이 섹션에서는 Cloud Web Security 서비스에 대한 DLP(데이터 손실 방지)의 핵심 구성 요소와 고객 엔터프라이즈에 대한 데이터 유출을 방지하는 규칙을 생성하는 데 사용되는 방법을 소개합니다. 이 DLP 섹션은 마지막으로 DLP 규칙을 구성하고 규칙이 제대로 작동하는지 확인하기 위한 워크플로를 소개합니다.

개요

DLP(데이터 손실 방지) 기능은 HIPAA, PCI, GDPR 및 기타 데이터 개인 정보 보호법을 준수하기 위해 의도하지 않았거나 의도한 데이터의 인터넷 유출을 방지합니다. DLP 기능은 파일 업로드 및 웹 페이지에 입력한 텍스트를 참조하여 중요한 데이터를 검사합니다. DLP 검사 기능이 중요한 데이터를 검색하면 Cloud Web Security 관리자는 감사자에게 선택적 이메일 경고를 제공하면서 작업을 건너뛰기(skip), 로깅(log) 또는 차단(block)으로 설정할 수 있습니다.
데이터 손실 방지의 개요
조직마다 DLP 요구 사항은 다르지만 DLP 정책을 생성하는 워크플로는 동일합니다.
전반부에서는 DLP 기능의 두 가지 주요 구성 요소인 사전(미리 정의 및 사용자 지정)과 감사자에 대해 설명합니다. 하반부에는 DLP 규칙을 생성하고 적용하는 프로세스가 포함됩니다.
참고: DLP에 대해 자주 묻는 질문에 대한 답변은 데이터 손실 방지에 대한 자주 묻는 질문 항목을 참조하십시오.

사전 요구 사항

Cloud Web Security를 사용하여 DLP(데이터 손실 방지) 기능에 액세스하려면 다음이 필요합니다.
  1. Cloud Web Security가 활성화된 운영 VMware SASE Orchestrator의 고객 엔터프라이즈입니다. Edge와 Orchestrator 모두 VMware 릴리스 4.5.0 이상을 사용해야 합니다.
  2. DLP 기능에 액세스하려면 고객에게 Cloud Web Security 고급 패키지가 있어야 합니다.
    중요: Cloud Web Security 표준 패키지가 있는 고객은 DLP에 액세스할 수 없으며 Orchestrator UI의 모든 DLP 옵션 옆에 잠금 아이콘이 표시됩니다.

DLP 사전 개요

DLP 사전은 일치하는 표현식을 사용하여 중요한 데이터를 식별합니다. 예를 들어 신용 카드 번호와 사회 보장 번호는 특정 형식을 따릅니다. 그리고 사전은 이러한 패턴과 일치하고 중요한 데이터가 파일 업로드 또는 텍스트 입력에 있는지 여부를 결정할 수 있습니다.

미리 정의된 사전

Cloud Web Security 미리 정의된 데이터 사전은 패턴 일치, 체크섬, 컨텍스트 채점 및 중요 데이터를 식별하기 위한 퍼지 논리의 조합입니다. Cloud Web Security에는 다음과 같은 주요 데이터 범주를 포함하는 340개가 넘는 미리 정의된 데이터 사전이 있습니다.

  • 문서 분류
  • 재무 데이터
  • 의료
  • HIPAA
  • 항목 식별자
  • PCI DSS
  • PII

또한 미리 정의된 데이터 사전은 전 세계에 올바른 패턴 일치가 적용되도록 지역별로 다릅니다. 데이터 사전은 29가지 다른 국가 또는 지역으로 설정할 수 있습니다. 29가지 중에서 두 가지는 글로벌(Global)기타(Other)용으로 예약되어 있습니다. 이러한 두 가지 옵션을 사용하면 다국적 데이터 또는 국가/지역 범주에 잘 맞지 않는 데이터를 범주화할 수 있습니다.

Cloud Web Security 섹션으로 이동하고 구성(Configure) > 정책 설정(Policy Settings) > DLP > 사전(Dictionaries)으로 이동하여 VMware SASE Orchestrator의 사전을 살펴볼 수 있습니다.
DLP 구성, DLP 설정.

