Cloudflare數(shù)據(jù)丟失防護(hù)（DLP）平臺(tái)

阻止數(shù)據(jù)丟失對任何團(tuán)隊(duì)而言都不是易事，而隨著用戶離開辦公室和數(shù)據(jù)離開本地存儲(chǔ)中心，這個(gè)挑戰(zhàn)更是難上加難。企業(yè)再也不能在其數(shù)據(jù)周圍構(gòu)筑簡單的城堡和護(hù)城河。如今用戶會(huì)從地球上任何地點(diǎn)連接到托管于企業(yè)控制的環(huán)境以外的應(yīng)用程序。

我們與數(shù)百位客戶交談過，他們都采取了應(yīng)急措施，試圖以某種形式維持傳統(tǒng)的城堡+護(hù)城河模型，但此類權(quán)宜之計(jì)要么拖慢用戶速度，要么導(dǎo)致成本增加——或者兩者兼?zhèn)?。幾乎所有可用的短期選項(xiàng)都結(jié)合了單點(diǎn)解決方案，最終都迫使流量通過一個(gè)中央地點(diǎn)回傳。

作為 Cloudflare One的一部分，Cloudflare 的數(shù)據(jù)丟失預(yù)防（DLP）方法依賴于加速用戶流量的相同基礎(chǔ)設(shè)施和全球網(wǎng)絡(luò)，利用其同時(shí)對所有流量執(zhí)行內(nèi)聯(lián)檢查，無論流量如何到達(dá)我們的網(wǎng)絡(luò)。

我們也知道，企業(yè)需要的不僅僅是掃描流量以識(shí)別數(shù)據(jù)字符串。要保護(hù)數(shù)據(jù)的安全，還需要了解數(shù)據(jù)流動(dòng)的方式，并能控制誰可接觸到數(shù)據(jù)。Cloudflare One 讓您的團(tuán)隊(duì)能在任何工作應(yīng)用程序中建立零信任許可，在不拖慢用戶速度的前提下記錄對每一個(gè)數(shù)據(jù)集發(fā)出的請求。

第一步：從完整的審計(jì)跟蹤開始

對企業(yè)網(wǎng)絡(luò)的可見性一度非常容易。公司的所有服務(wù)都運(yùn)行于一個(gè)私有數(shù)據(jù)中心上。用戶從受管理的辦公室網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)（VPN）客戶端連接進(jìn)來。由于一切活動(dòng)都在類似于城堡和護(hù)城河的企業(yè)網(wǎng)絡(luò)中發(fā)生，安全團(tuán)隊(duì)能監(jiān)控每一個(gè)請求。

在用戶離開辦公室和應(yīng)用程序遷移出這個(gè)數(shù)據(jù)中心后，企業(yè)失去了對敏感數(shù)據(jù)的連接的可見性。一些組織希望采用“假想入侵”模型，但鑒于甚至難以確定會(huì)發(fā)生什么類型的數(shù)據(jù)丟失，唯有在平臺(tái)上部署每一種可能的解決方案。

我們接觸過一些企業(yè)，他們?yōu)椴灰欢〞?huì)遇到的問題購買了新的掃描和過濾服務(wù)，通過虛擬設(shè)備交付。為了重建城堡+護(hù)城河模型提供的可見性，這些部署迫使用戶回傳發(fā)送到互聯(lián)網(wǎng)的所有流量，拖慢了每一個(gè)團(tuán)隊(duì)成員的體驗(yàn)。

去年，我們推出了 Cloudflare DLP 解決方案的第一階段，旨在幫助團(tuán)隊(duì)解決這個(gè)問題。現(xiàn)在，您可以使用 Cloudflare 網(wǎng)絡(luò)來捕獲并記錄組織內(nèi)部每一個(gè) DNS 查詢、請求、以及文件上傳和下載。這些特性不會(huì)拖慢您的團(tuán)隊(duì)，反而會(huì)加快團(tuán)隊(duì)連接到內(nèi)部管理和 SaaS 應(yīng)用程序的速度。

