數(shù)據(jù)丟失防護(DLP)一詞涵蓋了防止未授權(quán)數(shù)據(jù)泄露的戰(zhàn)略和運營措施，以及從技術層面阻止此類嘗試的軟件解決方案。

隨著大量工作負載遷移到云端，許多專業(yè)人士都要求在云中部署DLP。然而，當被要求明確需求時，討論往往變得模糊不清——這是一個巨大的項目風險。特定組織的設置，特別是檢測規(guī)則和范圍內(nèi)的流量，決定了DLP解決方案是否能可靠地識別和阻止敏感數(shù)據(jù)泄露嘗試，還是只是監(jiān)控無關的數(shù)據(jù)傳輸。

要從流行詞匯和恐懼轉(zhuǎn)向結(jié)構(gòu)化方法，我們需要解決兩個基本問題：

哪些用戶在范圍內(nèi)?

DLP解決方案應該覆蓋哪些通信渠道?

解決這些關鍵點有助于組織制定明確的云DLP策略，該策略與其安全和合規(guī)目標保持一致，同時確保有效的風險緩解。

用戶群體、泄露風險和渠道

不同的用戶群體在將數(shù)據(jù)傳輸出組織方面擁有完全不同的技術工具和可能性。大型組織通常區(qū)分(至少)兩個主要用戶群體：一邊是商務用戶，另一邊是工程師和管理員。

商務用戶在操作方面受到嚴格限制。他們使用由組織IT部門提供和預先選擇的應用程序。他們無法在筆記本電腦上安裝自己的軟件，也無法訪問數(shù)據(jù)庫和服務器，例如在操作系統(tǒng)級別。他們只能通過兩個渠道泄露數(shù)據(jù)：

電子郵件：從公司賬戶向外部郵箱發(fā)送敏感信息(假設在公司設備上阻止了對個人郵箱的訪問)。

網(wǎng)絡上傳：通過瀏覽器上傳將數(shù)據(jù)傳輸?shù)酵獠烤W(wǎng)站、云存儲服務、網(wǎng)絡郵件和其他網(wǎng)頁或SaaS解決方案。

工程師和管理員在與商務用戶相同的技術限制下成功執(zhí)行工作。他們往往有以下一個或多個選項來泄露文件：

筆記本電腦，例如使用FTP或自安裝工具和應用程序

虛擬機(主要通過命令行，盡管瀏覽器也是一個選項)到外部服務器或網(wǎng)站

云中的平臺即服務組件

在沒有DLP工具的情況下降低泄露風險

DLP解決方案是阻止正在進行的數(shù)據(jù)泄露嘗試的最后手段。組織不應該僅僅依靠DLP解決方案來捕獲所有這些嘗試，還應該減少在其網(wǎng)絡和環(huán)境中流動的數(shù)據(jù)量。為此，三個概念特別有價值：

深思熟慮的業(yè)務應用程序設計，例如不提供對整個客戶列表的批量下載訪問。商務用戶無法泄露不在其筆記本電腦上的數(shù)據(jù)。

嚴格的防火墻和代理規(guī)則，即僅為筆記本電腦、服務器和云服務開放必要的端口和URL。

安全的開發(fā)環(huán)境(無互聯(lián)網(wǎng)訪問)，使工程師能夠在不將敏感數(shù)據(jù)下載到筆記本電腦的情況下處理敏感數(shù)據(jù)。由于成本高昂，這種模式可能僅適用于風險極高的行業(yè)部門。

雖然所有這些措施都大大降低了泄露風險，但它們不會也不應該鎖定所有連接。大多數(shù)組織必須允許既服務于關鍵業(yè)務目的但也可能被濫用于犯罪數(shù)據(jù)泄露的網(wǎng)絡流量。這種模糊的流量是DLP解決方案擅長的領域：它們監(jiān)控和檢查流量并阻止不當?shù)臄?shù)據(jù)泄露嘗試。

DLP渠道

只有當DLP解決方案有效集成到組織的IT環(huán)境中時，它們才能監(jiān)控和攔截傳出的數(shù)據(jù)流。多年來，已經(jīng)出現(xiàn)了三個主要的集成和攔截點，這些功能的名稱反映了這一點：電子郵件DLP、終端DLP和網(wǎng)絡DLP。

電子郵件DLP是"入門套件"，因為它降低了與所有員工相關的風險，檢查時沒有嚴格的時間限制，并且允許輕松集成：只需將DLP解決方案與組織的電子郵件基礎架構(gòu)耦合即可。

