人們對于采用云計(jì)算最大的關(guān)注問題之一就是針對他們數(shù)據(jù)的潛在風(fēng)險。無論何時，一旦“失去”了對資產(chǎn)的物理控制，我們自然會對此產(chǎn)生焦慮。由于防數(shù)據(jù)丟失（DLP）技術(shù)成為了屈指可數(shù)致力于保護(hù)數(shù)據(jù)的技術(shù)之一，那么我們很自然地會希望能將該項(xiàng)技術(shù)應(yīng)用于基于云計(jì)算的數(shù)據(jù)保護(hù)。

目前，云計(jì)算中有三種不同的業(yè)務(wù)可以讓DLP技術(shù)一顯身手。第一個是使用其作為控制數(shù)據(jù)遷往云計(jì)算的工具。第二個則是在云計(jì)算中控制保護(hù)數(shù)據(jù)。最后，我們可以使用DLP工具來找到“暴露”在云計(jì)算中的敏感數(shù)據(jù)。

使用DLP工具來控制數(shù)據(jù)遷移

在云計(jì)算中DLP工具最能大顯身手的用處就是監(jiān)控從傳統(tǒng)基礎(chǔ)設(shè)施到云計(jì)算的數(shù)據(jù)遷移。絕大多數(shù)的云計(jì)算服務(wù)都把HTTP協(xié)議作為他們主要的輸出通訊協(xié)議（雖然經(jīng)常是通過自定義的API）。因此，如果你監(jiān)控HTTP（以及HTTPS），你就能在云計(jì)算服務(wù)模式的范圍內(nèi)捕獲很多的潛在數(shù)據(jù)遷移。

所有的網(wǎng)絡(luò)DLP工具都能夠監(jiān)控HTTP流量，我強(qiáng)烈建議你堅(jiān)持使用同時支持HTTPS本地監(jiān)控或通過網(wǎng)絡(luò)網(wǎng)關(guān)集成監(jiān)控的方法。然后，可用詢問你的DLP供應(yīng)商，他們是否了解云計(jì)算的主要服務(wù)和目的，這將減少編寫自定義規(guī)則的需要。然后你能夠把你任何現(xiàn)有的DLP內(nèi)容規(guī)則應(yīng)用于云計(jì)算服務(wù)或只是為在云計(jì)算是你數(shù)據(jù)的發(fā)送目標(biāo)時設(shè)置通用警告。

在云計(jì)算中跟蹤數(shù)據(jù)

一旦數(shù)據(jù)在云計(jì)算中，你可能希望跟蹤其具體位置。或者你可能希望跟蹤你的用于存放敏感數(shù)據(jù)的云計(jì)算基礎(chǔ)設(shè)施。這就是內(nèi)容發(fā)現(xiàn)的由來，你可以使用你的DLP工具在已知的庫中掃描敏感數(shù)據(jù)。

如果你使用著基礎(chǔ)設(shè)施即服務(wù)，你可以使用你現(xiàn)有的DLP工具來掃描，就如同在你的傳統(tǒng)數(shù)據(jù)中心中一樣，當(dāng)然你可能需要增加一個VPN連接以便于能夠訪問存儲庫。如果你的DLP工具支持，你還可以在云計(jì)算中查看部署DLP虛擬設(shè)備。對于平臺即服務(wù)或軟件即服務(wù)，你需要一個讓DLP工具訪問數(shù)據(jù)的方法（例如基于API的文件存儲訪問方法）以及一個支持通訊方法的DLP工具。這一點(diǎn)已逐漸得到了改善，我們看到一些供應(yīng)商正在開始開放對主要云計(jì)算存儲服務(wù)（如Amazon S3或Rackspace Cloud Files）。

最后，你可以使用DLP工具在云計(jì)算中的關(guān)鍵點(diǎn)監(jiān)控網(wǎng)絡(luò)流量。有三種方法可以實(shí)現(xiàn)該功能：使用嵌入在云計(jì)算實(shí)例或管理程序中的端點(diǎn)代理，通過云計(jì)算外部專用DLP服務(wù)器或設(shè)備進(jìn)行流量規(guī)劃，或運(yùn)行一個DLP服務(wù)器的云計(jì)算實(shí)例并通過它來規(guī)劃流量。

如果你使用的是公共云計(jì)算，你不必強(qiáng)求網(wǎng)絡(luò)路由達(dá)到DLP要求的程度，而應(yīng)該更多地依賴于基于代理的方法。但是，一旦你使用的是私有云計(jì)算或虛擬私有云計(jì)算，你所擁有的控制權(quán)足以規(guī)劃流量并使用DLP進(jìn)行監(jiān)控。

云計(jì)算DLP工具的局限性

你應(yīng)了解它的一個局限性，即你的公共云計(jì)算平臺可能對每個實(shí)例只支持一個單一的網(wǎng)絡(luò)接口，這就意味著你需要一個能夠在這樣一個限制下監(jiān)控和發(fā)送流量的虛擬DLP。請記住，我們大部分人并不會使用DLP來監(jiān)控基于數(shù)據(jù)中心的應(yīng)用程序，它也不是我推薦用于保護(hù)服務(wù)器的首選技術(shù)。

總之，在使用DLP工具監(jiān)控數(shù)據(jù)的云計(jì)算遷移中，在基于云計(jì)算存儲的內(nèi)容發(fā)現(xiàn)中，我看到了DLP的重要價值，但在公共云計(jì)算中部署DLP的價值卻是很小。（它在私有云計(jì)算中有重要使用價值，這取決于你使用它的場合）。隨著時間的推移和技術(shù)的發(fā)展，這一點(diǎn)將發(fā)生變化，我們將可以在云計(jì)算中部署各種各樣的服務(wù)，但是我們能夠使用DLP在線保護(hù)的任何云計(jì)算部署都是一個應(yīng)用程序基礎(chǔ)設(shè)施，我們將更多地關(guān)注應(yīng)用程序安全性和加密。

DLP可能是一個提高數(shù)據(jù)在云計(jì)算中安全性的優(yōu)秀工具。使用它可以跟蹤數(shù)據(jù)的云計(jì)算遷移、發(fā)現(xiàn)云計(jì)算中存儲的敏感數(shù)據(jù)以及保護(hù)在云計(jì)算中運(yùn)行的服務(wù)。但是，無論何種技術(shù)，請確保已根據(jù)實(shí)際使用環(huán)境進(jìn)行過調(diào)整，不要浪費(fèi)時間把它部署在不能產(chǎn)生價值的地方。