鑽石舞台

數據防泄漏（Data Loss Prevention，以下簡稱DLP）這個話題在國內一直處於不溫不火的狀態。大家都知道DLP非常重要，但實際部署過DLP或者聽過經歷的安全從業人員都對這個技術的有效性和易用性充滿了懷疑。因其漫長又艱難的POC測試過程和部署運營的人力投入都與這個技術帶來的收益不成正比，使DLP的安全效用大大降低，也逐漸拖慢了DLP的發展過程。

但隨着國內外數據合規監管要求趨嚴，企業IT架構逐漸雲化，SaaS應用的逐漸成熟，以及2020年以來全球COVID-19疫情給企業帶來的遠程辦公數據泄露問題，都給DLP架構升級帶來了新的機遇，企業選擇DLP技術方案時，不再僅僅局限於終端、網絡和郵件的DLP，而是逐漸趨向於選擇在零信任、雲原生、CASB和SASE等新技術領域驅動之下的全新DLP解決方案。

筆者一直堅信數據防泄漏是一個企業系統化、體系化的工程，絕對不是僅僅一兩個安全產品就可以解決的。國外數據防泄漏市場注重的是生態和連接，一方面是IT巨頭和行業應用如Microsoft、Google、Salesforce和Slack等在建設自己應用產品的同時，本身就會將應用原生DLP能力集成在內，通過開放的API為其他安全產品提供深度定製的安全能力。另一方面，安全廠商不求大而全的「王國」，而是在某一細分領域中做大做強，與IT巨頭和行業應用做到足夠強度和深度的集成。這些國外的經驗非常值得借鑑和學習，期望國內各類安全產品和SaaS應用平台，都能通過加強自身原生安全能力設計，提供足夠開放的連接能力，則可以為整個安全生態構建默認的數據保護基礎，降低企業在選擇安全解決方案時的困擾，這樣才能真正解決企業數據防泄漏的問題。

國內目前沒有對雲原生數據防泄漏（DLP）作出明確的定義，但從筆者對目前較為領先的雲原生DLP科技企業進行調研分析來看，雲原生主要的聚焦點在於雲上SaaS應用數據的泄露保護上。因此我給雲原生數據防泄漏（DLP）的兩個關鍵定義是：

1.SaaS應用自身具備原生的DLP能力，在不同形態的產品類型上，能做到基本的身份認證、角色權限、授權控制，並且在數據的共享、外發、鏈接、發布、交換、授權、上傳與下載方面提供基本的安全可配置性；

2.SaaS應用自身具備充足的開放APIs，能為第三方的DLP產品提供充分的數據防泄漏控制靈活性。可以通過基於API的方式，對SaaS數據進行分類分級和標籤化，提供共享、外發、鏈接、發布、交換、授權、上傳與下載等功能的配置與整改，進而通過結合零信任和UEBA手段做到更靈活的數據控制。

本文主要從雲原生DLP這個新技術架構進行展開講述，但也同時將傳統的終端DLP、雲桌面VDI等技術作為解決方案的實用補充手段進行講解，希望能為讀者帶來更廣闊的企業數據防泄漏解決方案的視野，更好地在企業打出數據防泄漏組合拳。

企業IT架構已經逐漸從傳統的內網數據中心部署模式遷移至雲平台部署，也有不少多雲與數據中心混合部署的模式，甚至有不少的企業應用已經將企業IT系統轉向SaaS平台，例如常見的企業IM即時通訊、CRM系統、客服系統、在線文檔協作平台、雲盤、雲筆記、項目管理平台、代碼託管平台等。這對於安全團隊來講，意味着更多的數據將流轉到傳統企業安全邊界之外的地方進行存儲和處理，非受控設備訪問、不可控的SaaS數據分享和轉發，在這種架構下為數據防泄漏工作帶來了新的風險和挑戰。

APT組織的入侵與滲透，其目標主要是具有高度商業價值和國家秘密的高敏感數據，技術手段趨於通過辦公終端泄密。員工受利益引誘售賣數據，或者不經意擴大數據的分發和共享範圍，將文件和代碼上傳至不可控的互聯網Shadow IT，這些都是當今企業安全需要面對的外憂內患。

國家陸續針對數據和個人信息領域發布了《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》，配套的法規標準也密集出台，跨國企業也需要滿足SOC 2和NIST CSF和PRF的一些要求，從而向投資人與客戶提供更強的安全信心。這意味着數據隱私合規工作從有能力才做，轉變成必須要做。數據防泄漏（DLP）是數據安全與隱私合規的重要組成部分，是數據安全中的基礎配套能力，也是衡量數據使用流動是否滿足企業業務需求和安全要求的天秤。

自從2020年全球COVID-19疫情爆發以來，世界各地的遠程辦公需求激增，甚至目前已經迎來了元宇宙辦公時代了，員工居家使用BYOD設備訪問SaaS化在線文檔編輯、業務處理和遠程會議已經成為工作常態，但也意味着數據可能被傳輸到很多企業不可控的Shadow IT網站，造成企業敏感信息泄露。

圖片來源：元宇宙辦公場景（摘自36氪公眾號）

上圖是一個企業已經遷移上雲並且業務已經SaaS化的簡要網絡架構，從圖中可以看出我們的訪問終端可能包含了全球的總部、各地分支結構、辦公設備、移動設備以及部分非受控設備，需要訪問的資源分別有SaaS應用（指公有雲SaaS）、企業本地化部署（雲部署的私有應用）以及企業不受控的Shadow IT。

跨國公司業務全球化，辦公地點全球分布，BYOD、遠程辦公、外包設備，未知的網絡接入場所導致數據泄露點增加。員工隨意使用SaaS應用，成為Shadow IT。從上圖分析，會發現企業裡面非受控設備與Shadow IT可能會與企業內部數據資源進行交叉訪問，意味着數據泄露風險發生的可能性非常大。

企業敏感數據遍布各類不同的IT設施，有結構化、非結構化、半結構化等不同數據形態存儲在終端、雲盤、NAS、數據庫、存儲、SaaS應用中。這種跨平台、跨數據結構的數據分布為企業的敏感數據識別、分類分級、數據標記以及數據泄露策略配置帶來重重困難。安全有句老話：「你不能保護你不知道的任何事情。」數據分類分級毫無疑問是數據安全工作的基礎，資產底數不清晰，就不要談後續的數據保護策略了。

在數據必定要上雲的情況下，傳統的終端DLP和網絡DLP框定的邊界已逐漸失效。SaaS應用自身的數據分享、轉發、公開，或者惡意分享、意外分享、數據泄密等行為已經越來越常見。在探索企業DLP效用時，應把數據、使用行為、數據場景作為一個系統進行分析。從下表的簡單分析來看，傳統DLP和雲原生DLP能解決的數據場景是不同的，但基於雲環境的數據防泄漏，顯然雲原生DLP具有天然的優勢。

隨着SaaS應用廣泛使用，企業數據上傳至SaaS應用是正常業務需求。但在混合部署的架構下，從上表的分析來看，單純的雲原生DLP也無法解決所有的數據泄露問題，必須使用體系化的DLP架構建設思維，使出DLP組合拳。

筆者曾在《百家| 探索隱私保護數字化解決方案》中為讀者介紹過企業搭建數據安全與隱私保護框架的方法，也提供了以NIST Privacy Framework為基礎，融合了各類安全合規要求的數據保護框架。本文所介紹的企業雲原生DLP架構思想承襲於該框架，並在該框架下覆蓋了特定的安全領域，以具體地解決數據安全中屬於辦公網數據安全方面的數據防泄漏問題。

當企業的數據安全與隱私保護框架設計完善時，所有的安全控制措施都會在整個框架的各個部分得以體現，形成安全技術、安全管理、安全運營和安全合規的小循環。因此，筆者依然極為推薦讀者在建設安全體系時，以體系化思維來構築各項安全活動。

在企業數據防泄漏（DLP）的安全域下，各個安全模塊都有各自的功效，具體如下：

1.識別模塊

在企業數據防泄漏（DLP）的領域，我們需要做識別的分別有業務場景和數據資產，並通過數據泄露風險分析的方法，將數據防泄漏的需求進行完整識別，以更好地推動DLP體系建設。本文會在數據發現、分類分級數據標籤化能力建設和運營方面進行具體介紹。

