數(shù)據(jù)丟失防護(hù)(DLP)一詞涵蓋了防止未授權(quán)數(shù)據(jù)泄露的戰(zhàn)略和運(yùn)營(yíng)措施,以及從技術(shù)層面阻止此類(lèi)嘗試的軟件解決方案��。
隨著大量工作負(fù)載遷移到云端�����,許多專(zhuān)業(yè)人士都要求在云中部署DLP��。然而�����,當(dāng)被要求明確需求時(shí)�����,討論往往變得模糊不清——這是一個(gè)巨大的項(xiàng)目風(fēng)險(xiǎn)����。特定組織的設(shè)置����,特別是檢測(cè)規(guī)則和范圍內(nèi)的流量�����,決定了DLP解決方案是否能可靠地識(shí)別和阻止敏感數(shù)據(jù)泄露嘗試�����,還是只是監(jiān)控?zé)o關(guān)的數(shù)據(jù)傳輸���。
要從流行詞匯和恐懼轉(zhuǎn)向結(jié)構(gòu)化方法��,我們需要解決兩個(gè)基本問(wèn)題:
哪些用戶(hù)在范圍內(nèi)?
DLP解決方案應(yīng)該覆蓋哪些通信渠道?
解決這些關(guān)鍵點(diǎn)有助于組織制定明確的云DLP策略�,該策略與其安全和合規(guī)目標(biāo)保持一致����,同時(shí)確保有效的風(fēng)險(xiǎn)緩解。
用戶(hù)群體����、泄露風(fēng)險(xiǎn)和渠道
不同的用戶(hù)群體在將數(shù)據(jù)傳輸出組織方面擁有完全不同的技術(shù)工具和可能性��。大型組織通常區(qū)分(至少)兩個(gè)主要用戶(hù)群體:一邊是商務(wù)用戶(hù)��,另一邊是工程師和管理員。
商務(wù)用戶(hù)在操作方面受到嚴(yán)格限制����。他們使用由組織IT部門(mén)提供和預(yù)先選擇的應(yīng)用程序。他們無(wú)法在筆記本電腦上安裝自己的軟件����,也無(wú)法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)和服務(wù)器,例如在操作系統(tǒng)級(jí)別����。他們只能通過(guò)兩個(gè)渠道泄露數(shù)據(jù):
電子郵件:從公司賬戶(hù)向外部郵箱發(fā)送敏感信息(假設(shè)在公司設(shè)備上阻止了對(duì)個(gè)人郵箱的訪(fǎng)問(wèn))。
網(wǎng)絡(luò)上傳:通過(guò)瀏覽器上傳將數(shù)據(jù)傳輸?shù)酵獠烤W(wǎng)站��、云存儲(chǔ)服務(wù)�、網(wǎng)絡(luò)郵件和其他網(wǎng)頁(yè)或SaaS解決方案。
工程師和管理員在與商務(wù)用戶(hù)相同的技術(shù)限制下成功執(zhí)行工作�����。他們往往有以下一個(gè)或多個(gè)選項(xiàng)來(lái)泄露文件:
筆記本電腦�����,例如使用FTP或自安裝工具和應(yīng)用程序
虛擬機(jī)(主要通過(guò)命令行,盡管瀏覽器也是一個(gè)選項(xiàng))到外部服務(wù)器或網(wǎng)站
云中的平臺(tái)即服務(wù)組件
在沒(méi)有DLP工具的情況下降低泄露風(fēng)險(xiǎn)
DLP解決方案是阻止正在進(jìn)行的數(shù)據(jù)泄露嘗試的最后手段��。組織不應(yīng)該僅僅依靠DLP解決方案來(lái)捕獲所有這些嘗試�,還應(yīng)該減少在其網(wǎng)絡(luò)和環(huán)境中流動(dòng)的數(shù)據(jù)量。為此���,三個(gè)概念特別有價(jià)值:
深思熟慮的業(yè)務(wù)應(yīng)用程序設(shè)計(jì)����,例如不提供對(duì)整個(gè)客戶(hù)列表的批量下載訪(fǎng)問(wèn)����。商務(wù)用戶(hù)無(wú)法泄露不在其筆記本電腦上的數(shù)據(jù)。
