Questa sezione illustra i componenti principali della prevenzione della perdita dati (DLP) per il servizio Cloud Web Security e il modo in cui vengono utilizzati per creare regole che impediscono la perdita di dati per l'azienda di un cliente. La sezione DLP si conclude con un workflow per la configurazione di una regola DLP e la verifica del corretto funzionamento della regola.

Panoramica

La funzionalità di prevenzione della perdita dati (DLP) impedisce la perdita accidentale o intenzionale di dati sensibili su Internet per garantire la conformità a HIPAA, PCI, GDPR e altre leggi sulla privacy dei dati. La funzionalità DLP ispeziona i caricamenti di file e il testo immesso nelle pagine Web alla ricerca di dati sensibili facendo riferimento ad esso. Quando un'ispezione DLP rileva dati sensibili, l'amministratore Cloud Web Security può impostare l'azione su ignora (skip), registra (log) o blocca (block) fornendo al contempo un avviso e-mail facoltativo a un revisore.
Panoramica della Prevenzione della perdita dati.
Anche se i requisiti DLP per ogni organizzazione sono diversi, il workflow per la creazione di un criterio DLP è lo stesso indipendentemente da questo.
La prima parte descrive i due componenti chiave della funzionalità DLP: Dizionari (predefiniti e personalizzati) e Revisori. La seconda parte illustra il processo di creazione e applicazione di una regola DLP.
Nota: Per le risposte alle domande frequenti su DLP, vedere Domande frequenti sulla prevenzione della perdita dati.

Prerequisiti

Agli utenti occorre quanto segue per accedere alla funzionalità di prevenzione della perdita dati (DLP) con Cloud Web Security:
  1. Un'azienda cliente in un VMware SASE Orchestrator di produzione con Cloud Web Security attivato. Sia gli Edge che Orchestrator devono utilizzare VMware versione 4.5.0 o successiva.
  2. Un cliente deve disporre di un pacchetto Cloud Web Security Advanced per accedere alla funzionalità DLP.
    Importante: Un cliente con un pacchetto Cloud Web Security Standard non potrebbe accedere a DLP e verrebbe visualizzata un'icona bloccata accanto a tutte le opzioni DLP nell'interfaccia utente di Orchestrator.

Panoramica dei dizionari DLP

Un dizionario DLP utilizza espressioni di corrispondenza per identificare i dati sensibili. Ad esempio, i numeri di carta di credito e i numeri di previdenza sociale seguono un formato specifico. I dizionari possono verificare le corrispondenze a questi modelli e determinare se sono o meno presenti dati sensibili in un caricamento di file o in un input di testo.

Dizionari predefiniti

I dizionari di dati predefiniti di Cloud Web Security sono una combinazione di corrispondenza dei pattern, checksum, context scoring e logica fuzzy per identificare i dati sensibili. Cloud Web Security dispone di più di 340 dizionari di dati predefiniti che riguardano le seguenti categorie di dati principali:

  • Classificazione del documento
  • Dati finanziari
  • Assistenza sanitaria
  • HIPAA
  • Identificatori elemento
  • PCI DSS
  • PII

Inoltre, i dizionari di dati predefiniti sono specifici per area geografica per garantire che la corretta corrispondenza dei pattern venga applicata in tutto il mondo. I dizionari dati possono essere impostati su 29 paesi o aree geografiche diverse. Di questi 29, due sono riservati per Globale (Global) e Altro (Other). Queste due opzioni consentono di categorizzare dati multinazionali o dati che non rientrano precisamente in una categoria di paese o area geografica.

Gli utenti possono esplorare i dizionari in VMware SASE Orchestrator passando alla sezione Cloud Web Security e passando a Configurazione (Configure) > Impostazioni criterio (Policy Settings) > DLP > Dizionari (Dictionaries)
Configurare DLP, impostazioni DLP.

In questa pagina vengono visualizzati tutti i dizionari disponibili per l'uso nel criterio DLP. I dizionari sono organizzati in una tabella contenente i campi di nomi, descrizioni, tipi, categorie e area geografica.

