Создание политики содержимого для фильтрации содержимого сетевого файла

Global Secure Access поддерживает фильтрацию сетевого содержимого с помощью политик контента. Эта функция помогает защититься от непреднамеренного воздействия данных и предотвратить утечку встроенных данных для создания приложений ИИ и назначений Интернета. Расширяя возможности защиты данных на сетевом уровне через глобальный безопасный доступ, фильтрация сетевого содержимого позволяет вашей организации применять политики данных в сетевом трафике в режиме реального времени. Вы можете выявлять и защищать файлы, которые совместно используются с несанкционированными ресурсами, такими как генеративный ИИ и неуправляемые облачные приложения, с управляемых устройств через браузеры, приложения, плагины, API и многое другое.

Решение для фильтрации сетевого контента объединяет службу классификации данных Microsoft Purview и сетевые политики безопасности с акцентом на удостоверение личности в рамках Глобального безопасного доступа. Это сочетание создает расширенное решение для обеспечения безопасности данных на сетевом уровне, защиту от потери данных (DLP), ориентированное на управление идентификацией и управляемое политикой. Сочетая проверку содержимого с оценкой риска пользователей в режиме реального времени, вы можете применять детализированные элементы управления перемещением конфиденциальных данных по сети без ущерба для производительности пользователя или безопасности.

Замечание

Базовая политика содержимого (блокировка или разрешение по типу MIME файла) общедоступна. Действие "Сканирование с помощью Purview " в политиках содержимого в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Майкрософт не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Высокоуровневая архитектура

Диаграмма с архитектурой фильтрации сетевого содержимого с помощью глобального безопасного доступа и Microsoft Purview.

В этой статье объясняется, как создать политику содержимого для фильтрации трафика через глобальный безопасный доступ.

Замечание

Базовая политика содержимого обнаруживает тип MIME файла и применяет действие "Разрешить " или " Блокировать " в глобальном безопасном доступе. Microsoft Purview участвует только при выборе Сканировать с Purview.

Поддерживаемые сценарии

Фильтрация сетевого содержимого поддерживает следующие ключевые сценарии и результаты для трафика HTTP/1.1:

  • С помощью базовой политики содержимого можно блокировать файлы на основе поддерживаемых типов MIME файлов.
  • С помощью действия Сканирования с Purview (предварительный просмотр) в политике содержимого можно выполнять аудит и блокировать файлы на основе:
    • метки чувствительности Microsoft Purview
    • Конфиденциальное содержимое в файле
    • Уровень риска пользователя
  • При использовании сканирования с Purview можно создавать оповещения администратора защиты от потери данных (DLP) для совпадений правил.

Это важно

Фильтрация содержимого сети поддерживает только файлы по протоколу HTTP/1.1. Он не поддерживает фильтрацию сетевого содержимого для текста.

Предпосылки

Чтобы использовать функцию политики содержимого, необходимо выполнить следующие предварительные требования:

  • Допустимый клиент Microsoft Entra.

  • Лицензирование для продукта. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

    • Допустимая лицензия Интернет-доступ Microsoft Entra.
    • Действующая лицензия Microsoft Purview, необходима для Сканирование с помощью Purview проверки.
      • Чтобы использовать сканирование с помощью Purview, необходимо настроить выставление счетов по мере использования.
      • Вы можете использовать базовую политику содержимого без лицензии Purview.

  • Пользователь с ролью Global Secure Access Administrator в Microsoft Entra ID для настройки параметров глобального безопасного доступа.

  • Роль администратора условного доступа для настройки политик условного доступа.

  • Для клиента глобального безопасного доступа требуется устройство (или виртуальная машина), подключенное к Microsoft Entra ID или имеющее гибридное подключение к Microsoft Entra ID.

  • Трафик протокола UDP (например, QUIC) не поддерживается. Большинство веб-сайтов поддерживают резервный вариант протокола управления передачей (TCP), если не удается установить QUIC. Для улучшения пользовательского интерфейса можно развернуть правило брандмауэра Windows, которое блокирует исходящий UDP 443:

    New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443

Начальная конфигурация

Чтобы настроить политики содержимого, выполните следующие начальные действия по настройке:

  1. Включите профиль пересылки интернет-трафика и убедитесь в правильном назначении пользователей.  
  2. Настройте политику проверки Транспортного уровня безопасности (TLS).
  3. Установите и настройте клиент глобального безопасного доступа:
    1. Установите клиент глобального безопасного доступа на Windows или macOS.

      Это важно

      Прежде чем продолжить, протестируйте и убедитесь, что трафик клиента направляется через глобальный безопасный доступ. Чтобы проверить конфигурацию клиента, см. действия, описанные в следующем разделе.

