Questa sezione illustra i componenti principali della prevenzione della perdita dati (DLP) per il servizio Cloud Web Security e il modo in cui vengono utilizzati per creare regole che impediscono la perdita di dati per l'azienda di un cliente. La sezione DLP si conclude con un workflow per la configurazione di una regola DLP e la verifica del corretto funzionamento della regola.
Panoramica
Prerequisiti
- Un'azienda cliente in un VMware SASE Orchestrator di produzione con Cloud Web Security attivato. Sia gli Edge che Orchestrator devono utilizzare VMware versione 4.5.0 o successiva.
- Un cliente deve disporre di un pacchetto Cloud Web Security Advanced per accedere alla funzionalità DLP.
Importante: Un cliente con un pacchetto Cloud Web Security Standard non potrebbe accedere a DLP e verrebbe visualizzata un'icona bloccata accanto a tutte le opzioni DLP nell'interfaccia utente di Orchestrator.
Panoramica dei dizionari DLP
Un dizionario DLP utilizza espressioni di corrispondenza per identificare i dati sensibili. Ad esempio, i numeri di carta di credito e i numeri di previdenza sociale seguono un formato specifico. I dizionari possono verificare le corrispondenze a questi modelli e determinare se sono o meno presenti dati sensibili in un caricamento di file o in un input di testo.
Dizionari predefiniti
I dizionari di dati predefiniti di Cloud Web Security sono una combinazione di corrispondenza dei pattern, checksum, context scoring e logica fuzzy per identificare i dati sensibili. Cloud Web Security dispone di più di 340 dizionari di dati predefiniti che riguardano le seguenti categorie di dati principali:
- Classificazione del documento
- Dati finanziari
- Assistenza sanitaria
- HIPAA
- Identificatori elemento
- PCI DSS
- PII
Inoltre, i dizionari di dati predefiniti sono specifici per area geografica per garantire che la corretta corrispondenza dei pattern venga applicata in tutto il mondo. I dizionari dati possono essere impostati su 29 paesi o aree geografiche diverse. Di questi 29, due sono riservati per Globale (Global) e Altro (Other). Queste due opzioni consentono di categorizzare dati multinazionali o dati che non rientrano precisamente in una categoria di paese o area geografica.
In questa pagina vengono visualizzati tutti i dizionari disponibili per l'uso nel criterio DLP. I dizionari sono organizzati in una tabella contenente i campi di nomi, descrizioni, tipi, categorie e area geografica.
- Nome (Name) viene utilizzato per identificare il dizionario da utilizzare nei criteri.
- Descrizione (Description) offre una panoramica di alto livello delle corrispondenze del dizionario.
- Tipo (Type) distingue due tipi di dizionario diversi:
- Predefinito
- Personalizzato
- Categoria (Category) include:
- Servizio sanitario canadese
- Classificazione del documento
- Dati finanziari, HIPAA
- HIPAA/Assistenza sanitaria
- Assistenza sanitaria
- Identificatori elemento
- Altro
- PCI DSS
- Informazioni personali
- Servizio sanitario nazionale del Regno Unito
- Area geografica (Region) rappresenta l'area geografica a cui si applica il dizionario, che include:
- Australia
- Belgio
- Brasile
- Canada
- Danimarca
- Finlandia
- Francia
- Germania
- Globale
- Hong Kong
- India
- Indonesia
- Irlanda
- Italia
- Giappone
- Malaysia
- Paesi Bassi
- New York
- Nuova Zelanda
- Norvegia
- Altro
- Polonia
- Singapore
- Sudafrica
- Spagna
- Svezia
- Regno Unito (UK)
- Stati Uniti d'America (USA)
- La barra Cerca (Search) si applica a tutti i campi della pagina Dizionari (Dictionaries) e può essere utilizzata per visualizzare rapidamente dizionari specifici che gli utenti desiderano visualizzare.
- Ogni riga contiene un dizionario su cui è possibile fare clic per ulteriori approfondimenti.
- La voce Dizionari per pagina (Dictionaries per Page) consente di visualizzare fino a 100 voci in una singola pagina.
- Sono disponibili i pulsanti Navigazione pagina (Page Navigation) per tornare indietro o passare avanti.
Per continuare questa panoramica, trovare il dizionario Indirizzo di posta [Globale] (Postal address [Global]) e fare clic sul testo blu per visualizzare la schermata Modifica dizionario (Edit Dictionary).
Se si fa clic sul pulsante Avanti (Next) nella finestra modale, gli utenti vengono visualizzate le impostazioni Soglia (Threshold). Non è consigliabile modificare i Dettagli soglia (Threshold Details) dai valori predefiniti a meno che non sia strettamente necessario.
La schermata precedente mostra che il numero medio ponderato di violazioni per Caricamenti file (File Uploads) e Input utente (User Inputs) è impostato su 10. Per i dizionari predefiniti, questo non va considerato come un semplice conteggio di occorrenze, ma piuttosto un punteggio computazionale di tutte le informazioni rilevate in un documento. Questo meccanismo di punteggio aiuta a ridurre il numero di falsi positivi osservati quando si utilizza questo dizionario di dati. Al termine della visualizzazione di questo modale, fare clic su Annulla (Cancel). Si noti che, se gli utenti hanno apportato modifiche a valori modificabili, gli utenti dovranno fare clic su Aggiorna (Update) per conservare tali modifiche.