2.保護模塊

保護模塊是數據防泄漏的技術體系建設重點，本次雲原生DLP的介紹會更傾向於在辦公網數據安全方面進行具體介紹，結合雲原生DLP+傳統DLP+雲桌面VDI+零信任+CASB等方面的內容進行整體介紹。

3.治理模塊

數據安全運營管理是治理模塊的其中一個重要環境，也是本文數據防泄漏運營體系的重點介紹內容。數據防泄漏運營體系將通過介紹如何將數據防泄漏運營通過NIST CSF框架的IPDRR模式進行深度整合，徹底融合到一個企業安全運營框架中。

4.交互模塊

數據防泄漏要在企業中實施徹底的培訓宣貫，與各相關部門形成良好的溝通機制，才能將DLP策略更輕鬆地部署到企業的每一個角落。得到各部門和關鍵相關方的支持，這是DLP策略成功的重要環節。就像信息安全管理體系各過程管理一樣，數據防泄漏的目標績效最終需要通過安全事件、糾正措施、過程更改、變更控制、文件更新，最後落實到培訓宣貫中，整個體系才能運轉正常，並得到持續改進的機會。

5.內控模塊

內控模塊在數據防泄漏領域，主要就是對已設定的技術、管理、運營和合規措施做定期的內部安全評估，以發現不足。持續識別法律法規在數據安全與隱私層面的最新要求，為數據分類分級和數據標記的策略提供依據。最後需要對DLP的不足和不合規進行持續的整改和糾正。

根據企業的總體安全目標，數據防泄漏也應該確立明確的目標，才能將內、外部相關方要求與業務目標、數據治理目標保持一致。每個企業的數據防泄漏目標可能不盡相同，企業的不同性質（國企、外企）、不同規模、不同行業、不同風險偏好、不同資源投入的情況下，對於目標的設定都會有所差異。因此，本文暫且以「滿足全球辦公需求，數據防護策略一致；敏感數據多維感知，實現數據分級保護」為目標，開展整體數據防泄漏框架的設計。

通過上圖的數據防泄漏框架可以看出，企業數據防泄漏涉及的IT設施包括網絡、終端、移動設備和雲，不同的IT設施所需要部署實現的安全技術措施都不盡相同，配合DLP策略運營手段，共同形成DLP組合拳框架，以滿足企業數據防泄漏的總體目標。

要理清具體的數據防泄漏需求，首先要在企業中開展重點數據使用場景的梳理，一般在企業數據中心+SaaS混合部署的IT架構下，會有以下幾種重點的數據使用場景：

▶企業內部雲盤敏感信息（如Office 365/Google Drive）

員工使用雲盤等在線編輯的文件作為載體記錄敏感數據，例如客戶基本信息、員工薪酬信息、財務信息、研發計劃等，文件下載到本地終端後可隨意外發。

▶對外溝通聯繫

IM聊天工具與郵件既用作內部溝通，也可與客戶或第三方機構聯繫。商業秘密易通過郵件/消息/文件傳輸等方式外泄。

▶內外部應用上雲，SaaS應用持續增加

內外部應用逐漸上雲，SaaS應用逐漸增加，傳統的數據中心邊界被打破。

▶「雲端」文件存儲共享、外部鏈接

雲端臨時存儲的敏感文件（如Slack、Confluence上傳文件），或以鏈接的方式分享敏感文檔或數據給第三方文件。共享鏈接的權限配置錯誤，或鏈接設置時間過長導致數據持續泄露。

▶自帶設備（BYOD）

員工或供應商使用自己攜帶的設備訪問企業的數據資源，導致企業數據資源被發送到不受控的環境。

▶非管控的Shadow IT外部網站訪問

技術人員通過各式IT技術論壇尋求問題解決方案，員工使用未經批准的第三方應用（Shadow IT）上傳內部敏感資料，如未知的雲盤、雲筆記、流程圖系統、雲代碼平台（GitHub、碼雲）。

通過數據使用場景梳理後，就可以對數據泄露渠道進行枚舉了，這是一個必須通過頭腦風暴結合實際情況的窮舉過程，而且也應該納入後續運營的持續識別過程中。總的來看可以通過從設備外設、典型傳輸通道、拍照截屏、郵箱、IM、網盤、雲筆記、代碼平台、共享盤、NAS存儲、SaaS Drive等方面進行完整識別，並且明確列出其傳輸通道、數據傳輸/操作場景、信息泄露的具體情況，信息泄露的細節列得越清楚，後續DLP策略將會更清晰。例如USB禁用的情況下，通過審批（僅允許單個文件外傳）臨時開通USB端口後，短時間內的大量異常數據外泄，是否能夠被監控告警或審計？

可參考的數據泄露渠道梳理例子如下：

在對企業的數據防泄漏使用場景和數據泄露渠道梳理完成後，根據數據防泄漏框架，就可以搭建出整個企業的雲原生DLP總體架構來對數據安全的各個泄露風險進行處置。整個雲原生的DLP總體架構分為七部分，下面逐一介紹：

職場辦公網絡指企業的辦公室環境，包括總部和分支機構的所有辦公PC、公司配發的筆記本電腦、企業雲桌面VDI資源。該環境是一個相對可控的辦公環境，各類傳統的安全管控設施最為完整。在該環境中，我們可以在終端中部署包括終端DLP、安全桌管、CASB連接器、EDR、殺毒軟件等一系列的Agent來進行終端的安全防護。在該環境中，我們可以配合雲桌面（VDI）、遠程瀏覽器隔離（RBI）和桌面沙箱（Sandbox）來做不同數據密級的流動限制，禁止高密級數據向低密級環境流動。雲原生DLP的實現重點是CASB連接器，它可以將終端側的流量通過PAC文件的方式引流到CASB的就近POP雲節點中，提供在線（Inline）的數據防護能力。當然，如果有安全廠商能將所有能力集成在一個Agent中，企業肯定是歡迎的，但是各個廠商會有自己的細分領域優勢，做到又全又好的產品是極為少見的。筆者建議多點通過POC測試來檢驗產品能力。

在應對員工、供應商、實習生、疫情隔離人員使用BYOD設備和智能手機時，我們採用幾種方法使這類設備重新受控，使用哪一種方法，取決於公司的具體數據使用場景，以及對不同部門採用不同的策略而定。

■雲桌面VDI：通過純虛擬雲桌面給辦公人員，使辦公人員的BYOD設備納入到可控的VDI管控範圍，本身VDI也會安裝EDR、桌面管理、終端DLP，也通過PAC文件引流到CASB的就近POP雲節點；

■雲桌面VDA（Virtual Delivery Agent）插件：通過VDA插件替代傳統的RDP協議，為BYOD設備提供遠程連接到公司辦公PC的方式，可以遠程遙控辦公室的PC電腦；

■遠程瀏覽器隔離（RBI）：當BYOD設備只需要通過瀏覽器完成工作時，可以使用遠程瀏覽器隔離（RBI）的方式，提供像素流或者CDR技術（內容解除和重建）的遠程瀏覽器遙控，防止數據泄露，也可以防止病毒在終端運行；

■移動設備MDM與MAM：如有需要使用移動設備（智能手機、平板）訪問公司資源，則移動設備必須安裝公司指定的MDM和MAM，或者EMM等相應的移動設備管理系統，以及安裝CASB連接器App。其最主要的功能是在移動設備中開闢一個虛擬的工作辦公空間，裡面安裝企業允許的App程序，只有在沙箱裡面的App才能訪問公SaaS應用的租戶資源以及公司內部的相關數據資源，即使下載了公司的數據文件，也無法通過移動設備工作辦公空間外的應用程序進行調用、存儲。在員工離職或移動設備丟失時，可以遠程清空移動設備該工作空間的數據內容。該方案最大限度保護了工作數據以及員工的個人隱私。