  • Nome (Name) viene utilizzato per identificare il dizionario da utilizzare nei criteri.
  • Descrizione (Description) offre una panoramica di alto livello delle corrispondenze del dizionario.
  • Tipo (Type) distingue due tipi di dizionario diversi:
    • Predefinito
    • Personalizzato
  • Categoria (Category) include:
    • Servizio sanitario canadese
    • Classificazione del documento
    • Dati finanziari, HIPAA
    • HIPAA/Assistenza sanitaria
    • Assistenza sanitaria
    • Identificatori elemento
    • Altro
    • PCI DSS
    • Informazioni personali
    • Servizio sanitario nazionale del Regno Unito
  • Area geografica (Region) rappresenta l'area geografica a cui si applica il dizionario, che include:
    • Australia
    • Belgio
    • Brasile
    • Canada
    • Danimarca
    • Finlandia
    • Francia
    • Germania
    • Globale
    • Hong Kong
    • India
    • Indonesia
    • Irlanda
    • Italia
    • Giappone
    • Malaysia
    • Paesi Bassi
    • New York
    • Nuova Zelanda
    • Norvegia
    • Altro
    • Polonia
    • Singapore
    • Sudafrica
    • Spagna
    • Svezia
    • Regno Unito (UK)
    • Stati Uniti d'America (USA)
Schermata di configurazione Nuovo dizionario (New Dictionary) con Criteri di corrispondenza (Match Criteria)
  1. La barra Cerca (Search) si applica a tutti i campi della pagina Dizionari (Dictionaries) e può essere utilizzata per visualizzare rapidamente dizionari specifici che gli utenti desiderano visualizzare.
  2. Ogni riga contiene un dizionario su cui è possibile fare clic per ulteriori approfondimenti.
  3. La voce Dizionari per pagina (Dictionaries per Page) consente di visualizzare fino a 100 voci in una singola pagina.
  4. Sono disponibili i pulsanti Navigazione pagina (Page Navigation) per tornare indietro o passare avanti.

Per continuare questa panoramica, trovare il dizionario Indirizzo di posta [Globale] (Postal address [Global]) e fare clic sul testo blu per visualizzare la schermata Modifica dizionario (Edit Dictionary).

Modifica dizionario, Dettagli dizionario
I campi di questa pagina sono già stati trattati, ma ce n'è uno che richiede ulteriori spiegazioni. Il campo Descrizione (Description) fornisce i dettagli necessari per sapere se questo dizionario è appropriato per il criterio. I meccanismi esatti utilizzati per identificare i dati sono proprietari e riservati. Tuttavia, gli utenti possono essere certi che la corrispondenza dei modelli utilizza tecniche avanzate per garantire l'accuratezza nelle numerose categorie e aree geografiche dei dizionari supportati.
Nota: Il metodo utilizzato con i dizionari predefiniti, che attiva una violazione DLP in base a un livello di sensibilità ed euristica del motore DLP, è diverso dal metodo utilizzato per un dizionario personalizzato, che utilizza un numero di ripetizioni specifico. Sono disponibili ulteriori dettagli su tale metodo nella sezione Dizionario personalizzato.

Se si fa clic sul pulsante Avanti (Next) nella finestra modale, gli utenti vengono visualizzate le impostazioni Soglia (Threshold). Non è consigliabile modificare i Dettagli soglia (Threshold Details) dai valori predefiniti a meno che non sia strettamente necessario.

Schermata di configurazione Nuovo dizionario (New Dictionary) con Criteri di corrispondenza (Match Criteria)

La schermata precedente mostra che il numero medio ponderato di violazioni per Caricamenti file (File Uploads) e Input utente (User Inputs) è impostato su 10. Per i dizionari predefiniti, questo non va considerato come un semplice conteggio di occorrenze, ma piuttosto un punteggio computazionale di tutte le informazioni rilevate in un documento. Questo meccanismo di punteggio aiuta a ridurre il numero di falsi positivi osservati quando si utilizza questo dizionario di dati. Al termine della visualizzazione di questo modale, fare clic su Annulla (Cancel). Si noti che, se gli utenti hanno apportato modifiche a valori modificabili, gli utenti dovranno fare clic su Aggiorna (Update) per conservare tali modifiche.

