隆重推出Cloudflare數據丟失防護（DLP）平臺

今天，我們欣然宣布，您的團隊可使用 Cloudflare 網絡來建立對貴組織數據的零信任控制——不管這些數據位于何處和如何移動。

阻止數據丟失對任何團隊而言都不是易事，而隨著用戶離開辦公室和數據離開本地存儲中心，這個挑戰(zhàn)更是難上加難。企業(yè)再也不能在其數據周圍構筑簡單的城堡和護城河。如今用戶會從地球上任何地點連接到托管于企業(yè)控制的環(huán)境以外的應用程序。

我們與數百位客戶交談過，他們都采取了應急措施，試圖以某種形式維持傳統(tǒng)的城堡+護城河模型，但此類權宜之計要么拖慢用戶速度，要么導致成本增加——或者兩者兼?zhèn)洹缀跛锌捎玫亩唐谶x項都結合了單點解決方案，最終都迫使流量通過一個中央地點回傳。

作為 Cloudflare One的一部分，Cloudflare 的數據丟失預防（DLP）方法依賴于加速用戶流量的相同基礎設施和全球網絡，利用其同時對所有流量執(zhí)行內聯檢查，無論流量如何到達我們的網絡。

我們也知道，企業(yè)需要的不僅僅是掃描流量以識別數據字符串。要保護數據的安全，還需要了解數據流動的方式，并能控制誰可接觸到數據。Cloudflare One 讓您的團隊能在任何工作應用程序中建立零信任許可，在不拖慢用戶速度的前提下記錄對每一個數據集發(fā)出的請求。

第一步：從完整的審計跟蹤開始

對企業(yè)網絡的可見性一度非常容易。公司的所有服務都運行于一個私有數據中心上。用戶從受管理的辦公室網絡或虛擬專用網絡（VPN）客戶端連接進來。由于一切活動都在類似于城堡和護城河的企業(yè)網絡中發(fā)生，安全團隊能監(jiān)控每一個請求。

在用戶離開辦公室和應用程序遷移出這個數據中心后，企業(yè)失去了對敏感數據的連接的可見性。一些組織希望采用“假想入侵”模型，但鑒于甚至難以確定會發(fā)生什么類型的數據丟失，唯有在平臺上部署每一種可能的解決方案。

我們接觸過一些企業(yè)，他們?yōu)椴灰欢〞龅降膯栴}購買了新的掃描和過濾服務，通過虛擬設備交付。為了重建城堡+護城河模型提供的可見性，這些部署迫使用戶回傳發(fā)送到互聯網的所有流量，拖慢了每一個團隊成員的體驗。

去年，我們推出了 Cloudflare DLP 解決方案的第一階段，旨在幫助團隊解決這個問題。現在，您可以使用 Cloudflare 網絡來捕獲并記錄組織內部每一個 DNS 查詢、請求、以及文件上傳和下載。這些特性不會拖慢您的團隊，反而會加快團隊連接到內部管理和 SaaS 應用程序的速度。

構建這種級別的可見性也不應該成為讓管理員頭疼的問題。Cloudflare DNS 過濾器不到一個小時就能部署到辦公室網絡和漫游設備上。我們使用與驅動世界最快 DNS 解析器 1.1.1.1 的相同技術構建了這個 DNS 過濾解決方案，從而也能加速最終用戶的體驗。

接下來，通過添加 Cloudflare 的安全 Web 網關（SWG）平臺，團隊能為離開其端點和設備的所有流量添加上下文。就像 DNS 過濾器和 1.1.1.1 一樣，在多年來對消費者等價產品 Cloudflare WARP 進行改良后，我們打造了這個網關產品。

我們也增加了新的工具，幫助防止連接跳過 DNS 過濾器或安全 Web 網關的情況。您的團隊能捕獲每個請求的 HTTP 方法、URL 路徑和其他元數據，無需本地設備或流量回傳。

您的團隊能創(chuàng)建規(guī)則，要求對某個 SaaS 應用程序的每次登錄請求都通過 Cloudflare 網絡，然后用戶才能登錄到您的身份提供程序，確保對于被訪問的數據不存在任何盲點。最后，導出所有 DNS 查詢和 HTTP 日志到您的團隊已經使用的 SIEM 提供商。

第二步：在所有地方添加 RBAC——甚至在沒有 RBAC 的應用中

全面的日志記錄幫助發(fā)現潛在入侵，也揭示了組織內部每個人可獲得的數據量。我們聽到一些客戶反映，他們的數據存儲于數百個應用程序中，而且在很多情況下，這些應用程序的默認規(guī)則是允許團隊中的任何人訪問任何記錄。

鑒于以上默認規(guī)則，每一個用戶帳號都造成更大的數據丟失攻擊面——但很難甚至不可能找到替代方案。在每個應用程序中配置基于角色的訪問控制（RBAC）非常繁瑣。更糟糕的是，一些應用程序完全不具備創(chuàng)建 RBAC 規(guī)則的能力。

如今，針對您所有內部管理的應用程序和 SaaS 應用程序，您可以部署 Cloudflare 零信任網絡，以便在單一位置構建保密規(guī)則。在很多情況下，這些規(guī)則的第一個目標是組織的客戶關系管理（CRM）系統(tǒng)。CRM 包含買家、賬戶和收入相關數據。其中部分記錄的敏感性遠遠高于其他，但其他團隊（例如營銷、法務和財務）的用戶也能訪問應用程序中的任何信息。

