今天,我們宣佈推出 Cloudflare One for Data Protection,這是一款統一套件,可保護 Web、SaaS 和私人應用程式中各處的資料。該套件融合了我們的 Data Loss Prevention (DLP)、雲端存取安全性代理程式 (CASB)、Zero Trust 網路存取 (ZTNA)、安全 Web 閘道 (SWG)、遠端瀏覽器隔離 (RBI) 和雲端電子郵件安全服務等功能。該套件現已推出,並打包作為我們的 SASE 平台 Cloudflare One 的一部分。
在公告帖文中,我們透過推薦的使用案例和真實的客戶範例,重點介紹了該資料保護套件如何幫助客戶應對現代資料風險。
在這篇配套部落格文章中,我們回顧了過去一年中內建至 Cloudflare One 套件的功能,並簡要介紹了客戶可以期待的新功能。該部落格最適合有興趣使用 Cloudflare One 保護資料和 SaaS 環境的從業者閱讀。
去年推出的 DLP 和 CASB 功能
Cloudflare 於 2022 年 9 月推出了 DLP 和 CASB 服務,此後快速構建了功能,以滿足各種規模的組織不斷增長的需求。在介紹這些服務將如何發展之前,有必要回顧一下過去一年中新增的許多增強功能。
Cloudflare 的 DLP 解決方案可幫助組織根據多個特徵偵測和保護整個環境中的敏感性資料。DLP 控制對於防止(和偵測)破壞性洩漏,並確保財務、健康和個人識別資訊等受監管資料類別的合規性至關重要。
DLP 偵測和原則的改進可以分為三大主題:
******自訂:******使管理員能夠輕鬆、靈活地設計 DLP 原則。
******深度偵測:******讓管理員能夠愈加精細地控制想要保護的資料以及保護的方式。
******詳細偵測:******為管理員提供更詳細的可見性和記錄,以分析其 DLP 原則的有效性。
Cloudflare 的 CASB 幫助組織連接、掃描和監控第三方 SaaS 應用程式是否存在設定錯誤、資料共用不當和其他安全風險——所有這些都透過輕量級 API 整合實現。透過這種方式,組織可以重新獲得對 SaaS App 不斷增長的投資的可見性和控制力。
同樣,CASB 產品增強功能也可以用三個主題來概括:
******擴展 API 整合:******如今,我們的 CASB 與 18 個最熱門的 SaaS App 整合——Microsoft 365(包括 OneDrive)、Google Workspace(包括 Drive)、Salesforce、GitHub 等。與第一代 CASB 解決方案相比,設定這些 API 整合所需的點擊次數更少,覆蓋範圍與安全服務邊緣 (SSE) 領域的其他廠商相當。
****強化 CASB 掃描的結果:****透過儀表板中內建的規定指南和內嵌原則動作,可以更輕鬆地修復這些 CASB 掃描發現的設定錯誤。
******融合 CASB 和 DLP 功能:******我們開始支援組織掃描 SaaS App 以獲取按 DLP 原則分類的敏感性資料。例如,這可以幫助組織偵測信用卡或社會安全號碼出現在已向網際網路上所有人公開的 Google 文件或試算表中的情況。
最後一個主題尤其談到了在單一平台上統一資料保護功能以實現簡單、簡化的工作流程的價值。下表重點介紹了自去年 9 月宣佈全面上市以來推出的一些主要功能。
表 1:自 2022 年第 4 季度以來交付的部分 DLP 和 CASB 功能
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-bkhz{background-color:#00379C;color:#FFF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
| Theme | Capability | Description |
|---|---|---|
| DLP: Customizability | Microsoft Information Protection labels integration | After a quick API integration, Cloudflare syncs continuously with the Microsoft Information Protection (MIP) labels you already use to streamline how you build DLP policies. |
| Custom DLP profiles | Administrators can create custom detections using the same regex policy builder used across our entire Zero Trust platform for a consistent configuration experience across services. | |
