本节介绍了 Cloud Web Security 服务的数据丢失防护 (DLP) 的核心组件,以及如何使用它们创建规则以防止客户企业的数据泄露。DLP 一节以配置 DLP 规则并验证该规则是否正常工作的工作流结束。

概览

数据丢失防护 (DLP) 功能禁止将敏感数据有意或无意泄露到 Internet,以确保遵守 HIPAA、PCI、GDPR 和其他数据隐私法。DLP 功能引用文件上载以及输入到网页中的文本以检查敏感数据。在 DLP 检查发现敏感数据时, Cloud Web Security 管理员可以将操作设置为 跳过记录阻止,同时还向审核员提供可选的电子邮件警示。
数据丢失防护概览。
虽然每个组织的 DLP 要求不相同,但创建 DLP 策略的工作流是相同的。
上半部分介绍了 DLP 功能的两个关键组件:字典(预定义和自定义字典)和审核员。下半部分介绍了创建和应用 DLP 规则的过程。
注: 有关 DLP 的常见问题的解答,请参阅 数据丢失防护常见问题

必备条件

用户需要满足以下条件才能访问 Cloud Web Security 的数据丢失防护 (DLP) 功能:
  1. 生产 VMware SASE Orchestrator 中已激活 Cloud Web Security 的客户企业。Edge 和 Orchestrator 都必须使用 VMware 4.5.0 或更高版本。
  2. 客户必须具有 Cloud Web Security Advanced 软件包才能访问 DLP 功能。
    重要说明: 使用 Cloud Web Security Standard 软件包的客户无法访问 DLP,并在 Orchestrator UI 上的所有 DLP 选项旁边显示锁定图标。

DLP 字典概览

DLP 字典使用匹配表达式以识别敏感数据。例如,信用卡号和社会保障号采用特定的格式。字典可以与这些模式进行匹配,并确定在文件上载或文本输入中是否存在敏感数据。

预定义字典

Cloud Web Security 预定义数据字典是模式匹配、校验和、上下文评分和模糊逻辑的组合,用于识别敏感数据。Cloud Web Security 具有超过 340 个预定义数据字典,涵盖以下主要数据类别:

  • 文档分类
  • 金融数据
  • 医疗保健
  • HIPAA
  • 项目标识符
  • PCI DSS
  • PII

此外,预定义数据字典是区域特定的,以确保在全球范围内应用正确的模式匹配。可以将数据字典设置为 29 个不同的国家或地区。在这 29 个国家或地区中,有两个国家或地区是为全局 (Global)其他 (Other) 保留的。这两个选项允许对跨国数据或不完全属于某个国家或地区类别的数据进行分类。

用户可以在 VMware SASE Orchestrator 上转到 Cloud Web Security 部分,然后导航到 配置 (Configure) > 策略设置 (Policy Settings) > DLP > 字典 (Dictionaries) 以浏览字典。
配置 DLP、DLP 设置。

在该页面上,将向用户显示所有可用于 DLP 策略的字典。字典放在一个包含“名称”(Name)、“描述”(Description)、“类型”(Type)、“类别”(Category) 和“区域”(Region) 字段的表中。

