Чтобы получить возможность более точно управлять тем, каким пользователям и устройствам разрешено передавать конфиденциальный контент, вы можете комбинировать правила защиты от потери данных (DLP) с условиями контекстно-зависимого доступа, например местоположением пользователя, уровнем безопасности устройства (управляемое, зашифрованное) и IP-адресом. При добавлении к правилу DLP правила контекстно-зависимого доступа оно выполняется только в том случае, если соблюдаются контекстно-зависимые условия.
Например, вы можете создать правило DLP, которое блокирует скачивание конфиденциального контента, только если пользователи:
- не находятся в корпоративной сети;
- входят из определенных стран, связанных с риском;
- используют устройства, которые не одобрены администратором.
Эти правила можно комбинировать с условиями контекстно-зависимого доступа, чтобы контролировать следующие операции:
Chrome – загрузка файла (например, прикрепление файла), загрузка веб-контента (вставка контента), скачивание, печать страницы.
Диск (бета версия) – копирование, скачивание и печать файлов на Диске пользователями с правами на добавление комментариев или просмотр.
Требования
Версия Workspace |
Chrome Enterprise Premium
(требуется для функции "Защита от потери данных" для Chrome, но не для Диска) |
---|---|
Версия Chrome |
Chrome 105 и более поздние (требуется для функции "Защита от потери данных" для Chrome, но не для Диска) |
Проверка конечных точек | Чтобы применять контекстно-зависимые условия, связанные с устройством, на компьютерах, должна быть включена проверка конечных точек. Это не требуется для атрибутов, не основанных на устройстве, например для IP-адреса и региона. |
Управление мобильными устройствами | На мобильных устройствах должно быть включено базовое или расширенное управление. |
Права администратора | Чтобы создать уровни доступа: "Сервисы" > "Защита данных" > "Управление уровнями доступа". |
Чтобы использовать уровни доступа в правилах DLP: "Сервисы" > "Защита данных" > "Управление уровнями доступа"; или "Сервисы" > "Защита данных" > "Управление правилами". |
Как настроить Chrome для применения правил
Чтобы интегрировать функции защиты от потери данных в Chrome, необходимо настроить правила Chrome Enterprise Connectors.
Как создать уровни доступа
- Выберите "Безопасность" > "Управление доступом и данными" > "Контекстно-зависимый доступ" > "Уровни доступа", чтобы посмотреть существующие уровни доступа.
- Вы можете создать уровень доступа до или во время создания правила контекстно-зависимого доступа. Если вы будете создавать его до правила, следуйте инструкциям по созданию уровней доступа. В приведенных ниже примерах уровень доступа создается вместе с правилом контекстно-зависимого доступа.
- Правилу контекстно-зависимого доступа можно назначить один уровень доступа. Чтобы создавать сложные условия с несколькими уровнями доступа, используйте расширенный режим.
Примеры правил DLP и контекстно-зависимого доступа
В приведенных ниже примерах показано, как можно комбинировать правила DLP с уровнями контекстно-зависимого доступа, чтобы настроить применение правил на основе IP-адреса, местоположения или статуса устройства пользователя.
Обратите внимание, что в этих примерах указаны действия, необходимые для создания уровней доступа одновременно с правилом DLP. Если у вас уже настроены уровни доступа, эти действия при создании правила можно пропустить.
Пример 1. Запрет на скачивание конфиденциального контента на устройстве вне сети компании (Chrome)-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- Выберите ПравилаСоздать правилоЗащита данных.
- Добавьте название и описание правила.
- В разделе Область действия выберите Все в домене <доменное.имя> или укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если между организационными подразделениями и группами возникнет конфликт, связанный с включением или исключением, группа имеет приоритет.
- Нажмите Продолжить.
- Выберите Приложения, а затем в разделе Chrome установите флажок Файл скачан.
- Нажмите Продолжить.
- В разделе Условия нажмите Добавить условие.
- Для параметра Тип контента, который нужно сканировать выберите значение Весь контент.
- В качестве значения параметра Что искать выберите тип сканирования защиты от потери данных и его атрибуты. Дополнительная информация о доступных атрибутах приведена в разделе Как создать правило DLP.
- В разделе Контекстно-зависимые условия нажмите Выбрать уровень доступа, чтобы посмотреть существующие уровни доступа.
