Zeit und dort wird ein großer Prozentsatz der Unternehmensdaten aufbewahrt. Diese neue Microsoft-Integration stellt eine kontinuierliche Investition in die Optimierung von Sicherheits-Workflows im gesamten Microsoft-Ökosystem dar – sei es für die Verwaltung des Identitäts- und Anwendungszugriffs, die Durchsetzung des Gerätestatus oder die Isolierung riskanter Nutzer.
Die GitHub-Integration ermöglicht auch einen erneuten Überblick über eine der wichtigsten Entwicklerumgebungen, die auch zunehmend hinsichtlich Datenlecks relevant wird. Tatsächlich wurden laut GitGuardian im Jahr 2022 zehn Millionen hart kodierte Geheimnisse in öffentlichen GitHub-Commits offengelegt. Das sind 67 % mehr als 2021 und diese Zahl wird voraussichtlich noch weiter steigen. Kunden berichten unserem Produktteam regelmäßig, dass das Verhindern der Offenlegung von Quellcode auf GitHub ein Problembereich für sie ist. Wir werden der Absicherung von Entwicklerumgebungen also weiterhin Priorität einräumen.
Mehrschichtiger Zero-Trust-Schutz: Nutzerrisikobewertung
In den nächsten 30 Tagen: Cloudflare wird einen Risiko-Score einführen, der auf dem Verhalten von Nutzern und den Aktivitäten basiert, die in den Diensten von Cloudflare One registriert wurden. Unternehmen werden in der Lage sein, risikobehaftetes Nutzerverhalten zu erkennen, z. B. aufgrund von „Impossible Travel“-Anomalien oder durch das Verzeichnen einer zu großen Zahl von DLP-Verstößen in einem bestimmten Zeitraum. Kurz nach den Erkennungsfunktionen werden wir die Möglichkeit einführen, Präventions- oder Abhilfemaßnahmen im Rahmen der übergeordneten Cloudflare One Suite zu ergreifen. Auf diese Weise können Unternehmen den Zugang zu sensiblen Daten und Anwendungen auf Grundlage sich ändernder Risikofaktoren und des Echtzeitkontexts kontrollieren.
Die Vorteile für Kunden: Heutzutage wird viel Zeit, Arbeit und Geld in die Analyse großer Mengen von Protokolldaten investiert, um Risikomuster zu erkennen. Der sofort einsatzbereite Risiko-Score von Cloudflare vereinfacht diesen Prozess und hilft Unternehmen, verdächtige Aktivitäten schnell und effizient zu erkennen und zu unterbinden.
Erste Schritte
Dies sind nur einige der Funktionen, die bei uns in nächster Zeit auf dem Programm stehen. Wir freuen uns schon darauf, Ihnen durch die Weiterentwicklung der Datenschutz-Suite bald noch mehr bieten zu können. Wenn Sie herausfinden möchten, wie Cloudflare One Ihre Daten schützen kann, vereinbaren Sie noch heute einen Termin für einen Workshop mit unseren Fachleuten.
Mehr darüber, wie Cloudflare One Ihre Daten schützt, erfahren Sie in der heute veröffentlichten Pressemitteilung, auf unserer Website oder bei einer technischen Demo.