Gloo Gateway 数据防泄漏(DLP)功能详解

什么是数据防泄漏(DLP)

数据防泄漏(Data Loss Prevention, DLP)是一种确保敏感数据不被记录或泄露的安全机制。在Gloo Gateway中，DLP通过对响应体和Envoy日志内容执行一系列正则表达式替换来实现这一功能。

DLP核心原理

Gloo Gateway的DLP功能基于以下技术实现：

1. 正则表达式匹配：使用RE2语法定义的正则表达式模式来识别敏感数据
2. 多层配置：可在HTTP监听器、虚拟服务或路由级别配置DLP规则
3. 处理顺序：DLP过滤器在Envoy过滤器链中的特定位置执行，确保与其他过滤器的正确交互

DLP配置选项

Gloo Gateway提供两种主要的DLP配置方式：

1. 预定义动作

系统内置了常见敏感数据的正则模式，如：

• 身份识别号码
• 支付卡号(ALL_CREDIT_CARDS)
• 其他常见个人信息

2. 自定义动作

用户可以定义自己的正则表达式模式，支持以下配置：

• 掩码字符选择
• 匹配百分比控制
• 子组匹配
• 动作命名（用于日志记录）

DLP应用场景

响应体掩码

最常见的应用场景是对API响应中的敏感字段进行掩码处理。例如：

原始响应：

{
   "payment_card": "4397945340344828",
   "id_number": "123-45-6789"
}

应用DLP后响应：

{
   "payment_card": "XXXXXXXXXXXX4828",
   "id_number": "XXX-XX-X789"
}

访问日志掩码

通过设置enabledFor为ACCESS_LOGS或ALL，DLP可以同时处理：

• 响应体内容
• 请求/响应头信息
• 动态元数据

实战示例

示例1：使用预定义动作

1. 创建上游服务指向测试API
2. 配置虚拟服务路由
3. 添加DLP规则掩码身份识别号和支付卡号

关键配置片段：

options:
  dlp:
    actions:
    - actionType: ID_NUMBER
    - actionType: ALL_CREDIT_CARDS

示例2：自定义正则动作

1. 部署Petstore示例应用
2. 配置虚拟服务路由
3. 添加自定义DLP规则掩码宠物名称

关键配置片段：

options:
  dlp:
    actions:
    - customAction:
        maskChar: "X"
        name: pet_name_mask
        percent:
          value: 60
        regexActions:
        - regex: '"name":[^"]*"([^"]*)"'
          subgroup: 1

示例3：键值对(Header)掩码

1. 配置网关记录特定请求头
2. 添加键值对DLP规则掩码头值

关键配置片段：

options:
  dlp:
    enabledFor: ALL
    actions:
    - keyValueAction:
        maskChar: "*"
        name: header_mask
        keyToMask: test-header
        percent:
          value: 100
      actionType: KEYVALUE

最佳实践

1. 分层配置：根据业务需求在监听器、虚拟服务或路由级别配置DLP
2. 性能考量：复杂正则可能影响性能，建议进行基准测试
3. 日志审计：为自定义动作命名便于后续审计
4. 测试验证：部署前充分测试确保不会误掩码正常数据
5. 渐进式部署：通过百分比控制逐步验证DLP规则

注意事项

1. RE2语法不支持所有正则特性（如向前查找）
2. WAF日志仅当记录到动态元数据时才会被掩码
3. 键值对动作不能用于掩码伪头部
4. 响应体掩码和日志掩码需要分别配置

总结

Gloo Gateway的DLP功能为企业级API安全提供了强大保障，通过灵活的配置选项可以满足各种敏感数据保护需求。无论是使用预定义模式还是自定义正则表达式，都能有效防止敏感数据在响应和日志中泄露。