Hari ini, kami dengan senang hati mengumumkan bahwa tim Anda dapat menggunakan jaringan Cloudflare untuk membangun kontrol Zero Trust atas data di perusahaan Anda - di mana pun data berada dan bagaimana pun data bergerak.
Menghentikan kehilangan data sulit bagi tim mana pun dan tantangan itu menjadi lebih sulit karena pengguna telah meninggalkan kantor dan data telah meninggalkan pusat penyimpanan di lokasi. Perusahaan tidak dapat lagi membangun kastel dan parit sederhana di sekitar data mereka. Pengguna sekarang terhubung dari lokasi mana pun di planet ini ke aplikasi yang aktif di lingkungan di luar kendali perusahaan tersebut.
Kami telah berbicara dengan ratusan pelanggan yang telah terpaksa menerapkan langkah-langkah sementara untuk mencoba dan mempertahankan model kastel dan parit dalam suatu bentuk, tetapi masing-masing langkah-langkah sementara tersebut memperlambat penggunanya atau menaikkan biaya - atau bahkan keduanya. Hampir semua opsi jangka pendek yang tersedia menggabungkan solusi titik yang pada akhirnya memaksa lalu lintas melakukan backhaul melalui lokasi pusat.
Bagian Cloudflare One, pendekatan Cloudflare untuk pencegahan kehilangan data mengandalkan infrastruktur dan jaringan global yang sama yang mempercepat lalu lintas pengguna ke Internet yang juga melakukan pemeriksaan sebaris terhadap semua lalu lintas terlepas dari bagaimana data tiba di jaringan kami.
Kami juga tahu bahwa perusahaan membutuhkan lebih dari sekadar memindai lalu lintas untuk string data. Menjaga keamanan data juga membutuhkan visibilitas tentang bagaimana data bergerak dan kemampuan untuk mengontrol siapa yang dapat menjangkaunya. Cloudflare One memberi tim Anda kemampuan untuk membangun izin Zero Trust di semua aplikasi tenaga kerja dan mencatat setiap permintaan yang dibuat ke setiap kumpulan data tanpa memperlambat pengguna.
Langkah 1: Mulai dengan melakukan jejak audit lengkap
Visibilitas ke dalam jaringan perusahaan dulunya mudah. Semua layanan perusahaan berada di pusat data pribadi. Pengguna terhubung dari jaringan kantor terkelola atau klien jaringan pribadi virtual (VPN). Tim keamanan dapat memantau setiap permintaan karena semuanya terjadi di dalam jaringan perusahaan yang menyerupai kastel dan parit.
Saat pengguna meninggalkan kantor dan aplikasi berpindah dari pusat data, organisasi kehilangan visibilitas ke dalam koneksi ke data sensitif. Organisasi yang ingin mengadopsi model "asumsikan pelanggaran" berjuang untuk menentukan jenis kehilangan data yang bahkan bisa terjadi, jadi mereka memberikan setiap kemungkinan solusi untuk masalah tersebut.
Kami berbicara dengan perusahaan yang membeli layanan pemindaian dan pemfilteran baru, yang dikirimkan dalam peralatan virtual, untuk masalah yang tidak mereka yakini. Penerapan ini memaksa pengguna untuk melakukan backhaul semua lalu lintas ke Internet, yang memperlambat pengalaman untuk setiap anggota tim, dalam upaya untuk membangun kembali visibilitas yang ditawarkan dalam model kastel dan parit.
Selama setahun terakhir, kami meluncurkan fase pertama solusi DLP Cloudflare untuk membantu tim memecahkan masalah tersebut. Anda sekarang dapat menggunakan jaringan Cloudflare untuk menangkap dan mencatat setiap kueri, permintaan DNS, dan upload atau download file di organisasi Anda. Alih-alih memperlambat tim Anda, fitur ini dapat mempercepat cara mereka terhubung ke aplikasi yang dikelola secara internal dan SaaS.
Membangun tingkat visibilitas tidak seharusnya memusingkan bagi administrator. Filter DNS Cloudflare dapat diterapkan ke jaringan kantor dan perangkat roaming dalam waktu kurang dari satu jam. Kami membangun solusi pemfilteran DNS pada teknologi yang sama yang mendukung 1.1.1.1, resolver DNS tercepat di dunia, juga untuk mempercepat pengalaman pengguna akhir.
Selanjutnya, tim dapat menambahkan konteks ke semua lalu lintas yang meninggalkan titik akhir dan perangkat mereka dengan melapisi platform Secure Web Gateway Cloudflare. Seperti filter DNS dan 1.1.1.1, kami membangun produk Gateway setelah bertahun-tahun meningkatkan hak konsumen, Cloudflare WARP.
