隨著IT運營開始從本地轉向雲端,安全和訪問控制也在從本地數據中心向雲端轉移,其中一個非常受到關注的工具就是雲訪問安全代理(CASB)。
從CASB的出現到現在已經有了十年,在國外CASB已經成為安全基礎設施的通用組件,但在國內還很少有機構採用CASB。除了SaaS基礎環境與國外的差異化以外,國內還缺乏對CASB價值的實際認識,甚至有的機構拿它當防火牆來使用。
CASB的出現,是為了應對企業面臨的影子IT和使用未經允可的雲服務等問題,以提升企業員工在訪問各種雲服務時的可見性。在CASB的早期階段,需要用戶的數據中心部署物理的組件。但現在,大部分的CASB已經可以SaaS化部署了。不管是物理部署還是直接使用SaaS模式,CASB都需要通過代理或API來識別雲應用,以及使用其他提供附加功能的產品。
隨著應用的普及,CASB逐漸加入了更多的安全功能,最終形成了目前典型的四大功能:可見性、合規、數據安全和威脅保護。這四項功能對於雲責任共擔模式非常重要,下面我們就來簡單瞭解一下這些功能和應用場景。
1. 可見性
通過監測雲訪問流量,CAS可以幫助安全團隊瞭解哪些員工正在使用雲服務以及如何訪問雲服務,以發現不安全的訪問。
2. 合規
現在的CASB,更多的是通過API網關而不是代理來增加雲訪問的可見性,它可以看到數據在不同雲之間以及本地和雲之間的流動。除了給安全團隊提供更好的企業雲基礎設施的可見性以外,還允許安全人員看到數據在雲上的存儲和使用。
許多合規要求需要知道數據存儲在哪裡以及如何存儲,而且除了外部合規,許多企業內部也有對某些特定數據如何存儲和處理的規定。有了CASB,就有了雲端數據的可見性,幫助安全團隊檢測並糾正策略之外的數據存儲和使用。
3. 數據安全
有了對雲端數據狀態的可見性之後,CASB能夠進一步的保護數據。由於通過API網關可以看到雲服務之間的可見性(這些雲端的相互訪問是遊離在企業本地網絡之外的),於是CASB可以實施數據加密,身份驗證和訪問控制等策略,以確認數據能夠安全的存儲。
4. 威脅保護
訪問是CASB的核心功能,基於這個核心功能CASB得以在雲端實現對數據與應用的驗證和控制。其中一個主要的應用場景就是,與現有的單點登錄或身份管理工具交互,來監控訪問活動和實施安全策略。這種與其他安全工具的整合能力是CASB的一大優勢,足以把CASB與其他安全產品明顯地區別開來。
與下代牆、WAF等一些傳統安全產品相比,CASB在配置與部署方面要相對簡單,即便是經驗尚淺的安全人員也可輕鬆完成。
相關閱讀:SD-WAN;CASB
閱讀更多 數世諮詢 的文章