Dizionari personalizzati
I dizionari personalizzati DLP Cloud Web Security offrono agli utenti la flessibilità di creare dizionari di dati pertinenti per la loro organizzazione. Come per i dizionari predefiniti, i dizionari personalizzati iniziano con l'aggiunta di quattro campi da parte degli utenti:
- Nome (Name)
- Descrizione (Description)
- Categoria (Category)
- Paese/area geografica (Country/Region)
Questi sono gli stessi quattro campi mostrati per i dizionari predefiniti, ma con la possibilità di impostare ciascun valore su ciò che è rilevante per il dizionario che gli utenti stanno creando.
- Stringa (String) viene utilizzato per corrispondere a una combinazione esatta di caratteri alfanumerici e speciali. Può essere impostato in modo da abbinare o ignorare maiuscolo e minuscolo.
- Espressione (Expression) utilizza le espressioni regolari (regex) Perl per trovare modelli di dati altrimenti difficili da trovare con una stringa semplice.
Per creare un dizionario personalizzato, fare clic sul pulsante Nuovo dizionario (New Dictionary) dalla pagina .
La schermata Dettagli dizionario (Dictionary Details) richiede agli utenti di immettere i valori di Nome (Name), Descrizione (Description), Categoria (Category) e Paese/area geografica (Country/Region).
La schermata precedente indica che questo dizionario ha lo scopo di identificare gli Indirizzi IP sensibili (Sensitive IP Addresses) ed è Solo per uso interno (For Internal Use Only). La selezione di Altro (Other) sia per la categoria sia per il paese/area geografica indica che i dati corrispondenti da questo dizionario non rientrano in una delle categorie preesistenti oppure i metadati aggiuntivi non sono necessari.
Per la schermata Corrispondenza dati (Match Data), la configurazione di esempio si basa sugli intervalli di indirizzi IP 192.0.2.0/24, 198.151.100.0/24 e 203.0.133.0/24 (RFC 5737), dati sensibili che l'azienda deve proteggere. La regex utilizzata per cercare gli indirizzi IP negli intervalli è: (192\.0\.2\..*|198\.51\.100\..*|203\.0\.113\..*)
La regex non viene suddivisa su diverse righe utilizzando l'Icona più per aggiungere un'altra riga perché la logica del dizionario tra più righe è un AND logico. Se i Criteri di corrispondenza (Match Criteria) fossero stati definiti in questo modo, il dizionario si attiverebbe solo quando tutti e tre gli intervalli di indirizzi IP fossero presenti in un documento.
Dopo aver configurato le impostazioni del Dizionario personalizzato (Custom Dictionary), fare clic su Fine (Finish) per rendere il dizionario disponibile per l'uso in Cloud Web Security.
Revisori
Un revisore è un membro dell'organizzazione designato per eseguire il follow-up di eventuali incidenti relativi al tentativo di esfiltrazione di dati, sia intenzionale che accidentale. Questo utente può ricevere una notifica tramite e-mail da Orchestrator che una regola DLP è stata violata. L'e-mail inviata al revisore contiene il nome della regola DLP, l'input o il nome del file dell'utente che conteneva dati sensibili, la destinazione a cui l'utente stava tentando di inviare i dati e il nome utente della persona che ha tentato di esporre i dati. Facoltativamente, l'input o il file dell'utente possono essere inviati al revisore, nel formato originale, come file ZIP o come file ZIP crittografato.
Gli utenti possono aggiungere, modificare, eliminare e visualizzare i revisori accedendo a Cloud Web Security e passando a:
Nella schermata Revisori (Auditors), gli utenti possono notare che attualmente non sono presenti revisori nel sistema. Per aggiungere il primo revisore, selezionare + NUOVO PROFILO REVISORE (+ NEW AUDITOR PROFILE). Una finestra a comparsa richiederà agli utenti di fornire le informazioni seguenti:
- Nome (Name) (obbligatorio) è il nome del revisore.
- Indirizzo e-mail (Email Address) (obbligatorio) è un indirizzo email valido per l'utente.
- Descrizione (facoltativa) (Description (optional)) è qualsiasi informazione pertinente che gli utenti desiderano fornire sul revisore. Ad esempio, "Revisore PCI" se la funzione principale del revisore è quella di monitorare le violazioni PCI.
Nella pagina successiva verranno chiesti agli utenti i Dettagli file (File Details). Questa pagina è completamente facoltativa, ma offre agli utenti la possibilità di inviare il file non conforme al revisore DLP per la revisione. Le opzioni di configurazione includono:
- Invia file ai revisori (Send File to the Auditors), con il comportamento predefinito di non inviare il file ai revisori.