이 페이지에는 DLP 정책에서 사용할 수 있는 모든 사전이 표시됩니다. 사전은 이름, 설명, 유형, 범주 및 지역 필드가 포함된 테이블로 구성됩니다.

  • 이름(Name)은 정책에서 사용할 사전을 식별하는 데 사용됩니다.
  • 설명(Description)은 사전이 일치하는 항목에 대한 개괄적인 개요를 제공합니다.
  • 유형(Type)은 두 가지 서로 다른 사전 유형을 구분합니다.
    • 미리 정의
    • 사용자 지정
  • 범주(Category)에는 다음이 포함됩니다.
    • 캐나다 의료 서비스
    • 문서 분류
    • 재무 데이터, HIPAA
    • HIPAA/의료
    • 의료
    • 항목 식별자
    • 기타
    • PCI DSS
    • 개인 식별 가능 정보
    • 영국 국립 보건 서비스
  • 지역(Region)은 다음을 포함하여 사전이 적용되는 지역을 나타냅니다.
    • 오스트레일리아
    • 벨기에
    • 브라질
    • 캐나다
    • 덴마크
    • 핀란드
    • 프랑스
    • 독일
    • 글로벌(Global)
    • 홍콩
    • 인도
    • 인도네시아
    • 아일랜드
    • 이탈리아
    • 일본
    • 말레이시아
    • 네덜란드
    • 뉴욕
    • 뉴질랜드
    • 노르웨이
    • 기타
    • 폴란드
    • 싱가포르
    • 남아프리카 공화국
    • 스페인
    • 스웨덴
    • 영국
    • 미국
일치 조건이 있는 새 사전 구성 화면
  1. 검색 표시줄은 사전(Dictionaries) 페이지의 모든 필드에 적용되며 사용자가 보고자 하는 특정 사전을 빠르게 표시하는 데 사용할 수 있습니다.
  2. 각 행에는 더 자세히 살펴보기 위해 클릭할 수 있는 사전이 포함되어 있습니다.
  3. 페이지당 사전 수(Dictionaries per Page)는 단일 페이지에 최대 100개의 항목을 표시할 수 있습니다.
  4. 페이지 탐색 버튼은 뒤로 돌아가거나 앞으로 건너뛰기 위해 제공됩니다.

이 검사를 계속하려면 우편 주소[글로벌](Postal addresses [Global]) 사전을 찾고 파란색 텍스트를 클릭하여 사전 편집(Edit Dictionary) 화면을 표시합니다.

사전 편집, 사전 세부 정보
이 페이지의 필드는 이미 논의되었지만 추가 설명을 제공하는 필드가 있습니다. 설명(Description)은 이 사전이 정책에 적합한지 여부를 아는 데 필요한 세부 정보를 제공합니다. 데이터를 식별하는 데 사용되는 정확한 메커니즘은 독점적이고 기밀입니다. 그러나 패턴 일치는 고급 기술을 사용하여 다양한 범주 및 지역 사전 지원에서 정확성을 보장한다는 것을 확신할 수 있습니다.
참고: 민감도 수준 및 DLP 엔진 휴리스틱을 기준으로 DLP 위반을 트리거하는 미리 정의된 사전과 함께 사용되는 방법은 구체적인 반복 수를 사용하는 사용자 지정 사전에 사용되는 것과는 대조됩니다. 사용자 지정 사전(Custom Dictionary) 섹션에는 해당 방법에 대한 자세한 내용이 포함되어 있습니다.

모달에서 다음(Next) 버튼을 클릭하면 임계값(Threshold) 설정으로 이동됩니다. 필요한 경우가 아니면 기본값과 다르게 임계값 세부 정보(Threshold Details)를 조정하지 않는 것이 좋습니다.

일치 조건이 있는 새 사전 구성 화면

위 스크린샷은 파일 업로드(File Uploads)사용자 입력(User Inputs) 모두에 대한 위반의 가중 평균 수(weighted average number)10으로 설정되어 있습니다. 미리 정의된 사전의 경우 단순히 발생 개수를 고려하지 말고 문서에서 검색된 모든 정보의 계산 점수를 고려하십시오. 이 점수 메커니즘은 이 데이터 사전을 사용할 때 관찰되는 가양성 수를 줄이는 데 도움이 됩니다. 이 모달을 다 확인했으면 취소(Cancel)를 클릭합니다. 사용자가 편집 가능한 값을 변경한 경우 업데이트(Update)를 클릭하여 변경 내용을 보존해야 합니다.

