Le funzionalità di protezione dei dati e dalle minacce sono disponibili solo per i clienti che hanno acquistato BeyondCorp Enterprise.
Utilizzando le funzionalità di protezione dei dati e dalle minacce di BeyondCorp, puoi integrare le funzionalità di prevenzione della perdita di dati (DLP) da utilizzare con Chrome per implementare il rilevamento di dati sensibili per i file che vengono caricati e scaricati, nonché per i contenuti che vengono incollati o trascinati.
Grazie a questa integrazione puoi stabilire quali dati possono essere condivisi dagli utenti di Chrome, ad esempio codici fiscali o numeri di carte di credito. Si applica solo al browser Chrome su Windows, Mac, Linux e al sistema operativo Chrome. Attualmente non sono supportate altre piattaforme.
BeyondCorp e DLP
L'integrazione DLP con Chrome è inclusa nella suite di funzionalità di BeyondCorp, che fa parte della sicurezza di Cloud Platform. Per configurare l'integrazione DLP, dovrai utilizzare le funzionalità di Google Workspace.
BeyondCorp include:
- Utilizzo delle funzionalità di gestione di Chrome
- Configurazione dei connettori di Chrome
- Configurazione delle regole DLP nella sicurezza di Google Workspace (descritta in questo articolo)
- Avvisi e indagini sugli eventi di sicurezza generati da Chrome (ad esempio rilevamento di malware o di dati sensibili, phishing o ingegneria sociale oppure riutilizzo della password)
Per informazioni dettagliate sull'implementazione di BeyondCorp, vai a Proteggere gli utenti di Chrome con la protezione dei dati e dalle minacce di BeyondCorp.
Passaggi per configurare le regole DLP per BeyondCorp
Per implementare e utilizzare l'intero insieme di protezioni DLP di BeyondCorp devi seguire questi passaggi:
- Passaggio 1: configura i criteri del connettore per il browser Chrome per le aziende. Per informazioni dettagliate, vai a Impostare i criteri del connettore di Chrome Enterprise per Google BeyondCorp Enterprise nella Guida di Google Chrome Enterprise.
- Passaggio 2: configura le regole di protezione dei dati (descritte in questo articolo) nella Console di amministrazione Google Workspace.
- Passaggio 3: configura gli avvisi di attività. Per una descrizione dei tipi di avvisi, vai Visualizzare i dettagli degli avvisi nel Centro assistenza per amministratori di Google Workspace.
Una volta create le regole DLP, quando gli utenti caricano, scaricano o copiano i dati nel browser, queste azioni possono attivare altrettanti eventi. Puoi:
- Visualizzare i rapporti nella dashboard per la sicurezza. I rapporti relativi a BeyondCorp sono i seguenti:
- Esaminare gli avvisi che segnalano incidenti relativi alla condivisione dei dati utilizzando lo strumento di indagine sulla sicurezza. Per maggiori dettagli, vai a Informazioni sullo strumento di indagine sulla sicurezza.
- Puoi visualizzare i dettagli del log di controllo nel log di controllo delle regole.
Esempi di regole DLP che supportano le integrazioni di BeyondCorp con Chrome
- Prima di creare regole DLP tramite le impostazioni di Chrome, assicurati di aver aggiornato i criteri del connettore di Chrome Enterprise in modo che supporti le funzionalità di BeyondCorp e l'integrazione con DLP. Per maggiori dettagli, vai a Impostare i criteri del connettore di Chrome Enterprise per Google BeyondCorp Enterprise.
- Per i passaggi generici per la creazione di regole DLP, vai a Creare regole e rilevatori di contenuti personalizzati nella nuova versione di DLP per Drive.
Integrazione di DLP e BeyondCorp: esempi di regole
Ecco alcuni esempi riguardanti il blocco dei download di file, l'avviso di download con più indirizzi e il blocco di un caricamento di Gmail contenente più indirizzi. In questi esempi viene utilizzato il tipo di campo URL.
Esempio 1: bloccare i download di file da drive.google.comQuesto esempio mostra come utilizzare le impostazioni delle regole per bloccare i download di file. In questo esempio, il download viene bloccato se è effettuato da drive.google.com.
