本節介紹 Cloud Web Security 服務的「資料遺失防護 (DLP)」的核心元件,以及如何使用它們來建立規則,以阻止客戶企業的資料洩露。DLP 一節末尾提供一個工作流程,來說明如何設定 DLP 規則並驗證該規則是否正常運作。

概觀

資料遺失防護 (DLP) 功能可防止將敏感資料有意或無意洩露到網際網路,以確保遵守 HIPAA、PCI、GDPR 和其他資料隱私權法律。DLP 功能會藉由參考敏感資料,以檢查檔案上傳及輸入到網頁的文字中是否存在敏感資料。當 DLP 檢查程序發現敏感資料時, Cloud Web Security 管理員可以將動作設定為 略過記錄封鎖,同時也會提供選用的電子郵件警示給稽核員。
資料遺失防護的概觀。
雖然每個組織的 DLP 需求不相同,但是用來建立 DLP 原則的工作流程是一樣的。
上半部會說明 DLP 功能的兩個關鍵元件:字典 (預先定義和自訂) 和稽核員。下半部會說明 DLP 規則的建立及套用程序。
備註: 如需 DLP 常見問題集的回答,請參閱 資料遺失防護的常見問題集

必要條件

使用者需要具備下列項目,才能存取 Cloud Web Security 資料遺失防護 (DLP) 功能:
  1. 在生產 VMware SASE Orchestrator 上已啟用 Cloud Web Security 的客戶企業。Edge 和 Orchestrator 都必須使用 VMware 4.5.0 版或更新版本。
  2. 客戶必須具有 Cloud Web Security 進階版套件,才能存取 DLP 功能。
    重要: 使用 Cloud Web Security 標準版套件的客戶無法存取 DLP,且在 Orchestrator UI 上的所有 DLP 選項旁會顯示一個鎖定圖示。

DLP 字典的概觀

DLP 字典使用比對運算式來識別敏感資料。例如,信用卡號碼和社會保險號碼遵循特定的格式。字典可以比對這些模式,並判斷檔案上傳或文字輸入中是否存在敏感資料。

預先定義的字典

Cloud Web Security 預先定義的資料字典是模式比對、總和檢查、內容評分和模糊邏輯的組合,用來識別敏感資料。Cloud Web Security 具有超過 340 個預先定義的資料字典,且涵蓋以下的主要資料類別:

  • 文件分類
  • 金融資料
  • 衛生保健
  • HIPAA
  • 項目識別碼
  • PCI DSS
  • PII

此外,預先定義的資料字典是各區域特定的,以確保在全球範圍內所套用的模式比對是正確的。可以將資料字典設定為 29 個不同的國家或地區。在這 29 個國家或地區中,有兩個是保留給全球 (Global)其他 (Other)。這兩個選項允許對跨國資料或不完全屬於某個國家或地區類別的資料,進行分類。

使用者可以在 VMware SASE Orchestrator 上移至 Cloud Web Security 區段,然後導覽至 設定 (Configure) > 原則設定 (Policy Settings) > DLP > 字典 (Dictionaries),以探索字典。
設定 DLP (Configure DLP) > DLP 設定 (DLP Settings)。

在此頁面上,會向使用者顯示所有可用於 DLP 原則中的字典。字典會組織成一個資料表,其中含有 [名稱 (Name)]、[說明 (Description)]、[類型 (Type)]、[類別 (Category)] 和 [區域 (Region)] 欄位。

