วันนี้เรามีความตื่นเต้นที่จะแจ้งให้ทราบว่าทีมของคุณสามารถใช้งานเครือข่ายของ Cloudflare เพื่อสร้าง Zero Trust สำหรับควบคุมข้อมูลในองค์กรของคุณ - ไม่ว่ามันจะอยู่ที่ไหนและไม่ว่ามันจะเคลื่อนที่อย่างไร

การหยุดยั้งข้อมูลสูญหายเป็นเรื่องที่ยากสำหรับทุกทีมและความท้าทายนั้นก็กลายเป็นสิ่งที่ยากขึ้นเนื่องจากผู้ใช้งานได้ออกจากสำนักงานและข้อมูลก็ถูกทิ้งไว้ในสถานที่ซึ่งเป็นศูนย์จัดเก็บ องค์กรจะไม่สามารถสร้างปราสาทและคูน้ำอย่างง่ายล้อมรอบข้อมูลของเขาได้อีกต่อไป ผู้ใช้งานในปัจจุบันเชื่อมต่อไปยังแอปพลิเคชันจากทุกๆ แห่งบนโลกซึ่งอยู่ในสภาพแวดล้อมที่นอกเหนือการควบคุมขององค์กร

เราได้พูดคุยกับลูกค้านับร้อยรายที่อาศัยมาตรการการหยุดชั่วคราวเพื่อลองสงวนรูปแบบโมเดลของปราสาทและคูน้ำไว้บ้างแต่การแก้ปัญหาเพียงชั่วคราวแต่ละแบบนั้นทำให้การใช้งานของผู้ใช้อืดอาดไม่ก็ทำให้ต้นทุนสูงขึ้นหรือไม่ก็ทั้งสองอย่าง ตัวเลือกที่ส่งผลระยะสั้นที่มีเกือบทั้งหมดรวมจุดโซลูชันไว้ด้วยกันและท้ายสุดก็เป็นการบังคับให้มีการรับส่งข้อมูลไปยังแบ็คฮาวล์ผ่านตำแหน่งศูนย์กลาง

Announcing Cloudflare’s Data Loss Prevention platform

ส่วนหนึ่งของCloudflare One ซึ่งเป็นวิธีในการป้องกันข้อมูลเสียหายของ Cloudflare นั้นขึ้นอยู่กับโครงสร้างพื้นฐานและเครือข่ายทั่วโลกเดียวกันกับวิธีซึ่งเพิ่มความเร็วของการรับส่งข้อมูลผู้ใช้งานไปยังอินเทอร์เน็ตเพื่อทำการตรวจสอบการรับส่งข้อมูลภายในทั้งหมดไม่ว่าส่งเข้ามาในเครือข่ายของเราอย่างไร

เรายังทราบว่าองค์กรต้องการมากกว่าเพียงแค่การตรวจสอบการรับส่งข้อมูลสำหรับสตริงข้อมูล การรักษาข้อมูลให้ปลอดภัยนั้นยังต้องมีการมองเห็นวิธีการเคลื่อนไหวและความสามารถในการควบคุมว่าใครสามารถเข้าถึงได้บ้าง Cloudflare One ให้ทีมคุณสามารถสร้างการอนุญาต Zero Trust ให้แก่ผู้ใช้งานแอปพลิเคชันใดๆ รวมถึงบันทึกทุกการร้องขอของทุกชุดข้อมูลโดยไม่หน่วงการใช้งานของผู้ใช้

Cloudflare One gives your team the ability to build Zero Trust permissions in any workforce application and to log every request made to every data set without slowing users down.