圖中中間的部分就是本文重點介紹的雲原生DLP的在線（Inline）模式。目前市面上通常是CASB雲安全訪問代理或SASE安全服務邊緣能夠提供該類的能力。這兩種形態的產品，其根本功能都是由安全廠商在公有雲上提供的一整套具備SD-WAN網絡基礎，提供全球就近POP接入的雲安全接入點，通過該接入點提供包括數據防泄漏（DLP）、遠程瀏覽器隔離（RBI）、雲入侵防護（IPS）、雲沙箱、雲防火牆、URL過濾、防病毒（AV）、SSL流量檢測、Shadow IT監控、DNS安全、帶寬控制以及可視化的多項安全功能。

所有職場辦公網絡、BYOD和移動設備等受控設備，都可以通過CASB連接器、PAC文件或者辦公場所IP SEC / GRE通道等不同方式，將流量全部引流至CASB雲安全訪問代理或SASE安全服務邊緣，使各類數據流量得到防護和監控。

本文將重點將其DLP、RBI、URL過濾、Shadow IT等方面進行重點介紹。

應用程序資源分為SaaS應用（指公有雲SaaS）、企業本地化部署（雲部署的私有應用，下面簡稱私有應用）以及企業不受控的Shadow IT。其中SaaS應用和私有應用都會與企業IAM進行集成，並將SSO單點登錄入口源設置為CASB，並且阻斷其他網絡來源的登錄請求。這種方法可以杜絕非受控設備訪問SaaS應用和私有應用的風險，做到入口收斂和攻擊面收斂。

還記得雲原生DLP的定義嗎？其中一個關鍵的定義就是SaaS應用自身就需要具備雲原生的DLP能力。目前筆者觀察到不少做到好的科技巨頭在其產品中已經集成了非常強的雲原生DLP能力，就像Microsoft的整套雲安全能力，就包含了信息保護與治理（IPG）、內部風險管理（Insider Risk Management）、發現與響應（Discovery & Respond）和合規管理（Compliance Management），其中微軟信息保護（MIP）更是目前為止與將非結構化標籤集成得最好的一個科技巨頭，其數據標籤可以用到不同的數據保護場景，包括DLP、Teams、Azure Storage、SharePoint和Exchange等場景的發現、分類、保護和監控。Google的G-Suite套件在BeyondCorp零信任架構的加持下，在數據保護能力方面也非常優秀，包括Chrome瀏覽器的基於情境感知的零信任准入機制以及G-Drive和Gmail的數據發現、標籤、DLP能力都與微軟有得一拼，而且更多的新功能也在持續迭代過程當中，不少好用的功能已經在測試發布。類似Salesforce等全球最多人用CRM系統，其身份與訪問控制和數據控制的能力都已經打磨得非常到位。

總體來講，一個SaaS應用在數據保護能力上是否充分，在企業的系統選購過程，都應該由安全團隊作為關鍵的技術評審環節人員作出評價，確保SaaS應用具備充分有效的數據防泄漏能力。

這是組成雲原生DLP的另一個必不可少的部分，這個部分的部署有兩種方法。

方法一：是單獨購買雲原生DLP細分領域做得比較好的產品，目前觀察到的包括Nightfall AI和Altitude Networks等比較細分的產品。他們在逐步擴展能支持的SaaS產品範圍，做到更深入的API集成。他們普遍能提供的DLP功能有以下幾點：

lSaaS應用數據發現和識別：包括數據標籤、文件名、創建者（IAM關聯）、創建時間、安全設置、有訪問權限和執行權限的所有操作（例如編輯、創建、查看、下載、重命名、共享等）的發現和識別。這個功能完全依賴於SaaS應用本身的API開放性，開放能力越強，雲原生DLP的功能就越強，他們是一個生態內的持續迭代過程，是一個很有盼頭的正向循環。

lSaaS應用共享風險的糾正（整改）：當雲原生DLP發現SaaS應用基于敏感、機密標籤時，就可以設定不得全員共享或不得外發共享的設定，當在SaaS應用掃描中發現該類違規，則會通過API進行文檔權限的糾正。企業可以隨時根據公司實際情況來修改DLP的規則，來滿足內部的安全政策。

●關係圖譜分析：建立數據使用關係圖譜，哪個用戶（主體）訪問哪些文件（客體），以及之間的訪問控制規則，可以可視化地觀察和了解員工的數據使用和共享情況，也能映射企業與第三方的數據共享情況，包括合作夥伴、供應商等。

●行為分析：提供基於機器學習技術對行為進行建模，發現用戶異常行為。例如一個員工在離職前大量從Office 365 或 Google Drive下載文件，共享給第三方等與正常行為發生嚴重偏離的情況，都會進行告警，並調用API進行糾正。

方法二：採用本身CASB自帶的API模式來完成雲原生DLP的API模式集成，該方法的考慮因素是成本節約，而且與本身CASB的雲原生DLP共享一套策略，但可能在雲原生DLP的控制力度上不如單獨的雲原生DLP產品。

非受控設備指沒有安裝任何公司安全管控軟件的設備，根據CASB的策略，可以完全禁止這些設備訪問SaaS應用和私有應用，也可以對其限制為只能通過RBI來限制查看部分非敏感資源。

安全智能管理，主要是整套雲原生DLP的智能大腦，為整套體系提供數據發現、身份管理、日誌採集匯聚與異常行為分析等相關功能。

以上就是雲原生DLP總體技術架構的總體介紹，下面針對每一項重點的技術，再進行展開描述。

雲原生DLP在線（Inline）模式的關鍵組件就是CASB。在國內CASB一直不溫不火，主要是由於SaaS應用未大規模推廣，以及國內企業喜歡私有化部署SaaS應用，導致CASB無法做到規模化和有效的部署。但最近火熱的SASE，因為具備SD-WAN網絡基礎和零信任SDP理念，可以使不同類型的網絡輕鬆地連接在一起，無論公有雲SaaS版、本地部署SaaS、私有應用都可以輕鬆通過SASE進行接入和控制。SASE是一種更廣泛的雲安全接入能力，同時能提供CASB、SWG、ZTNA、RBI和UEBA等眾多網絡安全能力和DLP能力。據筆者觀察，這應該是國內採用CASB功能的合理過度技術。

無論CASB或者SASE技術都無關緊要，筆者介紹的主要是他們這個技術特點下的五點主要能力：

受控的辦公終端安裝CASB連接器Agent，利用PAC文件將流量重定向到CASB，通過API和IAM的對接，實現雲上應用身份認證及登錄訪問控制，阻斷非法訪問，禁止非認證終端用戶訪問雲應用。

雲上應用的上傳下載流量需經過CASB，實現敏感數據監控阻斷。可以將傳統上網行為管理的URL過濾能力進行雲化，以滿足全球各辦公地點一致的上網行為管理。

終端Agent流量重定向CASB（*流量轉發粒度可靈活配置，例如按應用類別進行轉發，將部分延遲敏感性較高的網站進行例外處理），終端的所有互聯網流量將通過CASB，可有效發現、監控訪問互聯網上的Shadow IT的Web應用。

互聯網訪問的流量通過CASB時，CASB的威脅防護提供雲入侵防護（IPS）、雲沙箱、雲防火牆、URL過濾、防病毒（AV）、SSL流量檢測、DNS安全、帶寬控制以及可視化的多項安全功能，可對暴力破解、釣魚、0-Day漏洞、病毒、DNS中毒等安全威脅進行攔截保護。

終端Agent可實現SSL流量劫持，解密流量，識別流量內容，有效地對終端DLP防護的未攔截遺漏數據進行攔截，實現網絡防護補充。如果企業本身已經部署了網絡DLP，那麼CASB也可以將雲上的ICAP文件傳輸給本地的網絡DLP，做進一步的DLP流量檢測。