  • 名稱 (Name) 用來識別字典以在原則中使用。
  • 說明 (Description) 提供高階概觀來說明與字典相符的內容。
  • 類型 (Type) 用來區分兩種不同的字典類型:
    • 預先定義
    • 自訂
  • 類別 (Category) 包括:
    • 加拿大衛生服務
    • 文件分類
    • 金融資料、HIPAA
    • HIPAA/醫療保健
    • 衛生保健
    • 項目識別碼
    • 其他
    • PCI DSS
    • 個人識別資訊
    • 英國國家衛生服務
  • 區域 (Region) 表示字典要套用的地理位置,包括:
    • 澳大利亞
    • 比利時
    • 巴西
    • 加拿大
    • 丹麥
    • 芬蘭
    • 法國
    • 德國
    • 全域
    • 香港
    • 印度
    • 印尼
    • 愛爾蘭
    • 義大利
    • 日本
    • 馬來西亞
    • 荷蘭
    • 紐約
    • 紐西蘭
    • 挪威
    • 其他
    • 波蘭
    • 新加坡
    • 南非
    • 西班牙
    • 瑞典
    • 英國 (UK)
    • 美國 (USA)
含有比對準則的 [新增字典 (New Dictionary)] 組態畫面
  1. 搜尋 (Search) 列適用於 [字典 (Dictionaries)] 頁面上的所有欄位,可用來快速顯示使用者有興趣檢視的特定字典。
  2. 每一個資料列各有一個字典,可按一下該字典來進一步探索。
  3. 每頁字典數 (Dictionaries per Page) 最多可在單一頁面上顯示 100 筆項目。
  4. 會提供頁面導覽 (Page Navigation) 按鈕,以便返回或略過。

若要繼續這項檢查,請尋找郵寄地址 [全球] (Postal addresses [Global]) 字典,然後按一下藍色文字,以開啟編輯字典 (Edit Dictionary) 畫面。

編輯字典 (Edit Dictionary) > 字典詳細資料 (Dictionary Details)
雖然已討論過此頁面上的欄位,但其中有一個欄位仍須進一步解釋。 說明 (Description) 會提供必要的詳細資料,來說明該字典是否適合您的原則。用來識別資料的確切機制是專有且機密的。不過,使用者可以放心,模式比對使用先進技術,可確保在字典支援的眾多類別和區域中仍保有準確性。
備註: 用於預先定義字典的方法與用於自訂字典的方法截然不同,前者會根據敏感度層級和 DLP 引擎啟發式方法來觸發 DLP 違規,後者則採用特定的重複計數。在〈自訂字典〉一節中提供有關該方法的更多詳細資料。

如果在強制回應下按下一步 (Next) 按鈕,會向使用者顯示臨界值 (Threshold) 設定。除非必要,否則,不建議調整臨界值詳細資料 (Threshold Details) 的預設值。

含有比對準則的 [新增字典 (New Dictionary)] 組態畫面

上面的螢幕擷取畫面顯示,對於檔案上傳 (File Uploads)使用者輸入 (User Inputs),違規的加權平均次數 (weighted average number) 設定為 10。對於預先定義的字典,請勿將其視為簡單的出現次數,而要視為文件中所發現的所有資訊的計算評分。這種評分機制有助於降低使用該資料字典時觀察到的誤報數量。當檢視此強制回應完成後,請按一下取消 (Cancel)。請注意,如果使用者變更了任何可編輯的值,使用者需要按一下更新 (Update),以保留這些變更。

自訂字典

Cloud Web Security DLP 自訂字典讓使用者能夠靈活地建立與其組織相關的資料字典。與預先定義的字典一樣,自訂字典會先讓使用者新增 4 個欄位:

  • 名稱
  • 說明
  • 類別 (Category)
  • 國家/地區 (Country/Region)

所示的這四個欄位與預先定義的字典相同,但卻能夠將每一個值設定為與使用者所建立的字典相關的值。

為了識別資料,自訂字典採用以下兩種方法:
  • 字串 (String) 用來比對英數字元與特殊字元的確切組合。可將它設定為相符或忽略大小寫。
  • 運算式 (Expression) 使用 Perl 規則運算式 (Regex) 來尋找資料模式,而難以使用簡單字串來尋找。
網際網路上提供了眾多的資源,可讓您進一步瞭解規則運算式。https://perldoc.perl.org/perlre 就是這類資源之一。使用者可以在其中找到多個不同的 Regex 模式比對語法範例。

若要建立自訂字典,請在設定 (Configure) > 原則設定 (Policy Settings) > DLP > 字典 (Dictionaries) 頁面中,按一下新增字典 (New Dictionary) 按鈕。

[字典詳細資料 (Dictionary Details)] 畫面會提示使用者輸入名稱 (Name)說明 (Description)類別 (Category)國家/地區 (Country/Region) 的值。

[新增字典 (New Dictionary)] 組態畫面,其中含有 [字典詳細資料 (Dictionary Details)]。

上面的螢幕擷取畫面指出,此字典用來識別敏感 IP 位址 (Sensitive IP Addresses),並且是僅供內部使用 (For Internal Use Only)。對於類別和國家/地區,如果選取了其他 (Other),表示此字典所比對的資料不屬於既存的類別之一,或者不需要額外的中繼資料。