ขั้นตอนที่ 1: เริ่มด้วยเส้นทางการตรวจสอบแบบสมบูรณ์

การมองเห็นเครือข่ายภายในเคยเป็นสิ่งที่ทำได้ง่าย บริการทั้งหมดของบริษัทอยู่ในศูนย์ข้อมูลส่วนตัว ผู้ใช้เชื่อมต่อจากเครือข่ายที่ได้รับการจัดการในสำนักงานหรือผ่านไคลเอ็นท์เครือข่ายสเสมือนส่วนตัว (VPN) ทีมความปลอดภัยสามารถตรวจสอบทุกการร้องขอเพราะทุกอย่างเกิดขึ้นในเครือข่ายภายในซึ่งคล้ายกันกับโมเดลปราสาทและคูน้ำ

เมื่อผู้ใช้งานออกจากสำนักงานและแอปพลิเคชันถูกย้ายออกจากศูนย์ข้อมูล องค์กรจะสูญเสียการมองเห็นการเชื่อมต่อไปยังข้อมูลที่ละเอียดอ่อน องค์กรที่ต้องการนำโมเดล "สันนิษฐานว่ามีการละเมิด" ไปใช้ต่างก็พยายามพิจารณาว่าข้อมูลประเภทใดที่อาจสูญหายได้จึงใช้ทุกโซลูชันที่เป็นไปได้เพื่อแก้ไขปัญหา

เราพูดคุยกับองค์กรที่ซื้อบริการการตรวจตราและคัดกรองแบบใหม่ที่จัดส่งในอุปกรณ์เสมือนเพื่อใช้สำหรับปัญหาที่พวกเขาไม่แน่ใจว่ามี การใช้งานนี้บังคับให้ผู้ใช้แบ็คฮาวล์การรับส่งข้อมูลทั้งหมดไปยังอินเทอร์เน็ตซึ่งจะทำให้งานของทุกคนในทีมช้าลง เพื่อพยายามสร้างการมองเห็นในโมเดลปราสาทและคูน้ำขึ้นมาใหม่

ในปีที่ผ่านมาเราเปิดตัวโซลูชัน DLP ของ Cloudflare ที่เป็นเฟสแรกเพื่อช่วยให้ทีมต่างๆ แก้ปัญหาดังกล่าวได้ ตอนนี้คุณสามารถใช้เครือข่ายของ Cloudflare เพื่อจับและบันทึกข้อสอบถามในทุกการสอบถาม การร้องขอ DNS รวมถึงไฟล์ที่มีการอัปโหลดหรือดาวน์โหลดภายในองค์กรคุณได้ แทนที่จะทำให้ทีมคุณช้าลง คุณลักษณะเหล่านี้สามารถเร่งวิธีที่เชื่อมต่อทั้งการจัดการภายในและแอปพลิเคชัน SaaS ได้

การสร้างระดับการมองเห็นแบบนั้นไม่ควรกลายเป็นเรื่องปวดหัวสำหรับผู้ดูแลระบบเช่นกัน สามารถปรับใช้ตัวกรอง DNS ของ Cloudflare ไปยังเครือข่ายหน่วยงานและอุปกรณ์โรมมิงภายในเวลาน้อยกว่าหนึ่งชั่วโมง เราสร้างโซลูชันตัวกรอง DNS บนเทคโนโลยีแบบเดียวกับ powers 1.1.1.1 ซึ่งเป็น DNS เพื่อแก้ปัญหาที่เร็วที่สุดในโลกเพื่อเร่งประสบการณ์ผู้ใช้ปลายทางด้วย

จากนั้นทีมยังสามารถเพิ่มเนื้อหาไปยังการรับส่งข้อมูลทั้งหมดที่ออกจากปลายทางของพวกเขารวมถึงอุปกรณ์ต่างๆ โดยการแบ่งมันเป็นชั้นๆ บนแพลตฟอร์ม Secure Web Gateway ของ Cloudflare เช่นเดียวกับตัวกรอง DNS และ 1.1.1.1 เราได้สร้างผลิตภัณฑ์ Gateway ของเราขึ้นมาหลังจากใช้เวลาปรับปรุงความเสมอภาคของผู้บริโภคเป็นเวลาหลายปี เราเรียกมันว่า Cloudflare Warp

Like the DNS filter and 1.1.1.1, we built our Gateway product after spending years improving a consumer equivalent, Cloudflare WARP.