如上圖所示，CASB的部署方式有兩種，分別是在線（Inline）模式和API模式。

1.在線（Inline）模式主要應對數據動態傳輸（Data-in-Motion）的情況，可以提供以下功能：

●SSL加密流量檢測；

●多終端、多網絡訪問的統一數據防護策略；

●精確數據匹配（EDM、IDM & OCR）；

●文件類型、上傳/下載、URLs控制；

●SaaS應用訪問控制；

●遠程瀏覽器隔離（RBI）；

●數據防泄漏DLP能力集成。

2.API模式主要應對的是數據靜態存儲（Data-at-Rest）的相關風險，如要通過與SaaS應用的API集成進行實現，主要功能有：

●通過APIs 掃描SaaS應用存儲的數據；

●通過APIs 對外部分享鏈接、IM外部群組、數據互聯網開放進行掃描；

●通過APIs 對SaaS應用的錯誤配置進行檢查，並自動修復；

●強制執行數據文件共享策略（阻斷、只讀、隔離）；

●自動採取行動進行風險整改（關閉鏈接、刪除分享文件、事件報告）。

CASB連接器Agent集成了零信任准入檢測的能力，秉承「永不信任，始終驗證」的思想，使用CASB連接器驗證用戶的設備狀態，判斷終端入網的風險級別，從而提供不同級別的網絡資源訪問能力。該CASB連接器還可以通過第三方與所有主要的EPP/EDR/XDR提供商（例如，CrowdStrike、微Defender和SentinelOne）的集成來獲取設備狀態，包括系統版本、軟件安裝情況、註冊表情況、瀏覽器情況、安裝安全軟件情況、病毒情況等設備信息，形成設備指紋。

當CASB的零信任檢測認為設備的健康狀態不符合安全政策要求，則禁止或受限訪問對應的網絡資源，目前的管控顆粒度一般是應用系統域名級別。

零信任的動態授權究竟能管到多細，這取決於組織在零信任動態授權上投入的人力資源和開發資源。從筆者觀察來看，客體資源大概可以分為網絡級別（禁止/允許）、應用級別（域名禁止/允許）、應用功能/URL級別（功能頁面和URL的禁止/允許）以及數據級別（一個頁面的數據訪問的禁止/允許，或脫敏顯示）。可以看出，越往細的粒度來進行管控，技術難度和運營難度都會成指數級別增長，在投入產出比（ROI）不高的情況下，無謂摳技術細節。從實踐角度來看，能做到應用級別（域名禁止和允許）已經非常不錯，組織可以分為敏感應用、普通應用和全網禁止訪問等三個級別，基於CASB連接器Agent對終端的風險狀態判斷，來動態授予三個不同級別的客體資源，可以做到簡單的動態授權。

Shadow IT是企業IT未經批准使用的SaaS應用，當員工在其中存儲、上傳、共享公司文件和數據時，它們是數據泄漏的一個重要的隱藏途徑。因此，必須加以識別與監控。Shadow IT是每個企業都會面臨的痛苦難題，企業需要結合多種渠道對其進行評審、監控、識別、禁止、納管，才能有效降低其風險。

評審：安全團隊與採購部門應建立一個SaaS應用採購的技術評審流程，也可以成為立項流程。評審過程中，需要對即將採購的SaaS應用必要性、可行性、重複採購以及安全架構進行嚴格審查，確保採購回來的SaaS應用具備SSO單點登錄接入能力，能與CASB進行集成，將CASB作為唯一的登錄通道。如果SaaS應用沒有SSO功能，則次好的方法是通過企業網絡出口白名單進行訪問，禁止互聯網直接連接。

監控與識別：首先建立SaaS應用清單，對網絡中所有訪問非受控SaaS應用清單中的域名，並且存在數據文件上傳行為、敏感關鍵字輸入行為的網站都進行記錄。

禁止：通過CASB的URL過濾，先將能夠識別到的雲盤、雲筆記、同步盤、代碼平台等具備上傳數據文件的網站進行上傳封禁，並按需開通。CASB中其他可選的安全策略包括允許、阻斷、禁止上傳、帶寬控制、時間控制等，可以結合企業實際情況進行設定。

納管：對監控識別結果進行定期匯總，如果發現企業內多人使用同一個Shadow IT，則判斷是否需要為它「轉正」成為公司批准的SaaS應用。如果公司已經有類似應用可以滿足需求，則應引導員工使用經批准的應用。俗話說，關了一扇門，總要開一扇窗，否則總會有員工繞開我們的安全政策。

對於非受控設備訪問正常的網絡資源，一定要進行嚴格控制，與組織毫無關係的訪問必須採用阻斷手段，從而收斂SaaS應用的暴露面。如果是BYOD或者供應商臨時訪問的情況，則可以考慮遠程瀏覽器隔離（RBI）或者雲桌面VDI的訪問方式。這兩種訪問方式可以基於不同的數據使用場景進行，下面分別介紹。

遠程瀏覽器隔離（RBI）是簡單來說，就是用戶不使用本地的瀏覽器直接上網，而是連接到一個遠程服務器上，用服務器上的「遠程瀏覽器」上網。全程數據只落在遠程服務器上，不落在本地，達到數據不落地的效果。RBI與VDI相比，具有更輕量化的使用邏輯，無需安裝Agent就可以使用，特別適合手機、筆記本、平板等訪問場景，以及工作中屬於輕度使用瀏覽器就能完成業務的部門，用戶體驗比VDI更好，但RBI無法應對C/S架構軟件的工作內容。RBI的好處在於一方面提供數據防泄漏能力，另一方面提供了阻斷惡意代碼運行的功能。RBI一般有兩個流派，一個是像素推送，一個是DOM重建來達到安全保護目的，兩種方法各有優缺點。目前主流廠商包括Cloudflare, Zscaler, McAfee等，在RSAC2022創新沙盒大賽中，Talon這家專注於瀏覽器安全解決方案的企業也成功奪冠。

像素推送：CASB雲節點上通過容器化實例的方法創建一個遠程瀏覽器，該遠程瀏覽器負責訪問目標網站。用戶在本地瀏覽器上通過點擊、滾輪、鼠標移動的命令都會通過加密通道傳送到遠程瀏覽器並進行遙控，遠程瀏覽器會將對應命令執行，並通過像素流視頻的方式將網頁的顯示結果返回給本地瀏覽器，達到遠程遙控的效果。特點是網絡流量較大，網速不好的情況下，高分辨率的視頻返回的圖像會模糊和失焦，用戶體驗可能會打折扣。

DOM重建：DOM 重建嘗試在將內容轉發到本地端點瀏覽器之前對 HTML 和 CSS 等進行清理。通過重建 HTML 和 CSS 等來消除活躍代碼、已知漏洞，以及其他潛在的惡意內容。但HTML和CSS的重構，沒有辦法完全杜絕黑客利用重構漏洞形成的攻擊，也可能因為網站更新改版導致重建失敗而無法顯示，需要不斷維護DOM重建的能力。

如果用戶除了使用瀏覽器外，還有其他本地文檔需要進行處理，例如Office編輯、開發，或使用非Web系統，則應該使用雲桌面VDI，以獲得最完整的工作空間。員工和第三方人員可以在BYOD電腦安裝VDI客戶端，訪問雲上桌面，獲得與本地電腦無異的完整工作空間，也可以做到「數據不落地」的效果。

雲原生DLP還有一個重要的功能，就是非受控SaaS租戶控制。現在SaaS應用一般都會有租戶機制，有些SaaS應用可以使用個人賬號，也可以使用企業賬號進行登錄。如果員工可以同時在企業網絡中登錄個人賬號和企業賬號，則可能存在將企業數據傳輸到個人租戶空間中的風險，供應商租戶也是同一個道理。所以CASB應該能做到SaaS應用租戶級訪問控制，能禁止或受限地訪問個人賬號和供應商租戶，可選的受限策略包括完全禁止、只讀訪問、禁止上傳等。這項功能基本只會出現在少數的CASB廠商能力中，傳統的網絡DLP基本沒有這項功能，這也是雲原生DLP的優勢之一，在CASB選型時需要特別關注。