사용자 지정 사전(Custom Dictionaries)

Cloud Web Security DLP 사용자 지정 사전을 사용하면 조직과 관련된 데이터 사전을 유연하게 생성할 수 있습니다. 미리 정의된 사전과 마찬가지로 처음에 사용자는 고객 사전에 4개의 필드를 추가할 수 있습니다.

  • 이름(Name)
  • 설명(Description)
  • 범주(Category)
  • 국가/지역(Country/Region)

미리 정의된 사전에 대해 동일한 4개의 필드가 표시되지만 각 값을 사용자가 생성하는 사전과 관련된 항목으로 설정할 수 있습니다.

데이터 식별을 위해 고객 사전은 다음 두 가지 방법을 사용합니다.
  • 문자열(String)은 영숫자와 특수 문자의 정확한 조합을 일치시키는 데 사용됩니다. 대/소문자를 일치시키거나 무시하도록 설정할 수 있습니다.
  • 표현식(Expression)은 Perl 정규식을 사용하여 간단한 문자열로 찾기 어려운 데이터 패턴을 찾습니다.
정규식에 대해 더 많이 알아볼 수 있는 다양한 리소스를 인터넷에서 찾을 수 있습니다. 이러한 리소스 중 하나는 https://perldoc.perl.org/perlre입니다. 여기서는 정규식에 대한 다양한 패턴 일치 구문 예를 확인할 수 있습니다.

사용자 지정 사전을 생성하려면 구성(Configure) > 정책 설정(Policy Settings) > DLP > 사전(Dictionaries) 페이지에서 새 사전(New Dictionary) 버튼을 클릭합니다.

사전 세부 정보(Dictionary Details) 화면은 이름(Name), 설명(Description), 범주(Category)국가/지역(Country/Region) 값을 입력하라는 메시지를 표시합니다.

사전 세부 정보가 포함된 새 사전 구성(New Dictionary configuration) 화면

위 스크린샷은 이 사전이 중요 IP 주소(Sensitive IP Addresses)를 식별하기 위한 것이며 내부용(For Internal Use Only)임을 나타냅니다. 범주와 국가/지역 모두에 대해 기타(Other)를 선택하면 이 사전과 일치하는 데이터가 기존 범주 중 하나와 맞지 않거나 추가 메타데이터가 필요하지 않음을 나타냅니다.

일치 조건이 있는 새 사전 구성 화면

데이터 일치(Match Data) 화면의 경우 예제 구성은 회사가 보호해야 하는 중요 데이터인 IP 주소 범위 192.0.2.0/24, 198.151.100.0/24 및 203.0.133.0/24(RFC 5737)를 기준으로 합니다. 해당 범위에서 IP 주소를 찾는 데 사용되는 정규식은 다음과 같습니다. (192\.0\.2\..*|198\.51\.100\..*|203\.0\.113\..*)

정규식은 "Match a string if it contains 192.0.2. OR 198.51.100. OR 203.0.113."으로 표시됩니다. 또한 반복(Repeated) 값은 1로 설정되며 이것은 이 패턴을 한 번 이상 검색하면 사전이 트리거됨을 나타냅니다.
참고: 사용자 지정 사전은 특정 반복 수를 사용하여 DLP 위반을 트리거하지만 미리 정의된 사전의 경우 DLP 위반을 트리거하는 임계값이 민감도 수준 및 DLP 엔진 휴리스틱을 기준으로 합니다.

여러 행의 사전 논리는 논리적 AND입니다. 따라서 이 정규식은 행을 더 추가하기 위해 더하기 아이콘을 사용하여 여러 줄로 나뉘지 않습니다. 일치 조건(Match Criteria)이 이 방식으로 정의되었다면 3개의 IP 주소 범위가 모두 문서에 있을 때만 사전이 트리거됩니다.

일치 규칙을 추가하는 새 사전 일치 조건

사용자 지정 사전 설정을 구성한 후 완료(Finish)를 클릭하여 사전을 Cloud Web Security에서 사용할 수 있도록 합니다.

