公有云数据安全如何产品化？

目前国内大部分企业为了提高企业未来的竞争力，IT部门都在做的事情

（1）、激进一点的企业，做整体上云的计划，包括其核心数据资产放到云端自建数据库、RDS、大数据存储、对象存储、CDN等，例如：互联网金融企业、网络游戏

（2）、保守一点的企业，也在做积极的IDC改造，或者接入公有云的混合云解决方案、或者在自己的IDC数据中心，改造成互联网架构。例如：一些大型政企业、传统企业等

在这样的背景下，很多IT负责人和业务线决策者最担心的一个问题就是如何做好数据安全治理。难道只是满足公有云合规就完事了么？如果企业的决策者只是想拿拿证书，那么总有一天你的数据会莫名其妙的出现在网络上。

那么如何做呢？在这里我们只讨论公有云的情况。

Gartner给我们提供了很好的安全工具参考：

那我们简单做一下调研：

但是Gartner作为技术咨询公司，他们对国际大公司Top500的访问不一定代表普世的需求，因为真正在云上活跃的用户是中小企业的互联网公司，他们的目标是要颠覆世界五百强的。

结论： 公有云在DLP和CASB产品方向上的投入十分有限。

云上的数据泄露到底有没有大家想象的那么严重？

这只是爆出来的泄密事件，冰山一角。

那么传统企业内部数据防泄密是如何做的么？

1. 网络数据防泄漏

· NDLP monitor

· NDLP Prevent

· Web gateway

· Email gateway

2. 终端数据防泄漏

· HDLP Discover

· HDLP Prevent

3. 文件生命周期管理

· DRM 数据版权管理

· 终端文件加密

根据我的经验，真正落地起作用的寥寥无几，主要是涉及到的方方面面太多。如果要是把DLP迁移到云上应该怎么做呢？

大致的解决方案如下：

1. 加密机解决方案

· 用户自定义的秘钥管理

· 云上所有数据落盘和应用都使用加密机加解密SDK在加密机硬件中完成。

2. 网络数据防泄密

· 存储到公有云的各个组件包括：云服务器本地文件数据库、RDS、S3等做到自动敏感数据分级。

· 用户访问流量从公有云VPC环境中到外网流经的数据，需要DLP防护组件的过滤。

· 如果发现敏感信息泄露，阻断数据对外访问（一般为web形式）。

3. 云访问安全代理

· 云上数据到客户端后要在安全的环境中操作，落地用户环境中的数据具备审计功能。

设计原则：