| Match count controls | Administrators can set minimum thresholds for the number of times a detection is made before an action (like block or log) is triggered. This way, customers can create policies that allow individual transactions but block up/downloads with high volumes of sensitive data. | |
| DLP: Deepening detection | Context analysis | Context analysis helps reduce false positive detections by analyzing proximity keywords (for example: seeing “expiration date” near a credit card number increases the likelihood of triggering a detection). |
| File type control | DLP scans can be scoped to specific file types, such as Microsoft Office documents, PDF files, and ZIP files. | |
| Expanded predefined DLP profiles | Since launch, DLP has built out a wider variety of detections for common data types, like financial data, personal identifiers, and credentials. | |
| DLP: Detailed detections | Expanded logging details | Cloudflare now captures more wide-ranging and granular details of DLP-related activity in logs, including payload analysis, file names, and higher fidelity details of individual files. A large percentage of our customers prefer to push these logs to SIEM tools like DataDog and Sumo Logic. |
| CASB: Expanding integrations and findings | API-based integrations Managing findings |
Today, Cloudflare integrates with 18 of the most widely used SaaS apps, including productivity suites, cloud storage, chat tools, and more. API-based scans not only reveal misconfigurations, but also offer built-in HTTP policy creation workflows and step-by-step remediation guides. |
| DLP & CASB convergence | Scanning for sensitive data in SaaS apps | Today, organizations can set up CASB to scan every publicly accessible file in Google Workspace for text that matches a DLP profile (financial data, personal identifiers, etc.). |
主題
功能
描述
DLP:可自訂
快速 API 整合後,Cloudflare 會與您已使用的 Microsoft 資訊保護 (MIP) 標籤持續同步,以簡化您構建 DLP 原則的方式。
管理員可以使用整個 Zero Trust 平台中使用的相同 regex 原則產生器建立自訂偵測,以實現跨服務的一致設定體驗。
管理員可以設定在觸發動作(例如封鎖或記錄)之前執行偵測的次數下限。 這樣,客戶就可以建立原則,允許個別交易,但封鎖包含大量敏感性資料的上傳/下載。
DLP:深化偵測
情境分析透過分析鄰近關鍵字來減少誤判偵測(例如:在信用卡號碼附近看到「到期日」會增加觸發偵測的可能性)。
DLP 掃描的範圍可以限於特定檔案類型,例如 Microsoft Office 文件、PDF 檔案和 ZIP 檔案。
自推出以來,DLP 已經針對常見資料類型(例如財務資料、個人標識符和憑證)構建了更廣泛的偵測。
DLP:詳細偵測
