數(shù)據(jù)泄露防護(hù)(DLP)這一術(shù)語涵蓋了旨在防止未經(jīng)授權(quán)的數(shù)據(jù)外泄的戰(zhàn)略性和操作性措施，以及旨在從技術(shù)上阻止此類嘗試的軟件解決方案。

由于大量工作負(fù)載都在云端，許多專業(yè)人員要求在云中部署DLP，然而，當(dāng)被要求明確具體需求時(shí)，討論往往會(huì)變得模糊不清——這給項(xiàng)目帶來了巨大風(fēng)險(xiǎn)。具體而言，企業(yè)特定的設(shè)置(尤其是檢測規(guī)則和監(jiān)控范圍內(nèi)的流量)決定了DLP解決方案是能夠可靠地識(shí)別并阻止敏感數(shù)據(jù)外泄嘗試，還是僅能監(jiān)控?zé)o關(guān)緊要的數(shù)據(jù)傳輸。

為了從時(shí)髦詞匯和擔(dān)憂轉(zhuǎn)變?yōu)榻Y(jié)構(gòu)化的方法，我們需要解決兩個(gè)基本問題：

• 哪些用戶屬于監(jiān)控范圍?
• DLP解決方案應(yīng)覆蓋哪些通信渠道?

解決這些關(guān)鍵問題有助于企業(yè)制定明確的云DLP戰(zhàn)略，既符合其安全和合規(guī)目標(biāo)，又能確保有效降低風(fēng)險(xiǎn)。

用戶群體、外泄風(fēng)險(xiǎn)及渠道

不同的用戶群體在將數(shù)據(jù)傳出企業(yè)時(shí)，所使用的技術(shù)工具和方式截然不同。大型企業(yè)通常會(huì)區(qū)分(至少)兩大用戶群體：一類是業(yè)務(wù)用戶，另一類是工程師和管理員。

業(yè)務(wù)用戶的操作受到嚴(yán)格限制，他們只能使用企業(yè)IT部門提供并預(yù)先選定的應(yīng)用程序，不能在筆記本電腦上安裝自己的軟件，也無法訪問數(shù)據(jù)庫和服務(wù)器(例如，在操作系統(tǒng)層面)，他們只能通過兩種渠道外泄數(shù)據(jù)：

• 電子郵件：從公司賬戶(假設(shè)公司設(shè)備上已屏蔽對(duì)個(gè)人郵箱的訪問)向外部郵箱發(fā)送敏感信息。
• 網(wǎng)頁上傳：通過瀏覽器上傳，將數(shù)據(jù)傳輸?shù)酵獠烤W(wǎng)站、云存儲(chǔ)服務(wù)、網(wǎng)頁郵件和其他網(wǎng)頁或軟件即服務(wù)(SaaS)解決方案。

工程師和管理員在受到與業(yè)務(wù)用戶相同的技術(shù)限制的情況下，仍能成功完成工作，他們往往有以下一種或多種方式來外泄源自以下途徑的文件：

• 筆記本電腦，例如使用文件傳輸協(xié)議(FTP)或自行安裝的工具和應(yīng)用程序。
• 虛擬機(jī)(主要通過命令行界面，盡管瀏覽器也是一種選擇)傳輸?shù)酵獠糠?wù)器或網(wǎng)站。
• 云中的平臺(tái)即服務(wù)(PaaS)組件。

在不使用DLP工具的情況下降低外泄風(fēng)險(xiǎn)

DLP解決方案是阻止已在進(jìn)行的數(shù)據(jù)外泄嘗試的最后手段，企業(yè)不應(yīng)僅僅依賴DLP解決方案來捕獲所有這些嘗試，還應(yīng)減少網(wǎng)絡(luò)和環(huán)境中的數(shù)據(jù)流通量，為此，以下三個(gè)概念尤為寶貴：

• 深思熟慮的業(yè)務(wù)應(yīng)用設(shè)計(jì)，例如不提供對(duì)整個(gè)客戶列表的批量下載訪問權(quán)限，業(yè)務(wù)用戶無法外泄其筆記本電腦上沒有的數(shù)據(jù)。
• 嚴(yán)格的防火墻和代理規(guī)則，即僅為筆記本電腦、服務(wù)器和云服務(wù)開放必要的端口和URL。
• 安全開發(fā)環(huán)境(無互聯(lián)網(wǎng)訪問)，使工程師能夠處理敏感數(shù)據(jù)，而無需將其下載到筆記本電腦上，由于成本高昂，這種模式可能僅適用于風(fēng)險(xiǎn)極高的行業(yè)領(lǐng)域。

盡管所有這些措施都顯著降低了外泄風(fēng)險(xiǎn)，但它們并沒有也不應(yīng)該完全切斷所有連接。大多數(shù)企業(yè)必須允許網(wǎng)絡(luò)流量同時(shí)服務(wù)于關(guān)鍵業(yè)務(wù)目的，但也可能被濫用于非法數(shù)據(jù)外泄，這種模棱兩可的流量正是DLP解決方案的用武之地：它們監(jiān)控并檢查流量，阻止不適當(dāng)?shù)臄?shù)據(jù)外泄嘗試。