- Нажмите Создать уровень доступа.
- Укажите название и описание нового уровня доступа.
- В разделе Контекстно-зависимые условия нажмите Добавить условие.
- Выберите Не соответствует одному или нескольким атрибутам.
- Нажмите Выбрать атрибутIP-подсеть, а затем введите IP-адрес сети вашей компании. Используйте адрес по стандарту IPv4 или IPv6 либо префикс маршрутизации в формате блока CIDR.
- Личные IP-адреса, в том числе адреса домашних сетей пользователей, не поддерживаются.
- Статические IP-адреса поддерживаются.
- Чтобы использовать динамический IP-адрес, укажите для уровня доступа подсеть со статическим IP-адресом. Если указанный для уровня доступа статический IP-адрес находится в диапазоне динамических IP-адресов, то условие будет выполнено. Если динамический IP-адрес не входит в указанную статическую IP-подсеть, условие не будет выполнено.
- Нажмите Создать. Снова откроется страница Создать правило. Новый уровень доступа будет добавлен в список, а его атрибуты будут показаны справа.
- Нажмите Продолжить.
- На странице Действия найдите действие Chrome и выберите Заблокировать.
Примечание. Действие применяется только в том случае, если соблюдаются условия соответствия содержания и контекстно-зависимого доступа.
- Вы также можете выбрать степень серьезности оповещений (низкую, среднюю или высокую) и указать, нужно ли отправлять оповещения и уведомления по электронной почте.
- Нажмите Продолжить, чтобы посмотреть сведения о правиле.
- Выберите статус для правила:
- Активно. Правило выполняется немедленно.
- Неактивно. Правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед внедрением. Чтобы активировать правило позже, выберите "Безопасность" > "Управление доступом и данными" > "Защита данных" > "Управление правилами". Нажмите на статус правила "Неактивно" и выберите "Активно". После активации правило будет запущено и функция DLP проверит наличие конфиденциальных данных.
- Нажмите Создать.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- Выберите ПравилаСоздать правилоЗащита данных.
- Добавьте название и описание правила.
- В разделе Область действия выберите Все в домене <доменное.имя> или укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если между организационными подразделениями и группами возникнет конфликт, связанный с включением или исключением, группа имеет приоритет.
- Нажмите Продолжить.
- Выберите Приложения, а затем в разделе Chrome установите флажок Файл скачан.
- Нажмите Продолжить.
- В разделе Условия нажмите Добавить условие.
- Для параметра Тип контента, который нужно сканировать выберите значение Весь контент.
- В качестве значения параметра Что искать выберите тип сканирования защиты от потери данных и его атрибуты. Дополнительная информация о доступных атрибутах приведена в разделе Как создать правило DLP.
- В разделе Контекстно-зависимые условия нажмите Выбрать уровень доступа, чтобы посмотреть существующие уровни доступа.
- Нажмите Создать уровень доступа.
- Укажите название и описание нового уровня доступа.
- В разделе Контекстно-зависимые условия нажмите Добавить условие.
- Выберите Соответствует всем атрибутам.
- Нажмите Выбрать атрибутМестоположение, а затем выберите из раскрывающегося списка страну.
- Чтобы добавить другие страны, нажмите Добавить условие, а затем повторите шаг 16.
- Если вы выбрали несколько стран, установите переключатель Объединение условий с помощью оператора (над разделом Условия) в положение OR. Тогда правило DLP будет применяться в том случае, если пользователь вошел в аккаунт из любой из выбранных стран.
- Нажмите Создать. Снова откроется страница Создать правило. Новый уровень доступа будет добавлен в список, а его атрибуты будут показаны справа.
- Нажмите Продолжить.
- На странице Действия найдите действие Chrome и выберите Заблокировать.
Примечание. Действие применяется только в том случае, если соблюдаются условия соответствия содержания и контекстно-зависимого доступа.
- Вы также можете выбрать степень серьезности оповещений (низкую, среднюю или высокую) и указать, нужно ли отправлять оповещения и уведомления по электронной почте.
- Нажмите Продолжить, чтобы посмотреть сведения о правиле.
- Выберите статус для правила:
- Активно. Правило выполняется немедленно.
