人們對于采用云計算最大的關注問題之一就是針對他們數據的潛在風險。無論何時，一旦“失去”了對資產的物理控制，我們自然會對此產生焦慮。由于防數據丟失(DLP)技術成為了屈指可數致力于保護數據的技術之一，那么我們很自然地會希望能將該項技術應用于基于云計算的數據保護。

目前，云計算中有三種不同的業務可以讓DLP技術一顯身手。第一個是使用其作為控制數據遷往云計算的工具。第二個則是在云計算中控制保護數據。最后，我們可以使用DLP工具來找到“暴露”在云計算中的敏感數據。

使用DLP工具來控制數據遷移

在云計算中DLP工具最能大顯身手的用處就是監控從傳統基礎設施到云計算的數據遷移。絕大多數的云計算服務都把HTTP協議作為他們主要的輸出通訊協議(雖然經常是通過自定義的API)。因此，如果你監控HTTP(以及HTTPS)，你就能在云計算服務模式的范圍內捕獲很多的潛在數據遷移。

所有的網絡DLP工具都能夠監控HTTP流量，我強烈建議你堅持使用同時支持HTTPS本地監控或通過網絡網關集成監控的方法。然后，可用詢問你的DLP供應商，他們是否了解云計算的主要服務和目的，這將減少編寫自定義規則的需要。然后你能夠把你任何現有的DLP內容規則應用于云計算服務或只是為在云計算是你數據的發送目標時設置通用警告。

在云計算中跟蹤數據

一旦數據在云計算中，你可能希望跟蹤其具體位置。或者你可能希望跟蹤你的用于存放敏感數據的云計算基礎設施。這就是內容發現的由來，你可以使用你的DLP工具在已知的庫中掃描敏感數據。

如果你使用著基礎設施即服務，你可以使用你現有的DLP工具來掃描，就如同在你的傳統數據中心中一樣，當然你可能需要增加一個VPN連接以便于能夠訪問存儲庫。如果你的DLP工具支持，你還可以在云計算中查看部署DLP虛擬設備。對于平臺即服務或軟件即服務，你需要一個讓DLP工具訪問數據的方法(例如基于API的文件存儲訪問方法)以及一個支持通訊方法的DLP工具。這一點已逐漸得到了改善，我們看到一些供應商正在開始開放對主要云計算存儲服務(如Amazon S3或Rackspace Cloud Files)。

最后，你可以使用DLP工具在云計算中的關鍵點監控網絡流量。有三種方法可以實現該功能：使用嵌入在云計算實例或管理程序中的端點代理，通過云計算外部專用DLP服務器或設備進行流量規劃，或運行一個DLP服務器的云計算實例并通過它來規劃流量。

如果你使用的是公共云計算，你不必強求網絡路由達到DLP要求的程度，而應該更多地依賴于基于代理的方法。但是，一旦你使用的是私有云計算或虛擬私有云計算，你所擁有的控制權足以規劃流量并使用DLP進行監控。

云計算DLP工具的局限性

你應了解它的一個局限性，即你的公共云計算平臺可能對每個實例只支持一個單一的網絡接口，這就意味著你需要一個能夠在這樣一個限制下監控和發送流量的虛擬DLP。請記住，我們大部分人并不會使用DLP來監控基于數據中心的應用程序，它也不是我推薦用于保護服務器的首選技術。

總之，在使用DLP工具監控數據的云計算遷移中，在基于云計算存儲的內容發現中，我看到了DLP的重要價值，但在公共云計算中部署DLP的價值卻是很小。(它在私有云計算中有重要使用價值，這取決于你使用它的場合)。隨著時間的推移和技術的發展，這一點將發生變化，我們將可以在云計算中部署各種各樣的服務，但是我們能夠使用DLP在線保護的任何云計算部署都是一個應用程序基礎設施，我們將更多地關注應用程序安全性和加密。

DLP可能是一個提高數據在云計算中安全性的優秀工具。使用它可以跟蹤數據的云計算遷移、發現云計算中存儲的敏感數據以及保護在云計算中運行的服務。但是，無論何種技術，請確保已根據實際使用環境進行過調整，不要浪費時間把它部署在不能產生價值的地方。