隆重推出Cloudflare數(shù)據(jù)丟失防護（DLP）平臺

今天，我們欣然宣布，您的團隊可使用 Cloudflare 網(wǎng)絡(luò)來建立對貴組織數(shù)據(jù)的零信任控制——不管這些數(shù)據(jù)位于何處和如何移動。

阻止數(shù)據(jù)丟失對任何團隊而言都不是易事，而隨著用戶離開辦公室和數(shù)據(jù)離開本地存儲中心，這個挑戰(zhàn)更是難上加難。企業(yè)再也不能在其數(shù)據(jù)周圍構(gòu)筑簡單的城堡和護城河。如今用戶會從地球上任何地點連接到托管于企業(yè)控制的環(huán)境以外的應(yīng)用程序。

我們與數(shù)百位客戶交談過，他們都采取了應(yīng)急措施，試圖以某種形式維持傳統(tǒng)的城堡+護城河模型，但此類權(quán)宜之計要么拖慢用戶速度，要么導(dǎo)致成本增加——或者兩者兼?zhèn)?。幾乎所有可用的短期選項都結(jié)合了單點解決方案，最終都迫使流量通過一個中央地點回傳。

作為 Cloudflare One的一部分，Cloudflare 的數(shù)據(jù)丟失預(yù)防（DLP）方法依賴于加速用戶流量的相同基礎(chǔ)設(shè)施和全球網(wǎng)絡(luò)，利用其同時對所有流量執(zhí)行內(nèi)聯(lián)檢查，無論流量如何到達我們的網(wǎng)絡(luò)。

我們也知道，企業(yè)需要的不僅僅是掃描流量以識別數(shù)據(jù)字符串。要保護數(shù)據(jù)的安全，還需要了解數(shù)據(jù)流動的方式，并能控制誰可接觸到數(shù)據(jù)。Cloudflare One 讓您的團隊能在任何工作應(yīng)用程序中建立零信任許可，在不拖慢用戶速度的前提下記錄對每一個數(shù)據(jù)集發(fā)出的請求。

第一步：從完整的審計跟蹤開始

對企業(yè)網(wǎng)絡(luò)的可見性一度非常容易。公司的所有服務(wù)都運行于一個私有數(shù)據(jù)中心上。用戶從受管理的辦公室網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)（VPN）客戶端連接進來。由于一切活動都在類似于城堡和護城河的企業(yè)網(wǎng)絡(luò)中發(fā)生，安全團隊能監(jiān)控每一個請求。

在用戶離開辦公室和應(yīng)用程序遷移出這個數(shù)據(jù)中心后，企業(yè)失去了對敏感數(shù)據(jù)的連接的可見性。一些組織希望采用“假想入侵”模型，但鑒于甚至難以確定會發(fā)生什么類型的數(shù)據(jù)丟失，唯有在平臺上部署每一種可能的解決方案。

我們接觸過一些企業(yè)，他們?yōu)椴灰欢〞龅降膯栴}購買了新的掃描和過濾服務(wù)，通過虛擬設(shè)備交付。為了重建城堡+護城河模型提供的可見性，這些部署迫使用戶回傳發(fā)送到互聯(lián)網(wǎng)的所有流量，拖慢了每一個團隊成員的體驗。

去年，我們推出了 Cloudflare DLP 解決方案的第一階段，旨在幫助團隊解決這個問題?，F(xiàn)在，您可以使用 Cloudflare 網(wǎng)絡(luò)來捕獲并記錄組織內(nèi)部每一個 DNS 查詢、請求、以及文件上傳和下載。這些特性不會拖慢您的團隊，反而會加快團隊連接到內(nèi)部管理和 SaaS 應(yīng)用程序的速度。

構(gòu)建這種級別的可見性也不應(yīng)該成為讓管理員頭疼的問題。Cloudflare DNS 過濾器不到一個小時就能部署到辦公室網(wǎng)絡(luò)和漫游設(shè)備上。我們使用與驅(qū)動世界最快 DNS 解析器 1.1.1.1 的相同技術(shù)構(gòu)建了這個 DNS 過濾解決方案，從而也能加速最終用戶的體驗。

接下來，通過添加 Cloudflare 的安全 Web 網(wǎng)關(guān)（SWG）平臺，團隊能為離開其端點和設(shè)備的所有流量添加上下文。就像 DNS 過濾器和 1.1.1.1 一樣，在多年來對消費者等價產(chǎn)品 Cloudflare WARP 進行改良后，我們打造了這個網(wǎng)關(guān)產(chǎn)品。