構(gòu)建這種級別的可見性也不應(yīng)該成為讓管理員頭疼的問題。Cloudflare DNS 過濾器不到一個(gè)小時(shí)就能部署到辦公室網(wǎng)絡(luò)和漫游設(shè)備上。我們使用與驅(qū)動(dòng)世界最快 DNS 解析器 1.1.1.1 的相同技術(shù)構(gòu)建了這個(gè) DNS 過濾解決方案，從而也能加速最終用戶的體驗(yàn)。

接下來，通過添加 Cloudflare 的安全 Web 網(wǎng)關(guān)（SWG）平臺(tái)，團(tuán)隊(duì)能為離開其端點(diǎn)和設(shè)備的所有流量添加上下文。就像 DNS 過濾器和 1.1.1.1 一樣，在多年來對消費(fèi)者等價(jià)產(chǎn)品 Cloudflare WARP 進(jìn)行改良后，我們打造了這個(gè)網(wǎng)關(guān)產(chǎn)品。

我們也增加了新的工具，幫助防止連接跳過 DNS 過濾器或安全 Web 網(wǎng)關(guān)的情況。您的團(tuán)隊(duì)能捕獲每個(gè)請求的 HTTP 方法、URL 路徑和其他元數(shù)據(jù)，無需本地設(shè)備或流量回傳。

您的團(tuán)隊(duì)能創(chuàng)建規(guī)則，要求對某個(gè) SaaS 應(yīng)用程序的每次登錄請求都通過 Cloudflare 網(wǎng)絡(luò)，然后用戶才能登錄到您的身份提供程序，確保對于被訪問的數(shù)據(jù)不存在任何盲點(diǎn)。最后，導(dǎo)出所有 DNS 查詢和 HTTP 日志到您的團(tuán)隊(duì)已經(jīng)使用的 SIEM 提供商。

第二步：在所有地方添加 RBAC——甚至在沒有 RBAC 的應(yīng)用中

全面的日志記錄幫助發(fā)現(xiàn)潛在入侵，也揭示了組織內(nèi)部每個(gè)人可獲得的數(shù)據(jù)量。我們聽到一些客戶反映，他們的數(shù)據(jù)存儲(chǔ)于數(shù)百個(gè)應(yīng)用程序中，而且在很多情況下，這些應(yīng)用程序的默認(rèn)規(guī)則是允許團(tuán)隊(duì)中的任何人訪問任何記錄。

鑒于以上默認(rèn)規(guī)則，每一個(gè)用戶帳號(hào)都造成更大的數(shù)據(jù)丟失攻擊面——但很難甚至不可能找到替代方案。在每個(gè)應(yīng)用程序中配置基于角色的訪問控制（RBAC）非常繁瑣。更糟糕的是，一些應(yīng)用程序完全不具備創(chuàng)建 RBAC 規(guī)則的能力。

如今，針對您所有內(nèi)部管理的應(yīng)用程序和 SaaS 應(yīng)用程序，您可以部署 Cloudflare 零信任網(wǎng)絡(luò)，以便在單一位置構(gòu)建保密規(guī)則。在很多情況下，這些規(guī)則的第一個(gè)目標(biāo)是組織的客戶關(guān)系管理（CRM）系統(tǒng)。CRM 包含買家、賬戶和收入相關(guān)數(shù)據(jù)。其中部分記錄的敏感性遠(yuǎn)遠(yuǎn)高于其他，但其他團(tuán)隊(duì)（例如營銷、法務(wù)和財(cái)務(wù)）的用戶也能訪問應(yīng)用程序中的任何信息。

