Nos avons annoncé aujourd'hui la solution Cloudflare One for Data Protection, une suite unifiée permettant de protéger les données partout, sur l'ensemble des applications (web, SaaS et privées). Cette suite fait converger plusieurs fonctionnalités, comme nos services de DLP (Data Loss Prevention, prévention de perte des données), de CASB (Cloud Access Security Broker, agent de sécurité des accès au cloud), de ZTNA (Zero Trust Network Access, accès réseau Zero Trust), de SWG (Secure Web Gateway, passerelle web sécurisée), de RBI (Remote Browser Isolation, isolement de navigateur à distance) et de sécurité du courrier électronique cloud. La suite est désormais disponible et proposée dans le cadre de Cloudflare One, notre plateforme SASE.
Dans l'article d'annonce, nous nous sommes concentrés sur la manière dont la suite de protection des données aide nos clients à faire face aux risques modernes pesant sur les données, avec des scénarios d'utilisation recommandés et des exemples concrets tirés de scénarios clients.
Dans cet article complémentaire, nous récapitulons les fonctionnalités que nous avons intégrées à la suite Cloudflare One au cours de l'année passée et vous présentons en avant-première celles auxquelles nos clients peuvent s'attendre. Il conviendra parfaitement aux professionnels intéressés par la protection des données et des environnements SaaS à l'aide de la plateforme Cloudflare One.
Les fonctionnalités de DLP et de CASB lancées l'année passée
Cloudflare a lancé ses deux services DLPet CASB en septembre 2022. Depuis, nous avons rapidement développé ces fonctionnalités conçues pour répondre aux besoins grandissants des entreprises de toutes tailles. Avant de vous donner un aperçu de la manière dont ces services vont évoluer, il peut être intéressant d'effectuer un récapitulatif des nombreuses améliorations apportées au cours de l'année passée.
La solution DLPde Cloudflare aide les entreprises à détecter et à protéger les données sensibles sur l'ensemble de leurs environnements, en fonction de plusieurs de leurs caractéristiques. Les mesures de contrôle de DLP peuvent s'avérer essentielles pour prévenir (et détecter) les fuites préjudiciables et assurer la conformité des classes de données réglementées, comme les données financières, les informations médicales et les informations d'identification personnelle.
Les améliorations apportées aux mesures de détection et aux politiques de DLP peuvent être classées selon trois axes principaux :
Personnalisation : pour faciliter la tâche aux administrateurs cherchant à concevoir des politiques DLP dotées de toute la flexibilité souhaitée.
Détections profondes : pour doter les administrateurs de mesures de contrôle de plus en plus précises sur les données qu'ils souhaitent protéger et sur la manière dont ils souhaitent les protéger.
Détections détaillées : pour offrir aux administrateurs plus de visibilité et de journaux détaillés afin de leur permettre d'analyser l'efficacité de leurs politiques DLP.
Le CASBde Cloudflare aide les entreprises à se connecter, à analyser et à surveiller les applications tierces à la recherche d'erreurs de configuration, de partages de données abusifs et d'autres risques envers la sécurité, le tout par l'intermédiaire d'intégrations d'API légères. Les entreprises peuvent ainsi récupérer de la visibilité et du contrôle sur leurs investissements croissants en matière d'applications SaaS.
De même, les améliorations apportées au CASB peuvent être regroupées selon trois thèmes :
Expansion des intégrations d'API : à l'heure actuelle, notre CASB s'intègre à 18 des applications SaaS les plus populaires, comme Microsoft 365 (y compris OneDrive), Google Workspace (y compris Drive), Salesforce et GitHub. La configuration de ces intégrations d'API demande moins de clics que dans les solutions de CASB de première génération, avec une couverture comparable à celle des autres fournisseurs de SSE (Security Services Edge, services de sécurité en périphérie).
Meilleures conclusions des analyses du CASB : nous avons facilité la correction des erreurs de configuration identifiées par les analyses du CASB en intégrant des guides prescriptifs et des actions de politiques « in-line » au tableau de bord.