- Formato file (File Format) diventa disponibile quando gli utenti selezionano Invia file ai revisori (Send the file to the Auditor(s)). Gli utenti possono selezionare File originale (Original File), Zip o Zip crittografato (Encrypted Zip). Poiché questo file conterrà informazioni riservate, si consiglia di utilizzare l'opzione Zip crittografato (Encrypted Zip).
- Dimensioni massime file (Maximum File Size) indica la dimensione massima dell'allegato incluso nell'e-mail inviata dal sistema. Il limite può essere impostato a un massimo di 1 GB, ma è consigliabile che corrisponda alle limitazioni relative alle dimensioni dei file inviati via e-mail della propria organizzazione.
Importante: Se le dimensioni di un file superano il valore di Dimensioni massime file (Maximum File Size), tale file viene ignorato. In altre parole, il file non viene allegato all'avviso di violazione DLP e l'avviso viene inviato senza il file.
- La Password zip crittografata (Encrypted Zip Password) viene generata automaticamente dal sistema e può essere rigenerata se compromessa. Se lo desiderano, gli utenti possono anche configurare la propria password.
- Dimensioni massime file (Maximum File Size) indica la dimensione massima dell'allegato incluso nell'e-mail inviata dal sistema. Il limite può essere impostato a un massimo di 1 GB, ma è consigliabile che corrisponda alle limitazioni relative alle dimensioni dei file inviati via e-mail della propria organizzazione.
Fare clic sul pulsante Fine (Finish) per salvare la configurazione del nuovo profilo revisore DLP. La voce Revisore (Auditor) viene visualizzata nella pagina Revisore (Auditor) di Impostazioni DLP (DLP Settings). Facoltativamente, gli utenti possono visualizzare, modificare o eliminare la voce revisore.
Workflow di configurazione DLP
Dopo aver affrontato i due componenti chiave della funzionalità di prevenzione della perdita dati (DLP), questa sezione illustra il workflow DLP complessivo.
Creazione, configurazione e applicazione di un criterio di protezione
Una regola DLP fa parte di un Criterio di protezione (Security Policy) e pertanto, prima di configurare una regola DLP, deve essere presente un criterio di protezione. Per informazioni dettagliate sulla creazione, configurazione o applicazione di un Criterio di protezione (Security Policy) per il servizio Cloud Web Security, consultare la documentazione pertinente nella Guida alla configurazione di Cloud Web Security.
Creazione e applicazione di una regola DLP
Per creare e applicare una regola DLP, vedere Configurazione delle regole di prevenzione perdita dati.
Verifica dell'utilizzo di una regola DLP
- Cloud Web Security blocca l'esfiltrazione dei dati sensibili che corrispondono a una regola DLP.
- Cloud Web Security rileva e registra il tentativo di esfiltrazione di dati sensibili.
- Cloud Web Security invia un avviso tramite e-mail a un revisore DLP quando viene attivata la regola.
- Da un dispositivo endpoint (Windows, MacOS, iOS o Android) che si trova dietro un SD-WAN Edge, accedere a un servizio di hosting file (ad esempio, Apple iCloud, Dropbox, Google Drive, Microsoft OneDrive o simili).
- Se la regola include un dizionario personalizzato, caricare un input di testo, un file di testo o un PDF che corrisponda ai criteri impostati nella regola DLP.
Nota: L'input di testo è come un modulo inviato o un messaggio di testo. Un file di testo è un file .txt effettivo allegato a un caricamento.
- In alternativa, utilizzare uno qualsiasi dei Dizionari predefiniti e le rispettive soglie per dati PII, numeri di sicurezza sociale, numeri di conto bancario o qualcosa di simile.
Nota: Con i Dizionari predefiniti, la soglia per attivare la violazione DLP si basa sulla combinazione di un livello di sensibilità ed euristica del motore DLP. Questo è in contrasto con il dizionario personalizzato, che utilizza un numero di ripetizioni specifico.
- L'immissione di testo, il file di testo o il file caricato vengono bloccati.
- Verificare nei registri DLP che l'azione di blocco sia stata registrata.
- Di seguito è riportato un registro di esempio relativo a un blocco di input del testo nel test DLP che corrisponde a un dizionario personalizzato utilizzato dalla regola DLP.
- Di seguito è riportato un registro di esempio per un file PDF bloccato in Dropbox per la corrispondenza con un numero di sicurezza sociale da un dizionario predefinito.
- Verificare che un revisore DLP abbia ricevuto un'e-mail di avviso in base alla regola DLP e all'azione configurata per questa regola.
- Di seguito è riportato un esempio di messaggio e-mail relativo a un blocco di input di testo in Test DLP per un dizionario personalizzato utilizzato dalla regola DLP.
- Di seguito è riportata un'e-mail di esempio per un file PDF bloccato in Dropbox per la corrispondenza con un numero di sicurezza sociale da un dizionario predefinito.
Nota: È possibile che i file non di testo vengano visualizzati con un nome "Sconosciuto (Unknown)". Di conseguenza, anche il file allegato nell'e-mail del revisore viene visualizzato come "Sconosciuto (Unknown)".