Подобное огораживание не зря ругают "анальным". Оно суетно и бесплодно. Современная тенденция «в облака!» не совместима с периметром, с самим его существованием. А бизнесменов (на конкурентных рынках, естественно) после подсчёта издержек неудержимо тянет именно в облака. Но вознестись не даёт тот самый периметр и защита на нём. Об этой тенденции, в частности, говорила Касперская в докладе.
http://youtu.be/GxOOrF_5xVY
Начали мы прорабатывать идею "DLP без периметра". Чтобы и в облаках работала.
Вкратце, идея такова. Информация заключается в информационный же контейнер, внутри него она зашифрована. Такой контейнер можно хоть в облако , хоть в бэкап, хоть на флешку с вирусом – ему не страшно. Если же субъект желает получить доступ к единице информации, которая в контейнере, он запускает процедуру. DLP-клиент связывается с DLP-сервером и по установленному протоколу доказываетему, что чист на предмет вирусов, уязвимостей и обновлений. Затем проходит аутентификацию и авторизацию. Затем клиент доказывает, что у него там (где бы он ни находился) обеспечена защита от утечек нужного уровня, устройство контролируется, не в виртуалке, никто не подсматривает. В том числе, обеспечена должная процедура работы с ключами. Лишь после этого сервер даёт клиенту ключ для расшифровки, тот из ключей, который позволяет либо читать, либо ещё и редактировать информацию в контейнере. Об использовании ключа клиент отчитывается. По окончании сеанса доступа контейнер снова шифруется, ключ на клиенте уничтожается.
Таким образом должен быть обеспечен контроль доступа к каждой единице информации. С другой стороны, обеспечена возможность держать эту информацию где угодно и доступаться откуда угодно. Никакого периметра, можно возноситься в облачные выси.
Вот такой станет DLP через несколько лет. Готовьтесь.
