資料的數量、種類和速度持續呈爆炸式增長,各種規模組織的安全團隊都面臨著跟上資料增長的挑戰。企業面臨著各種 SaaS 環境帶來的不斷升級的風險、產生型人工智慧 (AI) 工具的出現以及高價值原始程式碼的暴露和被盜,這些都讓 CISO 和資料官夜不能寐。
在過去幾年中,Cloudflare 推出了多種功能,幫助組織應對這些風險並獲得對其資料的可見性和控制,包括於 2022 年秋季推出 Data Loss Prevention (DLP) 和雲端存取安全性代理程式 (CASB) 服務。
宣佈推出 Cloudflare One 的資料保護套件
今天,我們在此勢頭的基礎上推出了適用於資料保護的 Cloudflare One,這是我們的統一套件,用於保護 Web、SaaS 和私人應用程式中各處的資料。Cloudflare One 的資料保護套件基於我們的整個全球網路構建並交付,專為應對現代編碼和人工智慧使用增加的風險而設計。
具體來說,該套件將 Cloudflare 的 DLP、CASB、Zero Trust 網路存取 (ZTNA)、安全 Web 閘道 (SWG)、遠端瀏覽器隔離 (RBI) 和雲端電子郵件安全服務的功能融合到單個平台上,以簡化管理。所有這些服務現已提供並打包作為 Cloudflare One 的一部分,後者是我們融合安全和網路連線服務的 SASE 平台。
今天發布的另一篇部落格文章回顧了我們在過去一年中提供的技術和功能,並簡要介紹了客戶可以期待的新功能。
在本部落格中,我們透過實際使用案例的範例,更多地關注這些技術和功能對客戶解決現代資料風險的影響。我們相信 Cloudflare One 具有獨特的優勢,可以提供更好的資料保護,解決現代資料風險。我們所說的「更好」是指:
- 透過簡化內嵌和 API 連線以及原則管理, 幫助安全團隊更有效地保護資料
- 確保快速、可靠和一致的使用者體驗,幫助員工提高工作效率
- 透過快速創新來滿足不斷變化的資料安全和隱私要求,幫助組織變得更加敏捷
保護資料比以往任何時候都更加困難
資料跨越的環境超出了大多數組織所能追蹤的範圍。在與客戶的對話中,三個明顯的現代風險十分凸出:
- 雲端和 SaaS 環境日益多樣化:知識工作者在絕大部分時間裡使用的應用程式(例如雲端電子郵件收件匣、共用雲端儲存資料夾和文件、Microsoft 365 之類的 SaaS 生產力與協作套件等)日漸成為威脅執行者實行資料外流的目標。
- 新興 AI 工具:企業領導者擔心使用者在使用 ChatGPT 等不透明的大型語言模型工具時過度分享敏感性資訊,但同時又想要利用 AI 的優勢。
- 原始程式碼暴露或被盜:開發人員程式碼推動了數位業務,但這些高價值原始程式碼也可能會在 GitHub 等許多開發人員工具中暴露或被盜,包括在公用存放庫等顯眼位置。
尤其是後兩種風險已經相互交叉。Amazon、Apple、Verizon、Deutsche Bank 等公司因擔心丟失機密資料而阻止員工使用 ChatGPT 等工具,而 Samsung 最近有一名工程師不小心將敏感程式碼上傳到了該工具。隨著組織優先考慮新的數位服務和體驗,開發人員面臨著越來越大的壓力,要求他們更快、更智慧地工作。AI 工具可以幫助釋放這種生產力,但使用這些工具過度分享敏感性資料的長期後果仍然未知。
總而言之,資料風險只會升級,特別是隨著組織加速數位轉型計畫,以及混合工作和開發繼續擴大攻擊面。與此同時,隨著越來越多的國家和州採用更嚴格的資料隱私法律,合規性只會變得更加嚴格。
傳統的 DLP 服務無法應對這些現代風險。複雜的設定和操作加上負面的使用者體驗意味著,在實踐中,DLP 控制通常未得到充分利用或完全被繞過。無論是部署為獨立平台還是整合到安全產品或 SaaS 應用程式中,DLP 產品通常都會成為昂貴的擺設。透過內部部署的資料保護硬體(無論是 DLP、防火牆和 SWG 設備還是其他設備)回傳流量會產生成本,並降低使用者體驗,從長遠來看會阻礙企業的發展。
圖 1:現代資料風險
客戶如何使用 Cloudflare 進行資料保護
如今,越來越多的客戶選擇與 Cloudflare 合作來解決這些資料風險,其中包括一家財富 500 強天然氣公司、一家美國大型招聘網站、一家美國地區航空公司、一家澳大利亞醫療保健公司等。在這些客戶合作中,部署 Cloudflare One 進行資料保護時,有三個使用案例十分顯眼,成為共同關注領域。
使用案例 1:保護 AI 工具和開發人員程式碼 (Applied Systems)
Applied Systems 是一家保險技術和軟體公司,最近部署了 Cloudflare One 來保護 AI 環境中的資料。
具體來說,該公司在隔離的瀏覽器中執行 ChatGPT 的公用執行個體,以便安全團隊可以套用複製粘貼封鎖:防止使用者將敏感性資訊(包括開發人員程式碼)從其他應用程式複製到 AI 工具中。資安長 Tanner Randolph 表示:「我們希望讓員工利用 AI,同時保證其安全。」
這只是 Applied Systems 從 Zscaler 和 Cisco 遷移到 Cloudflare 時處理的幾個用例之一,但我們可以看出客戶對保護 AI 和開發人員程式碼越來越感興趣。
使用案例 2:資料暴露可見度
