Cato 数据丢失预防(DLP)检查流量以在用户访问 SaaS、私有应用程序和网络资源时识别和控制敏感信息。 该服务使用两种互补的检查方法来实现完全可见性和治理。 数据保护内联和数据保护 API 在不同场景下独立运行,但依赖相同的分类引擎确保所有用户类型间的一致检测。
-
数据保护内联 应用 DLP 检查路由通过 Cato PoPs 的实时流量。 内联保护覆盖管理用户和站点流量,对 SaaS、私有应用程序和网络目的地实施 DLP 规则。 需要进行 TLS 检查以分析加密会话。
上例左侧显示了内联流量流。
-
数据保护 API 扩展 DLP 的覆盖范围到批准的 SaaS 应用,即使流量不通过 Cato 云。 它通过 API 集成直接监控用户驱动的操作,如文件上传、共享及修改,为未管理设备、分割隧道连接或使用者不通过 Cato 客户端访问应用提供可见性。 API 检查 SaaS 平台内的动态数据,但不扫描静止的存储文件。
上例右侧显示了 API 带外流量流。
Cato XOps 服务通过将内联和 API 检测相关联到统一的故事,为 DLP 事件提供操作背景。 每个故事汇聚相关活动,如用户、应用、动作序列及目的地,显示敏感数据如何在环境中移动。 这种关联帮助管理员快速识别意外共享、策略违规或在不同访问路径上的异常数据处理。
Cato 的 DLP 引擎提供一致的分类框架,由数据保护内联和数据保护 API 使用。 每种执行方法使用不同的策略确保在所有访问路径上准确检测敏感信息。
尽管数据保护内联和数据保护 API 使用不同的策略,但它们共享相同的数据分类框架和检测方法,以确保敏感信息的准确检测。
你还可以通过与 Microsoft Purview 和 Google 敏感度标签集成确保无缝数据治理。 已经使用这些解决方案进行数据分类和标签的客户可以利用它们进行内联保护和数据泄漏预防。
欲了解更多信息,请参阅在 Cato DLP 策略中使用 MIP 敏感度标签和使用 Google 标签与数据保护 API。
Cato 的分类框架以DLP 配置文件为中心,这些文件定义了代表组织内敏感内容的数据标识符。
- 预定义数据类型: 内置标识符,用于常见的受监管和敏感信息,如全球 PII 格式、财务数据、医疗健康数据、人力资源文件和合规驱动类别。
- 自定义数据类型: 用户定义的数据标识符,以满足组织特定要求的分类。
Cato 应用几种检测技术以准确识别敏感数据:
- 机器学习和基于LLM的模型由Cato PoP中的GPU硬件加速,通过分析语义意义和与已知敏感类别的相似性对整个文档进行分类。 管理员可以直接在CMA内上传和测试自定义LLM分类器。
- 图像机器学习分类器是机器学习模型,通过分析图像中的像素来确定图像包含什么内容。 它们是计算机视觉广泛领域的一部分。
- LLM主题分类器使用基于LLM的模型来理解文本的意义和语境。 它们根据文件的主题、主题结构或写作风格进行分类。
- 精确数据匹配(EDM)根据批准的数据集验证敏感值,减少结构化、组织特定内容的误报。
- 光字符识别(OCR)从图像、扫描文档和截图中提取文本,以防止绕过基于文本的检查。
- 正则表达式和关键词匹配会检测与受监管数据字段或内部标识符相关的模式。
有关详细信息,请参阅创建DLP内容配置文件,处理DLP的自定义数据类型以及处理DLP的精确数据匹配(EDM)。
数据保护内联应用 DLP 检查到动态数据,当流量通过 Cato PoPs 路由时。 由于操作在网络层,内联检查为完全通过 Cato 云路由的流量提供确定性的实时执行。
内联执行适用于:
- 通过启用Cato站点连接的办公室用户
- 通过Cato客户端连接的远程用户
- 站点到云和站点到互联网的流量实时检查
内联 DLP 有具体的操作要求及行为,影响数据策略如何应用于通过 Cato 云的流量:
- 需要TLS检查来分析加密内容,例如HTTPS会话,以便检查SaaS、私有应用程序或网页流量中的敏感内容。
- 执行操作,包括阻止、警报和修订,当流量被评估时立即应用。
欲了解更多信息,请参阅什么是 Cato DLP 服务?.