- Неактивно. Правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед внедрением. Чтобы активировать правило позже, выберите "Безопасность" > "Управление доступом и данными" > "Защита данных" > "Управление правилами". Нажмите на статус правила "Неактивно" и выберите "Активно". После активации правило будет запущено и функция DLP проверит наличие конфиденциальных данных.
- Нажмите Создать.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- Выберите ПравилаСоздать правилоЗащита данных.
- Добавьте название и описание правила.
- В разделе Область действия выберите Все в домене <доменное.имя> или укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если между организационными подразделениями и группами возникнет конфликт, связанный с включением или исключением, группа имеет приоритет.
- Нажмите Продолжить.
- Выберите Приложения, а затем в разделе Google Диск выберите Файлы на Диске.
- Нажмите Продолжить.
- В разделе Условия нажмите Добавить условие.
- Для параметра Тип контента, который нужно сканировать выберите значение Весь контент.
- В качестве значения параметра Что искать выберите тип сканирования защиты от потери данных и его атрибуты. Дополнительная информация о доступных атрибутах приведена в разделе Как создать правило DLP.
- В разделе Контекстно-зависимые условия нажмите Выбрать уровень доступа, чтобы посмотреть существующие уровни доступа.
- Нажмите Создать уровень доступа.
- Укажите название и описание нового уровня доступа.
- В разделе Контекстно-зависимые условия нажмите Добавить условие.
- Выберите Не соответствует одному или нескольким атрибутам.
- Нажмите Выбрать атрибутУстройство, а затем выберите из раскрывающегося списка Одобрено администратором.
- Нажмите Создать. Снова откроется страница Создать правило. Новый уровень доступа будет добавлен в список, а его атрибуты будут показаны справа.
- Нажмите Продолжить.
- На странице Действия найдите действие на Google Диске и выберите Запретить скачивание, печать и копирование для пользователей с правами на комментирование и просмотр.
Примечание. Действие применяется только в том случае, если соблюдаются условия соответствия содержания и контекстно-зависимого доступа.
- Вы также можете выбрать степень серьезности оповещений (низкую, среднюю или высокую) и указать, нужно ли отправлять оповещения и уведомления по электронной почте.
- Нажмите Продолжить, чтобы посмотреть сведения о правиле.
- Выберите статус для правила:
- Активно. Правило выполняется немедленно.
- Неактивно. Правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед внедрением. Чтобы активировать правило позже, выберите "Безопасность" > "Управление доступом и данными" > "Защита данных" > "Управление правилами". Нажмите на статус правила "Неактивно" и выберите "Активно". После активации правило будет запущено и функция DLP проверит наличие конфиденциальных данных.
- Нажмите Создать.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
В этом примере блокируется попытка пользователя перейти в консоль администратора Salesforce (salesforce.com/admin) на устройстве, управление которым не настроено. При этом у пользователя сохраняется доступ к остальным частям приложения Salesforce.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- Выберите ПравилаСоздать правилоЗащита данных.
- Добавьте название и описание правила.
- В разделе Область действия выберите Все в домене <доменное.имя> или укажите отдельные организационные подразделения или группы, к которым нужно применять правило. Если между организационными подразделениями и группами возникнет конфликт, связанный с включением или исключением, группа имеет приоритет.
- Нажмите Продолжить.
- Выберите Приложения, а затем в разделе Chrome установите флажок Посещенный URL.
- Нажмите Продолжить.
- В разделе Условия нажмите Добавить условие и выберите следующие значения:
- Тип контента, который нужно сканировать – "URL".
- Что искать – "Содержит текст".
- Контент, соответствие которому нужно найти — "salesforce.com/admin".
- В разделе Контекстно-зависимые условия нажмите Выбрать уровень доступа, чтобы посмотреть существующие уровни доступа.
- Нажмите Создать уровень доступа.
- Укажите название и описание нового уровня доступа.
- В разделе Контекстно-зависимые условия перейдите на вкладку Расширенный.
- В текстовом поле введите следующее:
device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
Подробнее о расширенном режиме…
- Нажмите Создать. Снова откроется страница Создать правило. Новый уровень доступа будет добавлен в список, а его атрибуты будут показаны справа.
- Нажмите Продолжить.
- На странице Действия найдите действие Chrome и выберите Заблокировать.
Примечание. Действие применяется только в том случае, если соблюдаются условия соответствия содержания и контекстно-зависимого доступа.