我們也增加了新的工具，幫助防止連接跳過 DNS 過濾器或安全 Web 網(wǎng)關(guān)的情況。您的團隊能捕獲每個請求的 HTTP 方法、URL 路徑和其他元數(shù)據(jù)，無需本地設(shè)備或流量回傳。

您的團隊能創(chuàng)建規(guī)則，要求對某個 SaaS 應(yīng)用程序的每次登錄請求都通過 Cloudflare 網(wǎng)絡(luò)，然后用戶才能登錄到您的身份提供程序，確保對于被訪問的數(shù)據(jù)不存在任何盲點。最后，導(dǎo)出所有 DNS 查詢和 HTTP 日志到您的團隊已經(jīng)使用的 SIEM 提供商。

第二步：在所有地方添加 RBAC——甚至在沒有 RBAC 的應(yīng)用中

全面的日志記錄幫助發(fā)現(xiàn)潛在入侵，也揭示了組織內(nèi)部每個人可獲得的數(shù)據(jù)量。我們聽到一些客戶反映，他們的數(shù)據(jù)存儲于數(shù)百個應(yīng)用程序中，而且在很多情況下，這些應(yīng)用程序的默認規(guī)則是允許團隊中的任何人訪問任何記錄。

鑒于以上默認規(guī)則，每一個用戶帳號都造成更大的數(shù)據(jù)丟失攻擊面——但很難甚至不可能找到替代方案。在每個應(yīng)用程序中配置基于角色的訪問控制（RBAC）非常繁瑣。更糟糕的是，一些應(yīng)用程序完全不具備創(chuàng)建 RBAC 規(guī)則的能力。

如今，針對您所有內(nèi)部管理的應(yīng)用程序和 SaaS 應(yīng)用程序，您可以部署 Cloudflare 零信任網(wǎng)絡(luò)，以便在單一位置構(gòu)建保密規(guī)則。在很多情況下，這些規(guī)則的第一個目標(biāo)是組織的客戶關(guān)系管理（CRM）系統(tǒng)。CRM 包含買家、賬戶和收入相關(guān)數(shù)據(jù)。其中部分記錄的敏感性遠遠高于其他，但其他團隊（例如營銷、法務(wù)和財務(wù)）的用戶也能訪問應(yīng)用程序中的任何信息。

您現(xiàn)在可以使用 Cloudflare 的安全 Web 網(wǎng)關(guān)來創(chuàng)建規(guī)則，利用您的身份驗證提供程序來限制誰可訪問任何應(yīng)用程序的特定部分，不管這個應(yīng)用程序是否支持 RBAC 控制。如果您要允許團隊成員訪問記錄但不能下載數(shù)據(jù)，您也可通過文件上傳/下載策略來控制誰有權(quán)將數(shù)據(jù)保存到本地。

一些應(yīng)用程序支持這個級別的 RBAC，但我們也聽到有客戶反映，需要對特定數(shù)據(jù)集進行更詳細的檢查。一個例子是要求將 hard key 作為第二因素方法。您也可以使用 Cloudflare 零信任平臺來為用戶連接到特定應(yīng)用程序添加額外要求，例如強制使用 hard key，或指定允許的國家/地區(qū)。

我們知道 URL 路徑不一定是標(biāo)準(zhǔn)的，應(yīng)用程序也會發(fā)展。很快，您的團隊將能向任何應(yīng)用程序中的數(shù)據(jù)應(yīng)用同樣類型的零信任控制。請繼續(xù)閱讀，以詳細了解下一步以及這些規(guī)則如何與 Cloudflare 的數(shù)據(jù)檢查集成。

第三步：為您面向外部的應(yīng)用程序打造數(shù)據(jù)安全網(wǎng)

控制誰能訪問敏感數(shù)據(jù)的前提是，您控制的應(yīng)用程序沒有通過其他渠道泄漏數(shù)據(jù)。組織嘗試通過拼湊起一堆單點解決方案和過程來解決這個問題，以預(yù)防某個被遺忘的 API 端點或較弱和被重用的密碼導(dǎo)致數(shù)據(jù)意外丟失。這些解決方案要求對每個應(yīng)用程序進行手動配置，以及被忽略的繁瑣開發(fā)實踐。

作為今天公告的一部分，我們推出 Cloudflare Web 應(yīng)用防火墻（WAF）的一項新功能，以幫助團隊解決這個問題。您現(xiàn)在可以保護您的應(yīng)用程序，以阻止外部攻擊和過度共享。您可使用 Cloudflare 網(wǎng)絡(luò)來掃描和阻止那些包含應(yīng)用程序從來不應(yīng)發(fā)出的數(shù)據(jù)的響應(yīng)。