含有比對準則的 [新增字典 (New Dictionary)] 組態畫面

對於比對資料 (Match Data) 畫面,範例組態是以 IP 位址範圍 192.0.2.0/24、198.151.100.0/24 和 203.0.133.0/24 (RFC 5737) 為基礎,這是公司需要保護的敏感資料。用來尋找這些範圍內的任何 IP 位址的 Regex 是:(192\.0\.2\..*|198\.51\.100\..*|203\.0\.113\..*)

此 Regex 的含義是「如果字串包含 192.0.2.、198.51.100. 或 203.0.113.,則視為相符」。 重複 (Repeated) 值會設定為 1,表示只要發現此模式一或多次,就會觸發字典。
備註: 自訂字典使用特定的重複計數,來觸發 DLP 違規,而對於預先定義字典,觸發 DLP 違規的臨界值,是以敏感度層級和 DLP 引擎啟發式方法為基礎。

在使用加號圖示新增另一資料列時,不會將 Regex 拆分為多行,因為跨多列的字典邏輯是邏輯 AND。如果以這種方式定義了比對準則 (Match Criteria),則只有在這三個 IP 位址範圍全都出現在文件中時,才會觸發字典。

新增字典比對準則 (New Dictionary Match Criteria),新增額外的比對規則

在設定自訂字典設定後,按一下完成 (Finish),讓該字典可用於 Cloud Web Security 中。

稽核員

稽核員是在組織中專門追蹤與資料外流意圖有關的任何事件 (無論是有意還是無意) 的人員。此人可透過來自 Orchestrator 的電子郵件獲知,已違反某 DLP 規則。傳送給稽核員的電子郵件會包含 DLP 規則的名稱、含有敏感資料的使用者輸入或檔案名稱、使用者嘗試傳送資料時所指向的目的地,以及該嘗試揭露資料者的使用者名稱。(選用) 可以將使用者輸入或檔案以原始格式、ZIP 檔或加密 ZIP 檔案,傳送給稽核員。

使用者可以登入 Cloud Web Security,並導覽至下列位置,來新增、編輯、刪除和檢視稽核員:

設定 (Configure) > 原則設定 (Policy Settings) > DLP > 稽核員 (Auditors)

[DLP 設定 (DLP Settings)] > [稽核員 (Auditors)] 組態畫面。

在 [稽核員 (Auditors)] 畫面中,使用者可以看到目前在系統中沒有稽核員。若要新增第一位稽核員,請選取 + 新增稽核員設定檔 (+ NEW AUDITOR PROFILE)。快顯視窗會提示使用者提供以下資訊:

  • 姓名 (Name) (必填),是稽核員的姓名。
  • 電子郵件地址 (Email Address) (必填),是個人的有效電子郵件地址帳戶。
  • 說明 (Description) (選用),是使用者希望提供的稽核員任何相關資訊。例如,如果稽核員的主要職務是監控 PCI 違規,則可以輸入 [PCI 稽核員 (PCI Auditor)]。
[新增 DLP 稽核員設定檔 (New DLP Auditor Profile)] > [稽核員設定檔資訊 (Auditor Profile Information)] 組態畫面。

下一頁將要求使用者提供檔案詳細資料 (File Details)。此頁面完全是可選的,但卻可提供選項讓使用者將違規檔案傳送給 DLP 稽核員供其檢閱。組態選項包括:

  • 將檔案傳送給稽核員 (Send File to the Auditors),預設行為是不將檔案傳送給稽核員。
  • 當使用者選取將檔案傳送給稽核員 (Send File to the Auditors) 時,檔案格式 (File Format) 會變成可用。使用者可以選擇使用 [原始檔案 (Original File)]、[Zip] 或 [加密的 Zip (Encrypted Zip)]。由於這個檔案包含敏感資訊,建議使用 [加密的 Zip (Encrypted Zip)] 選項。
    • 檔案大小上限 (Maximum File Size) 是系統傳送的電子郵件中所含附件的大小上限。此限制最多可設定為 1GB,但建議與其組織的電子郵件檔案大小限制相符。
      重要: 如果檔案大小超過 檔案大小上限 (Maximum File Size) 值,則會略過該檔案。換句話說,不會將該檔案附加到 DLP 違規警示中,且會傳送警示但不包含該檔案。
    • 加密的 Zip 密碼 (Encrypted Zip Password) 是由系統自動產生,即便遭到入侵,還是可重新產生。如果需要,使用者還可以設定自己的密碼。
[新增 DLP 稽核員設定檔 (New DLP Auditor Profile)] > [檔案詳細資料 (File Details)] 組態畫面。