เรายังได้เพิ่มเครื่องมือใหม่ๆ เพื่อช่วยป้องกันกรณีที่การเชื่อมต่อมีการข้ามตัวกรอง DNS หรือ Secure Web Gateway ไป ทีมของคุณสามารถจับวิธี HTTP และเส้นทาง URL รวมถึงเมต้าดาต้าอื่นๆ ที่เกี่ยวกับการร้องขอโดยไม่ผ่านอุปกรณ์บนที่ตั้งหรือแบ็คฮาวล์การรับส่งข้อมูลได้

ทีมของคุณสามารถ สร้างกฎ ที่กำหนดให้ทุกการเข้าใช้แอปพลิเคชัน SaaS ต้องผ่านเครือข่ายของ Cloudflare ก่อนผู้ใช้งานจะลงชื่อกับผู้ให้บริการพิสูจน์และยืนยันตัวตนของคุณเพื่อให้แน่ใจว่าจะไม่มีจุดบอดในเรื่องของข้อมูลที่ถูกเข้าถึง และสุดท้ายส่งออก ข้อซักถาม DNS และบันทึก HTTP ไปยังผู้ให้บริการ SIEM ที่ทีมคุณใช้บริการอยู่แล้ว

ขั้นตอนที่ 2: เพิ่ม RBAC เข้าทุกจุด - แม้แต่แอปที่ไม่มีการติดตั้ง

บันทึกที่ครอบคลุมช่วยเผยให้เห็นการละเมิดที่อาจเกิดขึ้น แต่ก็ยังแสดงให้เห็นว่าจำนวนข้อมูลที่สามารถแสดงให้ทุกคนภายในองค์กรคุณเห็นได้มีจำนวนแค่ไหนด้วย เราได้ยินจากลูกค้าซึ่งมีข้อมูลบนแอปพลิเคชันหลายร้อยแอปพลิเคชันและในหลายกรณีนั้นกฎเริ่มต้นของแอปพลิเคชันเกือบทั้งหมดคือการอนุญาตให้ใครก็ตามในทีมเข้าถึงบันทึกได้ทุกบันทึก

ด้วยกฎเริ่มต้นเช่นนั้น บัญชีผู้ใช้งานทุกบัญชีจึงเป็นการเพิ่มโอกาสในการโจมตีให้ข้อมูลเกิดการสูญหายมากขึ้น แต่ทางเลือกอื่นนั้นก็ยากกว่าหรือเป็นไปไม่ได้ การกำหนดค่า role-based access (RBAC) ในทุกแอปพลิเคชันเป็นสิ่งที่น่าเบื่อหน่าย ที่แย่กว่าคือแอปพลิเคชันบางตัวขาดความสามารถในการสร้างกฎ RBAC โดยสิ้นเชิง

Configuring role-based access controls (RBAC) in every application is tedious. Even worse, some applications lack the ability to create RBAC rules altogether.

วันนี้คุณสามารถใช้งานแพลตฟอร์ม Zero Trust ของ Cloudflare เพื่อสร้างกฏที่จำเป็นต้องรู้ได้ในที่เดียว - ในแอปพลิเคชันที่ได้รับการจัดการและแอปพลิเคชัน SaaS ทั้งหมดได้ บ่อยครั้ง เป้าหมายแรกของกฏเหล่านี้คือระบบการจัดการลูกค้าสัมพันธ์ (CRM) นั่นเอง CRM ประกอบไปด้วยข้อมูลเกี่ยวกับผู้ซื้อ บัญชีและรายได้ บันทึกเหล่านั้นบางส่วนมีความอ่อนไหวกว่าบันทึกอื่นๆ แต่ผู้ใช้งานทีมอื่น - เช่น การตลาด. กฎหมายรวมถึงการเงิน - สามารถเชื่อมต่อกับทุกอย่างในแอปพลิเคชันได้