  • 名称 (Name) 用于标识字典以在策略中使用。
  • 描述 (Description) 简要说明与字典匹配的内容。
  • 类型 (Type) 区分两种不同的字典类型:
    • 预定义
    • 自定义
  • 类别 (Category) 包括:
    • 加拿大卫生服务
    • 文档分类
    • 金融数据、HIPAA
    • HIPAA/医疗保健
    • 医疗保健
    • 项目标识符
    • 其他
    • PCI DSS
    • 个人身份信息
    • 英国国家卫生服务
  • 区域 (Region) 表示字典应用到的地理位置,包括:
    • 澳大利亚
    • 比利时
    • 巴西
    • 加拿大
    • 丹麦
    • 芬兰
    • 法国
    • 德国
    • 全局
    • 中国香港
    • 印度
    • 印度尼西亚
    • 爱尔兰
    • 意大利
    • 日本
    • 马来西亚
    • 荷兰
    • 纽约
    • 新西兰
    • 挪威
    • 其他
    • 波兰
    • 新加坡
    • 南非
    • 西班牙
    • 瑞典
    • 英国 (UK)
    • 美国 (USA)
包含匹配条件的“新建字典”(New Dictionary) 配置屏幕
  1. 搜索 (Search) 栏适用于“字典”(Dictionaries) 页面上的所有字段,可用于快速显示用户有兴趣查看的特定字典。
  2. 每行包含一个字典,可以单击该字典以了解进一步的信息。
  3. 每页字典数 (Dictionaries per Page) 最多可以在单个页面上显示 100 个条目。
  4. 提供的页面导航 (Page Navigation) 按钮用于返回或跳过。

要继续该检查,请找到邮政地址 [全球] (Postal addresses [Global]) 字典,然后单击蓝色文本以打开编辑字典 (Edit Dictionary) 屏幕。

编辑字典 (Edit Dictionary) > 字典详细信息 (Dictionary Details)
虽然已讨论了该页面上的字段,但需要进一步解释其中的一个字段。 描述 (Description) 提供了解该字典是否适合您的策略所需的详细信息。用于识别数据的确切机制是专有和保密的。不过,用户可以放心,模式匹配使用先进的技术,以确保在字典支持的众多类别和区域中具有较高的准确性。
注: 用于预定义字典的方法与用于自定义字典的方法截然不同,前者根据敏感度级别和 DLP 引擎启发式分析触发 DLP 违规,后者使用特定的重复计数。在自定义字典一节中提供了有关该方法的更多详细信息。

如果在该模式下单击下一步 (Next) 按钮,将向用户显示阈值 (Threshold) 设置。除非必要,否则,建议不要调整阈值详细信息 (Threshold Details) 的默认值。

包含匹配条件的“新建字典”(New Dictionary) 配置屏幕

上面的屏幕截图显示文件上载 (File Uploads)用户输入 (User Inputs) 的违规加权平均次数 (weighted average number) 设置为 10。对于预定义字典,不要将其视为简单的出现次数,而是对文档中发现的所有信息的计算评分。这种评分机制有助于减少使用该数据字典时观察到的误报数量。在查看完该模式后,单击取消 (Cancel)。请注意,如果用户更改了任何可编辑的值,用户需要单击更新 (Update) 以保留这些更改。

自定义字典

通过使用 Cloud Web Security DLP 自定义字典,用户可以灵活地创建与其组织相关的数据字典。与预定义字典一样,自定义字典先让用户添加 4 个字段:

  • 名称
  • 描述
  • 类别
  • 国家/地区

这些是为预定义字典显示的 4 个相同字段,但能够将每个值设置为与用户创建的字典相关的内容。

为了识别数据,自定义字典采用以下两种方法:
  • 字符串 (String) 用于匹配字母数字字符和特殊字符的确切组合。可以将其设置为匹配或忽略大小写。
  • 表达式 (Expression) 使用 Perl 正则表达式 (regex) 查找数据模式,很难使用简单字符串查找这些模式。
可以使用 Internet 上提供的大量资源以了解有关正则表达式的更多信息。https://perldoc.perl.org/perlre 就是一种这样的资源。用户可以在其中找到多个不同的正则表达式模式匹配语法示例。

要创建自定义字典,请单击配置 (Configure) > 策略设置 (Policy Settings) > DLP > 字典 (Dictionaries) 页面中的新建字典 (New Dictionary) 按钮。

“字典详细信息”(Dictionary Details) 屏幕提示用户输入名称 (Name)描述 (Description)类别 (Category)国家/地区 (Country/Region) 的值。

