数据泄露防护(DLP)这一术语涵盖了旨在防止未经授权的数据外泄的战略性和操作性措施,以及旨在从技术上阻止此类尝试的软件解决方案。
由于大量工作负载都在云端,许多专业人员要求在云中部署DLP,然而,当被要求明确具体需求时,讨论往往会变得模糊不清——这给项目带来了巨大风险。具体而言,企业特定的设置(尤其是检测规则和监控范围内的流量)决定了DLP解决方案是能够可靠地识别并阻止敏感数据外泄尝试,还是仅能监控无关紧要的数据传输。
为了从时髦词汇和担忧转变为结构化的方法,我们需要解决两个基本问题:
哪些用户属于监控范围?
DLP解决方案应覆盖哪些通信渠道?
解决这些关键问题有助于企业制定明确的云DLP战略,既符合其安全和合规目标,又能确保有效降低风险。
用户群体、外泄风险及渠道
不同的用户群体在将数据传出企业时,所使用的技术工具和方式截然不同。大型企业通常会区分(至少)两大用户群体:一类是业务用户,另一类是工程师和管理员。
业务用户的操作受到严格限制,他们只能使用企业IT部门提供并预先选定的应用程序,不能在笔记本电脑上安装自己的软件,也无法访问数据库和服务器(例如,在操作系统层面),他们只能通过两种渠道外泄数据:
电子邮件:从公司账户(假设公司设备上已屏蔽对个人邮箱的访问)向外部邮箱发送敏感信息。
网页上传:通过浏览器上传,将数据传输到外部网站、云存储服务、网页邮件和其他网页或软件即服务(SaaS)解决方案。
工程师和管理员在受到与业务用户相同的技术限制的情况下,仍能成功完成工作,他们往往有以下一种或多种方式来外泄源自以下途径的文件:
笔记本电脑,例如使用文件传输协议(FTP)或自行安装的工具和应用程序。
虚拟机(主要通过命令行界面,尽管浏览器也是一种选择)传输到外部服务器或网站。
云中的平台即服务(PaaS)组件。
在不使用DLP工具的情况下降低外泄风险
DLP解决方案是阻止已在进行的数据外泄尝试的最后手段,企业不应仅仅依赖DLP解决方案来捕获所有这些尝试,还应减少网络和环境中的数据流通量,为此,以下三个概念尤为宝贵:
深思熟虑的业务应用设计,例如不提供对整个客户列表的批量下载访问权限,业务用户无法外泄其笔记本电脑上没有的数据。
严格的防火墙和代理规则,即仅为笔记本电脑、服务器和云服务开放必要的端口和URL。
安全开发环境(无互联网访问),使工程师能够处理敏感数据,而无需将其下载到笔记本电脑上,由于成本高昂,这种模式可能仅适用于风险极高的行业领域。
尽管所有这些措施都显著降低了外泄风险,但它们并没有也不应该完全切断所有连接。大多数企业必须允许网络流量同时服务于关键业务目的,但也可能被滥用于非法数据外泄,这种模棱两可的流量正是DLP解决方案的用武之地:它们监控并检查流量,阻止不适当的数据外泄尝试。
DLP渠道
DLP解决方案只有有效融入企业的IT环境,才能监控并拦截外发数据流。多年来,已经出现了三个主要的集成和拦截点,这些能力也以此命名:电子邮件DLP、端点DLP和网络DLP。
电子邮件DLP是“入门套装”,因为它降低了与所有员工相关的风险,对检查没有严格的时间限制,且易于集成:只需将DLP解决方案与企业的电子邮件基础设施耦合即可。
端点DLP通过安装在用户设备(主要是笔记本电脑和虚拟机)上的代理运行,它主要监控并阻止浏览器流量,即通过网页浏览器上传文件或插入网页和表单,其主要优势在于,它不仅适用于公司网络中的笔记本电脑,还可在员工在家或酒店使用公司笔记本电脑时监控外发流量,即使直接连接互联网而不使用虚拟专用网络(VPN)也是如此,然而,端点DLP也有局限性,首先,它主要关注浏览器,通常不涵盖命令行活动,这主要是对在笔记本电脑上拥有高级权限的管理员和工程师的问题,其次,它无法覆盖源自PaaS服务的流量,因为无法在这些服务上安装端点DLP代理。
当业务用户仅使用安全企业检查过数据外泄风险的软件(例如,不使用Dropbox和WhatsApp客户端)时,端点DLP和电子邮件DLP的结合可为防止数据外泄提供高度保护,但请注意:DLP解决方案依赖于搜索策略。如果它要阻止发送专利申请,则DLP搜索策略必须能够识别它们并将其与公开可用的专利信息区分开来。
第三种典型的DLP变体是网络DLP,它在网络边界运行,分析出站流量,它通常的工作方式如下:
在代理处解密出站流量(如适用,例如,对于超文本传输安全协议(HTTPS)流量)。
分析超文本传输协议(HTTP)和解密后的HTTPS数据中的敏感内容。
在将流量转发到目的地之前重新加密。
网络DLP检查来自笔记本电脑和服务器的流量,无论其源自浏览器、工具和应用程序还是命令行。它还监控PaaS服务,然而,所有流量必须通过DLP可以拦截的网络组件,通常是代理。如果远程工作人员不通过公司代理,则这是一个限制,但它适用于公司网络中的笔记本电脑以及源自(云)虚拟机和PaaS服务的数据传输。因此,在审视了所有DLP功能、变体和能力后,关于“云DLP”的信息已经很明确。
如果出于业务或监管需要,必须监控和防止由管理员和工程师故意或无意从虚拟机和PaaS服务发起的数据外泄,那么除了为所有笔记本电脑的工作区域部署现有解决方案外,唯一的选择是网络DLP。