DLP渠道

DLP解決方案只有有效融入企業(yè)的IT環(huán)境，才能監(jiān)控并攔截外發(fā)數(shù)據(jù)流。多年來，已經(jīng)出現(xiàn)了三個(gè)主要的集成和攔截點(diǎn)，這些能力也以此命名：電子郵件DLP、端點(diǎn)DLP和網(wǎng)絡(luò)DLP。

電子郵件DLP是“入門套裝”，因?yàn)樗档土伺c所有員工相關(guān)的風(fēng)險(xiǎn)，對(duì)檢查沒有嚴(yán)格的時(shí)間限制，且易于集成：只需將DLP解決方案與企業(yè)的電子郵件基礎(chǔ)設(shè)施耦合即可。

端點(diǎn)DLP通過安裝在用戶設(shè)備(主要是筆記本電腦和虛擬機(jī))上的代理運(yùn)行，它主要監(jiān)控并阻止瀏覽器流量，即通過網(wǎng)頁瀏覽器上傳文件或插入網(wǎng)頁和表單，其主要優(yōu)勢在于，它不僅適用于公司網(wǎng)絡(luò)中的筆記本電腦，還可在員工在家或酒店使用公司筆記本電腦時(shí)監(jiān)控外發(fā)流量，即使直接連接互聯(lián)網(wǎng)而不使用虛擬專用網(wǎng)絡(luò)(VPN)也是如此，然而，端點(diǎn)DLP也有局限性，首先，它主要關(guān)注瀏覽器，通常不涵蓋命令行活動(dòng)，這主要是對(duì)在筆記本電腦上擁有高級(jí)權(quán)限的管理員和工程師的問題，其次，它無法覆蓋源自PaaS服務(wù)的流量，因?yàn)闊o法在這些服務(wù)上安裝端點(diǎn)DLP代理。

當(dāng)業(yè)務(wù)用戶僅使用安全企業(yè)檢查過數(shù)據(jù)外泄風(fēng)險(xiǎn)的軟件(例如，不使用Dropbox和WhatsApp客戶端)時(shí)，端點(diǎn)DLP和電子郵件DLP的結(jié)合可為防止數(shù)據(jù)外泄提供高度保護(hù)，但請(qǐng)注意：DLP解決方案依賴于搜索策略。如果它要阻止發(fā)送專利申請(qǐng)，則DLP搜索策略必須能夠識(shí)別它們并將其與公開可用的專利信息區(qū)分開來。

第三種典型的DLP變體是網(wǎng)絡(luò)DLP，它在網(wǎng)絡(luò)邊界運(yùn)行，分析出站流量，它通常的工作方式如下：

• 在代理處解密出站流量(如適用，例如，對(duì)于超文本傳輸安全協(xié)議(HTTPS)流量)。
• 分析超文本傳輸協(xié)議(HTTP)和解密后的HTTPS數(shù)據(jù)中的敏感內(nèi)容。
• 在將流量轉(zhuǎn)發(fā)到目的地之前重新加密。

網(wǎng)絡(luò)DLP檢查來自筆記本電腦和服務(wù)器的流量，無論其源自瀏覽器、工具和應(yīng)用程序還是命令行。它還監(jiān)控PaaS服務(wù)，然而，所有流量必須通過DLP可以攔截的網(wǎng)絡(luò)組件，通常是代理。如果遠(yuǎn)程工作人員不通過公司代理，則這是一個(gè)限制，但它適用于公司網(wǎng)絡(luò)中的筆記本電腦以及源自(云)虛擬機(jī)和PaaS服務(wù)的數(shù)據(jù)傳輸。因此，在審視了所有DLP功能、變體和能力后，關(guān)于“云DLP”的信息已經(jīng)很明確。

如果出于業(yè)務(wù)或監(jiān)管需要，必須監(jiān)控和防止由管理員和工程師故意或無意從虛擬機(jī)和PaaS服務(wù)發(fā)起的數(shù)據(jù)外泄，那么除了為所有筆記本電腦的工作區(qū)域部署現(xiàn)有解決方案外，唯一的選擇是網(wǎng)絡(luò)DLP。

實(shí)施有效的云DLP戰(zhàn)略

有效的云DLP實(shí)施需要一種量身定制的方法，以應(yīng)對(duì)企業(yè)特定的風(fēng)險(xiǎn)狀況和技術(shù)環(huán)境，通過首先識(shí)別哪些用戶群體和通信渠道構(gòu)成最大的外泄風(fēng)險(xiǎn)，企業(yè)可以部署電子郵件、端點(diǎn)和網(wǎng)絡(luò)DLP解決方案的正確組合。

請(qǐng)記住，DLP工具應(yīng)補(bǔ)充(而非替代)基本的安全實(shí)踐，如深思熟慮的應(yīng)用設(shè)計(jì)、嚴(yán)格的防火墻策略和安全開發(fā)環(huán)境。最成功的云DLP戰(zhàn)略在技術(shù)控制和業(yè)務(wù)需求之間取得平衡，確保敏感數(shù)據(jù)得到保護(hù)，同時(shí)不妨礙合法的工作流程。