包含字典详细信息的“新建字典”(New Dictionary) 配置屏幕。

上面的屏幕截图指示该字典用于识别敏感 IP 地址 (Sensitive IP Addresses) 并且仅供内部使用 (For Internal Use Only)。为类别和国家/地区选择其他 (Other) 表示,该字典匹配的数据不属于现有的类别之一,或者需要额外的元数据。

包含匹配条件的“新建字典”(New Dictionary) 配置屏幕

对于匹配数据 (Match Data) 屏幕,示例配置基于 IP 地址范围 192.0.2.0/24、198.151.100.0/24 和 203.0.133.0/24 (RFC 5737),这是公司需要保护的敏感数据。用于查找这些范围内的任何 IP 地址的正则表达式为:(192\.0\.2\..*|198\.51\.100\..*|203\.0\.113\..*)

该正则表达式的含义是“匹配包含 192.0.2.、198.51.100. 或 203.0.113. 的字符串”。 重复 (Repeated) 值设置为 1,表示查找一次或多次该模式将触发字典。
注: 自定义字典使用特定的重复计数以触发 DLP 违规;对于预定义字典,触发 DLP 违规的阈值基于敏感度级别和 DLP 引擎启发式分析。

在使用加号图标添加另一行时,正则表达式不会拆分为多行,因为跨多行的字典逻辑是逻辑“与”。如果以这种方式定义了匹配条件 (Match Criteria),只有在文档中出现所有三个 IP 地址范围时,才会触发字典。

编辑字典 (Edit Dictionary) > 匹配条件 (Match Criteria) - 添加额外的匹配规则

在配置自定义字典设置后,单击完成 (Finish) 以使字典可用于 Cloud Web Security

审核员

审核员是在组织中指定跟进与数据外泄尝试相关的任何事件(无论是有意还是无意)的人员。可以通过来自 Orchestrator 的电子邮件通知该人违反了 DLP 规则。发送给审核员的电子邮件包含 DLP 规则名称、包含敏感数据的用户输入或文件名、用户尝试将数据发送到的目标以及尝试披露数据的人员的用户名。(可选)可以将用户输入或文件以原始格式、ZIP 文件或加密的 ZIP 文件发送给审核员。

用户可以登录到 Cloud Web Security 并导航到以下位置以添加、编辑、删除和查看审核员:

配置 (Configure) > 策略设置 (Policy Settings) > DLP > 审核员 (Auditors)

DLP 设置 (DLP Settings) > 审核员 (Auditors) 配置屏幕。

在审核员 (Auditors) 屏幕中,用户可以看到当前在系统中没有审核员。要添加第一位审核员,请选择 + 新建审核员配置文件 (+ NEW AUDITOR PROFILE)。弹出窗口将提示用户提供以下信息:

  • 姓名 (Name)(必填)是审核员的姓名。
  • 电子邮件地址 (Email Address)(必填)是个人的有效电子邮件地址帐户。
  • 描述 (Description)(可选)是用户希望提供的任何审核员相关信息。例如,如果审核员的主要职能是监控 PCI 违规,则为“PCI 审核员”(PCI Auditor)。
新建 DLP 审核员配置文件 (New DLP Auditor Profile) > 审核员配置文件信息 (Auditor Profile Information) 配置屏幕。

下一页将要求用户提供文件详细信息 (File Details)。该页面是完全可选的,但它为用户提供将违规文件发送给 DLP 审核员以进行审查的选项。配置选项包括:

  • 将文件发送给审核员 (Send File to the Auditors),默认行为是不将文件发送给审核员。
  • 在用户选择将文件发送给审核员 (Send File to the Auditors) 时,可以使用文件格式 (File Format)。用户可以选择使用“原始文件”(Original File)、Zip 或“加密的 Zip”(Encrypted Zip)。由于该文件包含敏感信息,因此,建议使用“加密的 Zip”(Encrypted Zip) 选项。
    • 最大文件大小 (Maximum File Size) 是系统发送的电子邮件中包含的附件的最大大小。最多可以将该限制设置为 1GB,但建议与其组织的电子邮件文件大小限制相匹配。
      重要说明: 如果文件大小超过 最大文件大小 (Maximum File Size) 值,则会绕过该文件。换句话说,不会将该文件附加到 DLP 违规警示中,并在没有该文件的情况下发送警示。
    • 加密的 Zip 密码 (Encrypted Zip Password) 是由系统自动生成的;如果泄露,可以重新生成该密码。如果需要,用户还可以配置自己的密码。
新建 DLP 审核员配置文件 (New DLP Auditor Profile) > 文件详细信息 (File Details) 配置屏幕。