    2. Щелкните значок "Глобальный безопасный доступ" и перейдите на вкладку "Устранение неполадок".
    3. В разделе "Расширенная диагностика" выберите "Запустить инструмент".
    4. В окне расширенной диагностики глобального безопасного доступа выберите вкладку "Профиль пересылки ".
    5. Убедитесь, что правила доступа к Интернету присутствуют в разделе "Правила ". Эта конфигурация может применяться к клиентам до 15 минут после активации профиля трафика Internet Access в административном центре Microsoft Entra. Снимок экрана: окно расширенной диагностики глобального безопасного доступа на вкладке
  4. Подтвердите доступ к веб-приложениям, которые вы планируете использовать для политик контента.

Настройка политики содержимого

Чтобы настроить политику содержимого в global Secure Access, выполните следующие действия.

  1. Создайте политику содержимого.
  2. Свяжите политику содержимого с профилем безопасности.
  3. Настройка политики условного доступа.

Создание политики содержимого

  1. Войдите в Центр администрирования Microsoft Entra как администратор Global Secure Access Administrator.
  2. Перейдите кполитикам>> содержимому. Screenshot страницы политик содержимого в центре администрирования Microsoft Entra с кнопкой
  3. Выберите + Создать политику. Выберите параметры, которые соответствуют вашим потребностям.
  4. На вкладке "Основные сведения" :
    1. Введите имя политики.
    2. Введите описание политики.
    3. Нажмите кнопку Далее. Снимок экрана: вкладка
  5. На вкладке "Правила" :
    1. Добавьте новое правило.
    2. Введите имя правила, описание, приоритет и состояние в соответствии с соответствующими параметрами .
    3. Выберите соответствующий параметр в меню "Действие ":
      • Чтобы настроить базовую политику данных, выберите "Разрешить " или " Блокировать".
      • Чтобы использовать политики данных, настроенные в Microsoft Purview, выберите Scan с помощью Purview (предварительная версия). Снимок экрана: экран правила содержимого с развернутыми меню
    4. Для условий сопоставления выберите соответствующие типы действий и контента. Снимок экрана страницы
    5. Выберите + Добавить назначение и настройте назначения.
      • Для управления конкретным приложением можно добавить точные URL-адреса закачки и связанные полные доменные имена, которые использует приложение. Используйте средства разработчика браузера или анализ сетевого трафика для идентификации конечных точек, используемых во время отправки файла.
      • Вы также можете выбрать веб-категории в качестве назначения. При выборе веб-категорий необходимо также настроить политику фильтрации веб-содержимого.
  6. Нажмите кнопку Далее.
  7. На вкладке "Рецензирование " просмотрите параметры. Снимок экрана: вкладка
  8. Выберите Создать, чтобы создать политику.

Это важно

Если выбрать действие Scan с помощью Purview в правиле политики контента, необходимо также настроить соответствующую политику защиты от потери данных в Microsoft Purview, которая предназначена для встроенного веб-трафика. Без соответствующей политики Purview DLP политика содержимого не может проверять содержимое файла или применять решения о разрешении или запрете. Сведения о настройке политики защиты от потери данных Purview для безопасности сетевых данных см. в пошаговом руководстве и примере: блокировка отправки конфиденциальных PDF-файлов в ChatGPT для конкретного сценария.

Связывание политики содержимого с профилем безопасности

  1. Перейдите к Глобальному безопасному доступу>Безопасные>профили безопасности.
  2. Выберите профиль безопасности, который требуется изменить.
  3. Перейдите в представление политик ссылок .
  4. Настройте политику содержимого ссылки:
    1. Выберите и свяжите политику>существующего содержимого.
    2. В меню "Имя политики" выберите созданную политику содержимого.
    3. Сохраните значения по умолчанию для положения и состояния.
    4. Нажмите кнопку "Добавить".
  5. Закройте профиль безопасности.

Настройка политики условного доступа

Чтобы применить профиль безопасности глобального безопасного доступа, создайте политику условного доступа со следующей конфигурацией:

  1. Войдите в Центр администрирования Microsoft Entra.
  2. Перейдите к Идентификация>Защита>условному доступу.
  3. Выберите и создайте новую политику.
  4. Присвойте этой политике имя.
  5. Выберите пользователей и группы для применения политики.
  6. Установите целевые ресурсы на Все интернет-ресурсы с глобальным безопасным доступом.
  7. Настройте разделы "Сеть", " Условия" и "Предоставление" в соответствии с вашими потребностями.
  8. В разделе "Сеанс" выберите "Использовать профиль безопасности глобального безопасного доступа" и выберите созданный профиль безопасности.
  9. Чтобы создать политику, нажмите кнопку "Создать".

Дополнительные сведения см. в статье "Создание и связывание политики условного доступа".

Политика содержимого успешно настроена.