数据保护 API 扩展 DLP 检查到批准的 SaaS 应用程序,当流量不经过 Cato 云时。 它使用应用程序特定的连接器将 SaaS 活动发送到托管在 AWS 的 Cato DLP 引擎进行检查。
API 连接器使用基于 OAuth 的集成定义在应用和数据 API 保护(安全性 > 应用和数据 API 保护)中。 支持的应用包括 Microsoft 365、Google Workspace、Salesforce 和其他。 有关支持的应用的完整列表,请参阅数据保护API。
数据保护 API 提供 DLP 可见性用于:
- 未管理设备
- 分流或局部路由的SaaS流量
- 没有Cato客户端或ZTNA许可证的用户
API 引擎应用与内联 DLP 使用的相同的分类逻辑,使得对 SaaS 操作的一致敏感内容检测:
- 文件上传
- 外部或公开共享
- 权限变更
- 涉及受监管数据的修改
管理员可在 CMA 中使用 数据保护 API 仪表板,监控 SaaS 活动并深入研究违规行为以查看相关的数据和上下文。
欲了解更多信息,请参阅什么是 数据保护 API?.
Cato 的数据保护架构为管理和未管理设备提供统一的覆盖,无论用户如何连接或从哪里访问数据。 内联和 API 保护共同消除常见的可见性和控制缺口。 这确保敏感数据在每种使用场景中保持保护,从企业设备上的受信任网络到未管理设备直接访问 SaaS。
管理设备要么部署在 Cato 连接站点后方,要么使用 Cato 客户端将流量发送到 Cato 云。 在这些情况下,基于 PoP 的内联 DLP 作为用户访问 SaaS、私有应用程序或网络资源时对动态数据进行检查。
管理员可以应用应用级别限制以控制检查哪些应用程序、如何处理敏感数据,并强制仅当用户连接到 Cato 云时才登录到 SaaS 应用。
选择性入口配置只允许特定流量通过 Cato 云路由,确保内联 DLP 执行专门应用于需要检查的流量流。
Cato 将内联和 API 数据保护分离到专门的规则库,允许管理员根据用户如何访问应用程序以及在哪里需要检查来定制控制。 这种结构确保每个执行路径可以针对最大相关性和可见性进行优化。
管理员分别配置内联和 API DLP 策略,以确保控制与用户访问应用程序的方式和检查所需的位置一致。
- 内联DLP策略规则在Security > App & Data Inline中配置,管理员定义哪些应用程序、用户和目的地需要内联检查。
- 基于API的DLP策略规则在Security > App & Data API Protection中配置,其中SaaS连接器和事件驱动的规则被管理。
- 在两个策略中可以使用相同的DLP配置文件和数据类型。
执行操作决定如何处理检测到的敏感数据,提供管理员对内联和基于 SaaS 的违规行为的即时控制。
- 阻止防止敏感数据通过检查过的内联流离开组织。
- 警报记录事件而不阻止操作,从而允许查看使用模式。
- 隔离可用于通过API保护的支持SaaS应用程序,将敏感文件移至受限制位置供管理员审查。
CMA 包含为每种策略类型提供专用仪表板,管理员能快速识别违规行为、调查活动,以及理解敏感数据在环境中的移动情况。
-
内联 DLP 事件出现在应用与数据内联仪表板中,管理员可以进行过滤、排序和调查违规行为。 欲了解更多信息,请参阅使用 数据保护内联 仪表板。
- 您可以直接从事件中查看取证证据,快速了解事件的具体情况,评估潜在的数据暴露,并验证误报。 有关详细信息,请参阅使用取证证据调查DLP违规行为。
- 数据保护API仪表板提供对SaaS特定活动的可见性,例如文件上传、共享或权限变更。 有关详细信息,请参阅使用数据保护API仪表板。
Cato XOps 服务将内联和 API 检测相关联到统一的故事,允许管理员调查敏感数据移动的跨信道模式。
Cato XOps 通过将来自数据保护内联和数据保护 API 的检测相关联到统一的故事,增强了 DLP 调查。 这种相关性提供了敏感数据移动的单一视图,通过在 Cato PoPs 中进行内联检查的网络流量和通过 API 连接器检查的带外 SaaS 活动。 与 DSPM 集成还提供静止数据的可见性,例如在数据中心中。
每个 XOps 故事包括活动中涉及的用户、应用程序、操作和目的地。 这种整合的上下文帮助管理员理解无论是通过网络移动还是在 SaaS 平台内移动,敏感数据如何被访问或共享。 例如,XOps UEBA异常引擎分析偏离典型用户或设备行为的情况,以体现风险,例如意外的SMB上传或安全外壳协议文件传输。 这些行为可能表明尝试绕过正常的数据处理进程。
相关文章:
0 条评论
请登录写评论。