雲原生DLP對於數據精確匹配的規則上出了傳統的關鍵字和正則表達式外，也具備EDM（精確數據匹配）、IDM（索引數據匹配）和OCR（光學字符識別）技術，進一步增強雲原生DLP的數據識別、規則命中的精度。

lEDM技術：精確數據匹配（EDM）是可以降低數據泄露告警誤報率的技術。EDM通過將業務生產數據庫中的個人數據（客戶數據、員工數據）記錄進行Hash摘要，並將摘要上傳到CASB中，只有當上傳的數據中匹配了對應的摘要信息，才進行告警，可以大大提高告警準確度。

lIDM技術：索引數據匹配（IDM），是一種數據內容進行模糊匹配的算法技術。該技術主要用於檢測各種非結構化儲存的文檔與樣本文檔的相似度，檢測內容包括文件頭、文件內容（段落、句子）、文件格式。但可能存在文檔段落輕微改變後就無法識別的問題，例如對Excel識別後，將Excel轉換為PDF導致分頁後的數據，是無法被準確匹配的。

lOCR技術：光學字符識別（OCR），對圖片中文字的形狀進行識別辨認，將其轉換成文字信息後，再通過DLP規則進行匹配，但準確率會存在一定的誤差。

這三種手段可以作為補充識別手段，但不能百分百依賴，而且其功效需要在企業內部進行大量測試後，才能對誤報和漏報做到心中有數。

Google基於BeyondCorp零信任的機制為整個G-Suite應用提供了豐富的數據保護功能，其中Google Drive是一款在線文檔編輯與文件存儲的系統，Google提供了雲原生的DLP能力，支持探查發現留存在雲端網盤中的敏感信息，從而確保雲端網盤中的數據符合公司合規政策（信息隔離牆/客戶資料保管/商業秘密保護）。

●文件標籤功能：作為遵循合規政策的一部分，用戶可為文檔添加數據分級標籤(公開/內部/秘密等)，並將分級結果與Gmail外發策略聯動，如帶內部標籤的文檔外發需審批。Google的數據標籤分為敏感級別標籤與其他標準標籤，可以根據企業需要進行設定，在DLP運營章節會詳細介紹。

●數據合規探查：對個人及共享雲端網盤進行敏感數據掃描，確保客戶資料保管及其他數據存儲符合公司數據安全政策，並強制執行保護策略，如敏感數據禁止下載，轉發等；

●數據保護報告：基於Google預定義敏感字段，分析用戶存儲及分享數據類型，生成雲端數據保護報告，如最常共享的數據類型，包含敏感內容的雲端網盤文件數量等。

Gmail的雲原生DLP策略也非常豐富，對於Google Drive中設定好的相關數據標籤，可以被Gmail進行識別和調用。同時Gmail也支持負責的規則設置，OCR檢測，全球語言識別，多文件類型識別等能力。通過搭配不同的屬性，能對郵件的收件人、發件人、敏感字段、統計信息進行複雜的規則匹配，從而實現郵件DLP阻斷。

另外，Gmail也支持將郵件的下一跳路由設置為其他第三方郵件DLP產品，由第三方郵件DLP產品提供敏感詞檢測，並提供基於組織結構（AD域）的郵件例外放行的能力，例如可以由部門經理或安全管理員進行審批放行。

全球目前專注於雲原生DLP的廠商不多，如前面介紹過，他們都是利用SaaS應用程序提供的API接口來完成對應的DLP和風險糾正。從Nightfall AI和Altitude Networks的雲原生DLP在SaaS集成的進程來看，基本上對Slack、Google Drive、Github、Confluence、Jira、Salesforce、Box、Office 365等主流SaaS都有一定的支持。

以Slack的雲原生為例，雲原生的DLP支持以下主要功能，這些功能基本涵蓋了一個IM軟件所具備的數據泄露功能：

▶實時掃描整個 Slack 組織的所有文件和消息；

▶實時掃描公共頻道中的所有文件和消息；

▶機器學習訓練的檢測器；

▶支持的各種文件類型；

▶支持光學字符識別 (OCR) 文件掃描；

▶可自定義檢測器和檢測規則；

▶用於創建規則和調整準確性的檢測引擎；

▶自定義警報消息；

▶自動和手動刪除和最終用戶通知；

▶細粒度的訪問控制；

▶自動化工作流程；

▶實時執行策略；

▶掃描所有預先存在的數據；

▶自動和手動隔離敏感數據；

▶自動和手動編輯消息中的敏感數據；

圖片來源：Nightfall AI官網

圖片來源：Altitude Networks官網

國內企業的IM聊天軟件，例如企業微信、飛書、釘釘能夠開放這些API功能，相信能為IM的雲原生數據防泄漏提供一個高成熟度的DLP能力，非常期待。

相信讀者都應該十分清楚，數據安全治理的基礎就是數據分類分級，但目前提的比較少的是數據發現和數據標籤化能力。整個邏輯是先數據發現，再分類分級，打上標籤，標籤再提供給數據安全系統使用。

目前國內市場在結構化數據的分類分級逐漸成熟，有不少的安全廠商已經具備數據庫掃描發現的能力了，但非結構化數據分類分級的專用工具則不多見，通常由終端DLP廠家代勞。終端DLP自帶的數據分類分級和標籤，比較難被其他數據安全產品使用，缺乏獨立性，也可能導致企業中存在多套不同的數據標籤，引起不必要的維護量。

我們要尋找的是一種能夠跨越數據結構和不同平台的數據發現、分類分級和數據標記平台，無論結構化數據、非結構化數據、半結構化數據都能識別，無論在終端、存儲、數據庫、數據倉庫、文件服務器還是SaaS應用中的敏感數據都能發現，最終在企業中對同一種數據提供統一的數據標籤。同時，這個標籤可以傳輸給DLP、CASB、OA審批流程、加密脫敏設備、匿名化系統、DSAR（數據主體權利請求）、數據映射（Data Mapping）、SOC/SIEM所使用。在筆者對該類型系統的調研過程中，發現國外的Spirion、Titus、Boldon James和Netwrix等幾個專注於數據發現、分類分級和數據標記的廠家，具備一定的數據標籤整合潛力，希望國內安全廠商在後面也能跟上步伐。

至此，雲原生的DLP能力已經介紹完畢，但筆者前面提過，企業的整體數據防泄漏，不可能單靠雲原生的DLP能力就能完全覆蓋，傳統的終端DLP和安全桌管依然能為數據防泄漏提供不可代替的能力。特別是企業有大量的C/S架構的應用程序的時候，雲原生DLP是無能為力的。

終端DLP和桌管一般能提供以下能力作為整個體系的補充：

■禁止外設及移動設備連接：通過桌管實現非授權外設及移動設備禁止連接公司終端，防止數據文件外泄；

■拍照、截屏及打印的水印：通過桌管實現屏幕、截圖及打印水印，使數據通過拍照和打印對外泄密時可追溯。水印有明水印、暗水印、文檔修改痕跡等不同類型，企業可以根據成本和實際目的來選擇；

■敏感字段內容識別攔截：通過文件內容識別、應用輸入、剪切板及圖像OCR，對敏感字段信息識別，實現對相關信息告警攔截並禁止對外輸出發送；

■數據發現及分類分級：通過應用程序識別及內容掃描任務，實現非結構化數據分類分級，識別敏感數據文件並進行分類分級標籤化，有利數據文件管控。雖然DLP也有數據發現能力，但筆者建議採用更獨立的第三方數據發現能力，以獲得更好的可集成性。第三方獨立工具的集成方式包括API對接和標籤數據庫讀取等；

■文件上傳外發管控：管控IM、網盤、郵箱等網上應用，結合數據分類分級，實現文件上傳外發的管控；

■流程化自動審批：對文件特權發送審批實現流程化和智能化，實現審批可追溯和可視化。

VDI是非受控設備控制的一個重要功能，但VDI具體應該如何設置才能實現良好的數據泄露管控呢？要用好VDI，首先我們應該對VDI的使用場景進行識別，並結合企業不同部門對工作的使用習慣來決定VDI使用方式。其次是做好VDI不同鏡像模板的分類，使其放在不同的VPC里，通過設置不同網絡訪問策略達到不同級別的網絡環境區分。

如上圖，我們對VDI使用分為兩大類，第一類是因網絡隔離需要而使用，第二類是因非受控設備訪問內部網絡資源而使用。

網絡隔離使用VDI，從訪問互聯網的角度可以分為正向使用、反向使用和完全隔離三種子類別。

▶正向使用，指本地PC終端不能上互聯網，而使用VDI上互聯網。這種模式下，PC終端是高密級環境，VDI是低密級環境，文件不能從PC終端發送到VDI，但可以從VDI將文件發送到PC終端。該模式通常用在研發部門、UIUX部門等對終端PC有較高性能要求的部門；