Prima di iniziare, accedi al tuo account di super amministratore o a un account utente con delega di amministratore a cui siano assegnati questi privilegi:
- Privilegi di amministratore Unità organizzative.
- Privilegi di amministratore Gruppi.
- Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che abbia entrambi i privilegi.
- Privilegi di visualizzazione di metadati e attributi (necessari solo per l'uso dello strumento di indagine): Centro sicurezza
Strumento di indagine
Regola
Visualizzazione metadati e attributi.
Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a Sicurezza
Protezione dei dati.
- Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regola
Nuova regola.
- Aggiungi il nome e la descrizione della regola.
- Nella sezione Ambito, scegli Applica a tutto il dominio <nome.dominio> o scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.
Tieni presente che le unità organizzative possono contenere dispositivi, utenti o una combinazione di dispositivi e utenti: è un dato di fatto importante perché significa che le regole si applicano solo agli utenti nel caso dei browser Chrome e solo ai dispositivi nel caso di Chrome OS. Ricordalo quando crei le regole DLP per BeyondCorp.
- Fai clic su Continua. In Attivatori, per Chrome, seleziona File scaricato.
- Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
- Campo: URL
- Valore: Contiene
- Contenuti corrispondenti: drive.google.com
- Fai clic su Continua. Nella sezione Azioni, in Chrome, seleziona Blocca contenuti.
- Fai clic su Continua per esaminare i dettagli della regola.
- Fai clic su Crea e scegli:
- Attiva: la regola viene eseguita immediatamente
- Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza
Protezione dei dati
Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
- Fai clic su Completa.
L'applicazione della regola a tutti gli account utente delle unità organizzative e dei gruppi selezionati può richiedere fino a 24 ore.
Questo esempio mostra come utilizzare le impostazioni delle regole per attivare un avviso per l'utente quando si verificano determinate condizioni. In questo esempio, l'utente riceve un avviso se tenta di scaricare più di 30 indirizzi email contemporaneamente.
Prima di iniziare, accedi al tuo account di super amministratore o a un account utente con delega di amministratore a cui siano assegnati questi privilegi:
- Privilegi di amministratore Unità organizzative.
- Privilegi di amministratore Gruppi.
- Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che disponga di entrambi i privilegi.
- Privilegi di visualizzazione di metadati e attributi (necessari solo per l'uso dello strumento di indagine): Centro sicurezza
Strumento di indagine
Regola
Visualizzazione metadati e attributi.
Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a Sicurezza
Protezione dei dati.
- Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regola
Nuova regola.
- Aggiungi il nome e la descrizione della regola.
- Nella sezione Ambito, scegli Applica a tutto il dominio <nome.dominio> o scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.
Tieni presente che le unità organizzative possono contenere dispositivi, utenti o una combinazione di dispositivi e utenti: è un dato di fatto importante perché significa che le regole si applicano solo ai dispositivi nel caso dei browser Chrome e solo agli utenti nel caso di Chrome OS. Ricordalo quando crei le regole DLP per BeyondCorp.
- Fai clic su Continua. In Attivatori, per Chrome, seleziona File scaricato.
- Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
- Campo: tutti i contenuti
- Valore: corrisponde al rilevatore predefinito
- Rilevatore predefinito: Globale: indirizzo email
- Soglia di probabilità: Possibile
- Numero minimo di corrispondenze univoche: 30
- Numero di corrispondenze minimo: 30
- Fai clic su Continua. Nella sezione Azioni, sotto Chrome, seleziona Avvisa utente. L'utente riceve un avviso, ma può procedere con l'azione se la regola viene violata. Se l'utente sceglie di procedere dopo aver ricevuto un avviso, questa azione viene registrata nel log di controllo delle regole.
- Fai clic su Continua per esaminare i dettagli della regola.
- Fai clic su Crea e scegli:
- Attiva: la regola viene eseguita immediatamente
- Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza
Protezione dei dati
Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
- Fai clic su Completa.
L'applicazione della regola a tutti gli account utente delle unità organizzative e dei gruppi selezionati può richiedere fino a 24 ore.
Questo esempio mostra come utilizzare le impostazioni delle regole per bloccare i caricamenti di file. In questo esempio, il caricamento viene bloccato se l'utente tenta di caricare più di 30 indirizzi email contemporaneamente.