ณ ตอนนี้คุณสามารถใช้ Secure Web Gateway ของ Cloudflare เพื่อ สร้างกฎ ที่ใช้ผู้ให้บริการพิสูจน์และยืนยันตัวตนเพื่อจำกัดผู้ที่สามารถเข้าถึงส่วนเฉพาะของแอปพลิเคชันใดๆ ได้ ไม่ว่าแอปพลิเคชันนั้นรองรับการควบคุม RBAC หรือไม่ หากคุณต้องการอนุญาตให้สมาชิกในทีมเข้าถึงบันทึกแต่ต้องการป้องกันไม่ให้ผู้ใช้งานดาวน์โหลดข้อมูล คุณก็สามารถควบคุมโดยกำหนดว่าใครจะได้รับอนุญาตในการบันทึกข้อมูลไป ด้วยนโยบายการดาวน์โหลด/อัปโหลดไฟล์ได้

If you want to allow team members to reach a record, but prevent users from downloading data, you can also control who has permission to save data locally with file upload/download policies.

แอปพลิเคชันบางตัวรองรับระดับการทำงานในการระบุตัวตน RBAC ได้แต่เราก็ยังได้ยินเสียงจากลูกค้าที่ต้องการความปลอดภัยเพิ่มขึ้นให้แก่ชุดข้อมูลบางชุดเป็นการเฉพาะ ตัวอย่างหนึ่งคือข้อกำหนดฮาร์ดคีย์ให้เป็นวิธีการที่ต้องอาศัยสองปัจจัย คุณยังสามารถใช้แพลตฟอร์ม Zero Trust ของ Cloudflare เพื่อเพิ่มข้อกำหนดเพิ่มเติมเมื่อผูัใช้งานเชื่อมต่อไปยังแอปพลิเคชันเฉพาะเช่นการบังคับใช้ฮาร์ดคีย์หรือการอนุญาตประเทศแบบเฉพาะเจาะจง

เราทราบว่าเส้นทางของ URL นั้นไม่ได้เป็นไปตามมาตรฐานเสมอไปรวมถึงตัวแอปพลิเคชันที่ต่างก็มีการวิวัฒนาการ อีกไม่นานทีมของคุณจะสามารถใช้การควบคุมแบบ Zero Trust นี้สำหรับชุดข้อมูลในแอปพลิเคชันใดๆ ก็ได้ อ่านเพิ่มเติมเกี่ยวกับสิ่งที่จะเกิดขึ้นและวิธีที่กฎเหล่านี้รวมเข้ากับการตรวจสอบข้อมูลของ Cloudflare

ขั้นตอนที่ 3: สร้างเครือข่ายข้อมูลปลอดภัยแก่แอปพลิเคชันที่ใช้ภายนอก

การควบคุมคนที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนทำให้สันนิษฐานได้ว่าแอปพลิเคชันที่คุณควบคุมไม่มีการรั่วไหลของข้อมูลไปยังช่องทางอื่น องค์กรต่างๆ พยายามแก้ปัญหานี้โดยรวมเอาโซลูชันแบบกำหนดจุดและกระบวนการต่างๆ เข้าด้วยกันเพื่อป้องกันข้อมูลสูญหายอันเกิดจากความไม่ต้้งใจจากปลายทาง API endpoint ที่ถูกลืมหรือรหัสผ่านที่อ่อนหรือและการใช้รหัสผ่านซ้ำ โซลูชันเหล่านี้กำหนดให้แต่ละแอปพลิเคชันต้องตั้งค่าด้วยตนเองและการพัฒนาในทางปฏิบัติอันยุ่งยากที่ถูกละเลย

ส่วนหนึ่งของการประกาศในวันนี้ เราจะเปิดตัวคุณลักษณะใหม่ใน Web Application (WAF) ของ Cloudflare ที่จะช่วยให้ทีมแก้ปัญหานี้ได้ คุณสามารถคุ้มครองแอปพลิเคชันของคุณจากการโจมตีภายนอกและการแบ่งปันที่มากเกินไปได้แล้วในวันนี้ คุณสามารถใช้เครือข่ายของ Cloudflare เพื่อตรวจสอบและปิดกั้นการโต้ตอบที่ประกอบด้วยข้อมูลที่คุณไม่มีความตั้งใจจะส่งออกจากแอปพลิเคชันของคุณ

You can use Cloudflare’s network to scan and block responses that contain data you never intend to send out from your application.