Dizionari personalizzati

I dizionari personalizzati DLP Cloud Web Security offrono agli utenti la flessibilità di creare dizionari di dati pertinenti per la loro organizzazione. Come per i dizionari predefiniti, i dizionari personalizzati iniziano con l'aggiunta di quattro campi da parte degli utenti:

  • Nome (Name)
  • Descrizione (Description)
  • Categoria (Category)
  • Paese/area geografica (Country/Region)

Questi sono gli stessi quattro campi mostrati per i dizionari predefiniti, ma con la possibilità di impostare ciascun valore su ciò che è rilevante per il dizionario che gli utenti stanno creando.

Per identificare i dati, i dizionari dei clienti utilizzano due metodi:
  • Stringa (String) viene utilizzato per corrispondere a una combinazione esatta di caratteri alfanumerici e speciali. Può essere impostato in modo da abbinare o ignorare maiuscolo e minuscolo.
  • Espressione (Expression) utilizza le espressioni regolari (regex) Perl per trovare modelli di dati altrimenti difficili da trovare con una stringa semplice.
Su Internet sono disponibili numerose risorse per saperne di più sulle espressioni regolari. Una di queste risorse è https://perldoc.perl.org/perlre. Qui gli utenti possono trovare più esempi di sintassi corrispondente di pattern diversi per le regex.

Per creare un dizionario personalizzato, fare clic sul pulsante Nuovo dizionario (New Dictionary) dalla pagina Configurazione (Configure) > Impostazioni criteri (Policy Settings) > DLP > Dizionari (Dictionaries).

La schermata Dettagli dizionario (Dictionary Details) richiede agli utenti di immettere i valori di Nome (Name), Descrizione (Description), Categoria (Category) e Paese/area geografica (Country/Region).

Schermata di configurazione Nuovo dizionario (New Dictionary) con Dettagli dizionario (Dictionary Details).

La schermata precedente indica che questo dizionario ha lo scopo di identificare gli Indirizzi IP sensibili (Sensitive IP Addresses) ed è Solo per uso interno (For Internal Use Only). La selezione di Altro (Other) sia per la categoria sia per il paese/area geografica indica che i dati corrispondenti da questo dizionario non rientrano in una delle categorie preesistenti oppure i metadati aggiuntivi non sono necessari.

Schermata di configurazione Nuovo dizionario (New Dictionary) con Criteri di corrispondenza (Match Criteria)

Per la schermata Corrispondenza dati (Match Data), la configurazione di esempio si basa sugli intervalli di indirizzi IP 192.0.2.0/24, 198.151.100.0/24 e 203.0.133.0/24 (RFC 5737), dati sensibili che l'azienda deve proteggere. La regex utilizzata per cercare gli indirizzi IP negli intervalli è: (192\.0\.2\..*|198\.51\.100\..*|203\.0\.113\..*)

La regex viene letto come: "Corrisponde a una stringa se contiene 192.0.2. OPPURE 198.51.100. OPPURE 203.0.113." Inoltre, il valore Ripetuto (Repeated) è impostato su 1, a indicare che l'individuazione di questo modello una o più volte attiverà il dizionario.
Nota: Laddove un dizionario personalizzato utilizza un conteggio di ripetizioni specifico per attivare una violazione DLP, per un dizionario predefinito la soglia per attivare la violazione DLP si basa su un livello di sensibilità e sull'euristica del motore DLP.

La regex non viene suddivisa su diverse righe utilizzando l'Icona più per aggiungere un'altra riga perché la logica del dizionario tra più righe è un AND logico. Se i Criteri di corrispondenza (Match Criteria) fossero stati definiti in questo modo, il dizionario si attiverebbe solo quando tutti e tre gli intervalli di indirizzi IP fossero presenti in un documento.

