人们对于采用云计算最大的关注问题之一就是针对他们数据的潜在风险。无论何时,一旦“失去”了对资产的物理控制,我们自然会对此产生焦虑。由于防数据丢失(DLP)技术成为了屈指可数致力于保护数据的技术之一,那么我们很自然地会希望能将该项技术应用于基于云计算的数据保护。
目前,云计算中有三种不同的业务可以让DLP技术一显身手。第一个是使用其作为控制数据迁往云计算的工具。第二个则是在云计算中控制保护数据。最后,我们可以使用DLP工具来找到“暴露”在云计算中的敏感数据。
使用DLP工具来控制数据迁移
在云计算中DLP工具最能大显身手的用处就是监控从传统基础设施到云计算的数据迁移。绝大多数的云计算服务都把HTTP协议作为他们主要的输出通讯协议(虽然经常是通过自定义的API)。因此,如果你监控HTTP(以及HTTPS),你就能在云计算服务模式的范围内捕获很多的潜在数据迁移。
所有的网络DLP工具都能够监控HTTP流量,我强烈建议你坚持使用同时支持HTTPS本地监控或通过网络网关集成监控的方法。然后,可用询问你的DLP供应商,他们是否了解云计算的主要服务和目的,这将减少编写自定义规则的需要。然后你能够把你任何现有的DLP内容规则应用于云计算服务或只是为在云计算是你数据的发送目标时设置通用警告。
在云计算中跟踪数据
一旦数据在云计算中,你可能希望跟踪其具体位置。或者你可能希望跟踪你的用于存放敏感数据的云计算基础设施。这就是内容发现的由来,你可以使用你的DLP工具在已知的库中扫描敏感数据。
如果你使用着基础设施即服务,你可以使用你现有的DLP工具来扫描,就如同在你的传统数据中心中一样,当然你可能需要增加一个VPN连接以便于能够访问存储库。如果你的DLP工具支持,你还可以在云计算中查看部署DLP虚拟设备。对于平台即服务或软件即服务,你需要一个让DLP工具访问数据的方法(例如基于API的文件存储访问方法)以及一个支持通讯方法的DLP工具。这一点已逐渐得到了改善,我们看到一些供应商正在开始开放对主要云计算存储服务(如Amazon S3或Rackspace Cloud Files)。
最后,你可以使用DLP工具在云计算中的关键点监控网络流量。有三种方法可以实现该功能:使用嵌入在云计算实例或管理程序中的端点代理,通过云计算外部专用DLP服务器或设备进行流量规划,或运行一个DLP服务器的云计算实例并通过它来规划流量。
如果你使用的是公共云计算,你不必强求网络路由达到DLP要求的程度,而应该更多地依赖于基于代理的方法。但是,一旦你使用的是私有云计算或虚拟私有云计算,你所拥有的控制权足以规划流量并使用DLP进行监控。
云计算DLP工具的局限性
你应了解它的一个局限性,即你的公共云计算平台可能对每个实例只支持一个单一的网络接口,这就意味着你需要一个能够在这样一个限制下监控和发送流量的虚拟DLP。请记住,我们大部分人并不会使用DLP来监控基于数据中心的应用程序,它也不是我推荐用于保护服务器的首选技术。
总之,在使用DLP工具监控数据的云计算迁移中,在基于云计算存储的内容发现中,我看到了DLP的重要价值,但在公共云计算中部署DLP的价值却是很小。(它在私有云计算中有重要使用价值,这取决于你使用它的场合)。随着时间的推移和技术的发展,这一点将发生变化,我们将可以在云计算中部署各种各样的服务,但是我们能够使用DLP在线保护的任何云计算部署都是一个应用程序基础设施,我们将更多地关注应用程序安全性和加密。
DLP可能是一个提高数据在云计算中安全性的优秀工具。使用它可以跟踪数据的云计算迁移、发现云计算中存储的敏感数据以及保护在云计算中运行的服务。但是,无论何种技术,请确保已根据实际使用环境进行过调整,不要浪费时间把它部署在不能产生价值的地方。