ผู้ดูแลระบบจะสามารถใช้กฎประเภทใหม่เหล่านี้กับแหล่งข้อมูลเว็บที่ได้รับการคุ้มครองโดย Reverse proxy ของ Cloudflare ได้ด้วยการคลิกเพียงไม่กี่ครั้ง เมื่อเปิดใช้งานแล้ว เมื่อแอปพลิเคชันของคุณโต้ตอบกับการร้องขอ เครือข่ายของ Cloudflare จะตรวจสอบเพื่อดูว่าการโต้ตอบนั้นมีข้อมูลที่ไม่ควรจะแพร่พรายจากแหล่งข้อมูลนั้นหรือไม่

ต่างจากโซลูชันแบบจุดที่ถูกแทนที่ เราไม่ต้องการสร้างภาระให้ทีมของคุณต้องทำงานหนักมากขึ้นในการจัดประเภทข้อมูลด้วยตนเอง เมื่อเปิดตัว เราจะเตรียมรูปแบบต่างๆ เช่นบัตรเครดิตและหมายเลขประกันสังคมที่คุณสามารถเปิดใช้งานได้ เราจะเพิ่มรูปแบบใหม่ๆและความสามารถในการค้นหาข้อมูลแบบเจาะจงอย่างต่อเนื่อง

ขั้นตอนที่ 4: หยุดยั้งข้อมูลองค์กรไม่ให้รั่วไหลจากทางใดก็ตาม

เมื่อแอปพลิเคชันและผู้ใช้งานออกจากกำแพงที่เป็นเครือข่ายองค์กร ทีมรักษาความปลอดภัยต้องเข้าไปในระบบเพื่อหาวิธีจัดการให้ข้อมูลมีความปลอดภัย โดยมีเพียงตัวเลือกที่น่าผิดหวังไม่กี่อย่าง:

  • แบ็คฮาวล์การรับส่งข้อมูลผ่านอุปกรณ์ฮาร์ดแวร์ในองค์กรที่ตรวจสอบการรับส่งข้อมูลทั้งหมดก่อนมีการส่งออกไปยังอินเทอร์เน็ต ชะลออินเทอร์เน็ตทั้งหมดของทุกทีม
  • ซื้ออุปกรณ์เชื่อมต่อราคาแพงจากช่องทางอื่นที่มีการโฮสต์โซลูชันไว้ในสภาพแวดล้อมคลาวด์ที่มีข้อมูลอยู่เต็มซึ่งจะทำการตรวจสอบข้อมูลและชะลอการทำงานอินเทอร์เน็ตให้ช้าลง
  • ไม่ทำอะไรเลยและปล่อยให้ผู้ใช้งานรวมถึงชุดข้อมูลอะไรก็ตามเข้าถึงอินเทอร์เน็ต

เราตื่นเต้นที่จะประกาศให้ทราบว่าอีกไม่นานพวกคุณจะสามารถใช้งานเครือข่ายของ Cloudflare เพื่อตรวจสอบข้อมูลสูญหายจากการรับส่งข้อมูลที่ออกจากอุปกรณ์และที่อยู่ต่างๆ โดยไม่จำเป็นต้องลดทอนประสิทธิภาพในการทำงานเลย ความสามารถ DLP ของ Cloudflare ใช้กฎมาตรฐานที่สอดคล้องกันกับข้อมูลที่สามารถออกจากองค์กรของคุณได้ ไม่ว่าการรับส่งข้อมูลนั้นจะเข้ามาในเครือข่ายของเราได้ด้วยวิธีไหน

Cloudflare’s DLP capabilities apply standard, consistent rules around what data can leave your organization regardless of how that traffic arrived in our network.

