Cato 데이터 손실 방지(DLP)는 사용자가 SaaS, 비공개 애플리케이션, 웹 리소스를 액세스할 때 트래픽을 검사하여 민감한 정보를 식별하고 통제합니다. 서비스는 전체 가시성과 관리 기능을 위해 두 가지 상호 보완적인 검사를 사용합니다. 데이터 보호 인라인 및 데이터 보호 API는 서로 다른 시나리오에서 독립적으로 작동하지만, 일관된 탐지를 보장하기 위해 동일한 기저 분류 엔진을 의존합니다.
-
데이터 보호 인라인은 실시간 트래픽에 DLP 검사를 적용하여 Cato PoP를 통해 라우팅합니다. 인라인 보호는 관리되는 사용자 및 사이트 트래픽을 포함하며, SaaS, 비공개 애플리케이션, 웹 목적지에 DLP 규칙을 실행합니다. TLS 검사는 암호화된 세션을 분석하기 위해 필요합니다.
인라인 트래픽 흐름은 위의 예에서 왼쪽에 표시됩니다.
-
데이터 보호 API는 트래픽이 Cato 클라우드를 통해 라우팅되지 않을 때 승인된 SaaS 앱에 DLP 적용 범위를 확장합니다. 장치가 관리되지 않거나 스플릿 터널 연결을 사용하거나 Cato 클라이언트 없이 앱에 접근하는 사용자를 포함하여 API 통합을 통해 파일 업로드, 공유, 수정과 같은 사용자 주도 작업을 모니터링하여 가시성을 제공합니다. API는 SaaS 플랫폼 내에서 데이터를 이동 중에 검사하지만, 저장된 파일을 스캔하지는 않습니다.
API 대역 외 트래픽 흐름은 위의 예에서 오른쪽에 표시됩니다.
Cato XOps 서비스는 인라인 및 API 탐지를 통합된 이야기로 연결하여 DLP 이벤트에 대한 운영적 맥락을 제공합니다. 각 이야기에는 사용자가 민감한 데이터를 환경에서 어떻게 이동했는지를 보여주기 위해 사용자, 앱, 작업 순서 및 목적지와 같은 관련 활동이 집계됩니다. 이 상관 관계는 관리자들이 의도하지 않은 공유, 정책 위반 또는 비정상적인 데이터를 다양한 접근 경로에서 빠르게 식별할 수 있도록 돕습니다.
Cato의 DLP 엔진은 데이터 보호 인라인 및 데이터 보호 API 모두에서 사용하는 일관된 분류 프레임워크를 제공합니다. 각 시행 방법은 모든 접근 경로에서 민감한 정보의 정확한 탐지를 보장하기 위해 별도의 정책을 사용합니다.
데이터 보호 인라인 및 데이터 보호 API는 서로 다른 정책을 사용하지만, 정확한 탐지를 보장하기 위해 동일한 데이터 분류 프레임워크와 탐지 방법을 공유합니다.
Microsoft Purview 및 Google 민감도 레이블과 통합하여 원활한 데이터 관리를 보장할 수 있습니다. 이미 데이터 분류 및 레이블링을 위한 이 솔루션을 사용하는 고객은 인라인 보호 및 데이터 유출 방지를 위해 이를 활용할 수 있습니다.
더 많은 정보는 Cato DLP 정책에서 MIP 민감도 레이블 사용 및 데이터 보호 API와 함께 Google 레이블 사용을 참조하십시오.
Cato의 분류 프레임워크는 조직 내에서 민감한 내용을 나타내는 데이터를 정의하는 DLP 프로필을 중심으로 구성됩니다.
- 사전 정의된 데이터 유형: 일반 규제 및 민감 정보에 대한 내장 식별자, 예를 들어 글로벌 PII 형식, 금융 데이터, 의료 데이터, HR 문서, 컴플라이언스 기반 카테고리가 포함됩니다.
- 사용자 정의 데이터 유형: 조직별 요구 사항에 맞춰 분류를 확장하는 사용자 정의 데이터 식별자입니다.
Cato는 민감한 데이터를 정확하게 식별하기 위해 여러 탐지 기법을 적용합니다.
- Cato PoP의 GPU 하드웨어로 가속된 머신 러닝 및 LLM 기반 모델은 문서의 의미 및 알려진 민감 카테고리와의 유사성을 분석하여 문서를 분류합니다. 관리자는 CMA 내에서 사용자 정의 LLM 분류기를 직접 업로드하고 테스트할 수 있습니다.
- 이미지 ML 분류기는 이미지 내의 픽셀을 분석하여 이미지가 무엇을 포함하는지 결정하는 머신 러닝 모델입니다. 이들은 컴퓨터 비전의 넓은 분야에 속합니다.
- LLM 주제 분류기는 텍스트의 의미와 맥락을 이해하기 위해 LLM 기반 모델을 사용합니다. 이들은 문서의 주제, 테마, 구조 또는 문체에 따라 문서를 분류합니다.
- 정확한 데이터 일치(EDM)는 승인된 데이터 세트에 대해 민감한 값을 확인하여 구조화된 조직 특화 콘텐츠의 오탐을 줄입니다.
