數據泄露防護(DLP)這一術語涵蓋了旨在防止未經授權的數據外泄的戰略性和操作性措施，以及旨在從技術上阻止此類嘗試的軟件解決方案。

由于大量工作負載都在云端，許多專業人員要求在云中部署DLP，然而，當被要求明確具體需求時，討論往往會變得模糊不清——這給項目帶來了巨大風險。具體而言，企業特定的設置(尤其是檢測規則和監控范圍內的流量)決定了DLP解決方案是能夠可靠地識別并阻止敏感數據外泄嘗試，還是僅能監控無關緊要的數據傳輸。

為了從時髦詞匯和擔憂轉變為結構化的方法，我們需要解決兩個基本問題：

• 哪些用戶屬于監控范圍?
• DLP解決方案應覆蓋哪些通信渠道?

解決這些關鍵問題有助于企業制定明確的云DLP戰略，既符合其安全和合規目標，又能確保有效降低風險。

用戶群體、外泄風險及渠道

不同的用戶群體在將數據傳出企業時，所使用的技術工具和方式截然不同。大型企業通常會區分(至少)兩大用戶群體：一類是業務用戶，另一類是工程師和管理員。

業務用戶的操作受到嚴格限制，他們只能使用企業IT部門提供并預先選定的應用程序，不能在筆記本電腦上安裝自己的軟件，也無法訪問數據庫和服務器(例如，在操作系統層面)，他們只能通過兩種渠道外泄數據：

• 電子郵件：從公司賬戶(假設公司設備上已屏蔽對個人郵箱的訪問)向外部郵箱發送敏感信息。
• 網頁上傳：通過瀏覽器上傳，將數據傳輸到外部網站、云存儲服務、網頁郵件和其他網頁或軟件即服務(SaaS)解決方案。

工程師和管理員在受到與業務用戶相同的技術限制的情況下，仍能成功完成工作，他們往往有以下一種或多種方式來外泄源自以下途徑的文件：

• 筆記本電腦，例如使用文件傳輸協議(FTP)或自行安裝的工具和應用程序。
• 虛擬機(主要通過命令行界面，盡管瀏覽器也是一種選擇)傳輸到外部服務器或網站。
• 云中的平臺即服務(PaaS)組件。

在不使用DLP工具的情況下降低外泄風險

DLP解決方案是阻止已在進行的數據外泄嘗試的最后手段，企業不應僅僅依賴DLP解決方案來捕獲所有這些嘗試，還應減少網絡和環境中的數據流通量，為此，以下三個概念尤為寶貴：

• 深思熟慮的業務應用設計，例如不提供對整個客戶列表的批量下載訪問權限，業務用戶無法外泄其筆記本電腦上沒有的數據。
• 嚴格的防火墻和代理規則，即僅為筆記本電腦、服務器和云服務開放必要的端口和URL。
• 安全開發環境(無互聯網訪問)，使工程師能夠處理敏感數據，而無需將其下載到筆記本電腦上，由于成本高昂，這種模式可能僅適用于風險極高的行業領域。

盡管所有這些措施都顯著降低了外泄風險，但它們并沒有也不應該完全切斷所有連接。大多數企業必須允許網絡流量同時服務于關鍵業務目的，但也可能被濫用于非法數據外泄，這種模棱兩可的流量正是DLP解決方案的用武之地：它們監控并檢查流量，阻止不適當的數據外泄嘗試。

DLP渠道

DLP解決方案只有有效融入企業的IT環境，才能監控并攔截外發數據流。多年來，已經出現了三個主要的集成和攔截點，這些能力也以此命名：電子郵件DLP、端點DLP和網絡DLP。

電子郵件DLP是“入門套裝”，因為它降低了與所有員工相關的風險，對檢查沒有嚴格的時間限制，且易于集成：只需將DLP解決方案與企業的電子郵件基礎設施耦合即可。

端點DLP通過安裝在用戶設備(主要是筆記本電腦和虛擬機)上的代理運行，它主要監控并阻止瀏覽器流量，即通過網頁瀏覽器上傳文件或插入網頁和表單，其主要優勢在于，它不僅適用于公司網絡中的筆記本電腦，還可在員工在家或酒店使用公司筆記本電腦時監控外發流量，即使直接連接互聯網而不使用虛擬專用網絡(VPN)也是如此，然而，端點DLP也有局限性，首先，它主要關注瀏覽器，通常不涵蓋命令行活動，這主要是對在筆記本電腦上擁有高級權限的管理員和工程師的問題，其次，它無法覆蓋源自PaaS服務的流量，因為無法在這些服務上安裝端點DLP代理。

當業務用戶僅使用安全企業檢查過數據外泄風險的軟件(例如，不使用Dropbox和WhatsApp客戶端)時，端點DLP和電子郵件DLP的結合可為防止數據外泄提供高度保護，但請注意：DLP解決方案依賴于搜索策略。如果它要阻止發送專利申請，則DLP搜索策略必須能夠識別它們并將其與公開可用的專利信息區分開來。

第三種典型的DLP變體是網絡DLP，它在網絡邊界運行，分析出站流量，它通常的工作方式如下：

• 在代理處解密出站流量(如適用，例如，對于超文本傳輸安全協議(HTTPS)流量)。
• 分析超文本傳輸協議(HTTP)和解密后的HTTPS數據中的敏感內容。
• 在將流量轉發到目的地之前重新加密。

網絡DLP檢查來自筆記本電腦和服務器的流量，無論其源自瀏覽器、工具和應用程序還是命令行。它還監控PaaS服務，然而，所有流量必須通過DLP可以攔截的網絡組件，通常是代理。如果遠程工作人員不通過公司代理，則這是一個限制，但它適用于公司網絡中的筆記本電腦以及源自(云)虛擬機和PaaS服務的數據傳輸。因此，在審視了所有DLP功能、變體和能力后，關于“云DLP”的信息已經很明確。

如果出于業務或監管需要，必須監控和防止由管理員和工程師故意或無意從虛擬機和PaaS服務發起的數據外泄，那么除了為所有筆記本電腦的工作區域部署現有解決方案外，唯一的選擇是網絡DLP。

實施有效的云DLP戰略

有效的云DLP實施需要一種量身定制的方法，以應對企業特定的風險狀況和技術環境，通過首先識別哪些用戶群體和通信渠道構成最大的外泄風險，企業可以部署電子郵件、端點和網絡DLP解決方案的正確組合。

請記住，DLP工具應補充(而非替代)基本的安全實踐，如深思熟慮的應用設計、嚴格的防火墻策略和安全開發環境。最成功的云DLP戰略在技術控制和業務需求之間取得平衡，確保敏感數據得到保護，同時不妨礙合法的工作流程。