您現(xiàn)在可以使用 Cloudflare 的安全 Web 網(wǎng)關(guān)來創(chuàng)建規(guī)則，利用您的身份驗(yàn)證提供程序來限制誰可訪問任何應(yīng)用程序的特定部分，不管這個(gè)應(yīng)用程序是否支持 RBAC 控制。如果您要允許團(tuán)隊(duì)成員訪問記錄但不能下載數(shù)據(jù)，您也可通過文件上傳/下載策略來控制誰有權(quán)將數(shù)據(jù)保存到本地。

一些應(yīng)用程序支持這個(gè)級別的 RBAC，但我們也聽到有客戶反映，需要對特定數(shù)據(jù)集進(jìn)行更詳細(xì)的檢查。一個(gè)例子是要求將 hard key 作為第二因素方法。您也可以使用 Cloudflare 零信任平臺(tái)來為用戶連接到特定應(yīng)用程序添加額外要求，例如強(qiáng)制使用 hard key，或指定允許的國家/地區(qū)。

我們知道 URL 路徑不一定是標(biāo)準(zhǔn)的，應(yīng)用程序也會(huì)發(fā)展。很快，您的團(tuán)隊(duì)將能向任何應(yīng)用程序中的數(shù)據(jù)應(yīng)用同樣類型的零信任控制。請繼續(xù)閱讀，以詳細(xì)了解下一步以及這些規(guī)則如何與 Cloudflare 的數(shù)據(jù)檢查集成。

第三步：為您面向外部的應(yīng)用程序打造數(shù)據(jù)安全網(wǎng)

控制誰能訪問敏感數(shù)據(jù)的前提是，您控制的應(yīng)用程序沒有通過其他渠道泄漏數(shù)據(jù)。組織嘗試通過拼湊起一堆單點(diǎn)解決方案和過程來解決這個(gè)問題，以預(yù)防某個(gè)被遺忘的 API 端點(diǎn)或較弱和被重用的密碼導(dǎo)致數(shù)據(jù)意外丟失。這些解決方案要求對每個(gè)應(yīng)用程序進(jìn)行手動(dòng)配置，以及被忽略的繁瑣開發(fā)實(shí)踐。

作為今天公告的一部分，我們推出 Cloudflare Web 應(yīng)用防火墻（WAF）的一項(xiàng)新功能，以幫助團(tuán)隊(duì)解決這個(gè)問題。您現(xiàn)在可以保護(hù)您的應(yīng)用程序，以阻止外部攻擊和過度共享。您可使用 Cloudflare 網(wǎng)絡(luò)來掃描和阻止那些包含應(yīng)用程序從來不應(yīng)發(fā)出的數(shù)據(jù)的響應(yīng)。

管理員只需單擊幾下鼠標(biāo)，就能將這些新型規(guī)則應(yīng)用到受 Cloudflare 反向代理保護(hù)的任何 web 資源。一旦啟用，在應(yīng)用程序?qū)φ埱蟀l(fā)出響應(yīng)時(shí)，Cloudflare 網(wǎng)絡(luò)將檢查響應(yīng)中是否包含了不應(yīng)離開該資源的數(shù)據(jù)。

不同于其取代的單點(diǎn)解決方案，我們不想讓您的團(tuán)隊(duì)負(fù)擔(dān)更多手動(dòng)分類數(shù)據(jù)的工作。發(fā)布時(shí)，我們將提供信用卡和社會(huì)保險(xiǎn)號(hào)碼等模式供您啟用。我們將繼續(xù)增加新模式以及搜索特定數(shù)據(jù)的能力。

第四步：阻止企業(yè)數(shù)據(jù)在任何方向離開

當(dāng)應(yīng)用程序和用戶離開企業(yè)網(wǎng)絡(luò)外圍時(shí)，安全團(tuán)隊(duì)不得不在如何保障數(shù)據(jù)本身安全上作出妥協(xié)。那些團(tuán)隊(duì)只剩下幾個(gè)令人失望的選項(xiàng)：

回傳所有流量以通過本地硬件設(shè)備，經(jīng)掃描后再發(fā)送到互聯(lián)網(wǎng)。拖慢團(tuán)隊(duì)的整個(gè)互聯(lián)網(wǎng)速度。

