什么是CASB?
CASB 系统是用户和云系统之间的部分过滤器、部分代理和部分防火墙。任何“即服务”产品的权衡通常是方便、简单和较低的资本支出,以换取潜在的更大运营费用以及更低的可见性和控制力。组织越来越多地求助于CASB供应商来解决云服务风险、执行安全策略并遵守法规,即使云服务超出了其边界且不受其直接控制。
为什么我需要 CASB 解决方案?
如果您使用云服务(尤其是 SaaS 或存储),请考虑将 CASB 解决方案添加到您的网络安全策略中。使用正确的 CASB,您可以添加特定的安全控制措施,并在数据在网络和基于云的服务提供商之间移动时保护数据。但是,它们的用例是有限的,费用可能不会超过收益。此外,将 CASB 的优势与云服务提供的安全控制进行比较。它们可能重叠到足以覆盖其余部分。
云访问安全代理解决方案对安全至关重要吗?
答:当您使用云服务时,CASB 解决方案是现有安全系统的重要增值工具。但是,CASB 不应该是您的第一笔网络安全支出。如果您已经拥有数据安全、端点、外围安全、网络安全以及威胁检测和响应的解决方案,那么请使用 CASB 来增强您的现有解决方案。
CASB 在安全方面的用途是什么?
CASB 解决方案具有多种不同的功能来帮助保护您的云数据。以下是如何使用云访问安全代理保护云应用程序”中的几个内容。
- 云应用程序发现和风险评级
- 自适应访问控制
- 数据丢失防护
- 用户和实体行为分析
- 威胁防护
- 面向客户端的加密(包括与数字版权管理的集成)
- 云前加密和令牌化
- 自带密钥 (BYOK) 加密密钥管理
- 监控和日志管理
- 云安全态势管理
安全团队如何从 CASB 中受益?
安全团队在使用 CASB 时看到了几个优势。
CASB 允许安全团队:
- 确定未经批准的云解决方案的风险
- 使用支持数据丢失防护 (DLP)、UEBA 和自适应访问控制 (AAC) 的 API 提高已批准的云应用程序的安全性
- 监控已批准云服务的使用和采用情况
- 管理托管和非托管设备对云服务的访问
- 了解合规风险
- 向云服务添加威胁检测功能
如何实现?
根据 CASB 的相关技术文献,有三种部署 CASB 的方式——API 扫描、前向代理和反向代理。在实施 CASB 时,一家企业并不局限于采用单一部署模型,而是可以灵活选择其中的一种或多种方法,这被称为多模式 CASB。
在深入讨论部署模型之前,先了解内联 CASB 和异步 CASB 之间的区别。所谓内联和异步,是指流量的重定向方式。API 扫描,作为第一种部署方法,被视为一种非侵入式的 CASB 部署模型,主要是因为它不会干涉用户与提供者之间的云流量。通过 API 扫描,您可以实现对云中存储的数据的精细化安全策略执行,轻松检查数据内容,并识别和纠正任何数据丢失防护(DLP)问题。然而,与此同时,API 扫描无法提供实时防护,并且仅适用于经认可的应用程序。
接下来是内联 CASB,首先是前向代理。在内联 CASB 中,代理被置于客户端和云提供者之间。所有来自客户端设备的流量都通过 SSL 中间人转发到这个代理,然后再传输到云提供者。前向代理与反向代理的主要区别在于代理的位置:前向代理接近客户端,而反向代理则接近云提供者。
在使用前向代理模型时,有三种流量路由方式:代理自动配置文件、DNS URL 重定向,以及通过安全 VPN 隧道路由流量的代理。前向代理非常适用于发现阴影 IT、加密或标记数据传输、强制执行上下文访问控制,以及分析用户与云提供者之间的数据交换。相较于 API 扫描,前向代理在经认可和未经认可的应用程序上都表现出色,并且可以实现实时操作。然而,值得注意的是,前向代理仅适用于受管理的设备,并且无法处理静态数据问题。
至于反向代理,代理将被放置在更接近云提供者的位置。这种部署模型带来了多种优势:无需代理或其他中间件即可路由流量,消除了 SSL 中间人路由可能带来的安全风险。反向代理方法能够加密数据传输、实时识别并纠正 DLP 违规行为、通过监控用户行为模式识别和纠正受损用户账户,并且能够为受管理和未受管理的设备执行安全控制。然而,反向代理无法解决阴影 IT 问题,并且无法应对未经认可的应用程序。