客戶正在利用 Cloudflare One 重新獲得對其龐大應用程式環境中資料暴露風險的可見度和控制。對於許多人來說,第一步是分析未經批准的應用程式使用情況,然後採取措施允許、封鎖、隔離這些資源或對這些資源套用其他控制。第二個步驟(同時也日漸流行)是透過 CASB 和 DLP 服務掃描 SaaS 應用程式是否存在設定錯誤和敏感性資料,然後採取規定步驟透過 SWG 原則進行修復。
一家擁有 7,5000 名員工的英國電子商務巨頭改為與 Cloudflare 合作來完成後一步。作為從 Zscaler 到 Cloudflare 的更廣泛遷移戰略的一部分,該公司快速在其 SaaS 環境和 Cloudflare 的 CASB 之間建立了 API 整合,並開始掃描設定錯誤。此外,在此整合過程中,該公司能夠將 DLP 原則與 Microsoft Pureview 資訊保護敏感度標籤同步,以便可以使用其現有框架來確定要優先保護哪些資料。總而言之,該公司能夠在一天內開始識別資料暴露風險。
使用案例 3:遵守法規
時至今日,GDPR 、CCPA、HIPAA 和GLBA 等全面的資料法規出現在我們的生活中已經有一段時間了。但新的法律正在迅速湧現:例如,美國現在有 11 個州制定了全面的隱私法律,而在 2021 年只有 3 個州。PCI DSS 等現有法律也進行了更新,現在包含更嚴格、更廣泛的要求。
客戶越來越多地開始使用 Cloudflare One 來實現合規性,特別是確保他們能夠監控和保護受監管的資料(例如財務資料、健康資料、PII、精確資料匹配等)。一些常見步驟為:首先透過 DLP 偵測敏感性資料並對其套用控制,然後透過記錄和進一步的 SIEM 分析維持詳細的稽核追蹤,最後透過全面的 Zero Trust 安全狀態降低總體風險。
讓我們看一個具體的範例。越來越需要的一個 Zero Trust 最佳做法是多重要素驗證 (MFA)。在支付卡產業,PCI DSS v4.0 將於 2025 年生效,要求針對持卡人資料環境、每個使用者和每個位置(包括雲端環境、內部部署應用程式、工作站等)的每個存取請求強制執行 MFA(要求 8.4.2)。此外,這些 MFA 系統必須設定為防止誤用(包括重放攻擊和繞過嘗試),並且必須要求至少有兩個不同的因素成功(要求 8.5)。為了幫助組織遵守這兩個要求,Cloudflare 協助組織對所有應用程式和使用者實施 MFA——實際上,我們也使用相同的服務為我們自己的員工實施硬體金鑰驗證。
圖 2:資料保護使用案例
Cloudflare 的不同之處
Cloudflare One 的資料保護套件處於現代資料風險的前沿,以解決這些和其他不斷發展的用例。
透過 Cloudflare,DLP 不僅與其他通常不同的安全服務(如 CASB、SWG、ZTNA、RBI 和電子郵件安全)整合,而且還融合到具有一個控制平面和一個介面的單一平台上。除了這些縮略詞之外,我們的網路架構還讓我們能夠幫助組織更有效、更高效、更靈活地保護資料。
我們簡化了連線,為您提供了將流量傳送到 Cloudflare 進行強制執行的靈活選項。這些選項包括 SaaS 套件的基於 API 的掃描,用於查找設定錯誤和敏感性資料。與要求安全團隊從 IT 或業務團隊處獲得完整應用程式權限的解決方案不同,Cloudflare 可以透過唯讀應用程式權限發現風險暴露。用於保護應用程式存取的 ZTNA 以及用於控製網站和應用程式內資料的瀏覽器隔離都採用無用戶端部署,且可針對大型企業的所有使用者(員工和承包商等第三方)進行擴展。當您確實想要轉寄代理流量時,Cloudflare 會為一個裝置用戶端提供自我註冊權限或跨安全服務的廣域網路入口。藉助諸多實用的部署方法,您的資料保護方法將變得有效且實用,而非擺設。
就像您的資料一樣,我們的全球網路無處不在,現已覆蓋 100 多個國家/地區的 300 多座城市。我們已經證明,我們執行控制的速度比 Zscaler、Netskope 和 Palo Alto Networks 等廠商更快——所有這些廠商都採用單遍檢查。我們確保安全是快速、可靠和非侵入性的,因此您可以分層進行資料控制,而不會影響工作效率。
我們的可程式設計網路架構使我們能夠快速構建新功能。我們迅速採用新的安全標準和通訊協定(例如僅 IPv6 連線或 HTTP/3 加密),以確保資料保護仍然有效。總而言之,這種架構使我們能夠隨著不斷變化的資料保護用例而發展(例如保護 AI 環境中的程式碼),並在我們的網路位置快速部署 AI 和機器學習模型,以實施更高精度、背景驅動的偵測。
圖 3:使用 Cloudflare 進行統一資料保護
如何開始使用
現代資料風險需要現代安全性。我們認為 Cloudflare One 的統一資料保護套件可以幫助組織應對當前和未來的主要風險——無論是保護開發人員程式碼和 AI 工具、重新獲得對 SaaS 應用程式的可見度,還是遵守不斷變化的法規。
如果您已準備好探索 Cloudflare 如何保護您的資料,請立即請求與我們的專家一起進行研討會 。
或者,若想要瞭解有關 Cloudflare One 如何保護資料的更多資訊,請閱讀今天的新聞稿、造訪我們的網站,或透過我們配套的技術部落格進行更深入的瞭解。
***