購買一個(gè)價(jià)格昂貴、托管于若干云環(huán)境的帶外解決方案，也是對數(shù)據(jù)進(jìn)行掃描并拖慢互聯(lián)網(wǎng)訪問速度。

什么都不做，讓用戶及可能任何數(shù)據(jù)集到達(dá)互聯(lián)網(wǎng)。

我們欣然宣布，在不久的將來，您將能使用 Cloudflare 網(wǎng)絡(luò)掃描離開各設(shè)備和地點(diǎn)的所有流量以預(yù)防數(shù)據(jù)丟失，而且性能不受到影響。Cloudflare 的 DLP 能力就什么數(shù)據(jù)能離開您的組織應(yīng)用標(biāo)準(zhǔn)、統(tǒng)一的規(guī)則，無論流量如何到達(dá)我們的網(wǎng)絡(luò)。

在單一位置創(chuàng)建規(guī)則，根據(jù) PII 等常見模式檢查數(shù)據(jù)，包含特定信息的準(zhǔn)確數(shù)據(jù)集，并使用數(shù)據(jù)標(biāo)簽。您也可將這些規(guī)則與其他零信任規(guī)則結(jié)合起來。例如，創(chuàng)建一項(xiàng)策略，防止特定組以外的用戶將包含特定關(guān)鍵詞的文件上傳到企業(yè)云存儲(chǔ)供應(yīng)商以外的任何地點(diǎn)。

不同于傳統(tǒng)的數(shù)據(jù)丟失單點(diǎn)解決方案，Cloudflare DLP 在加速您的互聯(lián)網(wǎng)流量相同硬件上內(nèi)聯(lián)運(yùn)行。Cloudflare 不僅能幫助您的團(tuán)隊(duì)作為一個(gè)企業(yè)網(wǎng)絡(luò)遷移到互聯(lián)網(wǎng)，它也比互聯(lián)網(wǎng)更快。我們的網(wǎng)絡(luò)是與運(yùn)營商無關(guān)的，具備優(yōu)異的連接性和對等性，在全球交付相同的一套服務(wù)。在每一個(gè)入口中，我們都加上了基于本公司 Argo Smart Routing 技術(shù)的更佳路由，實(shí)際應(yīng)用證明可將延遲縮短 30% 或以上。

當(dāng)您的用戶在互聯(lián)網(wǎng)上連接一個(gè)應(yīng)用程序時(shí)，Cloudflare WARP 代理或 Magic Transit 入口會(huì)建立一個(gè)到位于世界 200 多個(gè)城市的 Cloudflare 數(shù)據(jù)中心的安全連接。這些數(shù)據(jù)中心會(huì)根據(jù)阻止安全威脅的規(guī)則檢查流量，記錄事件，并掃描數(shù)據(jù)以尋找模式或準(zhǔn)確條件，然后使用我們的全球?qū)Ｓ霉歉删W(wǎng)加速到其目的地的連接。

下一步是什么？

您的團(tuán)隊(duì)今天就可以開始在 Cloudflare for Teams 中記錄每一個(gè)請求并對任何應(yīng)用程序應(yīng)用 RBAC 控制。對于使用 Teams Free 計(jì)劃的組織，最多 50 個(gè)用戶可享用所需的每一項(xiàng)功能。

有意掃描所有數(shù)據(jù)流嗎？數(shù)據(jù)掃描將在今年晚些時(shí)候加入到 Cloudflare for Teams。立即加入等候名單。

Cloudflare 網(wǎng)絡(luò)可幫助解決貴組織面對的多種風(fēng)險(xiǎn)，數(shù)據(jù)丟失只是其中之一。敬請繼續(xù)關(guān)注我們本周內(nèi)陸續(xù)宣布的新功能，這些功能可在不影響性能或不增加硬件的情況下保障您團(tuán)隊(duì)的安全。