▶反向使用，指本地PC終端可以上互聯網，但VDI不能上互聯網，可以受限訪問部分內部網絡和固定的外網域名。這種模式下，PC終端是低密級環境，VDI是高密級環境，文件不能從VDI發送到PC終端，但可以從PC終端發送到VDI；該模式常見於需要受限處理個人數據的部門，例如客服部門；

▶完全隔離（數據安全屋），這是在反向使用的基礎上，對VDI可訪問的網絡資源進行進一步收縮，完全不能訪問任何互聯網和任何內部網絡資源，是一個完全封閉的獨立虛擬終端，用於需要將生產敏感數據進行本地化統計分析的情況。

VDI另一種使用方法就是為使用BYOD的員工和供應商使用，使其能在不可控的環境裡面訪問到企業內部資源，員工和供應商的無法從VDI中將數據直接拖到本地PC，但其他互聯網訪問渠道我們也可以通過雲原生DLP、終端DLP等手段進行兜底。

企業的移動設備也必須通過技術控制措施將其納入受控設備進行管理，其中常用的工具就是企業EMM或者是MDM + MAM的組合，來達到移動設備和移動App的管理。

1.MDM通常具備以下主要功能：

■越獄或ROOT權限檢測

■設備密碼管理

■設備遠程擦除

■強制數據加密

■遠程鎖定/解鎖

2.MAM通常具備以下主要功能：

■分隔工作及個人應用數據

■部署軟件商城

■部署企業應用

■強制應用更新

■預設應用配置

在數據防泄漏方面，顯然是移動設備上的應用沙箱能夠提供最強大的數據隔離效果，所有企業的App可以安裝在應用沙箱中，並且通過CASB連接器App打通訪問內部資源的加密通道。從企業App上下載的數據，不能被移動設備的其他非應用沙箱內應用進行讀取和使用，做到強制的工作空間隔離。

企業除了實施單點的DLP外，為了獲得更強的綜合管控，做到數據防泄漏的可視、可控和可管，必不可少的方法是完成數據安全SOC的建設。通過對CASB、終端DLP、桌管、VDI、移動設備管控系統以及SaaS應用埋點日誌數據的採集，進行日誌匯聚後放入Splunk中提供大數據分析能力，結合多源威脅情報（暗網的企業數據售賣情報）進行綜合分析，為數據安全團隊提供告警降噪、異常行為分析、安全事件追蹤溯源和SOAR等必要能力。

雲原生DLP架構所採用的技術細節又多又廣。要把DLP產品用好，關鍵不是部署實施，而是對DLP策略和規則的運營。為了使整個DLP運營體系與網絡安全運營進行整合，筆者用NIST CyberSecurity Framework的IPDRR模型為基礎，將DLP日常運營措施嵌入體系之中，使企業的網絡安全和數據安全運營相適應，做到更好的資源調配，形成安全合力。具體的雲原生DLP運營體系如下圖所示。

數據防泄漏是數據安全治理的重要環節，而數據安全治理的基礎就是分類分級。筆者觀察到很多企業做完數據分類分級後，其分類分級的標籤未能被分級保護策略有效地利用，其結果可能是分類分級做完，只得到了一張分類分級Excel表。終究其原因，筆者認為是分類分級沒有以價值和目的為導向，導致分類分級結果缺乏實用價值。

筆者提倡的一種數據分類分級思路，要以數據標籤價值和目的為導向的，實用主義的數據分類分級方法，其分類分級結果一定要以能被充分利用為目標。在數據安全和隱私保護領域，有大量需要基於數據標籤來工作的控制活動，舉幾個簡單例子：

◆國家數據安全法和網絡安全法都有要求對數據實施分類分級；

◆國家重要數據分級與企業數據分級存在不同，需要進行級別映射和維護；

◆不同數據類別和級別與DLP策略應該相適應；

◆不同類別和級別的數據應該實施不同的訪問控制、數據加密、脫敏和匿名化策略；

◆不同類別和級別的數據使用應該得到不同層級的Data Owner和相關方的審批；

◆不同類別和級別的數據應該與隱私保護中的數據庫存和數據處理活動相關聯；

◆不同類別和級別的數據在響應DSAR（數據主體訪問權利）時應採取不同流程；

◆不同類別和級別的數據在數據保留時間策略上有所不同；

讀者是否有想過上面的多個安全活動，其實都可以通過不同的數據標籤進行識別和利用？下面逐一講述。

從《數據安全法》和《個人信息保護法》到《重要數據識別規則》，以及各行各業出的數據分類分級指南，對數據的具體分類分級方法都存在或多或少的區別。企業在實施具體的數據分類分級的時候會遇到十分困難的定級問題，不清楚數據應該怎樣定級才能符合法律法規、標準、行業規範的各類要求。

其實筆者發現是有辦法做到數據類別和級別的調和的，那就是分層數據標籤模式（Schema），藉助統一的、跨數據結構、跨平台的數據發現、分類分級和數據標記平台，實現對統一數據的多標籤標記，是協調各類不同法律法規要求的主要辦法。

在前面的雲原生DLP架構中已經介紹過這個統一數據標籤平台了。在我們具體實施數據分類分級和標記的時候，我們可以利用這個平台做定期的數據掃描和數據標記，使組織內所有不同數據結構和存儲於不同數據平台的數據都被充分發現，配合數據分類分級人工服務，在平台上做到企業數據資產的可視化管理。

數據分類分級人工服務是必不可少的，再好的工具都只能輔助你更快地完成分類分級工作而已，但具體數據類別和級別的溝通，依然需要繁重的人工溝通、協調和反覆確認。這個時候，一個良好的數據安全與隱私治理組織就能助你事半功倍完成任務。現在企業內一般都會在各個部門設置安全專員/安全接口人等角色，而數據治理側也會設置Data Owner和數據技術負責人，在企業來看，這些接口人很可能都是同一人。因此企業可以考慮將Data Owner、數據技術負責人與安全接口人等角色進行整合，使這些跨部門協調和上傳下達的職能人員能夠更好地起到溝通橋樑作用，企業可以設計合理的獎勵機制對接口人進行激勵，使接口人能夠成長，並成為部門內部信息安全和數據隱私的倡導者（Advocate）和領跑冠軍（Champion），使業務部門和安全部門實現雙贏。一個良好的數據安全治理組織架構，一般分成決策層、管理層、執行層和監督層，這與大多數的管理體系設計保持一致，這樣的組織架構層次分明，也具備持續改進的基礎。

對於非結構化的數據分類分級，企業可以充分利用好安全接口人機制，並且將非結構化標記的工作賦能給接口人和業務部門，讓他們一起從業務數據文件使用的角度協助安全完成數據文件的標記，我們稱之為「用戶驅動型數據分類（User-Driven data classification）」。

分層數據標籤模式，簡單來說就是可以通過為一份數據進行多種標籤的標記，使同一份數據可以通過不同維度進行統計分析，以及被使用。通過這種方法，只要我在企業內維護好一份主數據，數據標籤就可以通過其元數據（屬性）進行結構化設計了。

如上圖所示，一般企業內部的數據定級都是外部公開、內部使用、敏感數據和機密數據，但可能部分數據會同時屬於國家的重要數據，又屬於個人數據類別。這種情況下，僅靠單一的數據分類分級標籤，沒有辦法對各類不同維度進行標記和定義，也就造成企業數據分類分級時的痛苦。

但只要我們對數據的元數據通過標籤模式進行設計，我們就可以輕鬆應對不同維度的數據標記要求了。如上圖所示，一個數據庫的表，或者一個Office文檔，一個Google在線文檔，他都可以通過數據標籤模式定義其不同維度的數據標籤，例如數據級別標籤、數據責任人標籤、數據共享情況標籤、監管標記（重要數據、GDPR）、數據保留期限標籤、加密技術標籤數據類別標籤、隱私類別標籤（PII\PCI\PHI）、管轄國家標籤等等。通過這些標籤，我們可以輕鬆地對標籤進行多維度統計分析，也可以將標籤通過API或者數據庫讀取的方式被其他數據安全系統、審批流程系統所讀取，從而實現基於分類分級標籤的數據保護策略。