按一下完成 (Finish) 按鈕,儲存新的 DLP 稽核員設定檔組態。稽核員項目會顯示在 [DLP 設定 (DLP Settings)] > [稽核員 (Auditor)] 頁面中。(選用) 使用者可以檢視、編輯或刪除稽核員項目。

DLP 組態工作流程

在介紹了組成資料遺失防護 (DLP) 功能的兩個關鍵元件後,本節將介紹整體 DLP 工作流程。

建立、設定及套用安全性原則

DLP 規則是安全性原則的一部分,因此,在設定 DLP 規則之前,必須先具有一個安全性原則。有關為 Cloud Web Security 服務建立設定套用安全性原則的詳細資料,請參閱《Cloud Web Security 組態指南》中的相關說明文件。

建立並套用 DLP 規則

若要建立並套用 DLP 規則,請參閱設定資料遺失防護規則

驗證 DLP 規則是否正常運作

以下三個準則一併確認了 DLP 規則設定適當,且如預期般運作:
  • Cloud Web Security 會封鎖符合 DLP 規則的敏感資料,不讓其外流。
  • Cloud Web Security 會偵測並記錄敏感資料的外流意圖。
  • 當觸發規則時,Cloud Web Security 會傳送電子郵件警示給 DLP 稽核員。
若要驗證 DLP 規則的有效性,請執行以下動作:
  1. 從位於 SD-WAN Edge 後面的端點裝置 (Windows、MacOS、iOS 或 Android),登入檔案託管服務 (例如 Apple iCloud、Dropbox、Google Drive、Microsoft OneDrive 或類似服務)。
  2. 如果規則包括自訂字典,請上傳符合 DLP 規則中所設定準則的文字輸入、文字檔或 PDF。
    備註: 例如,文字輸入可以是表單張貼或文字訊息。文字檔是附加到上傳檔案的實際 .txt。
  3. 或者,使用任何預先定義的字典,以及其 PII 資料、社會保險號碼、銀行帳號或類似內容的個別臨界值。
    備註: 在使用預先定義的字典時,會觸發 DLP 違規的臨界值,是以敏感度層級和 DLP 引擎啟發式方法的組合為基礎。這與使用特定重複計數的自訂字典截然不同。
  4. 文字檔/輸入或檔案上傳會遭到封鎖。
  5. 在 DLP 記錄中驗證是否已記錄封鎖動作。
    1. 以下是 DLP 測試中封鎖文字輸入的範例記錄,該文字輸入符合了 DLP 規則使用的自訂字典。
      此螢幕擷取畫面顯示使用自訂字典時違反規則的記錄項目。
    2. 以下的範例記錄顯示已在 Dropbox 中封鎖 PDF 檔,該檔案中的社會保險號碼與預先定義的字典相符。
      此螢幕擷取畫面顯示 PDF 違反規則,其中的社會保險號碼與預先定義的字典相符。
  6. 根據 DLP 規則以及為該規則所設定的動作,驗證 DLP 稽核員是否收到了警示電子郵件。
    1. 以下是 DLP 測試中封鎖文字輸入的範例電子郵件,該文字輸入與 DLP 規則使用的自訂字典相符。
      此範例電子郵件顯示根據自訂字典,而封鎖了文字輸入。
    2. 以下的範例電子郵件顯示 Dropbox 中遭封鎖的 PDF 檔,該檔案中的社會保險號碼與預先定義的字典相符。
      備註: 非文字檔的檔案名稱可能顯示為 [未知 (Unknown)]。因此,稽核員電子郵件中的附加檔案也會顯示為 [未知 (Unknown)]。
      此範例電子郵件顯示已在 Dropbox 中封鎖 PDF 檔案。請注意,非文字檔的檔案名稱可能顯示為 [未知 (Unknown)]。