감사자

감사자는 의도적인지 또는 우발적인지에 관계없이 데이터의 반출 시도와 관련된 모든 사건에 대한 후속 조치를 수행하도록 지정된 조직의 사람입니다. 이 개인은 Orchestrator의 이메일을 통해 DLP 규칙 위반 사실을 통보받을 수 있습니다. 감사자에게 전송된 이메일에는 DLP 규칙의 이름, 중요한 데이터가 포함된 사용자의 입력 또는 파일 이름, 사용자가 데이터를 전송하려는 대상 및 데이터를 노출하려고 시도한 사용자의 사용자 이름이 포함됩니다. 필요한 경우 사용자의 입력 또는 파일을 원래 형식으로, ZIP 파일로 또는 암호화된 ZIP 파일로 감사자에게 보낼 수 있습니다.

사용자는 Cloud Web Security에 로그인하고 다음으로 이동하여 감사자를 추가, 편집, 삭제하고 확인할 수 있습니다.

구성(Configure) > 정책 설정(Policy Settings) > DLP > 감사자(Auditors)

DLP 설정, 감사자 구성 화면.

[감사자(Auditors)] 화면에서 사용자는 현재 시스템에 감사자가 없음을 확인할 수 있습니다. 첫 번째 감사자를 추가하려면 + 새 감사자 프로필(+ NEW AUDITOR PROFILE)을 선택합니다. 팝업을 통해 사용자에게 다음 정보를 제공하라는 메시지가 표시됩니다.

  • 이름(Name)(필수)은 감사자의 이름입니다.
  • 이메일 주소(Email Address)(필수)는 개인을 위한 유효한 이메일 주소 계정입니다.
  • 설명(Description)(선택 사항)은 사용자가 감사자에 대해 제공하려는 모든 관련 정보입니다. 예를 들어 감사자의 기본 기능이 PCI 위반을 모니터링하는 것이면 "PCI 감사자"라는 설명을 추가할 수 있습니다.
새 SLP 감사자 프로필, 감사자 프로필 정보 구성 화면.

다음 페이지에서는 사용자에게 파일 세부 정보(File Details)를 요청합니다. 이 페이지는 완전히 선택 사항이지만 검토를 위해 잘못된 파일을 DLP 감사자에게 보내기 위한 옵션을 제공합니다. 구성 옵션에는 다음이 포함됩니다.

  • 감사자에게 파일 보내기(Send File to the Auditors): 기본 동작은 파일을 감사자에게 보내지 않는 것입니다.
  • 파일 형식(File Format)은 사용자가 감사자에게 파일 보내기(Send File to the Auditors)를 선택하면 사용할 수 있게 됩니다. 원본 파일(Original File), Zip 또는 암호화된 Zip(Encrypted Zip) 중에서 선택할 수 있습니다. 이 파일에는 중요한 정보가 포함되므로 암호화된 Zip(Encrypted Zip) 옵션을 사용하는 것이 좋습니다.
    • 최대 파일 크기(Maximum File Size)는 시스템에서 보낸 이메일에 포함된 첨부 파일의 최대 크기입니다. 제한은 최대 1GB로 설정할 수 있지만, 조직의 이메일 파일 크기 제한과 일치하도록 하는 것이 좋습니다.
      중요: 파일 크기가 최대 파일 크기(Maximum File Size) 값을 초과하면 해당 파일이 무시됩니다. 즉, 파일이 DLP 위반 경고에 연결되지 않으며 파일 없이 경고가 전송됩니다.
    • 암호화된 Zip 암호(Encrypted Zip Password)는 시스템에서 자동으로 생성되며 손상된 경우 재생성될 수 있습니다. 사용자는 원할 경우 자신의 암호를 구성할 수도 있습니다.
새 DLP 감사자 프로필, 파일 세부 정보 구성 화면

완료(Finish) 버튼을 클릭하여 새 DLP 감사자 프로필 구성을 저장합니다. 감사자 항목이 [DLP 설정 감사자(DLP Settings Auditor)] 페이지에 나타납니다. 필요한 경우 사용자는 감사자 항목을 보거나 편집하거나 삭제할 수 있습니다.