Kami juga menambahkan alat baru untuk membantu mencegah kasus di mana koneksi melewati filter DNS atau Secure Web Gateway. Tim Anda dapat menangkap metode HTTP, jalur URL, dan metadata lainnya tentang setiap permintaan tanpa peralatan lokal atau backhaul lalu lintas.
Tim Anda dapat membuat aturan yang mengharuskan setiap login ke aplikasi SaaS melewati jaringan Cloudflare sebelum pengguna login ke penyedia identitas Anda, memastikan Anda tidak pernah memiliki titik buta atas data apa yang sedang diakses. Terakhir, ekspor semua kueri DNS dan log HTTP ke penyedia SIEM yang sudah digunakan tim Anda.
Langkah 2: Tambahkan RBAC di mana saja - bahkan di apps yang tidak memilikinya
Log komprehensif membantu mengungkap potensi pelanggaran, tetapi juga menyoroti seberapa banyak data yang tersedia untuk semua orang di dalam organisasi Anda. Kami mendengar dari pelanggan yang memiliki informasi yang ada di ratusan aplikasi dan, dalam banyak kasus, aturan default untuk sebagian besar aplikasi tersebut adalah mengizinkan siapa pun dalam tim mereka untuk mengakses setiap catatan.
Dengan aturan itu sebagai default, setiap akun pengguna membuat permukaan serangan yang lebih besar untuk kehilangan data - tetapi alternatifnya sulit atau tidak mungkin. Mengonfigurasikan kontrol akses berbasis peran (RBAC) di setiap aplikasi itu membosankan. Lebih buruk lagi, beberapa aplikasi tidak memiliki kemampuan untuk membuat aturan RBAC sama sekali.
Sekarang, Anda dapat menerapkan platform Zero Trust Cloudflare untuk membangun aturan yang perlu diketahui di satu tempat - di semua aplikasi yang dikelola secara internal dan SaaS Anda. Dalam banyak kasus, target pertama untuk aturan ini adalah sistem manajemen hubungan pelanggan (CRM) organisasi. CRM berisi data tentang pembeli, akun, dan pendapatan. Beberapa dari catatan itu jauh lebih sensitif daripada yang lain kecuali pengguna di tim lain - pemasaran, hukum, dan keuangan, misalnya - dapat terhubung ke semua bagian di aplikasi.
Anda sekarang dapat menggunakan Secure Web Gateway Cloudflare untuk membuat aturan yang menggunakan penyedia identitas Anda guna membatasi siapa yang dapat menjangkau bagian tertentu dari aplikasi, apakah aplikasi tersebut mendukung kontrol RBAC atau tidak. Jika Anda ingin mengizinkan anggota tim untuk mengakses catatan, tetapi mencegah pengguna mengunduh data, Anda juga dapat mengontrol siapa yang memiliki izin untuk menyimpan data secara lokal dengan kebijakan upload/download file.
Beberapa aplikasi mendukung tingkat RBAC berbasis identitas ini, tetapi kami juga mendengar dari pelanggan yang membutuhkan lebih banyak pengawasan untuk kumpulan data tertentu. Salah satu contohnya adalah persyaratan hard key sebagai metode faktor kedua. Anda juga dapat menggunakan platform Zero Trust Cloudflare untuk menambahkan persyaratan tambahan ketika pengguna terhubung ke aplikasi tertentu, seperti memaksa hard key atau menentukan negara yang diizinkan.
Kami tahu bahwa jalur URL tidak selalu standar dan aplikasi terus berkembang. Segera hadir, tim Anda akan dapat menerapkan jenis kontrol Zero Trust yang sama ini ke kumpulan data di semua aplikasi. Baca terus untuk mempelajari lebih lanjut tentang langkah selanjutnya dan bagaimana aturan ini terintegrasi dengan inspeksi data Cloudflare.
Langkah 3: Bangun jaring pengaman data untuk aplikasi yang menghadap ke eksternal Anda
Mengontrol siapa yang dapat menjangkau data sensitif mengasumsikan bahwa aplikasi yang Anda kontrol tidak membocorkan data melalui saluran lain. Organisasi mencoba menyelesaikannya dengan menyusun patchwork solusi titik dan proses untuk mencegah kehilangan data yang tidak disengaja dari titik akhir API yang terlupakan atau kata sandi yang lemah dan digunakan kembali. Solusi ini memerlukan konfigurasi manual untuk setiap aplikasi dan praktik pengembangan rumit yang diabaikan.
Sebagai bagian dari pengumuman hari ini, kami meluncurkan fitur baru di Aplikasi Web (WAF) Cloudflare untuk membantu tim memecahkan masalah ini. Anda sekarang dapat melindungi aplikasi dari serangan eksternal dan berbagi secara berlebihan. Anda dapat menggunakan jaringan Cloudflare untuk memindai dan memblokir respons yang berisi data yang Anda tidak pernah ingin mengirimkannya dari aplikasi Anda.
