تسرب البيانات (Data Leakage) لا يحدث دائماً بسبب الاختراق. في كثير من الأحيان، يكون السبب موظفاً يرفع ملفاً بالخطأ، أو موظفاً ساخطاً يسرق بيانات قبل استقالته. أنظمة منع فقدان البيانات (DLP) هي الحل، والبروكسي هو المكان المثالي لتطبيقها لأنه البوابة الوحيدة للخروج. لنرى كيف يمكن دمج DLP مع البروكسي لحماية أصول الشركة.
ما هو ICAP؟
بروتوكول تكييف محتوى الإنترنت (ICAP) هو اللغة التي يتحدث بها البروكسي (مثل Squid) مع أنظمة الحماية الخارجية (مثل مضاد الفيروسات أو DLP). بدلاً من أن يقوم البروكسي بكل شيء، يرسل نسخة من الملف إلى خادم DLP ليقول له: "هل هذا الملف آمن؟".
سيناريوهات المنع
1. منع رفع الملفات للسحابة الشخصية
العديد من الشركات تسمح بالتصفح ولكن تمنع الرفع (Upload).
يمكنك إعداد البروكسي ليسمح بـ GET (للقراءة) ويمنع POST (للكتابة/الرفع) لمواقع مثل Google Drive أو WeTransfer، إلا لحسابات الشركة الرسمية (وهذا يتطلب فحص SSL دقيق).
2. البحث عن الأنماط (Regex Matching)
يمكن لنظام DLP المرتبط بالبروكسي فحص محتوى النصوص المرسلة. إذا وجد نمطاً يطابق رقم بطاقة ائتمان (16 رقم) أو رقم ضمان اجتماعي، أو كلمة "Confidential" في ملف Word يتم رفعه، سيقوم بقطع الاتصال فوراً.
3. التحكم في أنواع الملفات (MIME Types)
كما ذكرنا في مقال حماية الشبكة، يمكن منع تنزيل الـ EXE.
بالمثل، يمكن منع رفع ملفات قواعد البيانات (.sql, .db) أو ملفات CAD الهندسية، لضمان عدم خروجها من الشركة.
مثال عملي مع Squid (بسيط)
مع Squid، يمكنك منع طرق الطلب (Request Methods) التي تستخدم للرفع لبعض المواقع:
# تعريف مواقع التخزين السحابي
acl file_sharing dstdomain .dropbox.com .drive.google.com
# تعريف طرق الرفع
acl upload_methods method POST PUT
# منع الرفع لهذه المواقع (لكن السماح بالتنزيل)
http_access deny file_sharing upload_methodsهذا حل بسيط، لكن الحلول التجارية (Enterprise DLP) تقدم دقة أعلى بكثير وتكامل أعمق.
الخلاصة
البيانات هي أمانة. استخدام البروكسي كحارس بوابة (Gatekeeper) يضمن أن ما يحدث في الشركة، يبقى في الشركة. تأكد دائماً من مراجعة سجلات الحوادث (Incidents) لتحسين سياساتك باستمرار.