當然，根據企業對於數據標籤的緊急程度，可以分階段來實施數據標籤。一些解決方案只支持每個文檔兩個標籤，儘管理論上大多數可標記文檔可以接受更大的數量。如果你的場景和工具只支持兩個標籤，可以優先對「數據級別（安全標籤）」和「數據所有者（業務標籤）」進行標記。這些標籤可以使數據安全團隊專注於正確的業務流程，訪問以及 DLP 控制，並讓數據所有者定義一個應該有權訪問文檔的範圍。對於安全團隊來講，這兩個標籤可以作為第一優先級進行實施。

不同數據結構的標籤具體實現方法如下：

●數據庫或數據倉庫：有兩種方法。一是在建數據表時預留數據列作為數據標籤的載體。二是在統一數據標籤平台向其他數據安全系統提供該數據的標籤讀取API；

●離線Office文檔：可以通過統一數據標籤平台為Office文檔的元數據屬性加上標籤；

lGoogle/Office 365在線文檔：可以通過統一數據標籤平台的API為在線文檔提供數據標籤。

讀者要注意的是不是每一種文件類型都支持元數據修改的，如果不支持的情況下，只能通過在文件內容裡面進行對應的標記，可能會對文件內容進行修改。下面羅列出常見的文件支持標籤/標記的類型：

在雲原生DLP架構建設時，已經對數據使用場景和數據泄露渠道進行了識別，但隨着企業的收購合併、組織架構調整、IT基礎設施改變、數字化轉型、業務變化和引入新應用系統的關係，數據使用場景會發生變化，我們需要及時對這些變化進行識別。

●收購合併：一個企業在收購合併時，必然會導致數據範圍、數據類型、數據規模發生變化。安全團隊應利用好接口人，做好公司收購合併的變化識別，及時啟動場景識別；

●組織架構調整：互聯網公司和快速發展的企業通常都會頻繁調整組織架構，組織架構調整會帶來此前安全和數據接口人更換，數據審批鏈變更，數據權限蔓延等一系列的問題；

●IT基礎設施變更：指服務器、數據庫、數據倉庫、數倉、文件服務器、終端、VDI等等基礎設施的變更，會導致此前的數據識別和場景識別發生變；

●數字化轉型：很多企業在數字化轉型的時候，都會存在紙質文檔錄入電子檔，本地數據遷移至雲等不同的轉變，因此在企業數字化轉型時，應該做到及時的識別；

●業務變化：業務變化必然帶來數據使用場景的變化；

●引入新應用系統：新的SaaS應用和私有應用，都會帶來數據適用場景的變化；

當數據使用場景更新後，緊接着需要實施的就是數據泄露風險評估。該評估可以參考國標GB/T 20984 信息安全風險評估規範 以及ISO/IEC 27005等相關標準進行實施，主要方法離不開可能性和影響評估、風險定級、管控措施有效性評估、殘餘風險評估等相關的方法論。風險評估從來不缺乏方法論和過程，重點是對威脅和脆弱性的枚舉，這個過程需要安全團隊與業務部門進行適當的頭腦風暴，並且注意收集業務案例來逐步豐富。當然，合適的數據泄露風險評估工具能幫助企業快速完成評估，例如類似OneTrust等隱私管理平台的數據安全評估模塊可以助你事半功倍完成對應的評估工作，並且可以基於正規的風險評估過程對風險進行識別、定級，也可以創建風險處置任務、風控控制措施，做持續的計劃跟蹤管理。

DLP運營，少不了對敏感數據規則的不斷優化。這是一個繁重的任務，也是數據安全團隊需要投入大量人力資源的領域。在敏感數據規則運營商，一般遵從以下三個步驟：

●依據：不同的司法管轄區對敏感數據的定義可以參考各地區的相關法律、標準指南和行業規範，從而作為敏感數據識別的重要依據。同時，數據泄露風險評估的結果，也應該作為依據輸入來源；

●設置：DLP產品一般都會有開箱即用策略，也能提供敏感關鍵字、正則表達式以及EDM、IDM和OCR等數據規則識別能力。所有的規則都要考慮告警閾值、語言、準確率等關鍵要素。其中閾值的判斷往往是一個反反覆覆的過程，要綜合考慮數據安全團隊的人力資源和告警數據來判斷閾值大小設置的合理性，同時也要不斷在SOC中做告警降噪；

●驗證：有不少的DLP策略驗證網站可以給策略實施的正確性提供驗證能力。所有設置正式發布前，應該得到充分驗證和變更管理。

終端的賬號權限收斂和桌面管控是做好企業數據防泄漏的基礎性工作，沒有這幾個步驟，其他DLP策略就像失去了根基，無法發展壯大。該工作通常是企業IT團隊負責，安全團隊為企業IT團隊提供必要的安全策略指導，合作推動該項基礎性工作。企業可以考慮從以下幾個方面做好這項基礎性工作：

●辦公終端統一加入AD域，建立企業全局唯一身份：全球辦公終端需要統一加入AD域，建立全集團統一的唯一身份，該身份用於訪問SaaS應用、私有應用，為後續訪問控制和數據泄露溯源提供唯一標識。可通過本地數據中心AD+Azure AD，加快全球AD加入速度和管理有效性；

●回收管理員權限+桌面管控：回收終端的管理員權限，限制終端用戶自行安裝軟件以及更改系統配置的能力。Windows系統僅分配User權限，MacOs使用JAMF系統完成系統的超級管理員權限回收。配合桌管系統，完成外設管控，並提供桌面水印。

●軟件安裝白名單管理：我們可以在企業內建立終端的軟件白名單，原則上公司不允許使用私人IM、雲同步盤、雲筆記等涉及員工個人數據的軟件。建立軟件白名單要注意兩點：一是對公司所有軟件安裝進行第一層審批，分為企業通用軟件和限制級軟件（存在數據泄漏風險和員工個人數據處理的軟件）；二是每個員工需要安裝限制級軟件時需要額外再得到相應審批並簽署個人數據同意書，同意公司對私人IM通訊、雲同步盤、雲筆記等軟件的DLP監控。新軟件增加進入白名單前，需經過IT的安全評審，確保軟件符合公司的安全政策，數據泄漏風險較小。軟件白名單機制可以通過企業軟件商城的方式來建立和維護，在軟件商城下載安裝軟件，系統可以自動以管理員身份安裝，無需IT人員手動完成。新實施該項政策時，要注意存量軟件的識別和卸載，否則企業內依然會存在不少繞過白名單的情況，這與ISO 27001和SOC2等認證要求都有一定違背。企業在安裝CASB的DLP時，默認就會對公司非授權的軟件進行阻斷，部署推廣過程可以順便把軟件隨意安裝的暴露面進行收斂。

●受控設備與非受控設備區分：在全集團區分受控設備與非受控設備，常見受控設備包括公司配發的台式機、筆記本和VDI，不受控設備包括BYOD、外包人員自帶設備和訪客設備。受控設備的標記可以在具有零信任准入功能的管理平台上維護，以實現受控設備的風險管理，例如Google Workspace或CASB管理後台。

●禁用郵件客戶端：通常郵件客戶端程序都會主動將郵箱中的郵件拉到本地保存，從而導致郵件的外泄。因此禁用郵件客戶端，僅允許使用Web郵件是收斂風險的較好方法，即使公司推動有阻力，也應儘量通過溝通進行克服。

SaaS應用暴露面收斂是有效實施雲原生DLP的必要要求，否則SaaS應用將與Shadow IT無異，在企業內非常難以管理。實施SaaS應用暴露面收斂，主要可以從以下三方面進行：

■SaaS應用採購技術評審：在企業內建立項目技術評審（立項），將技術評審輸出結果嵌入採購流程中，確保SaaS應用使用得到正式的IT批准，能有效接入SSO，避免非受控設備訪問。所有SaaS應用，在採購完成後均應接入CASB的SSO，建立訪問授權SaaS應用的唯一通道。

■Shadow IT 持續發現與監控：對Shadow IT進行持續發現和監控，對有異常文件上傳，敏感數據輸入的Shadow IT應用進行定期統計分析，了解業務需求，完成封禁和限制措施，同步整合需求給企業IT進行統一建設，或引導到公司統一的應用中進行工作。