Convergence des fonctionnalités CASB et DLP : nous permettons désormais aux entreprises d'analyser les applications SaaS à la recherche de données sensibles, comme les données protégées par les politiques DLP. À titre d'exemple, cette opération aide les entreprises à détecter les numéros de carte de paiement ou les numéros de sécurité sociale figurant dans des documents ou des feuilles de travail Google publiquement disponibles et donc accessibles à n'importe quel utilisateur sur Internet.
Cette dernière thématique parle, en particulier, de la valeur liée à l'unification des fonctionnalités de protection des données au sein d'une même plateforme, pour des flux de travail plus simples et rationalisés. Le tableau ci-dessous met en valeur certaines des fonctionnalités principales que nous avons lancées depuis nos annonces de mise en disponibilité générale du mois de septembre dernier.
Tableau 1: une sélection des fonctionnalités de DLP et de CASB lancées depuis le quatrième trimestre 2022
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-bkhz{background-color:#00379C;color:#FFF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
| Theme | Capability | Description |
|---|---|---|
| DLP: Customizability | Microsoft Information Protection labels integration | After a quick API integration, Cloudflare syncs continuously with the Microsoft Information Protection (MIP) labels you already use to streamline how you build DLP policies. |
| Custom DLP profiles | Administrators can create custom detections using the same regex policy builder used across our entire Zero Trust platform for a consistent configuration experience across services. | |
| Match count controls | Administrators can set minimum thresholds for the number of times a detection is made before an action (like block or log) is triggered. This way, customers can create policies that allow individual transactions but block up/downloads with high volumes of sensitive data. | |
| DLP: Deepening detection | Context analysis | Context analysis helps reduce false positive detections by analyzing proximity keywords (for example: seeing “expiration date” near a credit card number increases the likelihood of triggering a detection). |
| File type control | DLP scans can be scoped to specific file types, such as Microsoft Office documents, PDF files, and ZIP files. | |
| Expanded predefined DLP profiles | Since launch, DLP has built out a wider variety of detections for common data types, like financial data, personal identifiers, and credentials. | |
| DLP: Detailed detections | Expanded logging details | Cloudflare now captures more wide-ranging and granular details of DLP-related activity in logs, including payload analysis, file names, and higher fidelity details of individual files. A large percentage of our customers prefer to push these logs to SIEM tools like DataDog and Sumo Logic. |
| CASB: Expanding integrations and findings | API-based integrations Managing findings |
Today, Cloudflare integrates with 18 of the most widely used SaaS apps, including productivity suites, cloud storage, chat tools, and more. API-based scans not only reveal misconfigurations, but also offer built-in HTTP policy creation workflows and step-by-step remediation guides. |
| DLP & CASB convergence | Scanning for sensitive data in SaaS apps | Today, organizations can set up CASB to scan every publicly accessible file in Google Workspace for text that matches a DLP profile (financial data, personal identifiers, etc.). |
Thème
Fonctionnalités
Description
DLP : personnalisation
Intégration des étiquettes Microsoft Information Protection
Après une rapide intégration d'API, Cloudflare se synchronise en permanence avec les étiquettes Microsoft Information Protection (MIP) que vous utilisez déjà afin de rationaliser la manière dont vous concevez vos politiques DLP.
Les administrateurs peuvent créer des profils de détection personnalisés à l'aide du même éditeur de politiques regex que celui utilisé sur l'ensemble de notre plateforme Zero Trust pour une expérience de configuration cohérente sur tous les services.
Les administrateurs peuvent définir un seuil minimum de détections avant le déclenchement d'une action (p. ex blocage ou journalisation). Les clients peuvent ainsi concevoir des politiques permettant des transactions individuelles, mais bloquer les téléchargements/importations de grands volumes de données sensibles.
DLP : détections en profondeur
L'analyse de contexte contribue à réduire le taux de faux positifs en analysant les mots-clés à proximité (p. ex, la présence des termes « date d'expiration » à côté d'un numéro de carte de paiement accroît la probabilité de déclencher une détection).
