热搜词: 对粉笔来说,AI不再只是一个概念,
首页 > 科学

云端数据防泄露完全指南: 将数据泄露扼杀在摇篮里

数据丢失防护(DLP)一词涵盖了防止未授权数据泄露的战略和运营措施,以及从技术层面阻止此类尝试的软件解决方案。

随着大量工作负载迁移到云端,许多专业人士都要求在云中部署DLP。然而,当被要求明确需求时,讨论往往变得模糊不清——这是一个巨大的项目风险。特定组织的设置,特别是检测规则和范围内的流量,决定了DLP解决方案是否能可靠地识别和阻止敏感数据泄露尝试,还是只是监控无关的数据传输。

要从流行词汇和恐惧转向结构化方法,我们需要解决两个基本问题:

哪些用户在范围内?

DLP解决方案应该覆盖哪些通信渠道?

解决这些关键点有助于组织制定明确的云DLP策略,该策略与其安全和合规目标保持一致,同时确保有效的风险缓解。

用户群体、泄露风险和渠道

不同的用户群体在将数据传输出组织方面拥有完全不同的技术工具和可能性。大型组织通常区分(至少)两个主要用户群体:一边是商务用户,另一边是工程师和管理员。

商务用户在操作方面受到严格限制。他们使用由组织IT部门提供和预先选择的应用程序。他们无法在笔记本电脑上安装自己的软件,也无法访问数据库和服务器,例如在操作系统级别。他们只能通过两个渠道泄露数据:

电子邮件:从公司账户向外部邮箱发送敏感信息(假设在公司设备上阻止了对个人邮箱的访问)。

网络上传:通过浏览器上传将数据传输到外部网站、云存储服务、网络邮件和其他网页或SaaS解决方案。

工程师和管理员在与商务用户相同的技术限制下成功执行工作。他们往往有以下一个或多个选项来泄露文件:

笔记本电脑,例如使用FTP或自安装工具和应用程序

虚拟机(主要通过命令行,尽管浏览器也是一个选项)到外部服务器或网站

云中的平台即服务组件

在没有DLP工具的情况下降低泄露风险

DLP解决方案是阻止正在进行的数据泄露尝试的最后手段。组织不应该仅仅依靠DLP解决方案来捕获所有这些尝试,还应该减少在其网络和环境中流动的数据量。为此,三个概念特别有价值:

深思熟虑的业务应用程序设计,例如不提供对整个客户列表的批量下载访问。商务用户无法泄露不在其笔记本电脑上的数据。

严格的防火墙和代理规则,即仅为笔记本电脑、服务器和云服务开放必要的端口和URL。

安全的开发环境(无互联网访问),使工程师能够在不将敏感数据下载到笔记本电脑的情况下处理敏感数据。由于成本高昂,这种模式可能仅适用于风险极高的行业部门。

虽然所有这些措施都大大降低了泄露风险,但它们不会也不应该锁定所有连接。大多数组织必须允许既服务于关键业务目的但也可能被滥用于犯罪数据泄露的网络流量。这种模糊的流量是DLP解决方案擅长的领域:它们监控和检查流量并阻止不当的数据泄露尝试。

DLP渠道

只有当DLP解决方案有效集成到组织的IT环境中时,它们才能监控和拦截传出的数据流。多年来,已经出现了三个主要的集成和拦截点,这些功能的名称反映了这一点:电子邮件DLP、终端DLP和网络DLP。

电子邮件DLP是"入门套件",因为它降低了与所有员工相关的风险,检查时没有严格的时间限制,并且允许轻松集成:只需将DLP解决方案与组织的电子邮件基础架构耦合即可。

终端DLP通过安装在用户设备(主要是笔记本电脑和虚拟机)上的代理运行。它主要监控和阻止浏览器流量,即通过网络浏览器进行的文件上传或插入到网页和表单中。其主要优势是它不仅适用于公司网络中的笔记本电脑。当从家中或酒店使用公司笔记本电脑工作时,即使在不使用VPN的情况下直接连接到互联网,它也会监控传出流量。然而,终端DLP也有局限性。首先,它专注于浏览器,通常不覆盖命令行活动,这主要是对在笔记本电脑上拥有提升权限的管理员和工程师的问题。其次,它无法覆盖来自PaaS服务的流量,因为无法在其上安装终端DLP代理。

当商务用户只使用安全组织检查过数据泄露风险的软件时(例如,没有Dropbox和WhatsApp客户端),终端和电子邮件DLP的组合可提供对数据泄露的高度保护。请注意:DLP解决方案依赖于搜索策略。如果它应该防止发送专利申请,DLP搜索策略必须识别它们并将其与公开可用的专利信息区分开来。

第三种典型的DLP变体是网络DLP,它在网络边界运行,分析出站流量。它通常的工作方式如下:

在代理处解密传出流量(如果适用,例如对于HTTPS流量)

分析HTTP和解密的HTTPS数据以查找敏感内容

在将流量转发到目的地之前重新加密流量

网络DLP检查来自笔记本电脑和服务器的流量,无论它来自浏览器、工具和应用程序还是命令行。它还监控PaaS服务。然而,所有流量都必须通过DLP可以拦截的网络组件,通常是代理。如果远程工作者不通过公司代理,这是一个限制,但它适用于公司网络中的笔记本电脑以及来自(云)虚拟机和PaaS服务的数据传输。因此,在查看了所有DLP功能、变体和能力之后,关于"云DLP"的信息是明确的。

如果有业务或监管必要性来监控和防止管理员和工程师故意或错误地从虚拟机和PaaS服务发起的潜在数据泄露,唯一的解决方案是网络DLP——除了为所有笔记本电脑的工作区域已有的任何措施之外。

实施有效的云DLP策略

有效的云DLP实施需要一种针对组织特定风险概况和技术环境的定制方法。通过首先识别哪些用户群体和通信渠道存在最大的泄露风险,组织可以部署电子邮件、终端和网络DLP解决方案的正确组合。

请记住,DLP工具应该补充而不是替代基本的安全实践,如深思熟虑的应用程序设计、严格的防火墙策略和安全的开发环境。最成功的云DLP策略在技术控制与业务需求之间取得平衡,确保敏感数据得到保护而不阻碍合法工作流程。

Q&A

Q1:什么是数据丢失防护(DLP)?它包括哪些内容?

A:数据丢失防护(DLP)涵盖了防止未授权数据泄露的战略和运营措施,以及从技术层面阻止此类尝试的软件解决方案。它包括检测规则设置、流量监控、用户行为分析等多个方面。

Q2:商务用户和工程师管理员在数据泄露风险方面有什么不同?

A:商务用户受到严格限制,只能通过电子邮件和网络上传两个渠道泄露数据。而工程师和管理员拥有更多技术工具,可以通过笔记本电脑、虚拟机、平台即服务组件等多种方式泄露数据,风险更高。

Q3:云环境中应该选择哪种DLP解决方案?

A:需要根据具体需求选择。电子邮件DLP适合入门,终端DLP主要监控浏览器流量,网络DLP是监控虚拟机和PaaS服务数据泄露的唯一解决方案。最佳实践是根据用户群体和风险点组合使用不同类型的DLP。