您現在可以使用 Cloudflare 的安全 Web 網關來創(chuàng)建規(guī)則，利用您的身份驗證提供程序來限制誰可訪問任何應用程序的特定部分，不管這個應用程序是否支持 RBAC 控制。如果您要允許團隊成員訪問記錄但不能下載數據，您也可通過文件上傳/下載策略來控制誰有權將數據保存到本地。

一些應用程序支持這個級別的 RBAC，但我們也聽到有客戶反映，需要對特定數據集進行更詳細的檢查。一個例子是要求將 hard key 作為第二因素方法。您也可以使用 Cloudflare 零信任平臺來為用戶連接到特定應用程序添加額外要求，例如強制使用 hard key，或指定允許的國家/地區(qū)。

我們知道 URL 路徑不一定是標準的，應用程序也會發(fā)展。很快，您的團隊將能向任何應用程序中的數據應用同樣類型的零信任控制。請繼續(xù)閱讀，以詳細了解下一步以及這些規(guī)則如何與 Cloudflare 的數據檢查集成。

第三步：為您面向外部的應用程序打造數據安全網

控制誰能訪問敏感數據的前提是，您控制的應用程序沒有通過其他渠道泄漏數據。組織嘗試通過拼湊起一堆單點解決方案和過程來解決這個問題，以預防某個被遺忘的 API 端點或較弱和被重用的密碼導致數據意外丟失。這些解決方案要求對每個應用程序進行手動配置，以及被忽略的繁瑣開發(fā)實踐。

作為今天公告的一部分，我們推出 Cloudflare Web 應用防火墻（WAF）的一項新功能，以幫助團隊解決這個問題。您現在可以保護您的應用程序，以阻止外部攻擊和過度共享。您可使用 Cloudflare 網絡來掃描和阻止那些包含應用程序從來不應發(fā)出的數據的響應。

管理員只需單擊幾下鼠標，就能將這些新型規(guī)則應用到受 Cloudflare 反向代理保護的任何 web 資源。一旦啟用，在應用程序對請求發(fā)出響應時，Cloudflare 網絡將檢查響應中是否包含了不應離開該資源的數據。

不同于其取代的單點解決方案，我們不想讓您的團隊負擔更多手動分類數據的工作。發(fā)布時，我們將提供信用卡和社會保險號碼等模式供您啟用。我們將繼續(xù)增加新模式以及搜索特定數據的能力。

第四步：阻止企業(yè)數據在任何方向離開

當應用程序和用戶離開企業(yè)網絡外圍時，安全團隊不得不在如何保障數據本身安全上作出妥協(xié)。那些團隊只剩下幾個令人失望的選項：

• 回傳所有流量以通過本地硬件設備，經掃描后再發(fā)送到互聯網。拖慢團隊的整個互聯網速度。

• 購買一個價格昂貴、托管于若干云環(huán)境的帶外解決方案，也是對數據進行掃描并拖慢互聯網訪問速度。

• 什么都不做，讓用戶及可能任何數據集到達互聯網。

我們欣然宣布，在不久的將來，您將能使用 Cloudflare 網絡掃描離開各設備和地點的所有流量以預防數據丟失，且同時性能不受到影響。Cloudflare 的 DLP 能力就什么數據能離開您的組織應用標準，設立統(tǒng)一的規(guī)則。

在單一位置創(chuàng)建規(guī)則，根據 PII 等常見模式檢查數據，包含特定信息的準確數據集，并使用數據標簽。您也可將這些規(guī)則與其他零信任規(guī)則結合起來。

不同于傳統(tǒng)的數據丟失單點解決方案，Cloudflare DLP 在加速您的互聯網流量相同硬件上內聯運行。Cloudflare 不僅能幫助您的團隊作為一個企業(yè)網絡遷移到互聯網，它也比互聯網更快。我們的網絡是與運營商無關的，具備優(yōu)異的連接性和對等性，在全球交付相同的一套服務。在每一個入口中，我們都加上了基于本公司 Argo Smart Routing 技術的更佳路由，實際應用證明可將延遲縮短 30% 或以上。

當您的用戶在互聯網上連接一個應用程序時，Cloudflare WARP 代理或 Magic Transit 入口會建立一個到位于世界 200 多個城市的 Cloudflare 數據中心的安全連接。這些數據中心會根據阻止安全威脅的規(guī)則檢查流量，記錄事件，并掃描數據以尋找模式或準確條件，然后使用我們的全球專用骨干網加速到其目的地的連接。

下一步是什么？

您的團隊今天就可以開始在 Cloudflare for Teams 中記錄每一個請求并對任何應用程序應用 RBAC 控制。對于使用 Teams Free 計劃的組織，最多 50 個用戶可享用所需的每一項功能。

有意掃描所有數據流嗎？數據掃描將在今年晚些時候加入到 Cloudflare for Teams。立即加入等候名單。

Cloudflare 網絡可幫助解決貴組織面對的多種風險，數據丟失只是其中之一。敬請繼續(xù)關注我們本周內陸續(xù)宣布的新功能，這些功能可在不影響性能或不增加硬件的情況下保障您團隊的安全。