Les analyses DLP peuvent être limitées à des types de fichiers spécifiques, comme les documents Microsoft Office, les PDF ou les fichiers ZIP.
Élargissement des profils DLP prédéfinis
Depuis son lancement, la DLP a conçu une vaste gamme de mesures de détection couvrant les types de données courants, comme les données financières et les identifiants personnels.
DLP : détections détaillées
Extension des détails de journalisation
Cloudflare capture désormais davantage de détails de large portée et de détails plus granulaires concernant l'activité liée à la DLP dans les journaux, notamment l'analyse du contenu, les noms de fichier et les détails de plus haute fidélité des fichiers individuels. Un large pourcentage de nos clients préfèrent transmettre ces journaux à des outils SIEM, tels que DataDog et Sumo Logic.
CASB : extension des intégrations et des conclusions
À l'heure actuelle, notre CASB s'intègre à 18 des applications SaaS les plus largement utilisées, comme les suites d'amélioration de la productivité, le stockage cloud, les outils de discussion et bien d'autres.
Les analyses basées sur API ne révèlent pas uniquement les erreurs de configuration, elles proposent également des procédures intégrées de conception de politiques HTTP et des guides de correction étape par étape.
Convergence DLP et CASB
Recherche de données sensibles dans les applications SaaS
De nos jours, les entreprises peuvent paramétrer leur CASB afin qu'il analyse chaque fichier publiquement accessible dans Google Workspace à la recherche de texte correspondant à un profil DLP (données financières, identifiants personnels, etc.).
Nouvelles fonctionnalités DLP et CASB lancées et à venir
Aujourd'hui, le lancement de la Cloudflare One Data Protection Suite cristallise notre engagement visant à continuer à investir dans les fonctionnalités DLP et CASB sur l'ensemble de ces thématiques. Nous souhaitions vous présenter ci-dessous quelques-unes des nouvelles fonctionnalités lancées et à venir sur la roadmap de la Cloudflare One Data Protection Suite. Ces dernières seront disponibles dans les prochaines semaines afin de vous assurer plus de visibilité et de contrôle sur vos environnements de données.
Correspondance exacte des données avec listes de mots personnalisées
Déjà lancée : la fonctionnalité Exact Data Match (correspondance exacte des données) sort de bêta pour passer en disponibilité générale. Elle permet aux clients d'indiquer au service DLP de Cloudflare quelles données rechercher exactement lors de l'importation d'un ensemble de données, susceptible de contenir des noms, des numéros de téléphone ou toute autre donnée sensible.
30 prochains jours : les clients pourront bientôt importer une liste de mots spécifiques et concevoir des politiques DLP afin de rechercher ces mots-clés importants dans les fichiers, avant de bloquer et de journaliser cette activité.
Avantages pour les clients : les administrateurs pourront être plus spécifiques sur ce qu'ils souhaitent protéger et économiser du temps sur la création des politiques en important en masse les données et les termes dont ils se soucient le plus. Au fil du temps, de nombreuses entreprises ont amassé de longues listes de termes configurées pour leurs services DLP existants. Cette fonctionnalité d'importation personnalisable permet de rationaliser la migration depuis d'autres fournisseursvers Cloudflare. Tout comme pour les autres profils DLP, Cloudflare recherche ces listes personnalisées et ces mots-clés dans le trafic interne (in-line) et au sein des applications SaaS intégrées.
Détection du code source et des informations médicales
30 prochains jours : le service DLP de Cloudflare inclura bientôt des profils prédéfinis pour détecter le code source et les informations médicales protégées (Protected Health Information, PHI). Initialement, les données liées au code couvriront quatre des langages les plus populaires à l'heure actuelle (Python, JavaScript, Java et C++). De même, les données PHI couvriront les noms liés aux médicaments et aux diagnostics, deux sujets médicaux particulièrement sensibles.