Настройка политики защиты от потери данных Purview для безопасности сетевых данных

Если в политике содержимого выбрано действие Scan с помощью Purview, необходимо настроить соответствующую политику защиты от потери данных (DLP) в Microsoft Purview. Политика защиты от потери данных определяет, как Purview классифицирует и действует на файлы, которые Глобальный безопасный доступ направляет на инспекцию.

Это важно

Интеграция Scan с Purview для глобального безопасного доступа в настоящее время доступна в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Майкрософт не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Предварительные требования для интеграции с Purview

  • Microsoft Purview оплата по мере использования, настроенная для вашего арендатора. Вам потребуется только подписка с оплатой по факту использования для сценариев защиты данных (DLP) в сетях. При использовании других функций DLP требуется лицензирование на каждое рабочее место. Дополнительные сведения см. в разделе Learn о моделях выставления счетов Microsoft Purview.

Замечание

Если вы не видите защиту от потери данных в разделе "Параметры", ваша учетная запись может не иметь необходимых разрешений или у вашего клиента может не потребоваться лицензирование. Вам нужна роль, например DLP Compliance Management или Information Protection Admin, и подписка Microsoft 365 E5/A5 или надстройка DLP Microsoft Purview. Дополнительные сведения см. в разделе Permissions в Портал Microsoft Purview.

Подробные инструкции по интеграции поставщика SASE см. в разделе "Использование сетевой безопасности данных для предотвращения обмена конфиденциальной информацией с неуправляемыми ИИ -- интеграция поставщика SASE".

Создание DLP политики для безопасности данных в сети

  1. Войдите в Портал Microsoft Purview.
  2. ВыберитеПолитики>защиты от> потери данных + Создать политику.
  3. Выберите Встроенный веб-трафик.
  4. Выберите Настраиваемые в списке Категории , а затем выберите Пользовательская политика в списке Правила .
  5. Нажмите кнопку Далее.
  6. Введите имя и описание политики, а затем нажмите кнопку "Далее".
  7. Настройте облачные приложения для мониторинга:
    1. Выберите + Добавить облачные приложения.
    2. На вкладке "Адаптивные области приложений " выберите категории приложений, которые вы хотите защитить (например, все неуправляемые приложения ИИ).
    3. Нажмите кнопку "Добавить".
  8. Нажмите кнопку Далее.
  9. На странице "Выбор места применения политики " убедитесь, что сеть включена, а затем нажмите кнопку "Далее". Вы можете выбрать Сеть только при настроенной системе выставления счетов по мере использования. Дополнительные сведения см. в разделе Learn о моделях выставления счетов Microsoft Purview.
  10. Выберите "Создать или настроить расширенные правила защиты от потери данных " и нажмите кнопку "Далее".
  11. Выберите +Создать правило и настройте правило:
    1. Введите имя и необязательное описание.
    2. В Условия выберите + Добавить условие, затем >.
    3. Добавьте типы конфиденциальной информации или метки конфиденциальности , соответствующие требованиям к защите данных вашей организации.
    4. В разделе "Действия" выберите +Добавить действие>Ограничить действия браузера и сетевых действий.
    5. Выберите файл, загруженный или переданный в облако или приложения ИИ, и задайте действие Аудит или Блокировка в зависимости от необходимости.
    6. При необходимости настройте отчеты об инцидентах и параметры оповещений.
    7. Нажмите Сохранить.
  12. Проверьте правило, убедитесь, что его состояние включено и нажмите кнопку "Далее".
  13. На странице режима политики выберите сначала «Включить политику немедленно» или сначала запустите ее в режиме моделирования для тестирования.
  14. Нажмите кнопку "Далее", просмотрите политику и нажмите кнопку "Отправить".

Замечание

Поддержка Global Secure Access распространяется исключительно на действия с файлами. Текстовые действия в политике защиты от потери данных применяются к другим интегрированным решениям SASE, но не к глобальному безопасному доступу.

Подробное пошаговое руководство с примерами конфигураций см. в разделе "Использование сетевой безопасности данных", чтобы предотвратить предоставление общего доступа к конфиденциальной информации с неуправляемыми ИИ.

Проверка политики содержимого

Проверьте конфигурацию, пытаясь отправить или скачать файлы, соответствующие условиям политики содержимого. Убедитесь, что параметры политики блокируют или разрешают действия.

Пример. Блокировка отправки конфиденциальных PDF-файлов в ChatGPT

В этом примере рассматривается комплексный сценарий тестирования, который блокирует pdf-файл, содержащий конфиденциальные данные (например, номера кредитной карты или номера социального страхования) от отправки в ChatGPT.

Шаг 1. Конфигурация целей политики содержимого

При создании или изменении правила политики содержимого не добавляйте только chatgpt.com. Добавьте определенные URL-адреса и полные доменные имена, соответствующие трафику отправки файлов ChatGPT:

  • https://chatgpt.com/backend-api/files (добавьте в качестве URL-адреса)
  • https://chatgpt.com/backend-api/files/process_upload_stream (добавьте в качестве URL-адреса)
  • *.oaiusercontent.com (добавьте полное доменное имя)

Для типов контента выберите PDF (и другие типы файлов, которые требуется проверить).