单击完成 (Finish) 按钮以保存新的 DLP 审核员配置文件配置。审核员条目将显示在“DLP 设置”(DLP Settings) >“审核员”(Auditor) 页面中。(可选)用户可以查看、编辑或删除审核员条目。

DLP 配置工作流

在介绍了组成数据丢失防护 (DLP) 功能的两个关键组件后,本节将介绍整个 DLP 工作流。

创建、配置和应用安全策略

DLP 规则是安全策略的一部分,因此,在配置 DLP 规则之前,必须先具有一个安全策略。有关为 Cloud Web Security 服务创建配置应用安全策略的详细信息,请参阅《Cloud Web Security 配置指南》中的相关文档。

创建并应用 DLP 规则

要创建并应用 DLP 规则,请参阅配置数据丢失防护规则

验证 DLP 规则是否正常工作

以下三个条件共同确认正确配置了 DLP 规则并按预期方式工作:
  • Cloud Web Security 阻止外泄与 DLP 规则匹配的敏感数据。
  • Cloud Web Security 检测并记录外泄敏感数据的尝试。
  • 在触发规则时,Cloud Web Security 向 DLP 审核员发送电子邮件警示。
要验证 DLP 规则的有效性,请执行以下操作:
  1. 从位于 SD-WAN Edge 后面的端点设备(Windows、MacOS、iOS 或 Android)中,登录到文件托管服务(例如 Apple iCloud、Dropbox、Google Drive、Microsoft OneDrive 或类似服务)。
  2. 如果规则包括自定义字典,请上载符合 DLP 规则中设置的条件的文本输入、文本文件或 PDF。
    注: 文本输入就像表单帖子或文本消息一样。文本文件是附加到上载文件的实际 .txt。
  3. 或者,使用任何预定义字典及其相应的 PII 数据、社会保障号、银行帐号或类似内容的阈值。
    注: 在使用预定义字典时,触发 DLP 违规的阈值基于敏感度级别和 DLP 引擎启发式分析的组合。这与使用特定重复计数的自定义字典截然不同。
  4. 将阻止文本文件/输入或文件上载。
  5. 在 DLP 日志中验证是否已记录阻止操作。
    1. 以下是 DLP 测试中阻止文本输入的示例日志,该文本输入与 DLP 规则使用的自定义字典相匹配。
      显示使用自定义字典时违反规则的日志条目的屏幕截图。
    2. 以下是在 Dropbox 中阻止的 PDF 文件的示例日志,该文件中的社会保障号与预定义字典相匹配。
      社会保障号与预定义字典匹配的 PDF 的违规屏幕截图。
  6. 根据 DLP 规则以及为该规则配置的操作,验证 DLP 审核员是否收到了警示电子邮件。
    1. 以下是 DLP 测试中阻止文本输入的示例电子邮件,该文本输入与 DLP 规则使用的自定义字典相匹配。
      为自定义字典阻止了文本输入的示例电子邮件。
    2. 以下是在 Dropbox 中阻止的 PDF 文件的示例电子邮件,该文件中的社会保障号与预定义字典相匹配。
      注: 非文本文件可能会显示为“未知”(Unknown) 文件名。因此,审核员电子邮件中附加的文件也会显示为“未知”(Unknown)。
      在 Dropbox 中阻止 PDF 文件时的示例电子邮件。请注意,非文本文件的文件名可能显示为“未知”(Unknown)。