데이터 보호 API란 무엇입니까?

이 문서는 승인된 SaaS 클라우드 앱으로의 트래픽을 모니터링하고 제어하기 위한 Cato의 대역 외 데이터 보호 API 서비스에 대한 개요 및 배경 정보를 제공합니다.

참고

참고: SaaSecAPI@catonetworks.com 또는 공식 Cato 리셀러에게 데이터 보호 API 정책 사용에 대한 더 많은 정보를 요청하십시오.

데이터 보호 API 개요

데이터 보호 API는 승인된 클라우드 앱에 대한 대역 외 가시성과 제어를 제공합니다. 기타 보안 기능(CASB 등)은 Cato Cloud를 통해 전달되는 트래픽만 제어하고 모니터링할 수 있습니다. 데이터 보호 API는 클라우드 앱에 직접 연결하는 원격 사용자의 트래픽을 모니터링하고 반응할 수 있는 기능을 제공합니다. 이는 그들이 SDP 클라이언트를 사용하여 Cato Cloud를 통해 트래픽을 전송하지 않는 경우에도 적용됩니다.

데이터 보호 API는 TLS 검사를 사용하지 않고 연결의 내용을 검사합니다. 이는 TLS 검사가 활성화되지 않은 계정에 특히 유익합니다. 하지만, TLS 검사를 사용하는 계정에서도 인증서 고정 관련 문제로 일부 클라우드 앱은 검사할 수 없습니다. 데이터 보호 API는 Cato의 인라인 CASB 및 DLP 솔루션을 보완하여 최고의 보안 커버리지를 제공합니다.

일부 앱의 경우, 계정에 활성화된 안티멀웨어 및 차세대 안티멀웨어 엔진을 사용하여 커넥터에서 파일 및 첨부 파일을 스캔하여 멀웨어 및 바이러스를 방지하기 위한 규칙을 생성할 수 있습니다. 데이터 보호 API 엔진은 트래픽을 스캔하고 DNS 정책에 대해 구성한 작업 및 추적 옵션을 적용합니다.

Prerequisites

커넥터를 추가하려면 자원 섹션에서 통합과 앱 및 데이터 제어 섹션에서 앱 및 데이터 API 보호에 대한 편집자 권한이 필요합니다. 자세한 내용은 관리자 역할 관리 RBAC 사용을 참조하십시오.

계정에 데이터 보호 API 구현

이것은 데이터 보호 API를 구현하기 위한 단계들에 대한 고급 개요입니다.

관련 클라우드 앱용 커넥터를 생성합니다.

Microsoft 앱의 경우 Microsoft 365 부모 커넥터를 만든 후 각 앱에 대한 자식 커넥터를 생성해야 합니다.
DLP 콘텐츠 프로필 생성)을 참조하여 데이터 보호 API가 스캔할 민감한 데이터를 정의하는 DLP 콘텐츠 프로필을 생성(또는 검토)하십시오.
데이터 보호 정책의 규칙을 생성하십시오.

지원되는 데이터 보호 API 엔드포인트 커넥터

Cato는 다양한 애플리케이션을 지원하며 목록을 지속적으로 확장하고 있습니다. 지원되는 애플리케이션의 전체 목록을 보려면 데이터 보호 API를 참조하십시오.

데이터 보호 API의 알려진 서비스 제한

이것들은 데이터 보호 정책에서 사용되는 모든 커넥터에 적용되는 제한 사항입니다. 특정 SaaS 앱과 관련된 제한 사항은 아래의 특정 엔드포인트 커넥터의 알려진 제한 사항을 참조하십시오．

데이터 보호 API 커넥터를 편집할 수 없습니다.

해결 방법 - 커넥터를 삭제하고 요구되는 설정으로 새 커넥터를 생성하십시오.
파일 변경이 감지되기까지 최대 15분이 걸릴 수 있습니다.
안티멀웨어 스캔의 경우, 파일 해시를 사용한 허용리스트 작성은 지원되지 않습니다.
폴더 및 디렉토리의 권한 변경은 스캔되지 않습니다.
그룹에 대한 작업(예: 그룹과의 파일 공유)은 스캔되지 않습니다.
DLP 및 안티멀웨어 스캔의 최대 지원 파일 크기는 500MB입니다.
DLP 및 안티멀웨어 스캔의 경우, 데이터 보호 API는 Cato DLP 및 안티멀웨어 엔진이 지원하는 파일 유형만 지원합니다.
데이터 보호 API 규칙이 생성, 삭제 또는 편집되면, 변경 사항은 규칙 콘텐츠에 관한 세부 사항을 표시하지 않고 감사 기록에서 추적됩니다
.log 파일 확장자는 지원되지 않습니다
GitHub 엔드포인트 커넥터는 이진 파일을 지원하지 않습니다.

특정 커넥터의 알려진 제한 사항

이것들은 특정 데이터 보호 API 커넥터에 대한 제한 사항입니다.

Azure
- 커넥터가 생성된 후에 추가된 새로운 사용자는 스캔되지 않습니다.
  
  해결 방법 - 커넥터를 위한 새 규칙을 생성하거나, 데이터 보호 API 정책을 비활성화했다가 다시 활성화하십시오.
Box
- 커넥터가 생성된 이후에 추가된 새로운 사용자는 스캔되지 않습니다.
  
  해결 방법 - 커넥터를 위한 새 규칙을 생성하거나, 데이터 보호 API 정책을 비활성화했다가 다시 활성화하십시오.
- 루트 폴더에 추가된 새로운 파일은 스캔되고 규칙 작업이 적용되기까지 최대 24 시간이 소요될 수 있습니다. 하위 폴더의 파일은 업로드되자마자 즉시 스캔됩니다.
- 테넌트당 1개의 커넥터만 지원됩니다. (Microsoft 및 Google 커넥터는 테넌트당 여러 커넥터를 지원합니다)
Exchange
- 이메일 활동을 스캔하는 규칙의 경우, 이벤트에는 첨부 파일도 포함될 수 있습니다(파일이 정책에 일치하지 않더라도).
Google Drive
- Google Drive 커넥터는 상업용 계정만 지원됩니다.
OneDrive
- 같은 리소스에 대해 SharePoint 및 OneDrive 커넥터가 있는 경우, 각 커넥터는 동일한 작업에 대해 별도의 이벤트를 생성합니다.
- One Drive는 파일의 변경을 나타내기까지 최대 5분이 소요될 수 있으며, 이는 이벤트 생성에 지연을 초래할 수 있습니다.
SharePoint
- Documents 디렉토리만 스캔됩니다.
- 같은 리소스에 대해 SharePoint 및 OneDrive 커넥터가 있는 경우, 각 커넥터는 동일한 작업에 대해 별도의 이벤트를 생성합니다.
Slack
- 테넌트당 1개의 커넥터만 지원됩니다. (Microsoft 및 Google 커넥터는 테넌트당 여러 커넥터를 지원합니다)
- 공개 및 공유 채널만 지원됩니다.