什麼是雲端資料遺失防護 (DLP)?
圖 1:傳統的 DLP 方法是針對舊有的邊界而開發 - 當組織將資料儲存在實體伺服器基礎架構中,且資料移動只限於內部網路時。
當員工過渡到混合 WFH 模式時,雲端 DLP 解決方案的一個主要用例就會加速。似乎在一夜之間,資料的使用就從傳統的內部部署轉移到雲端。毫不意外地,這種快速的轉變增加了資料外洩的風險,尤其是因為非常依賴雲端協作平台,而雲端協作平台為新的資料外洩敞開了大門。
雲端中的敏感資料
Unit 42® 最近的研究顯示, 66% 的儲存桶和 63% 公開暴露的儲存桶中都有敏感性資料,例如個人識別資訊 (PII)、財務記錄或智慧財產權。內幕人士和外部威脅都會將這些敏感資訊置於危險之中。由於無法深入瞭解每個資料物件中儲存的是何種類型的資訊,例如 PII 或信用卡號碼,因此難以保護敏感資訊免於意外洩漏。2023 年資料外洩調查報告》的研究顯示, 在 16,312 宗檢查事件中,有 5,199 宗資料外洩事件已被證實。
雲端 DLP 如何運作
雲端 DLP 利用最佳實務和先進雲端 資料安全 技術,將雲端環境中的資料風險降至最低。
圖 2:在公有雲端中平衡擴充性與敏捷性與資料遺失防護
資料發現
雲端 DLP 從掃描組織的雲端基礎架構開始,包括雲端儲存服務、資料庫和應用程式。它會尋找敏感資料,例如個人資訊、財務記錄、智慧財產,或任何其他由預先定義的政策所定義並可能導致外洩的資料。
資料分類
一旦發現敏感資料,就會根據預先定義的規則和政策將資料分類為不同的類別。資料分類進一步細分資料類型,包括公開、內部、機密和限制資料,其中限制資料最為敏感,通常涉及商業機密或財務交易記錄。
政策執行
如果發現可能違反政策的情況,雲端 DLP 解決方案會根據預先定義的政策採取行動。這些政策可能包括封鎖資料傳輸、加密資料或應用資料遮蔽以防止未經授權的存取。
不斷地監控及偵測
最後,雲端 DLP 會在雲端環境中不斷地監控傳輸中和靜止中的資料。它還會掃描顯示潛在安全風險的異常和可疑行為,例如資料外洩企圖或異常移動。
傳統 DLP Vs 雲端 DLP
以下是傳統 DLP 工具與雲端對應工具的並列比較。
| 傳統 DLP(舊方法) | 雲端 DLP(新方式) |
| 努力提供雲端環境中流動資料的全面可視性 | 專為與各種雲端平台、應用程式和服務無縫整合而設計,能見度更高 |
| 實作與維護需要複雜且耗時的手動設定工作 | 部署簡單,內建針對常用雲端服務量身打造的預先設定政策與範本 |
| 無法檢查加密檔案內的內容 | 支援靜止與傳輸中的資料加密 |
| 無法有效偵測內幕人士威脅或意外資料曝光 | 可透過可疑使用者行為和異常偵測功能,輕鬆提早識別潛在的內幕人士威脅 |
| 處理大量資料時無法大規模擴充 | 專為大規模擴充及處理增加的資料流量而設計 |
| 無法適應不斷演進的資料政策法規 | 輕鬆更新,以符合不斷變化的資料保護法律和政策法規 |
雲端 DLP 的優點
採用更嚴格的存取安全控制和雲端 DLP 解決方案,已成為快速大規模擴張企業的安全措施基石。
發現影子 IT
雲端 DLP 可協助識別未經授權或未受管理的雲端應用程式,這對於不瞭解組織 IT 政策的員工,或沒有適當安全控制的員工而言尤其重要。
增強資料可視性
雲端 DLP 可增強資料發現與分類功能,讓 IT 團隊能夠深入瞭解其資料狀況。它可以快速識別任何敏感資料、瞭解資料流,並根據嚴重性風險因素來排定資料保護工作的優先順序。
簡化監管合規性
監管合規性罰款是昂貴的。舉例來說,違反 GDPR 可能會導致公司損失高達 2,000 萬歐元或全球營業額的 4%。雲端 DLP 可針對靜止和傳輸中的敏感資料執行加密政策,增加額外的保護層,以符合合規性需求。它還有助於識別和分類敏感資料、實作資料處理政策,以及產生稽核追蹤。
提供防範雲端設定錯誤的安全盾牌
雲端 DLP 解決方案幾乎可以立即評估雲端服務和應用程式的安全配置。它會尋找常見的錯誤設定,例如過高的權限、停用記錄和監控設定,以及在公共雲端容器 (例如 S3 buckets) 中暴露的儲存存取。
雲端資料遺失防護常見問題集
資料外洩預防包含用來保護敏感資訊免於未經授權存取、洩露或竊取的策略、流程和技術。有效預防資料外洩需要分層的安全性方法,包括網路、應用程式和資料層級的防護措施。
防止資料外洩的主要方面包括存取控制、資料加密、入侵偵測與防護系統、持續監控,以及及時的安全更新。
資料存取治理是指對組織內敏感資料的存取控制、權限和政策進行系統化管理。透過實作集中化和粒度化的方法,組織可以監控和規範使用者存取,確保只有授權使用者才能存取、修改或分享關鍵資訊。
資料存取監管在降低內幕人士威脅、加強資料安全性以及符合合規性需求方面扮演著關鍵的角色。資料存取治理的主要元件包括身分和存取管理、以角色為基礎的存取控制,以及不斷地稽核和監控使用者活動。
資料隱私權的合規性是指組織遵守規範個人和敏感資料的收集、儲存、處理和共用的法律、法規和產業標準。
合規性的需求依司法管轄區、行業和所涉及的資料類型而有所不同,例子包括《一般資料保護規範》(GDPR)、《健康保險可攜性與責任法案》(HIPAA) 和《 加州消費者隱私法案》(CCPA)。
為了達到資料隱私權的合規性,組織必須實作嚴格的資料保護措施、尊重個人隱私權,並維持資料處理作法的透明度。定期稽核、員工訓練和事件回應計畫有助於預防和減緩資料隱私合規性違規事件。
資料安全風險評估是識別、評估和優先處理組織敏感資料潛在風險的系統程序。評估的目的在於發現資料保護基礎架構中的弱點與漏洞,讓組織能實作適當的防護措施並減少威脅。
資料安全風險評估的步驟包括定義範圍、識別資產、決定威脅和弱點、評估潛在風險的影響,以及排定修復工作的優先順序。
