企业云原生数据防泄漏（ DLP）架构与运营 实践指南 作 者：胡恺健 江湖称号：魔 风 个人简介： 数据安全与隐私保护专家 ，现任广州诸子云常务理事、 广东省等级保护专家、 CSA 云安全联盟零信任工作组、 CSA隐私与个人信息法律组成员、 DPOHUB 成员。专注于全球 金 融科技的数据安全与隐私保护 工作，在数字政府、 金融科技 、互联网电商的网络安全规划设 计、信息安全治理与管理、数据安全、隐私保护、安全运营等领域具有丰富的实践经验。 持 有CISSP \ CISA \ CIPM \ CDPO \ CISP -DSG \ EXIN -DPO \ CDPSE \ C-CCSK \ ISO 27001 LA \ CCNA \ 网络规划设计师 等安全与数据隐私认证 。 2022年6月 目 录 引言................................ ................................ ..... 4 一、 背景与驱动因素 ................................ ....................... 6 (一) 云原生数据防泄漏建设背景与驱动因素 ................................ . 6 1.企业IT应用部署架构演进的大环境 ................................ .... 6 2.外部攻击与内部泄 密问题愈发突出 ................................ ..... 6 3.数据隐私合规要求驱动 ................................ ............... 7 4.COVID-19疫情下激增的 远程办公需求 ................................ .. 7 (二) 为什么是云原生 DLP，它是否足够强大 ................................ . 7 1.办公全球化，影子 IT与BYOD难以管控 ................................ . 8 2.敏感数据位置 未能有效识别 ................................ ........... 8 3.传统DLP解决方案已无法有效支撑云原生架构 ........................... 9 4.结论：多云与数据中心混合架构， DLP应使出组合拳 .................... 10 二、 数据防泄漏目标与差距分析 ................................ ............ 10 (一) 云原生DLP在框架中所覆盖的安全域 ................................ .. 10 (二) 数据防泄漏目标、框架与任务 ................................ ........ 12 (三) 梳理企业重点 数据使用场景 ................................ .......... 13 (四) 数据泄露渠道梳理 ................................ .................. 14 三、云原生数据防泄漏（ DLP）架构 ................................ ............. 15 (一) 云原生DLP总体技术架构介绍 ................................ ........ 15 1.职场办公网络 ................................ ...................... 16 2.BYOD & 远程访问 ................................ ................... 16 3.CASB云安全访问代理 /SASE安全服务边缘（云原生 DLP的Inline模式） ... 17 4.应用程序资源（ SaaS应用原生 DLP） ................................ .. 18 5.云原生DLP的API模式 ................................ .............. 18 6.非受控设备 ................................ ........................ 19 7.安全智能管理 ................................ ...................... 19 (二) 云原生DLP--CASB技术总览 ................................ .......... 20 1. 云上应用身份认证和访问控制 ................................ ...... 20 2. 云上应用 DLP防护 ................................ ................ 21 3. 互联网访问控制 ................................ .................. 21 4. 安全威胁防护 ................................ .................... 21 5. 网络级DLP防护 ................................ .................. 21 (三) 云原生DLP--CASB部署架构 ................................ .......... 21 (四) 云原生DLP--基于风险的零信任准入检测 .............................. 23 (五) 云原生DLP--Shadow IT 识别与监控 ................................ ... 24 (六) 云原生DLP--非受控设备控制 ................................ ........ 25 1.远程浏览器隔离（ RBI） ................................ ............. 25 2.云桌面VDI ................................ ........................ 26 (七) 云原生DLP--非受控SaaS租户控制（个人账号、供应商账号） ........... 26 (八) 云原生DLP--EDM、IDM与OCR数据识别匹配技术 ........................ 27 (九) 云原生DLP -- Google Drive 数据防泄漏介绍 .......................... 28 (十) 云原生DLP -- Gmail数据防泄漏介绍 ................................ . 30 (十一) 云原生DLP -- IM通讯软件专用 ................................ .... 31 (十二) 云原生DLP--跨平台、跨数据结构的数据发现、分类分级与数据标签化能力 33 (十三) 实用工具 -- 终端DLP控制 ................................ ......... 34 (十四) 实用工具 -- VDI云桌面控制 ................................ ....... 35 1. 网络隔离使用 VDI ................................ ................. 35 2. BYOD 使用VDI ................................ ..................... 36 (十五) 实用工具 -- 移动设备安全 ................................ ......... 36 (十六) 智能大脑 --安全智能管理实现和效果 ................................ 37 四、云原生数据防泄漏（ DLP）运营 ................................ ............. 38 (一) 识别--数据发现、分类分级与标签 ................................ .... 39 1. 数据分类分级 --法律合规要求 ................................ ...... 40 2. 数据分类分级 --统一数据标签平台 ................................ .. 41 3. 数据分类分级 --数据隐私组织 ................