- Вы также можете выбрать степень серьезности оповещений (низкую, среднюю или высокую) и указать, нужно ли отправлять оповещения и уведомления по электронной почте.
- Нажмите Продолжить, чтобы посмотреть сведения о правиле.
- Выберите статус для правила:
- Активно. Правило выполняется немедленно.
- Неактивно. Правило создается, но не выполняется немедленно, благодаря чему вы можете проверить его и поделиться им с другими участниками команды перед внедрением. Чтобы активировать правило позже, выберите "Безопасность" > "Управление доступом и данными" > "Защита данных" > "Управление правилами". Нажмите на статус правила "Неактивно" и выберите "Активно". После активации правило будет запущено и функция DLP проверит наличие конфиденциальных данных.
- Нажмите Создать.
Примечание. Если фильтруемый вами URL недавно посещался, он на несколько минут кешируется и может не фильтроваться новым (или измененным) правилом, пока кешированные данные для этого URL не будут удалены. Поэтому подождите около 5 минут, прежде чем тестировать новое или измененное правило.
Часто задаваемые вопросы
Как комбинация условий контекстно-зависимого доступа и правил DLP работает в предыдущих версиях Chrome?В предыдущих версиях Chrome контекстно-зависимые условия игнорируются. В правилах учитываются только условия контента.
Нет. Правила не применяются в режиме инкогнито. Администраторы могут запретить вход в приложения Workspace или SaaS в режиме инкогнито Chrome, применив контекстно-зависимый доступ во время входа.
Если управляемый браузер и управляемый аккаунт относятся к одной кампании, будут применяться правила DLP на уровне браузера и на уровне пользователя.
В противном случае применяются только правила на уровне браузера. Контекстно-зависимое условие всегда будет считаться выполненным и будет применяться самый строгий результат. Это не влияет на условия, зависящие от IP-адреса или региона.
Функция контекстно-зависимого доступа в консоли администратора не поддерживает все атрибуты, которые поддерживает консоль GCP, поэтому в консоли администратора можно назначать, но не редактировать любые базовые уровни, созданные в консоли GCP, в которые входят эти атрибуты.
В консоли администратора на странице "Правила" можно назначать уровни доступа, созданные в GCP, но нельзя просматривать сведения об условиях для уровней доступа с неподдерживаемыми атрибутами.
- Убедитесь, что вы являетесь администратором с правом "Сервисы" > "Защита данных" > "Управление уровнями доступа", которое необходимо для просмотра контекстно-зависимых условий во время создания правила DLP.
- Карточка контекстно-зависимых условий появляется только в том случае, если вы выберете триггеры Chrome при создании правила.
Если удалить назначенный уровень доступа, контекстно-зависимые условия по умолчанию будут считаться выполненными и правило будет работать как правило соответствия содержания. Обратите внимание, что в таком случае правило будет применяться к большему числу устройств или сценариев использования, чем вы рассчитывали.
Нет. Оценка уровня доступа в правилах не зависит от настроек контекстно-зависимого доступа. Активация и назначение контекстно-зависимого доступа не должны влиять на правила.
В таком случае правило применяется по умолчанию. Это означает, что для правил, основанных на контекстно-зависимых условиях, условия соответствия содержания можно не заполнять. Обратите внимание, что если не заполнять оба вида условий, правило будет активироваться всегда.
Нет. Правило активируется только в том случае, если выполнены условия соответствия содержания и контекстно-зависимые условия.
Как правила защиты от потери данных, так и правила контекстно-зависимого доступа используют фоновые службы, работа которых может время от времени прерываться. Если это случается во время применения правила, то правило не будет применено. В таких случаях и в журнале правил, и в журнале Chrome регистрируется соответствующее событие.
Для атрибутов на основе устройства контекстно-зависимые условия будут считаться выполненными и будет применяться самый строгий результат. На атрибуты, не основанные на устройстве (такие как IP-адрес и регион), это не влияет.
Да. Чтобы посмотреть эту информацию, выполните поиск событий журнала правил или событий журнала Chrome в столбце "Уровень доступа" результатов поиска.
Нет. Пока что он для них недоступен.
Статьи по теме
Как использовать DLP в Workspace для предотвращения потери данных
Как использовать Chrome Enterprise Premium для защиты от потери данных в Chrome