- 광학 문자 인식(OCR)은 이미지, 스캔된 문서 및 스크린샷에서 텍스트를 추출하여 텍스트 기반 검사를 회피하려는 시도를 방지합니다.
- 정규표현식 및 키워드 매칭은 규제된 데이터 필드 또는 내부 식별자와 관련된 패턴을 감지합니다.
더 많은 정보는 DLP 콘텐츠 프로필 생성, DLP용 사용자 정의 데이터 유형 사용, 및 Exact Data Matching(EDM) for DLP 작업을 참조하십시오.
데이터 보호 인라인은 Cato PoP를 통해 라우팅되는 트래픽으로 데이터를 움직이며 DLP 검사를 적용합니다. 네트워크 계층에서 작동하기 때문에, 인라인 검사는 Cato Cloud를 통해 완전히 라우팅된 트래픽에 대한 결정론적 실시간 적용을 제공합니다.
인라인 강제 적용은 다음에 적용됩니다:
- Cato가 지원하는 사이트를 통해 연결된 사무실 사용자
- Cato 클라이언트를 통해 연결된 원격 사용자
- 사이트-클라우드 및 사이트-인터넷 플로우는 실시간으로 검사됩니다.
인라인 DLP에는 데이터 정책이 Cato Cloud를 통해 트래픽에 적용되는 방식에 영향을 미치는 특정 운영 요구 사항과 행동이 있습니다.
- SaaS, 개인 애플리케이션 또는 웹 트래픽 내의 민감한 콘텐츠를 검사할 수 있도록 SSL 검사에 암호화 콘텐츠(예: HTTPS 세션)를 분석하는 것이 필요합니다.
- 차단, 알림 및 편집을 포함한 강제 조치는 트래픽이 평가될 때 즉시 적용됩니다.
자세한 내용은 Cato DLP 서비스란 무엇입니까?를 참조하십시오..
데이터 보호 API는 트래픽이 Cato Cloud를 통과하지 않을 때 승인된 SaaS 애플리케이션에 DLP 검사를 확장합니다. 애플리케이션별 커넥터를 사용하여 SaaS 활동을 검사를 위해 AWS에 호스팅된 Cato DLP 엔진으로 전송합니다.
API 커넥터는 앱 API 보호(보안 > 앱 & 데이터 API 보호)에 정의된 OAuth 기반 통합을 사용합니다. 지원되는 앱에는 Microsoft 365, Google Workspace, Salesforce 등이 포함됩니다. 지원되는 앱의 전체 목록을 보려면 데이터 보호 API를 참조하세요.
데이터 보호 API는 다음을 위한 DLP 가시성을 제공합니다:
- 관리되지 않은 장치
- 분할 터널 또는 로컬로 라우팅된 Saas 트래픽
- Cato 클라이언트 또는 ZTNA 라이센스 없이 사용자
API 엔진은 인라인 DLP를 위한 분류 논리를 동일하게 적용하여 SaaS 작업에 대해 민감한 내용의 일관된 탐지를 가능하게 합니다:
- 파일 업로드
- 외부 또는 공개 공유
- 권한 변경
- 규제된 데이터를 포함하는 수정
관리자는 CMA에서 데이터 보호 API 대시보드를 사용하여 SaaS 활동을 모니터링하고, 위반사항을 드릴 다운하여 관련 데이터와 맥락을 볼 수 있습니다.
자세한 정보는 데이터 보호 API란 무엇입니까?를 참조하십시오..
Cato의 데이터 보호 아키텍처는 사용자들이 어떻게 연결되는지 또는 접근되는 위치에 상관없이 관리 및 비관리 장치를 위한 통합 보장을 제공합니다. 인라인 및 API 보호는 일반적인 가시성과 통제 격차를 제거하기 위해 함께 작동합니다. 이를 통해 신뢰 네트워크에 있는 기업 장치에서 직접 SaaS에 접근하는 비관리 장치에 이르기까지 모든 사용 시나리오에서 민감한 데이터가 계속 보호되도록 보장합니다.
관리 장치는 Cato에 연결된 사이트 뒤에 위치하거나 Cato 클라이언트를 사용하여 트래픽을 Cato Cloud로 보냅니다. 이 경우에는 PoP에 기반한 인라인 DLP가 사용자가 SaaS, 비공개 애플리케이션, 또는 웹 리소스를 액세스할 때 데이터를 이동 중에 검사합니다.
관리자는 애플리케이션 레벨의 제한을 적용하여 어떤 애플리케이션이 검사되는지, 민감한 데이터가 어떻게 처리되는지 통제하고 사용자가 Cato Cloud에 연결되어 있을 때에만 SaaS 앱에 로그인할 수 있도록 강제할 수 있습니다.
선택적인 온램프 설정은 선택된 트래픽만 Cato Cloud를 통해 라우트되도록 하여 인라인 DLP 강제가 검사해야 하는 흐름에 대해 특정적으로 적용되도록 합니다.