終端DLP通過安裝在用戶設備(主要是筆記本電腦和虛擬機)上的代理運行。它主要監(jiān)控和阻止瀏覽器流量，即通過網(wǎng)絡瀏覽器進行的文件上傳或插入到網(wǎng)頁和表單中。其主要優(yōu)勢是它不僅適用于公司網(wǎng)絡中的筆記本電腦。當從家中或酒店使用公司筆記本電腦工作時，即使在不使用VPN的情況下直接連接到互聯(lián)網(wǎng)，它也會監(jiān)控傳出流量。然而，終端DLP也有局限性。首先，它專注于瀏覽器，通常不覆蓋命令行活動，這主要是對在筆記本電腦上擁有提升權(quán)限的管理員和工程師的問題。其次，它無法覆蓋來自PaaS服務的流量，因為無法在其上安裝終端DLP代理。

當商務用戶只使用安全組織檢查過數(shù)據(jù)泄露風險的軟件時(例如，沒有Dropbox和WhatsApp客戶端)，終端和電子郵件DLP的組合可提供對數(shù)據(jù)泄露的高度保護。請注意：DLP解決方案依賴于搜索策略。如果它應該防止發(fā)送專利申請，DLP搜索策略必須識別它們并將其與公開可用的專利信息區(qū)分開來。

第三種典型的DLP變體是網(wǎng)絡DLP，它在網(wǎng)絡邊界運行，分析出站流量。它通常的工作方式如下：

在代理處解密傳出流量(如果適用，例如對于HTTPS流量)

分析HTTP和解密的HTTPS數(shù)據(jù)以查找敏感內(nèi)容

在將流量轉(zhuǎn)發(fā)到目的地之前重新加密流量

網(wǎng)絡DLP檢查來自筆記本電腦和服務器的流量，無論它來自瀏覽器、工具和應用程序還是命令行。它還監(jiān)控PaaS服務。然而，所有流量都必須通過DLP可以攔截的網(wǎng)絡組件，通常是代理。如果遠程工作者不通過公司代理，這是一個限制，但它適用于公司網(wǎng)絡中的筆記本電腦以及來自(云)虛擬機和PaaS服務的數(shù)據(jù)傳輸。因此，在查看了所有DLP功能、變體和能力之后，關于"云DLP"的信息是明確的。

如果有業(yè)務或監(jiān)管必要性來監(jiān)控和防止管理員和工程師故意或錯誤地從虛擬機和PaaS服務發(fā)起的潛在數(shù)據(jù)泄露，唯一的解決方案是網(wǎng)絡DLP——除了為所有筆記本電腦的工作區(qū)域已有的任何措施之外。

實施有效的云DLP策略

有效的云DLP實施需要一種針對組織特定風險概況和技術環(huán)境的定制方法。通過首先識別哪些用戶群體和通信渠道存在最大的泄露風險，組織可以部署電子郵件、終端和網(wǎng)絡DLP解決方案的正確組合。

請記住，DLP工具應該補充而不是替代基本的安全實踐，如深思熟慮的應用程序設計、嚴格的防火墻策略和安全的開發(fā)環(huán)境。最成功的云DLP策略在技術控制與業(yè)務需求之間取得平衡，確保敏感數(shù)據(jù)得到保護而不阻礙合法工作流程。

Q&A

Q1：什么是數(shù)據(jù)丟失防護(DLP)?它包括哪些內(nèi)容?

A：數(shù)據(jù)丟失防護(DLP)涵蓋了防止未授權(quán)數(shù)據(jù)泄露的戰(zhàn)略和運營措施，以及從技術層面阻止此類嘗試的軟件解決方案。它包括檢測規(guī)則設置、流量監(jiān)控、用戶行為分析等多個方面。

Q2：商務用戶和工程師管理員在數(shù)據(jù)泄露風險方面有什么不同?

A：商務用戶受到嚴格限制，只能通過電子郵件和網(wǎng)絡上傳兩個渠道泄露數(shù)據(jù)。而工程師和管理員擁有更多技術工具，可以通過筆記本電腦、虛擬機、平臺即服務組件等多種方式泄露數(shù)據(jù)，風險更高。

Q3：云環(huán)境中應該選擇哪種DLP解決方案?

A：需要根據(jù)具體需求選擇。電子郵件DLP適合入門，終端DLP主要監(jiān)控瀏覽器流量，網(wǎng)絡DLP是監(jiān)控虛擬機和PaaS服務數(shù)據(jù)泄露的唯一解決方案。最佳實踐是根據(jù)用戶群體和風險點組合使用不同類型的DLP。