Cloudflare 現在可以在記錄中擷取 DLP 相關活動的更廣泛、更精細的詳細資料,包括有效負載分析、檔案名稱和個別檔案的更高保真度詳細資料。我們很大一部分客戶更喜歡將這些記錄推送到 DataDog 和 Sumo Logic 等 SIEM 工具。.
CASB:擴展整合和發現結果
如今,Cloudflare 整合了 18 個最廣泛使用的 SaaS App ,包括生產力套件、雲端儲存、聊天工具等。基於 API 的掃描不僅可以揭示設定錯誤,還提供內建的 HTTP 原則建立工作流程和分步修復指南。
DLP 與 CASB 融合
如今,組織可以設定 CASB 來掃描 Google Workspace 中每個可公開存取的檔案,以查找與 DLP 設定檔匹配的文字(財務資料、個人標識符等)。
新的和即將推出的 DLP 和 CASB 功能
今天推出的 Cloudflare One 資料保護套件表明,我們一直在踐行在這些主題領域持續投資 DLP 和 CASB 功能的承諾。下面,我們將簡要介紹 Cloudflare One 資料保護套件藍圖上的一些新功能和即將推出的功能,這些功能將在未來幾週內推出,以實現跨資料環境的進一步可見性和控制。
使用自訂詞表進行精確資料匹配
已經交付:Exact Data Match,從測試版轉向全面可用,允許客戶透過上傳資料集告訴 Cloudflare 的 DLP 到底要查找哪些資料,其中可能包括姓名、電話號碼或其他任何內容。
**未來 30 天:**客戶很快將能夠上傳特定字詞清單、建立 DLP 原則以在檔案中搜尋這些重要關鍵字,以及封鎖和記錄該活動。
**客戶如何受益:**管理員可以更具體地設定他們需要保護的內容,並透過批量上傳他們最關心的資料和術語來節省建立原則的時間。隨著時間的推移,許多組織積累了為現有 DLP 服務設定的一長串術語清單,這些可自訂的上傳功能簡化了從其他廠商遷移到 Cloudflare 的過程。與所有其他 DLP 設定檔一樣,Cloudflare 在內嵌流量和整合 SaaS App 中搜尋這些自訂清單和關鍵字。
偵測原始程式碼和健康資料
**未來 30 天:**很快,Clouflare 的 DLP 將包含預先定義的設定檔,以偵測開發人員原始程式碼和受保護的健康資訊 (PHI)。初時,程式碼資料將包括 Python、Javascript、Java 和 C++(當今四種最流行的語言)等語言,PHI 資料將包括藥物和診斷名稱(兩個高度敏感的醫學主題)。
**客戶如何受益:**這些預先定義的設定檔將覆蓋範圍擴大到組織內一些最有價值的資料類型(而 PHI 是最受監管的資料類型之一)。
融合 API 驅動的 CASB 和 DLP 以實現待用資料保護
**未來 30 天:**很快,組織將能夠掃描 Microsoft 365(例如 OneDrive)中待用的敏感性資料。例如,對這些環境進行基於 API 的掃描,將標記信用卡號碼、原始程式碼或透過 DLP 原則設定的其他資料是否駐留在可公開存取的檔案中。然後,管理員可以透過內嵌 CASB 閘道原則採取規定步驟進行修復。
年底交付:在接下來的幾個月內,GitHub 將提供相同的整合功能。
**客戶如何受益:**利用現有的 Google Workspace 整合和即將推出的 Microsoft 365 整合,客戶可以在使用者花費大量時間以及組織儲存大量資料的兩個最知名雲端生產力套件中掃描敏感性資料。這項新的 Microsoft 整合的推出,表明我們一直在對簡化整個 Microsoft 生態系統中的安全工作流程進行持續投資——無論是管理身分和應用程式存取、執行裝置狀態,還是隔離有風險的使用者。
GitHub 整合還恢復了對一個最關鍵開發人員環境的可見性,而該環境也越來越容易產生資料洩露的風險。事實上,根據 GitGuardian 的資料,2022 年 GitHub 公開提交中暴露了 1000 萬個硬編碼機密,這一數字比 2021 年增長了 67%,並且預計只會增長。防止 GitHub 上的原始程式碼暴露是我們的產品團隊經常從客戶那裡聽到的一個問題領域,我們將繼續優先考慮保護開發人員環境。
Zero Trust 環境分層:使用者風險評分
**未來 30 天:**Cloudflare 將引入風險評分,該評分將基於在 Cloudflare One 服務中偵測到的使用者行為和活動。組織將能夠偵測會帶來風險的使用者行為,例如「不可能的旅行」異常或在給定時間段內偵測到過多的 DLP 違規行為。在推出偵測功能後不久,我們將可以選擇在更廣泛的 Cloudflare One 套件中採取預防性或補救性原則動作。這樣,組織可以根據不斷變化的風險因素和即時環境來控制對敏感性資料和應用程式的存取。
**客戶如何受益:**如今,組織需要花費大量時間、人力和金錢來分析大量記錄資料以識別風險模式。Cloudflare 的「現成可用」風險評分簡化了該流程,幫助組織快速高效地瞭解並鎖定可疑活動。
如何開始使用
這些只是我們短期藍圖上的一些功能,隨著資料保護套件的發展,我們迫不及待地想與您分享更多功能。如果您已準備好探索 Cloudflare One 如何保護您的資料,請立即請求與我們的專家一起進行研討會。
若想瞭解有關 Cloudflare One 如何保護資料的更多資訊,請閱讀今天的新聞稿、造訪我們的網站或透過技術示範進行更深入的瞭解。