Administrator akan dapat menerapkan jenis aturan baru ini ke sumber daya web yang dilindungi oleh proxy terbalik Cloudflare hanya dengan beberapa klik. Setelah diaktifkan, apabila aplikasi Anda merespons permintaan, jaringan Cloudflare akan memeriksa untuk melihat apakah respons tersebut berisi data yang tidak boleh meninggalkan sumber daya tersebut.
Tidak seperti solusi titik yang diganti ini, kami tidak ingin membebani tim Anda dengan lebih banyak pekerjaan untuk mengklasifikasikan data secara manual. Saat peluncuran, kami akan memberikan pola seperti kartu kredit dan nomor jaminan sosial yang dapat Anda aktifkan. Kami akan terus menambahkan pola baru dan kemampuan untuk mencari data tertentu.
Langkah 4: Hentikan data perusahaan agar tidak keluar ke segala arah
Apabila aplikasi dan pengguna meninggalkan dinding jaringan perusahaan, tim keamanan harus berkompromi tentang cara menjaga keamanan data itu sendiri. Tim tersebut diberi beberapa opsi yang mengecewakan:
Backhaul semua lalu lintas melalui peralatan perangkat keras lokal yang memindai semua lalu lintas sebelum mengirimkannya ke Internet. Memperlambat seluruh Internet untuk tim mereka.
Membeli solusi out-of-band mahal yang di-hosting di beberapa lingkungan cloud yang juga memindai data dan juga memperlambat Internet.
Tidak melakukan apa pun dan membiarkan pengguna dan kumpulan data berpotensi menjangkau Internet.
Kami dengan gembira mengumumkan bahwa, sebentar lagi, Anda akan dapat menggunakan jaringan Cloudflare untuk memindai semua lalu lintas yang meninggalkan perangkat dan lokasi untuk mendeteksi kehilangan data tanpa mengurangi kinerja. Kemampuan DLP Cloudflare menerapkan aturan standar dan konsisten seputar data apa yang dapat keluar dari organisasi Anda terlepas dari bagaimana lalu lintas itu tiba di jaringan kami.
Buat aturan di satu tempat yang memeriksa data dengan membandingkannya dengan pola umum seperti PII, pada kumpulan data persis yang berisi informasi spesifik yang ingin Anda kontrol, dan menggunakan label data. Anda juga dapat menggabungkan aturan ini dengan aturan Zero Trust lainnya. Misalnya, buat kebijakan yang mencegah pengguna di luar grup tertentu meng-upload file yang berisi frasa kunci tertentu ke lokasi mana pun selain penyedia penyimpanan cloud perusahaan Anda.
Tidak seperti solusi titik lama untuk kehilangan data, DLP Cloudflare berjalan sebaris pada perangkat keras yang sama yang mempercepat lalu lintas Anda ke seluruh Internet. Cloudflare sebenarnya tidak hanya membantu tim Anda pindah ke Internet sebagai jaringan perusahaan, Cloudflare juga akan lebih cepat daripada Internet. Jaringan kami bersifat agnostik operator, terhubung dengan sangat baik dan direkankan serta memberikan rangkaian layanan yang sama secara global. Di setiap on-ramp ini, kami dapat menambahkan perutean yang lebih baik berdasarkan teknologi Argo Smart Routing kami, yang telah terbukti mengurangi latensi sebesar 30% atau lebih di dunia nyata.
Saat pengguna Anda terhubung ke aplikasi di Internet, agen WARP Cloudflare atau on-ramp Magic Transit kami membuat koneksi aman ke pusat data Cloudflare di 200 kota di seluruh dunia. Pusat data yang sama memeriksa lalu lintas berdasarkan aturan yang memblokir ancaman keamanan, mencatat peristiwa, dan memindai data untuk pola atau kriteria yang tepat sebelum menggunakan backbone pribadi global kami untuk mempercepat koneksi itu ke tujuannya.
Apa selanjutnya?
Tim Anda sekarang dapat mulai mencatat setiap permintaan dan menerapkan kontrol RBAC ke aplikasi dalam Cloudflare for Teams. Organisasi dalam Paket gratis Tim memiliki semua fitur yang mereka butuhkan untuk memulai hingga 50 pengguna.
Tertarik untuk memindai semua aliran data? Pemindaian data akan ditambahkan ke Cloudflare for Teams akhir tahun ini. Bergabunglah dengan daftar tunggu sekarang untuk memulai.
Kehilangan data hanyalah satu risiko bagi organisasi Anda yang kami bantu menyelesaikannya menggunakan Cloudflare.. Simak terus minggu ini untuk mendapatkan pengumuman harian tentang fitur baru yang membantu tim Anda tetap aman tanpa mengurangi kinerja atau membeli lebih banyak perangkat keras.