Avantages pour les clients : ces profils prédéfinis étendent la couverture à certains des types de données les plus précieuses circulant au sein d'une entreprise (et, dans le cas des PHI, parmi les plus régulées).
Convergence des services CASB et DLP orientés API pour la protection des données au repos
30 prochains jours : les entreprises pourront bientôt rechercher les données sensibles au repos dans l'environnement Microsoft 365 (p ex. OneDrive). Les analyses basées sur API de ces environnements révèleront, par exemple, si des numéros de cartes de paiement, du code source ou d'autres données configurées par l'intermédiaire de politiques DLP résident dans des fichiers accessibles publiquement. Les administrateurs pourront alors suivre des mesures directives pour corriger la situation par l'intermédiaire de politiques de passerelle CASB internes (in-line).
Lancement avant la fin de l'année : dans les mois à venir, cette même intégration sera disponible dans GitHub.
Avantages pour les clients : entre l'intégration Google Workspace existante et cette intégration Microsoft 365 à venir, les clients pourront rechercher les données sensibles au sein de deux des suites d'amélioration de la productivité les plus populaires, dans lesquelles de nombreux utilisateurs passent le plus clair de leur temps et où résident de forts volumes de données organisationnelles (en pourcentage). Cette nouvelle intégration à Microsoft est issue d'un investissement constant dans la rationalisation des flux de sécurité sur l'ensemble de l'écosystème Microsoft, qu'il s'agisse de gérer les identités et les accès, d'appliquer une stratégie de sécurité des appareilsou d'isoler les utilisateurs à risque.
L'intégration à GitHub permet également de regagner de la visibilité sur l'un des environnements les plus essentiels pour les développeurs, mais également de plus en plus sujet au risque de fuites de données. D'ailleurs, selon GitGuardian, 10 millions de secrets codés en dur ont été exposés au sein de commits GitHub publics en 2022, un chiffre supérieur de 67 % par rapport à 2021 et qui ne manquera certainement pas d'augmenter. La prévention de l'exposition de code source sur GitHub est une problématique dont notre équipe Produits entend souvent parler de la part des clients. Nous continuerons à prioriser la sécurisation de ces environnements pour développeurs.
Superposition sur le contexte Zero Trust : le score de risque utilisateur
30 prochains jours : Cloudflare lancera un score de risque basé sur le comportement de l'utilisateur et ses activités détectées sur l'ensemble des services de Cloudflare One. Les entreprises pourront détecter les comportements des utilisateurs qui induisent un risque à partir de diverses actions, comme une anomalie Impossible Travel (Voyage impossible), ou de détections résultant d'un trop grand nombre de violations DLP au cours d'une période donnée. Peu après les fonctionnalités de détection viendra l'option de prendre des actions de politique préventives ou correctives au sein de la suite Cloudflare One dans son ensemble. Les entreprises pourront ainsi contrôler l'accès aux données et aux applications sensibles en fonction de l'évolution des facteurs de risque et du contexte en temps réel.
Avantages pour les clients : de nos jours, une quantité énorme de temps, de travail et d'argent sont consacrés à l'analyse d'importants volumes de journaux afin d'identifier les schémas de risque. Le score de risque « prêt à l'emploi » de Cloudflare simplifie ce processus en aidant les entreprises à gagner de la visibilité sur les activités suspectes et à les verrouiller avec rapidité et efficacité.
Premiers pas
Seul un petit nombre de fonctionnalités figurent sur notre roadmap à court terme, mais nous sommes impatients de vous en faire découvrir davantage au fil des évolutions de notre suite de protection des données. Si vous souhaitez explorer la manière dont Cloudflare One peut protéger vos données, demandez un atelier avec nos experts dès aujourd'hui.
Sinon, pour plus d'informations sur la manière dont Cloudflare One préserve vos données, consultez le communiqué de presse publié aujourd'hui, rendez-vous sur notre site web ou approfondissez vos connaissances à l'aide d'une démo technique.