由于大量工作负载都在云端，许多专业人员要求在云中部署DLP，然而，当被要求明确具体需求时，讨论往往会变得模糊不清——这给项目带来了巨大风险。具体而言，企业特定的设置(尤其是检测规则和监控范围内的流量)决定了DLP解决方案是能够可靠地识别并阻止敏感数据外泄尝试，还是仅能监控无关紧要的数据传输。

为了从时髦词汇和担忧转变为结构化的方法，我们需要解决两个基本问题：

1. 哪些用户属于监控范围?

2. DLP解决方案应覆盖哪些通信渠道?

解决这些关键问题有助于企业制定明确的云DLP战略，既符合其安全和合规目标，又能确保有效降低风险。

用户群体、外泄风险及渠道

不同的用户群体在将数据传出企业时，所使用的技术工具和方式截然不同。大型企业通常会区分(至少)两大用户群体：一类是业务用户，另一类是工程师和管理员。

业务用户的操作受到严格限制，他们只能使用企业IT部门提供并预先选定的应用程序，不能在笔记本电脑上安装自己的软件，也无法访问数据库和服务器(例如，在操作系统层面)，他们只能通过两种渠道外泄数据：

• 电子邮件：从公司账户(假设公司设备上已屏蔽对个人邮箱的访问)向外部邮箱发送敏感信息。

• 网页上传：通过浏览器上传，将数据传输到外部网站、云存储服务、网页邮件和其他网页或软件即服务(SaaS)解决方案。

工程师和管理员在受到与业务用户相同的技术限制的情况下，仍能成功完成工作，他们往往有以下一种或多种方式来外泄源自以下途径的文件：

• 笔记本电脑，例如使用文件传输协议(FTP)或自行安装的工具和应用程序。

• 虚拟机(主要通过命令行界面，尽管浏览器也是一种选择)传输到外部服务器或网站。

• 云中的平台即服务(PaaS)组件。

在不使用DLP工具的情况下降低外泄风险

DLP解决方案是阻止已在进行的数据外泄尝试的最后手段，企业不应仅仅依赖DLP解决方案来捕获所有这些尝试，还应减少网络和环境中的数据流通量，为此，以下三个概念尤为宝贵：

• 深思熟虑的业务应用设计，例如不提供对整个客户列表的批量下载访问权限，业务用户无法外泄其笔记本电脑上没有的数据。

• 严格的防火墙和代理规则，即仅为笔记本电脑、服务器和云服务开放必要的端口和URL。

• 安全开发环境(无互联网访问)，使工程师能够处理敏感数据，而无需将其下载到笔记本电脑上，由于成本高昂，这种模式可能仅适用于风险极高的行业领域。

尽管所有这些措施都显著降低了外泄风险，但它们并没有也不应该完全切断所有连接。大多数企业必须允许网络流量同时服务于关键业务目的，但也可能被滥用于非法数据外泄，这种模棱两可的流量正是DLP解决方案的用武之地：它们监控并检查流量，阻止不适当的数据外泄尝试。

DLP渠道

DLP解决方案只有有效融入企业的IT环境，才能监控并拦截外发数据流。多年来，已经出现了三个主要的集成和拦截点，这些能力也以此命名：电子邮件DLP、端点DLP和网络DLP。

电子邮件DLP是“入门套装”，因为它降低了与所有员工相关的风险，对检查没有严格的时间限制，且易于集成：只需将DLP解决方案与企业的电子邮件基础设施耦合即可。

端点DLP通过安装在用户设备(主要是笔记本电脑和虚拟机)上的代理运行，它主要监控并阻止浏览器流量，即通过网页浏览器上传文件或插入网页和表单，其主要优势在于，它不仅适用于公司网络中的笔记本电脑，还可在员工在家或酒店使用公司笔记本电脑时监控外发流量，即使直接连接互联网而不使用虚拟专用网络(VPN)也是如此，然而，端点DLP也有局限性，首先，它主要关注浏览器，通常不涵盖命令行活动，这主要是对在笔记本电脑上拥有高级权限的管理员和工程师的问题，其次，它无法覆盖源自PaaS服务的流量，因为无法在这些服务上安装端点DLP代理。

当业务用户仅使用安全企业检查过数据外泄风险的软件(例如，不使用Dropbox和WhatsApp客户端)时，端点DLP和电子邮件DLP的结合可为防止数据外泄提供高度保护，但请注意：DLP解决方案依赖于搜索策略。如果它要阻止发送专利申请，则DLP搜索策略必须能够识别它们并将其与公开可用的专利信息区分开来。

第三种典型的DLP变体是网络DLP，它在网络边界运行，分析出站流量，它通常的工作方式如下：

1. 在代理处解密出站流量(如适用，例如，对于超文本传输安全协议(HTTPS)流量)。

2. 分析超文本传输协议(HTTP)和解密后的HTTPS数据中的敏感内容。

3. 在将流量转发到目的地之前重新加密。

网络DLP检查来自笔记本电脑和服务器的流量，无论其源自浏览器、工具和应用程序还是命令行。它还监控PaaS服务，然而，所有流量必须通过DLP可以拦截的网络组件，通常是代理。如果远程工作人员不通过公司代理，则这是一个限制，但它适用于公司网络中的笔记本电脑以及源自(云)虚拟机和PaaS服务的数据传输。因此，在审视了所有DLP功能、变体和能力后，关于“云DLP”的信息已经很明确。

如果出于业务或监管需要，必须监控和防止由管理员和工程师故意或无意从虚拟机和PaaS服务发起的数据外泄，那么除了为所有笔记本电脑的工作区域部署现有解决方案外，唯一的选择是网络DLP。

实施有效的云DLP战略

有效的云DLP实施需要一种量身定制的方法，以应对企业特定的风险状况和技术环境，通过首先识别哪些用户群体和通信渠道构成最大的外泄风险，企业可以部署电子邮件、端点和网络DLP解决方案的正确组合。

请记住，DLP工具应补充(而非替代)基本的安全实践，如深思熟虑的应用设计、严格的防火墙策略和安全开发环境。最成功的云DLP战略在技术控制和业务需求之间取得平衡，确保敏感数据得到保护，同时不妨碍合法的工作流程。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。