Prima di iniziare, accedi al tuo account di super amministratore o a un account utente con delega di amministratore a cui siano assegnati questi privilegi:
- Privilegi di amministratore Unità organizzative.
- Privilegi di amministratore Gruppi.
- Privilegi di Visualizzazione regola DLP e Gestione regola DLP. Tieni presente che devi attivare sia le autorizzazioni di visualizzazione sia quelle di gestione per avere l'accesso completo e poter creare e modificare le regole. Ti consigliamo di creare un ruolo personalizzato che disponga di entrambi i privilegi.
- Privilegi di visualizzazione di metadati e attributi (necessari solo per l'uso dello strumento di indagine): Centro sicurezza
Strumento di indagine
Regola
Visualizzazione metadati e attributi.
Scopri di più sui privilegi di amministratore e sulla creazione di ruoli di amministratore personalizzati.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (non termina con @gmail.com).
-
Nella home page della Console di amministrazione, vai a Sicurezza
Protezione dei dati.
- Fai clic su Gestisci regole. Quindi, fai clic su Aggiungi regola
Nuova regola.
- Aggiungi il nome e la descrizione della regola.
- Nella sezione Ambito, scegli Applica a tutto il dominio <nome.dominio> o scegli di cercare e includere o escludere le unità organizzative o i gruppi a cui si applica la regola. In caso di conflitto tra unità organizzative e gruppi in termini di inclusione o esclusione, i gruppi hanno la precedenza.
Tieni presente che le unità organizzative possono contenere dispositivi, utenti o una combinazione di dispositivi e utenti: è un dato di fatto importante perché significa che le regole si applicano solo ai dispositivi nel caso dei browser Chrome e solo agli utenti nel caso del sistema operativo Chrome. Ricordalo quando crei le regole DLP per BeyondCorp.
- Fai clic su Continua. In Attivatori, per Chrome, seleziona File caricato e Contenuti caricati.
Per gli attivatori File caricato e Contenuti caricati, il comportamento del blocco dipende dall'impostazione Ritarda il caricamento di file descritta in Impostare i criteri del connettore di Chrome Enterprise per Google BeyondCorp Enterprise. Se l'opzione Ritarda il caricamento di file è impostata su Consenti il caricamento immediato, il file verrà caricato durante la scansione. Per impedire agli utenti di caricare file o contenuti durante una scansione, l'impostazione Ritarda il caricamento di file deve essere impostata su Ritarda il caricamento fino al completamento dell'analisi.
- Nella sezione Condizioni, fai clic su Aggiungi condizione e seleziona i valori seguenti:
- Campo: tutti i contenuti
- Valore: corrisponde al rilevatore predefinito
- Rilevatore predefinito: Globale: indirizzo email
- Soglia di probabilità: Possibile
- Numero minimo di corrispondenze univoche: 30
- Numero di corrispondenze minimo: 30
- Fai clic su Aggiungi condizione.
- Campo: URL
- Valore: Contiene
- Contenuti corrispondenti: mail.google.com
- Fai clic su Continua. Nella sezione Azioni, in Chrome, seleziona Blocca contenuti.
- Fai clic su Continua per esaminare i dettagli della regola.
- Fai clic su Crea e scegli:
- Attiva: la regola viene eseguita immediatamente
- Inattiva: la regola esiste, ma non viene eseguita immediatamente. Questa opzione ti lascia il tempo di esaminare la regola e di condividerla con i membri del team prima di implementarla. Per attivare la regola in un secondo momento, vai a Sicurezza
Protezione dei dati
Gestisci regole. Fai clic sullo stato Inattiva della regola e seleziona Attiva. Non appena attivi la regola, inizia la sua esecuzione e la funzionalità DLP cerca i contenuti sensibili.
- Fai clic su Completa.
L'applicazione della regola a tutti gli account utente delle unità organizzative e dei gruppi selezionati può richiedere fino a 24 ore.
Argomenti correlati
- Impostare i criteri del connettore di Chrome Enterprise per Google BeyondCorp Enterprise
- Rapporto Riepilogo della protezione dalle minacce per Chrome
- Rapporto Riepilogo della protezione dei dati di Chrome
- Rapporto Utenti di Chrome ad alto rischio
- Rapporto Domini di Chrome ad alto rischio
- Log di controllo delle regole