Aggiunta di regole di corrispondenza aggiuntive ai criteri di corrispondenza in un nuovo dizionario

Dopo aver configurato le impostazioni del Dizionario personalizzato (Custom Dictionary), fare clic su Fine (Finish) per rendere il dizionario disponibile per l'uso in Cloud Web Security.

Revisori

Un revisore è un membro dell'organizzazione designato per eseguire il follow-up di eventuali incidenti relativi al tentativo di esfiltrazione di dati, sia intenzionale che accidentale. Questo utente può ricevere una notifica tramite e-mail da Orchestrator che una regola DLP è stata violata. L'e-mail inviata al revisore contiene il nome della regola DLP, l'input o il nome del file dell'utente che conteneva dati sensibili, la destinazione a cui l'utente stava tentando di inviare i dati e il nome utente della persona che ha tentato di esporre i dati. Facoltativamente, l'input o il file dell'utente possono essere inviati al revisore, nel formato originale, come file ZIP o come file ZIP crittografato.

Gli utenti possono aggiungere, modificare, eliminare e visualizzare i revisori accedendo a Cloud Web Security e passando a:

Configurazione (Configure) > Impostazioni criterio (Policy Settings) > DLP > Revisori (Auditors)

Impostazioni DLP, schermata di configurazione revisori.

Nella schermata Revisori (Auditors), gli utenti possono notare che attualmente non sono presenti revisori nel sistema. Per aggiungere il primo revisore, selezionare + NUOVO PROFILO REVISORE (+ NEW AUDITOR PROFILE). Una finestra a comparsa richiederà agli utenti di fornire le informazioni seguenti:

  • Nome (Name) (obbligatorio) è il nome del revisore.
  • Indirizzo e-mail (Email Address) (obbligatorio) è un indirizzo email valido per l'utente.
  • Descrizione (facoltativa) (Description (optional)) è qualsiasi informazione pertinente che gli utenti desiderano fornire sul revisore. Ad esempio, "Revisore PCI" se la funzione principale del revisore è quella di monitorare le violazioni PCI.
Nuovo profilo revisore SLP, schermata di configurazione delle informazioni profilo revisore.

Nella pagina successiva verranno chiesti agli utenti i Dettagli file (File Details). Questa pagina è completamente facoltativa, ma offre agli utenti la possibilità di inviare il file non conforme al revisore DLP per la revisione. Le opzioni di configurazione includono:

  • Invia file ai revisori (Send File to the Auditors), con il comportamento predefinito di non inviare il file ai revisori.
  • Formato file (File Format) diventa disponibile quando gli utenti selezionano Invia file ai revisori (Send the file to the Auditor(s)). Gli utenti possono selezionare File originale (Original File), Zip o Zip crittografato (Encrypted Zip). Poiché questo file conterrà informazioni riservate, si consiglia di utilizzare l'opzione Zip crittografato (Encrypted Zip).
    • Dimensioni massime file (Maximum File Size) indica la dimensione massima dell'allegato incluso nell'e-mail inviata dal sistema. Il limite può essere impostato a un massimo di 1 GB, ma è consigliabile che corrisponda alle limitazioni relative alle dimensioni dei file inviati via e-mail della propria organizzazione.
      Importante: Se le dimensioni di un file superano il valore di Dimensioni massime file (Maximum File Size), tale file viene ignorato. In altre parole, il file non viene allegato all'avviso di violazione DLP e l'avviso viene inviato senza il file.
    • La Password zip crittografata (Encrypted Zip Password) viene generata automaticamente dal sistema e può essere rigenerata se compromessa. Se lo desiderano, gli utenti possono anche configurare la propria password.
Nuovo profilo revisore DLP, schermata di configurazione dei dettagli file.

Fare clic sul pulsante Fine (Finish) per salvare la configurazione del nuovo profilo revisore DLP. La voce Revisore (Auditor) viene visualizzata nella pagina Revisore (Auditor) di Impostazioni DLP (DLP Settings). Facoltativamente, gli utenti possono visualizzare, modificare o eliminare la voce revisore.

Workflow di configurazione DLP

Dopo aver affrontato i due componenti chiave della funzionalità di prevenzione della perdita dati (DLP), questa sezione illustra il workflow DLP complessivo.