■禁用個人賬號與SaaS租戶：一般SaaS應用都支持不同的版本，例如個人版、高級版、企業版。企業IT應該禁止員工在受控設備直接訪問個人賬號與其他企業的SaaS租戶空間，規避公司資料上傳到非受控SaaS空間，造成信息泄露。通常可以通過網絡DLP或CASB做到登錄租戶的域名識別。

根據筆者的調研，目前很多的SaaS應用都有很多自身安全設置可供選擇，安全團隊應該與業務部門一起對SaaS應用進行安全初始化設置，並將SaaS企業租戶超級管理員賬號進行回收，避免業務部門自行改變安全設置。SaaS應用的安全設置可以通過以下幾個方面進行：

◆身份認證：啟用SaaS應用的身份認證和2FA，接入集團統一的IAM系統；

◆角色權限：完成SaaS應用的角色權限梳理，形成RBAC角色權限矩陣，並通過ABAC實現細粒度控制，對各類權限對應可訪問數據範圍進行明細記錄。

◆訪問控制：通過SSO提供唯一網絡訪問通道，結合用戶終端風險態勢，對URL級別的功能進行動態授權。

◆關鍵功能設置：針對不同的SaaS應用，識別關鍵數據功能，例如數據上傳、下載、共享、外發、數據掃描與標記、公共鏈接、公共頻道等進行安全設置。

◆零信任設置：不少互聯網大廠的SaaS應用具有一定程度的零信任設置，例如瀏覽器檢測、限制訪問，應該持續了解能力，並進行設置。舉個例子，基於Google BeyondCorp的零信任，可以實現非受控終端無法訪問G-Suite系統的能力，一定程度上降低了數據泄露風險。

雲原生DLP的關鍵是SaaS應用自身DLP和SaaS開放API能力的組合，因此及時了解企業才採購的SaaS應用以及DLP平台的在DLP特性上的更新信息顯得十分重要。

一方面可以通過訂閱SaaS與DLP平台信息來了解DLP新特性新聞和通知，以及API清單更新。另一方面也可以與銷售代表建立良好的溝通關係。

了解到新的SaaS和DLP平台特性後，應該將APIs集成與配置納入運營日程中，及時對DLP能力進行升級。

URLs過濾是企業限制網站訪問的必要能力，必須進行嚴格的上網行為規則過濾，杜絕大部分不可控的Shadow IT訪問。國內通常使用的上網行為管理，是基於數據中心出口進行防護的，如果企業開始使用CASB，可以將上網行為管理的策略遷移到CASB上進行雲化。

一般URLs過濾都應將恐怖主義、反社會、暴力、色情等違規內容就進行禁止。同時禁用高風險的雲盤、雲筆記、同步盤的上傳功能。

CASB的URL過濾規則與傳統防火牆的ACL規則無異，所有需要白名單放行的規則（Rule）必須放在列表前面，最後是Deny ALL的規則（Rule），所以對於部分網站存在較多子域名時，需要通過抓包工具來檢查瀏覽器跳轉順序，做到網站部分功能封禁的效果，這種方法也可以用來在部署CASB時進行逐步排錯。

根據企業安全政策，可以考慮部分打開文件下載功能，方便獲取互聯網資料。URLs策略的維護是一個長期迭代的過程，配合Shadow IT的監控，可以做到事半功倍的效果。

數據防泄漏管理制度規範的制定和培訓宣貫，屬於預防性控制措施，因此同樣歸為防護領域。以上DLP運營的所有活動，都應該在DLP制度規範中明確。所有的DLP策略，應該在安全團隊內通過知識庫（Wiki）進行維護，確保團隊中每一個成員都了解DLP策略的最新情況，提高排錯效率。

同時，公司內所建立的制度規範、指南都應該與業務部門和職能部門進行有效的宣貫。一是宣貫我們為什麼要這麼做，二是我們應該怎麼做，三是如何提升有效性。有一個理念是必須要時刻宣貫的，就是安全與業務共贏理念，我們一定要讓業務知道安全是在幫助業務保護敏感數據，我們為業務賦能數據防泄漏能力，業務可以向安全反饋哪裡不好用，以及改進建議。當組織形成雙贏的正向循環後，DLP運營就可以正式進入常態化運營，也會降低不少應急處理時的壓力。

隨着不斷在組織內進行培訓宣貫，筆者發現不少的業務部門和職能部門都會主動向安全團隊尋求數據保護的方法。畢竟，數據丟失時受影響和衝擊的往往都是公司業務。

檢測模塊是DLP運營的常態化工作，數據安全團隊每日都需要進入DLP平台或者SOC平台進行告警的處置，確保每個告警都需要處理，如果告警太多就證明DLP規則存在過多誤報，則應該對誤報內容進行調整，另一方面需要對告警進行降噪，同一個事件觸發多個告警規則時，應該合併告警，降低告警量，提高告警質量。

一般筆者建議從下面幾個方面來做日常的DLP檢測：

●告警監控：在終端DLP、郵件DLP、CASB與雲原生DLP中打撈告警信息，採集到SOC/SIEM，對告警進行處置，可依賴ITSM的工單系統進行團隊內的協同處理。

●零信任終端檢測：終端的零信任檢測，會產生終端准入失敗的情況，需要及時監控告警信息，並協助正常用戶進入網絡。異常用戶需要發起調查，確定異常來源。

●UEBA檢測：當SOC具備UEBA檢測能力後，應基於位置、時間、角色、頻率等關鍵要素進行異常行為檢測。各種異常維度結合後，可以維護一個UEBA的場景庫，根據場景庫在SOC裡面設置告警規則，以達到更準確的事件發現能力。UEBA是一個大話題，本文就不再贅述了。

●SaaS違規檢測：檢測SaaS應用中的外發連接、公共頻道創建、全員共享文件情況，及時進行相應處置。

●優化：對誤攔截、誤報等情況進行歸納整理，調整告警規則，形成DLP運營組內知識庫。

在響應模塊，主要做的是根據不同的情況進行響應。一般在企業內的響應場景有以下幾類：

●離職檢查：企業的離職檢查流程中，應該加入數據泄露檢查，對離職意向或已經提取離職的員工進行數據泄露的檢查，並及時降低其網絡訪問能力。

●應急響應：當發生數據泄露事件時，數據安全團隊除了滿足數據隱私合規的響應流程外，也應該能夠肩負起數據泄露追蹤溯源的重任。

●變更管理：DLP策略變更可能會引起終端崩潰、網絡中斷、業務異常、數據阻斷等不良影響，應該建立規範的DLP策略變更管理規範，做好策略驗證和回退計劃。DLP的變更規範在下圖給了一個示例，讀者可以根據企業實際情況和變更管理制度來調整。

●定期匯報：通過SOC以及各類DLP平台，形成定期匯報材料，選取重要指標，例如高危人員、高危部門、外發文件等，對數據泄露情況進行匯報，體現數據防泄漏效能。

在DLP運營的恢復模塊，主要是快速對業務恢復正常，通常引起業務異常的情況就是DLP規則異常阻斷，另一種就是DLP在線模式故障。

●例外放行：監聽郵件、IM聊天工具的業務人員DLP誤攔截或誤報申訴，判斷安全風險與實際業務情況，完成例外放行動作，確保業務快速恢復正常。

●DLP平台工具故障處理：對DLP平台工具的故障、崩潰、網絡中斷情況進行及時處理，確保故障時能夠及時恢復。

本文向讀者介紹了企業雲原生DLP架構、技術細節和運營實踐，希望能為一些全球化跨國企業提供部署實施先進的雲原生DLP技術作參考。隨着各類數據安全與隱私法律法規相繼出台，國內數據防泄漏（DLP）市場感覺會迎來第二個爆發期。在疫情和遠程辦公（元宇宙辦公）需求激增的背景下，雲原生DLP的總體架構將會是未來部署DLP技術的首選。

同時，作者希望本文能為安全廠商和SaaS產品在雲數據防泄漏技術嘗試上帶來一些新的啟發，通過 「開放連接、擁抱生態」的理念，實現SaaS產品與雲原生安全的強強聯合，以更開放的姿態與安全細分領域玩家實現共贏，使DLP市場走向螺旋上升的正向循環。

推薦閱讀