สร้างกฎในที่เดียวที่ใช้ตรวจสอบข้อมูลกับรูปแบบที่เหมือนกันเช่น PII กับชุดข้อมูลเฉพาะที่มีข้อมูลที่คุณต้องการควบคุมแบบเจาะจงรวมถึงใช้การแบ่งประเภทข้อมูล คุณยังสามารถรวมกฎสามข้อนี้เข้ากับกฎ Zero Trust อื่นๆ ตัวอย่างเช่น สร้างนโยบายที่ป้องกันไม่ให้ผู้ใช้งานที่ไม่ได้มาจากกลุ่มที่กำหนดอัปโหลดไฟล์ที่มีวลีสำคัญไปยังตำแหน่งอื่นๆ นอกเหนือจากผู้ให้บริการการจัดเก็บข้อมูลบนคลาวด์ในองค์กร

DLP ของ Cloudflare ทำงานอินไลน์บนฮาร์ดแวร์ตัวเดียวกันที่เร่งการรับส่งข้อมูลของคุณไปยังส่วนที่เหลือของอินเทอร์เน็ต ไม่เหมือนกับโซลูชันแบบจุดที่สืบทอดกันมาให้ใช้ในกรณีข้อมูลสูญหาย Cloudflare ไม่ควรเป็นเพียงแค่การช่วยให้ทีมของคุณย้ายไปยังอินเทอร์เน็ตในฐานะของเครือข่ายองค์กรแต่ควรจะทำงานได้เร็วกกว่าอินเทอร์เน็ตด้วย เครือข่ายของเราไม่ขึ้นกับผู้ให้บริการ ทั้งยังให้การเชื่อมต่อและจับคู่ดีเกินกว่ามาตรฐานรวมถึงส่งมอบการบริการที่เป็นแบบเดียวกันทั่วโลก ใน on-ramps แต่ละทางเหล่านี้ เราสามารถเพิ่มเส้นทางที่ดีกว่าตามเทคโนโลยี Argo Smart Routing ได้ ซึ่งได้แสดงให้เห็นถึงการลด Latency ลงได้กว่า 30% หรือมากกว่าในโลกแห่งความจริง

เมื่อผู้ใช้งานของคุณเชื่อมต่อกับแอปพลิเคชันบนอินเทอร์เน็ต Warp agent ของ Cloudflare หรือ วิธีการเข้าถึงแบบ Magic Transit ของเราสร้างการเชื่อมต่อที่ปลอดภัยไปยังศูนย์ข้อมูล Cloudflare ในกว่า 200 เมืองทั่วโลก ศูนย์ข้อมูลเดียวกันนั้นเองที่ตรวจสอบการรับส่งข้อมูลที่ผิดกฎซึ่งใช้ปิดกั้นภัยคุกคามต่อความปลอดภัย บันทึกเหตุการณ์รวมถึงตรวจสอบข้อมูลสำหรับแบบแผนหรือเกณฑ์ที่จำเพาะก่อนใช้เครือข่ายหลักที่เป็นส่วนตัวทั่วโลกของเราเร่งการเชื่อมต่อนั้นไปยังเป้าหมาย

แล้วยังไงต่อ

วันนี้ทีมของคุณสามารถเริ่มทำการบันทึกทุกการร้องขอและใช้งานตัวควบคุม RBAC กับแอปพลิเคชันใดๆ ภายใน Cloudflare สำหรับ Teamsได้แล้ว องค์กรที่ใช้แผนฟรีของ Teams จะมีคุณลักษณะทุกอย่างที่จำเป็นในการเริ่มต้นสำหรับผู้ใช้งานมากสูงสุดถึง 50 ผู้ใช้งาน

สนใจตรวจสอบการไหลของข้อมูลทั้งหมดไหม จะมีการเพิ่มการตรวจสอบข้อมูลใน Cloudflare สำหรับทีมในปีนี้ เข้าร่วม รายชื่อผู้รอคอยตอนนี้ เพื่อเริ่มใช้งาน

ข้อมูลสูญหายเป็นเพียงหนึ่งในความเสี่ยงขององค์กรคุณที่เราสามารถใช้เครือข่ายของ Cloudflare ช่วยแก้ปัญหาได้ สัปดาห์นี้คอยติดตามการประกาศคุณลักษณะใหม่ประจำวันที่จะช่วยให้ทีมของคุณปลอดภัยได้โดยไม่ต้องลดทอนประสิทธิภาพหรือซื้อฮาร์ดแวร์เพิ่ม