使用 BeyondCorp Threat and Data Protection 功能,在 Chrome 中集成数据泄露防护规则

BeyondCorp 为 Chrome 集成 DLP 功能

只有购买了 BeyondCorp Enterprise 的客户可以使用 BeyondCorp Threat and Data Protection 功能。

借助 BeyondCorp Threat and Data Protection,您可以为 Chrome 集成数据泄露防护 (DLP) 功能,以便对上传和下载的文件以及粘贴或拖放的内容实现敏感数据检测。

通过此项集成,您可以控制 Chrome 用户可以共享哪些数据,例如社会保障号或信用卡号。此项集成仅适用于 Windows、Mac、Linux 和 Chrome 操作系统中的 Chrome 浏览器。目前不支持其他平台。

BeyondCorp 和 DLP

Chrome 的 DLP 集成包含在 Cloud Platform 安全性的 BeyondCorp 功能套件中。如需配置 DLP 集成,请使用 Google Workspace 功能。

BeyondCorp 包括:

  • 使用 Chrome 管理功能
  • Chrome 接口的配置
  • Google Workspace 安全性中的 DLP 规则配置(如本文所述)
  • Chrome 生成的安全性事件(例如恶意软件或敏感数据检测、网上诱骗或社会工程学,或重复使用密码)的提醒和调查

如需详细了解如何实施 BeyondCorp,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户

设置 BeyondCorp DLP 的步骤

如需实施和使用整套 BeyondCorp DLP 防护功能,您必须执行以下操作:

创建 DLP 规则后,当用户上传、下载数据或将数据复制粘贴到浏览器中时,这些操作可以触发事件。您可以:

支持 BeyondCorp 与 Chrome 集成的 DLP 规则示例

DLP 和 BeyondCorp 集成 - 规则示例

以下提供了一些示例,说明如何禁止文件下载、为包含多个地址的下载发出警告以及禁止包含多个地址的 Gmail 上传。下面的示例中重点展示了字段类型“网址”

示例 1:禁止下载来自 drive.google.com 的文件

此示例展示了如何使用规则设置来禁止文件下载。在本示例中,如果下载来自 drive.google.com,则系统会禁止下载。

在开始前,请先使用超级用户帐号或者拥有以下权限的委派管理员帐号登录:

  • “单位部门管理员”权限。
  • “群组管理员”权限。
  • 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
  • 查看元数据和属性的权限(仅使用调查工具时需要):安全中心 接着点击 调查工具 接着点击 规则 接着点击 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 数据保护
  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定单位部门或群组,具体做法是搜索相应单位部门或群组,进行添加或排除。如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

    请注意,单位部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于支持 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。

  6. 点击“继续”。在“触发器”下,为 Chrome 选择文件已下载
  7. 在“条件”部分,点击“添加条件”并选择以下值:
    1. 字段 - 网址
    2. - 包含
    3. 要匹配的内容 - drive.google.com
  8. 点击继续。在“操作”部分的“Chrome”下,选择屏蔽内容
  9. 点击继续以查看规则详情。
  10. 点击创建,然后选择:
    1. 活跃 - 您的规则会立即生效
    2. 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性 接着点击 数据保护 接着点击 管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  11. 点击完成
    该规则最长可能需要 24 小时才能应用到所选单位部门和群组中的所有用户帐号。
示例 2:为包含超过 30 个电子邮件地址的 Chrome 下载发出警告

下例介绍了如何使用规则设置在特定条件下触发用户警告。在此示例中,如果用户尝试一次下载超过 30 个电子邮件地址,系统会发出警告。

在开始前,请先使用超级用户帐号或者拥有以下权限的委派管理员帐号登录:

  • “单位部门管理员”权限。
  • “群组管理员”权限。
  • 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
  • 查看元数据和属性的权限(仅使用调查工具时需要):安全中心 接着点击 调查工具 接着点击 规则 接着点击 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 数据保护
  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定单位部门或群组,具体做法是搜索相应单位部门或群组,进行添加或排除。如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

    请注意,单位部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于支持 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。

  6. 点击“继续”。在“触发器”下,为 Chrome 选择文件已下载
  7. 在“条件”部分,点击添加条件并选择以下值:
    1. 字段 - 所有内容
    2. - 与默认检测器匹配
    3. 默认检测器 - 全局 - 电子邮件地址
    4. 可能性阈值 - 可能
    5. 不重复匹配数量下限 - 30
    6. 最低匹配计数 - 30
  8. 点击继续。在“操作”部分的“Chrome”下,选择警告用户。用户会收到警告,但可以选择无视规则,继续操作。如果用户在收到警告后选择继续操作,规则审核日志会记录此操作。
  9. 点击继续以查看规则详情。
  10. 点击创建,然后选择:
    1. 活跃 - 您的规则会立即生效
    2. 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性 接着点击 数据保护 接着点击 管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  11. 点击完成
    该规则最长可能需要 24 小时才能应用到所选单位部门和群组中的所有用户帐号。
示例 3:阻止包含超过 30 个电子邮件地址的 Chrome 上传

此示例展示了如何使用规则设置来禁止文件上传。在此示例中,如果用户尝试一次性上传超过 30 个电子邮件地址,则系统会禁止上传。

在开始前,请先使用超级用户帐号或者拥有以下权限的委派管理员帐号登录:

  • “单位部门管理员”权限。
  • “群组管理员”权限。
  • 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
  • 查看元数据和属性的权限(仅使用调查工具时需要):安全中心 接着点击 调查工具 接着点击 规则 接着点击 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 数据保护
  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定单位部门或群组,具体做法是搜索相应单位部门或群组,进行添加或排除。如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

    请注意,单位部门可以包含设备、用户或设备和用户的组合。这一点非常重要,因为规则仅适用于支持 Chrome 浏览器的设备,以及使用 Chrome 操作系统的用户。创建 BeyondCorp DLP 规则时,请记住这一点。

  6. 点击“继续”。在“触发器”下,为 Chrome 选择文件已上传已上传内容

    对于文件已上传已上传内容触发器,禁止行为取决于为 Google BeyondCorp Enterprise 设置 Chrome 企业版接口政策中指定的延后文件上传设置。如果延后文件上传设置设为允许直接上传,系统会在扫描过程中上传文件。如需阻止用户在扫描期间上传文件或内容,请将延后文件上传设置设为分析结束后再上传文件

  7. 在“条件”部分,点击添加条件并选择以下值:
    1. 字段 - 所有内容
    2. - 与默认检测器匹配
    3. 默认检测器 - 全局 - 电子邮件地址
    4. 可能性阈值 - 可能
    5. 不重复匹配数量下限 - 30
    6. 最低匹配计数 - 30
    7. 点击添加条件
    8. 字段 - 网址
    9. - 包含
    10. 要匹配的内容 - mail.google.com
  8. 点击继续。在“操作”部分的“Chrome”下,选择屏蔽内容
  9. 点击继续以查看规则详情。
  10. 点击创建,然后选择:
    1. 活跃 - 您的规则会立即生效
    2. 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以转到安全性 接着点击 数据保护 接着点击 管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。
  11. 点击完成
    该规则最长可能需要 24 小时才能应用到所选单位部门和群组中的所有用户帐号。

相关主题

该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题

搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
true
73010
false