Cato는 인라인 및 API 기반 데이터 보호를 전용 규칙 베이스로 분리하여 사용자가 애플리케이션에 접근하는 방법과 검사가 필요한 위치에 관리자들이 제어를 맞춤화할 수 있도록 합니다. 이 구조는 각 강제 적용 경로를 최대한 관련성 높게 만들고 파일 공개 범위를 극대화하기 위해 세밀화할 수 있도록 보장합니다.
관리자는 사용자가 애플리케이션에 액세스하는 방식과 점검이 필요한 위치에 맞추어 인라인 및 API DLP 정책을 별도로 구성합니다.
- 인라인 DLP 정책 규칙은 보안 > 앱 & 데이터 인라인에 구성되며, 여기서 관리자가 인라인 검사 대상이 될 애플리케이션, 사용자 및 목적지를 정의합니다.
- API 기반 DLP 정책 규칙은 SaaS 커넥터와 이벤트 기반 규칙을 관리하는 보안 > 앱 & 데이터 API 보호에 활성화됩니다.
- 동일한 DLP 프로필 및 데이터 유형이 두 정책에서 사용될 수 있습니다.
강제 적용 작업은 감지된 민감 데이터를 처리하는 방법을 결정하고 관리자가 인라인과 SaaS 기반 위반에 대한 즉각적인 제어를 제공합니다.
- 차단은 검사가 완료된 인라인 플로우를 통해 조직에서 민감한 데이터가 나가는 것을 차단합니다.
- 알림은 작업을 차단하지 않고 이벤트를 기록하여 사용 패턴에 대한 가시성을 제공합니다.
- 격리는 API 기반 보호를 통해 지원되는 SaaS 애플리케이션에 사용 가능하며, 민감한 파일을 관리자 검토를 위해 제한된 위치로 이동시킵니다.
CMA는 각 정책 유형에 대한 전용 대시보드를 포함하여 관리자가 위반을 빠르게 식별하고 활동을 조사하며 민감 데이터가 환경 내에서 어떻게 이동하는지를 이해할 수 있도록 합니다.
-
인라인 DLP 이벤트는 앱 & 데이터 인라인 대시보드에 표시되며, 관리자는 필터링, 정렬 및 위반을 조사할 수 있습니다. 자세한 내용은 데이터 보호 인라인 대시보드 사용을 참조하세요.
- 이벤트에서 직접 포렌식 증거를 볼 수 있으며, 사건의 상황을 빨리 파악하고 잠재적인 데이터 노출을 평가하며 오탐을 검증할 수 있습니다. 자세한 내용은 포렌식 증거를 통한 DLP 위반 조사를 참조하십시오.
- 데이터 보호 API 대시보드는 SaaS 특정 활동, 예를 들어 파일 업로드, 공유 또는 권한 변경에 대한 공개 범위를 제공하며, 자세한 내용은 데이터 보호 API 대시보드 사용을 참조하세요.
Cato XOps 서비스는 인라인 및 API 감지를 통합하여 관리자가 민감 데이터 이동의 크로스 채널 패턴을 조사할 수 있도록 합니다.
Cato XOps는 데이터 보호 인라인 및 데이터 보호 API의 감지를 통합하여 DLP 조사를 강화합니다. 이 상관관계는 네트워크 트래픽 내에서 인라인으로 그리고 API 커넥터를 통해 대역 외로 점검된 SaaS 활동 내의 민감 데이터 이동의 단일 뷰를 제공합니다. DSPM과의 통합은 데이터 센터 등에서 휴지 상태의 데이터에 대한 가시성을 제공합니다.
각 XOps 스토리에는 활동에 관련된 사용자, 애플리케이션, 작업 및 목적지가 포함됩니다. 이 통합된 맥락은 관리자가 민감 데이터가 네트워크를 통해 이동했는지 SaaS 플랫폼 내에서 이동했는지 여부에 관계없이 어떻게 액세스되거나 공유되었는지를 이해하는 데 도움이 됩니다. 예를 들어, XOps UEBA 이상 엔진은 일반적인 사용자 또는 장치 행동과의 일탈을 분석하여 예상치 못한 SMB 업로드 또는 SSH 파일 전송과 같은 위험을 드러냅니다. 이러한 행동은 일반 데이터 처리 과정을 우회하려는 시도를 나타낼 수 있습니다.
관련 문서:
XOps는 DLP 이벤트와 다른 Cato 보안 서비스 감지를 연결하여 관리자가 멀티 벡터 공격을 식별할 수 있도록 합니다. 예를 들어, IPS는 장치에서 악성 소프트웨어 활동을 감지하여 잠재적 손상을 나타낼 수 있습니다. 잠시 뒤에는 인라인 또는 API DLP 엔진이 동일한 장치에서 외부 서버로 고객 데이터의 또 다른 유출 시도를 발견합니다. XOps는 이러한 감지를 하나의 이야기로 연결하여 악성 소프트웨어 지표와 데이터 전송 시도 모두를 보여줍니다. 이 이야기는 SOC 팀이 위협 진행의 범위를 완전히 파악할 수 있도록 하여 더 빠르고 정확하게 대응할 수 있도록 합니다.
댓글 0개
댓글을 남기려면 로그인하세요.