Подсказка

Веб-приложения часто используют несколько URL-адресов и полных доменных имен в фоновом режиме. Используйте средства разработчика браузера или анализ сетевого трафика, чтобы определить правильные конечные точки отправки для целевого назначения. Для ChatGPT URL-адреса, перечисленные здесь, являются конечными точками, используемыми для операций отправки файлов.

Шаг 2. Настройка политики DLP Purview (для действия сканирования с Purview)

Если выбрать Scan с помощью Purview в качестве действия политики контента, необходимо также настроить соответствующую политику защиты от потери данных Microsoft Purview для проверки содержимого файла и принятия решения о разрешениях или запрете.

  1. В портале Microsoft Purview.
  2. Выполните действия, описанные в разделе "Безопасность сетевых данных", чтобы предотвратить общий доступ к конфиденциальной информации с неуправляемыми ИИ для создания новой политики защиты от потери данных.
    1. На шаге облачных приложений найдите и добавьте ChatGPT.
    2. Настройте правило защиты от потери данных для обнаружения типов конфиденциальной информации, которые необходимо заблокировать (например, номера кредитной карты или номера социального страхования).
    3. Задайте для действия правила значение Block.
  3. Сохраните и примените политику.

Дополнительные сведения о политиках DLP Microsoft Purview для сетевого трафика см. в разделе Изучите Microsoft Purview безопасность сетевых данных.

Замечание

Сетевая защита от потери данных с интеграцией глобального безопасного доступа в настоящее время доступна в предварительной версии. Глобальный безопасный доступ перенаправляет соответствующий трафик отправки в Microsoft Purview для проверки содержимого. Purview оценивает содержимое в соответствии с вашей политикой DLP и возвращает разрешение или отказ. Затем система Global Secure Access применяет результат.

Шаг 3. Проверка политики

  1. На управляемом устройстве с установленным клиентом Глобального безопасного доступа откройте браузер и перейдите в ChatGPT.
  2. Подготовьте тестовый PDF-файл, содержащий конфиденциальные данные, например примеры номеров кредитных карт или номеров социального страхования. Можно использовать файл примера из dlptest.com.
  3. В ChatGPT попытайтесь отправить тестовый PDF-файл.
  4. Убедитесь, что отправка заблокирована. ChatGPT отображает сообщение об ошибке, так как глобальный безопасный доступ предотвратил передачу файлов.
  5. Чтобы подтвердить блокировку, проверьте журналы трафика в Центр администрирования Microsoft Entra в разделе Global Secure Access>Monitor>Traffic logs.
  6. Если вы используете Scan с Purview, просмотрите сведения о сопоставлении оповещений или действий в Microsoft Purview. Дополнительные сведения см. в статье "Начало работы с панелью мониторинга предупреждений о потере данных " и "Начало работы с обозревателем действий".

Известные ограничения

  • Фильтрация сетевого содержимого не поддерживает текст. Он поддерживает только файлы.
  • Сжатое содержимое обнаруживается в формате ZIP. Содержимое не декомпрессируется.
  • Обнаружение истинного типа файла может не быть точным на 100%.
  • Конечные приложения, использующие WebSocket, такие как Copilot, не поддерживаются.
  • Домены верхнего уровня и домены второго уровня не поддерживают подстановочные знаки (например, *, *.com, *contoso.com) при настройке полных доменных имен.

Мониторинг и ведение журнала

Просмотр журналов трафика глобального безопасного доступа

Чтобы просмотреть журналы трафика, выполните приведенные далее действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью читателя отчетов.
  2. Выберите Глобальный Защищённый Доступ>Монитор>журналы трафика.

Проверка данных исследования Microsoft Purview

Если вы используете Сканирование с помощью Purview, просмотрите соответствующие данные для расследования в Microsoft Purview:

  1. Войдите в Портал Microsoft Purview.
  2. Чтобы просмотреть оповещения защиты от потери данных и связанные с ними события, перейдите коповещениям защиты > от потери данных. Дополнительные сведения см. в статье "Начало работы с панелью мониторинга предупреждений о потере данных".
  3. Чтобы исследовать соответствующие действия, откройте обозреватель действий и фильтр для действий защиты от потери данных сети или политики, пользователя или приложения, которые вы хотите проверить. Дополнительные сведения см. в разделе Начало работы с обозревателем действий.

Замечание

Оповещения Purview и обозреватель действий применяются только при использовании Purview для сканирования. Если вы используете базовую политику контента с действиями «Разрешить» или «Блокировать», вместо этого просмотрите журналы трафика Global Secure Access.

Связанный контент

  • Last updated on