嚴(yán)格的防火墻和代理規(guī)則�,即僅為筆記本電腦、服務(wù)器和云服務(wù)開(kāi)放必要的端口和URL���。
安全的開(kāi)發(fā)環(huán)境(無(wú)互聯(lián)網(wǎng)訪(fǎng)問(wèn))�����,使工程師能夠在不將敏感數(shù)據(jù)下載到筆記本電腦的情況下處理敏感數(shù)據(jù)��。由于成本高昂����,這種模式可能僅適用于風(fēng)險(xiǎn)極高的行業(yè)部門(mén)。
雖然所有這些措施都大大降低了泄露風(fēng)險(xiǎn)��,但它們不會(huì)也不應(yīng)該鎖定所有連接���。大多數(shù)組織必須允許既服務(wù)于關(guān)鍵業(yè)務(wù)目的但也可能被濫用于犯罪數(shù)據(jù)泄露的網(wǎng)絡(luò)流量。這種模糊的流量是DLP解決方案擅長(zhǎng)的領(lǐng)域:它們監(jiān)控和檢查流量并阻止不當(dāng)?shù)臄?shù)據(jù)泄露嘗試��。
DLP渠道
只有當(dāng)DLP解決方案有效集成到組織的IT環(huán)境中時(shí)�,它們才能監(jiān)控和攔截傳出的數(shù)據(jù)流。多年來(lái)��,已經(jīng)出現(xiàn)了三個(gè)主要的集成和攔截點(diǎn)����,這些功能的名稱(chēng)反映了這一點(diǎn):電子郵件DLP、終端DLP和網(wǎng)絡(luò)DLP����。
電子郵件DLP是"入門(mén)套件",因?yàn)樗档土伺c所有員工相關(guān)的風(fēng)險(xiǎn),檢查時(shí)沒(méi)有嚴(yán)格的時(shí)間限制����,并且允許輕松集成:只需將DLP解決方案與組織的電子郵件基礎(chǔ)架構(gòu)耦合即可。
終端DLP通過(guò)安裝在用戶(hù)設(shè)備(主要是筆記本電腦和虛擬機(jī))上的代理運(yùn)行���。它主要監(jiān)控和阻止瀏覽器流量�,即通過(guò)網(wǎng)絡(luò)瀏覽器進(jìn)行的文件上傳或插入到網(wǎng)頁(yè)和表單中����。其主要優(yōu)勢(shì)是它不僅適用于公司網(wǎng)絡(luò)中的筆記本電腦。當(dāng)從家中或酒店使用公司筆記本電腦工作時(shí)���,即使在不使用VPN的情況下直接連接到互聯(lián)網(wǎng)����,它也會(huì)監(jiān)控傳出流量����。然而,終端DLP也有局限性�。首先,它專(zhuān)注于瀏覽器���,通常不覆蓋命令行活動(dòng)���,這主要是對(duì)在筆記本電腦上擁有提升權(quán)限的管理員和工程師的問(wèn)題����。其次����,它無(wú)法覆蓋來(lái)自PaaS服務(wù)的流量,因?yàn)闊o(wú)法在其上安裝終端DLP代理�����。
當(dāng)商務(wù)用戶(hù)只使用安全組織檢查過(guò)數(shù)據(jù)泄露風(fēng)險(xiǎn)的軟件時(shí)(例如�,沒(méi)有Dropbox和WhatsApp客戶(hù)端)��,終端和電子郵件DLP的組合可提供對(duì)數(shù)據(jù)泄露的高度保護(hù)����。請(qǐng)注意:DLP解決方案依賴(lài)于搜索策略。如果它應(yīng)該防止發(fā)送專(zhuān)利申請(qǐng)����,DLP搜索策略必須識(shí)別它們并將其與公開(kāi)可用的專(zhuān)利信息區(qū)分開(kāi)來(lái)�����。
第三種典型的DLP變體是網(wǎng)絡(luò)DLP��,它在網(wǎng)絡(luò)邊界運(yùn)行�,分析出站流量���。它通常的工作方式如下:
在代理處解密傳出流量(如果適用��,例如對(duì)于HTTPS流量)
分析HTTP和解密的HTTPS數(shù)據(jù)以查找敏感內(nèi)容
在將流量轉(zhuǎn)發(fā)到目的地之前重新加密流量
網(wǎng)絡(luò)DLP檢查來(lái)自筆記本電腦和服務(wù)器的流量�����,無(wú)論它來(lái)自瀏覽器��、工具和應(yīng)用程序還是命令行�。它還監(jiān)控PaaS服務(wù)���。然而��,所有流量都必須通過(guò)DLP可以攔截的網(wǎng)絡(luò)組件�����,通常是代理�。如果遠(yuǎn)程工作者不通過(guò)公司代理,這是一個(gè)限制�����,但它適用于公司網(wǎng)絡(luò)中的筆記本電腦以及來(lái)自(云)虛擬機(jī)和PaaS服務(wù)的數(shù)據(jù)傳輸�。因此,在查看了所有DLP功能����、變體和能力之后,關(guān)于"云DLP"的信息是明確的����。
如果有業(yè)務(wù)或監(jiān)管必要性來(lái)監(jiān)控和防止管理員和工程師故意或錯(cuò)誤地從虛擬機(jī)和PaaS服務(wù)發(fā)起的潛在數(shù)據(jù)泄露,唯一的解決方案是網(wǎng)絡(luò)DLP——除了為所有筆記本電腦的工作區(qū)域已有的任何措施之外�。
實(shí)施有效的云DLP策略
有效的云DLP實(shí)施需要一種針對(duì)組織特定風(fēng)險(xiǎn)概況和技術(shù)環(huán)境的定制方法�。通過(guò)首先識(shí)別哪些用戶(hù)群體和通信渠道存在最大的泄露風(fēng)險(xiǎn),組織可以部署電子郵件��、終端和網(wǎng)絡(luò)DLP解決方案的正確組合�����。
請(qǐng)記住,DLP工具應(yīng)該補(bǔ)充而不是替代基本的安全實(shí)踐�,如深思熟慮的應(yīng)用程序設(shè)計(jì)、嚴(yán)格的防火墻策略和安全的開(kāi)發(fā)環(huán)境����。最成功的云DLP策略在技術(shù)控制與業(yè)務(wù)需求之間取得平衡,確保敏感數(shù)據(jù)得到保護(hù)而不阻礙合法工作流程����。
Q&A
Q1:什么是數(shù)據(jù)丟失防護(hù)(DLP)?它包括哪些內(nèi)容?
A:數(shù)據(jù)丟失防護(hù)(DLP)涵蓋了防止未授權(quán)數(shù)據(jù)泄露的戰(zhàn)略和運(yùn)營(yíng)措施,以及從技術(shù)層面阻止此類(lèi)嘗試的軟件解決方案�。它包括檢測(cè)規(guī)則設(shè)置、流量監(jiān)控�����、用戶(hù)行為分析等多個(gè)方面����。
Q2:商務(wù)用戶(hù)和工程師管理員在數(shù)據(jù)泄露風(fēng)險(xiǎn)方面有什么不同?
A:商務(wù)用戶(hù)受到嚴(yán)格限制,只能通過(guò)電子郵件和網(wǎng)絡(luò)上傳兩個(gè)渠道泄露數(shù)據(jù)��。而工程師和管理員擁有更多技術(shù)工具�����,可以通過(guò)筆記本電腦、虛擬機(jī)�、平臺(tái)即服務(wù)組件等多種方式泄露數(shù)據(jù),風(fēng)險(xiǎn)更高�。
Q3:云環(huán)境中應(yīng)該選擇哪種DLP解決方案?
A:需要根據(jù)具體需求選擇。電子郵件DLP適合入門(mén)����,終端DLP主要監(jiān)控瀏覽器流量,網(wǎng)絡(luò)DLP是監(jiān)控虛擬機(jī)和PaaS服務(wù)數(shù)據(jù)泄露的唯一解決方案��。最佳實(shí)踐是根據(jù)用戶(hù)群體和風(fēng)險(xiǎn)點(diǎn)組合使用不同類(lèi)型的DLP��。
