A Mudança de Controles de Rede para Segurança Centrada em Dados
Por anos, a segurança empresarial era sobre bloquear o perímetro da rede. Mas com o trabalho migrando para SaaS, dispositivos não gerenciados e assistentes de IA, o perímetro se dissolveu. O Cloudflare One começou como uma solução de segurança de rede, mas o problema central que resolve não mudou: proteger dados sensíveis onde quer que eles se movam.
A maioria dos programas de segurança, independentemente da marca, tenta responder às mesmas três perguntas:
- Quem deve ter acesso a quê?
- O que eles estão fazendo com esse acesso?
- Como impedimos que dados saiam da organização?
A visão do Cloudflare One é um modelo de política único que segue os dados por endpoints, navegadores, apps SaaS e prompts de IA. Este post detalha quatro grandes atualizações que aproximam essa visão da realidade.
Fonte: Blog da Cloudflare - Segurança de Dados Unificada
1. Controles de Área de Transferência para RDP via Navegador
Acesso remoto para contratados e parceiros geralmente significa usar RDP via navegador. O maior vetor de vazamento de dados? A área de transferência. Usuários copiam registros de clientes, trechos de código ou dados financeiros da sessão remota para a máquina local.
Novo recurso: Administradores agora podem controlar a direcionalidade e o contexto da área de transferência em sessões RDP via navegador.
# Exemplo de lógica de política (pseudo-código)
if session.source == "portal-de-suporte-ao-cliente":
permitir copiar/colar PARA a sessão # produtividade
bloquear copiar/colar DA sessão # evitar exfiltração de dados
else:
permitir ambas as direções
Essa granularidade evita o trade-off entre produtividade e segurança. Os usuários ainda podem colar dados na sessão para seu fluxo de trabalho, mas dados sensíveis não podem ser copiados da sessão para um endpoint não gerenciado.
2. Mapeamento de Operações em Logs
A visibilidade sobre o que os usuários realmente fazem dentro de apps SaaS é crítica. O mapeamento de operações do Cloudflare One converte requisições HTTP brutas em ações significativas como SendPrompt, Upload ou Share.
Nova atualização: Essas operações agora aparecem diretamente nos eventos de log sem nenhuma configuração extra.
{
"operation": "SendPrompt",
"application_control": "Interação com IA",
"app": "ChatGPT",
"user": "alice@empresa.com.br",
"timestamp": "2025-04-10T14:32:00Z"
}
Isso acelera a análise forense. Em vez de adivinhar o que um usuário fez, você vê exatamente: "Alice enviou um prompt para o ChatGPT às 14:32."
3. DLP Endpoint no Cliente Cloudflare One
Os dados não deixam de ser sensíveis quando saem de uma aba do navegador. Se um usuário copia um registro de cliente do Salesforce e cola em um LLM pessoal, os dados já foram exfiltrados.
Novo recurso: Aplicação de DLP no dispositivo no cliente Cloudflare One, começando com monitoramento da área de transferência.
# Regra conceitual de DLP para monitoramento de clipboard
if clipboard_content.contains("CPF" or "cartao_credito"):
if destination_app in ["llm_pessoal", "chat_nao_gerenciado"]:
bloquear_colagem()
log_alerta("Dados sensíveis bloqueados de colar em app não autorizado")
else:
permitir_colagem()
Isso fecha a lacuna entre controles baseados em navegador e ações no endpoint. Nenhum agente secundário necessário.
4. Varredura do M365 Copilot via API CASB
Assistentes de IA são o novo canal de exfiltração de dados. O Copilot pode referenciar arquivos sensíveis em suas respostas, e os usuários podem fazer upload de documentos diretamente.
Nova integração: O API CASB do Cloudflare One agora varre a atividade do Microsoft 365 Copilot em busca de correspondências de DLP.
| Tipo de Detecção | Exemplo | Ação |
|---|---|---|
| Prompt contém PII | "Me envie a lista de clientes por e-mail" | Alertar + bloquear |
| Resposta do Copilot inclui dados confidenciais | Resumo de documento de M&A | Alertar + redigir |
| Upload de arquivo com conteúdo sensível | Planilha com CPFs | Bloquear upload |
Isso dá às equipes de segurança um contexto rico (referências de arquivos, correspondências de perfil) sem precisar cavar logs de auditoria brutos.
Limitações e Considerações
- Falsos positivos: O DLP de área de transferência pode bloquear fluxos de trabalho legítimos se as regras forem muito amplas. Comece com o modo de monitoramento antes de aplicar bloqueios.
- Cobertura do Copilot: Atualmente apenas M365 Copilot. Outros assistentes de IA (Google Gemini, Claude, ChatGPT) estão planejados, mas ainda não são suportados.
- Dependência de navegador: Os controles de RDP via navegador exigem que os usuários usem o cliente de navegador, não um cliente RDP nativo.
Conclusão: O Futuro da Segurança de Dados é Unificado
As atualizações neste post compartilham uma direção comum: a política segue os dados, não os limites do produto. Sejam dados em trânsito, em repouso, em uso ou em prompts, o Cloudflare One visa fornecer visibilidade e aplicação consistentes.
Próximos Passos para Aprendizado
- Comece com o modo de monitoramento para DLP endpoint para entender os padrões de movimento de dados.
- Revise seu inventário de apps SaaS e habilite o mapeamento de operações para apps de alto risco (ChatGPT, Copilot, etc.).
- Para equipes novas em segurança de dados, confira este guia sobre Vulnerabilidade Crítica de RCE em React Server Components (CVE-2025-55182) - Guia de Ação Imediata para entender como a segurança de dados se cruza com o risco de supply chain.