管理員只需單擊幾下鼠標(biāo)，就能將這些新型規(guī)則應(yīng)用到受 Cloudflare 反向代理保護的任何 web 資源。一旦啟用，在應(yīng)用程序?qū)φ埱蟀l(fā)出響應(yīng)時，Cloudflare 網(wǎng)絡(luò)將檢查響應(yīng)中是否包含了不應(yīng)離開該資源的數(shù)據(jù)。

不同于其取代的單點解決方案，我們不想讓您的團隊負擔(dān)更多手動分類數(shù)據(jù)的工作。發(fā)布時，我們將提供信用卡和社會保險號碼等模式供您啟用。我們將繼續(xù)增加新模式以及搜索特定數(shù)據(jù)的能力。

第四步：阻止企業(yè)數(shù)據(jù)在任何方向離開

當(dāng)應(yīng)用程序和用戶離開企業(yè)網(wǎng)絡(luò)外圍時，安全團隊不得不在如何保障數(shù)據(jù)本身安全上作出妥協(xié)。那些團隊只剩下幾個令人失望的選項：

• 回傳所有流量以通過本地硬件設(shè)備，經(jīng)掃描后再發(fā)送到互聯(lián)網(wǎng)。拖慢團隊的整個互聯(lián)網(wǎng)速度。

• 購買一個價格昂貴、托管于若干云環(huán)境的帶外解決方案，也是對數(shù)據(jù)進行掃描并拖慢互聯(lián)網(wǎng)訪問速度。

• 什么都不做，讓用戶及可能任何數(shù)據(jù)集到達互聯(lián)網(wǎng)。

我們欣然宣布，在不久的將來，您將能使用 Cloudflare 網(wǎng)絡(luò)掃描離開各設(shè)備和地點的所有流量以預(yù)防數(shù)據(jù)丟失，且同時性能不受到影響。Cloudflare 的 DLP 能力就什么數(shù)據(jù)能離開您的組織應(yīng)用標(biāo)準(zhǔn)，設(shè)立統(tǒng)一的規(guī)則。

在單一位置創(chuàng)建規(guī)則，根據(jù) PII 等常見模式檢查數(shù)據(jù)，包含特定信息的準(zhǔn)確數(shù)據(jù)集，并使用數(shù)據(jù)標(biāo)簽。您也可將這些規(guī)則與其他零信任規(guī)則結(jié)合起來。

不同于傳統(tǒng)的數(shù)據(jù)丟失單點解決方案，Cloudflare DLP 在加速您的互聯(lián)網(wǎng)流量相同硬件上內(nèi)聯(lián)運行。Cloudflare 不僅能幫助您的團隊作為一個企業(yè)網(wǎng)絡(luò)遷移到互聯(lián)網(wǎng)，它也比互聯(lián)網(wǎng)更快。我們的網(wǎng)絡(luò)是與運營商無關(guān)的，具備優(yōu)異的連接性和對等性，在全球交付相同的一套服務(wù)。在每一個入口中，我們都加上了基于本公司 Argo Smart Routing 技術(shù)的更佳路由，實際應(yīng)用證明可將延遲縮短 30% 或以上。

當(dāng)您的用戶在互聯(lián)網(wǎng)上連接一個應(yīng)用程序時，Cloudflare WARP 代理或 Magic Transit 入口會建立一個到位于世界 200 多個城市的 Cloudflare 數(shù)據(jù)中心的安全連接。這些數(shù)據(jù)中心會根據(jù)阻止安全威脅的規(guī)則檢查流量，記錄事件，并掃描數(shù)據(jù)以尋找模式或準(zhǔn)確條件，然后使用我們的全球?qū)Ｓ霉歉删W(wǎng)加速到其目的地的連接。

下一步是什么？

您的團隊今天就可以開始在 Cloudflare for Teams 中記錄每一個請求并對任何應(yīng)用程序應(yīng)用 RBAC 控制。對于使用 Teams Free 計劃的組織，最多 50 個用戶可享用所需的每一項功能。

有意掃描所有數(shù)據(jù)流嗎？數(shù)據(jù)掃描將在今年晚些時候加入到 Cloudflare for Teams。立即加入等候名單。

Cloudflare 網(wǎng)絡(luò)可幫助解決貴組織面對的多種風(fēng)險，數(shù)據(jù)丟失只是其中之一。敬請繼續(xù)關(guān)注我們本周內(nèi)陸續(xù)宣布的新功能，這些功能可在不影響性能或不增加硬件的情況下保障您團隊的安全。