Creazione, configurazione e applicazione di un criterio di protezione

Una regola DLP fa parte di un Criterio di protezione (Security Policy) e pertanto, prima di configurare una regola DLP, deve essere presente un criterio di protezione. Per informazioni dettagliate sulla creazione, configurazione o applicazione di un Criterio di protezione (Security Policy) per il servizio Cloud Web Security, consultare la documentazione pertinente nella Guida alla configurazione di Cloud Web Security.

Creazione e applicazione di una regola DLP

Per creare e applicare una regola DLP, vedere Configurazione delle regole di prevenzione perdita dati.

Verifica dell'utilizzo di una regola DLP

Sono disponibili tre criteri che, insieme, confermano che una regola DLP sia configurata correttamente e funzioni come previsto:
  • Cloud Web Security blocca l'esfiltrazione dei dati sensibili che corrispondono a una regola DLP.
  • Cloud Web Security rileva e registra il tentativo di esfiltrazione di dati sensibili.
  • Cloud Web Security invia un avviso tramite e-mail a un revisore DLP quando viene attivata la regola.
Per verificare l'efficacia di una regola DLP, eseguire le operazioni seguenti:
  1. Da un dispositivo endpoint (Windows, MacOS, iOS o Android) che si trova dietro un SD-WAN Edge, accedere a un servizio di hosting file (ad esempio, Apple iCloud, Dropbox, Google Drive, Microsoft OneDrive o simili).
  2. Se la regola include un dizionario personalizzato, caricare un input di testo, un file di testo o un PDF che corrisponda ai criteri impostati nella regola DLP.
    Nota: L'input di testo è come un modulo inviato o un messaggio di testo. Un file di testo è un file .txt effettivo allegato a un caricamento.
  3. In alternativa, utilizzare uno qualsiasi dei Dizionari predefiniti e le rispettive soglie per dati PII, numeri di sicurezza sociale, numeri di conto bancario o qualcosa di simile.
    Nota: Con i Dizionari predefiniti, la soglia per attivare la violazione DLP si basa sulla combinazione di un livello di sensibilità ed euristica del motore DLP. Questo è in contrasto con il dizionario personalizzato, che utilizza un numero di ripetizioni specifico.
  4. L'immissione di testo, il file di testo o il file caricato vengono bloccati.
  5. Verificare nei registri DLP che l'azione di blocco sia stata registrata.
    1. Di seguito è riportato un registro di esempio relativo a un blocco di input del testo nel test DLP che corrisponde a un dizionario personalizzato utilizzato dalla regola DLP.
      Screenshot che mostra una voce di registro per una violazione della regola utilizzando un dizionario personalizzato.
    2. Di seguito è riportato un registro di esempio per un file PDF bloccato in Dropbox per la corrispondenza con un numero di sicurezza sociale da un dizionario predefinito.
      Screenshot di una violazione della regola per un PDF contenente un numero di previdenza sociale che corrisponde a un dizionario predefinito.
  6. Verificare che un revisore DLP abbia ricevuto un'e-mail di avviso in base alla regola DLP e all'azione configurata per questa regola.
    1. Di seguito è riportato un esempio di messaggio e-mail relativo a un blocco di input di testo in Test DLP per un dizionario personalizzato utilizzato dalla regola DLP.
      E-mail di esempio in cui un blocco di input di testo viene bloccato per un dizionario personalizzato.
    2. Di seguito è riportata un'e-mail di esempio per un file PDF bloccato in Dropbox per la corrispondenza con un numero di sicurezza sociale da un dizionario predefinito.
      Nota: È possibile che i file non di testo vengano visualizzati con un nome "Sconosciuto (Unknown)". Di conseguenza, anche il file allegato nell'e-mail del revisore viene visualizzato come "Sconosciuto (Unknown)".
      Esempio di e-mail in cui un file PDF viene bloccato in Dropbox. Si noti che il nome del file può essere visualizzato come Sconosciuto (Unknown) per i file non di testo.