DLP 구성 워크플로

이 섹션에서는 DLP(데이터 손실 방지) 기능을 구성하는 두 가지 주요 구성 요소를 소개하며 전체 DLP 워크플로에 대해 설명합니다.

보안 정책 생성, 구성 및 적용

DLP 규칙은 보안 정책의 일부이므로 DLP 규칙을 구성하기 전에 먼저 보안 정책이 있어야 합니다. Cloud Web Security 서비스에 대한 보안 정책 생성, 구성 또는 적용 관련 정보는 "Cloud Web Security 구성 가이드" 에서 관련 설명서를 참조하십시오.

DLP 규칙 생성 및 적용

DLP 규칙을 생성하고 적용하려면 데이터 손실 방지 규칙 구성 항목을 참조하십시오.

DLP 규칙이 작동 중인지 확인

DLP 규칙이 제대로 구성되고 예상대로 작동하는지 확인하는 세 가지 기준이 있습니다.
  • Cloud Web Security는 DLP 규칙과 일치하는 중요 데이터의 반출을 차단합니다.
  • Cloud Web Security는 중요 데이터를 삭제하려는 시도를 감지하고 기록합니다.
  • Cloud Web Security는 규칙이 트리거될 때 DLP 감사자에게 이메일 경고를 보냅니다.
DLP 규칙의 효과를 확인하려면 다음을 수행합니다.
  1. SD-WAN Edge 뒤에 있는 끝점 디바이스(Windows, MacOS, iOS 또는 Android)에서 파일 호스팅 서비스(예: Apple iCloud, Dropbox, Google Drive, Microsoft OneDrive 등)에 로그인합니다.
  2. 규칙에 사용자 지정 사전이 포함된 경우 DLP 규칙에 설정된 조건과 일치하는 텍스트 입력, 텍스트 파일 또는 PDF를 업로드합니다.
    참고: 텍스트 입력은 양식 게시물 또는 문자 메시지와 같습니다. 텍스트 파일은 업로드에 연결된 실제 .txt입니다.
  3. 또는 미리 정의된 사전 및 해당 임계값을 PII 데이터, 사회 보장 번호, 은행 계좌 번호 또는 이와 유사한 항목에 사용합니다.
    참고: 미리 정의된 사전을 사용하면 DLP 위반을 트리거하는 임계값은 민감도 수준과 DLP 엔진 휴리스틱의 조합을 기준으로 합니다. 이것은 특정 반복 수를 사용하는 사용자 지정 사전과는 다릅니다.
  4. 텍스트 파일/입력 또는 파일 업로드가 차단됩니다.
  5. DLP 로그에서 차단 작업이 기록되었는지 확인합니다.
    1. 다음은 DLP 규칙에서 사용하는 사용자 지정 사전과 일치하는 DLP 테스트의 텍스트 입력 블록에 대한 샘플 로그입니다.
      사용자 지정 사전을 사용하여 규칙 위반에 대한 로그 항목을 표시하는 스크린샷
    2. 다음은 미리 정의된 사전의 일치하는 사회 보장 번호에 대해 Dropbox에서 차단된 PDF 파일에 대한 샘플 로그입니다.
      미리 정의된 사전과 일치하는 사회 보장 번호가 있는 PDF에 대한 규칙 위반 스크린샷
  6. DLP 감사자가 DLP 규칙 및 이 규칙에 대해 구성된 작업을 기준으로 경고 이메일을 받았는지 확인합니다.
    1. 다음은 DLP 규칙에서 사용하는 사용자 지정 사전에 대한 DLP 테스트의 텍스트 입력 블록의 샘플 이메일입니다.
      사용자 지정 사전에 대해 텍스트 입력 블록이 차단된 샘플 이메일.
    2. 다음은 미리 정의된 사전의 일치하는 사회 보장 번호에 대해 Dropbox에서 차단된 PDF 파일에 대한 샘플 이메일입니다.
      참고: 텍스트가 아닌 파일은 "Unknown" 파일 이름으로 나타날 수 있습니다. 따라서 감사자 이메일에 첨부된 파일도 "Unknown"으로 표시됩니다.
      Dropbox에서 PDF 파일이 차단된 샘플 이메일. 파일 이름은 텍스트가 아닌 파일에 대해 알 수 없음(Unknown)으로 표시될 수 있습니다.