什麼是CASB(雲訪問安全代理)?
概述
雲訪問安全代理(CASB,發音為 KAZ-bee)是放置在雲服務消費者和雲服務提供者 (CSP) 之間的本地或基於雲的策略實施點,用於監視與雲相關的活動,並應用與使用基於雲的資源相關的安全性、合規性和治理規則。 CASB 允許組織將應用於本地基礎結構的相同類型的控制擴展到雲,並且可以組合不同類型的策略實施,例如:
- 使用者憑據身份驗證 ,因此僅向已批准的雲服務提供訪問許可權。
- 通過 加密、 令牌化或其他方式保護數據,使敏感資訊不會暴露在雲服務或 CSP 中。
- 雲服務活動監控 ,以便記錄、標記和分析使用者和實體行為,以發現異常使用模式或洩露的憑據。
- 數據丟失防護 (DLP) 使敏感資訊無法離開組織的網路,惡意軟體檢測和修正使敏感資訊無法進入組織的網路。
因此,CASB 的目的是提高組織安全可靠地利用雲服務的能力。CASB 可以被認為是一個「安全節點」,通過它控制對組織雲服務的訪問。作為組織安全基礎架構的組成部分,它補充而不是取代企業和 Web 應用程式防火牆、IDaaS(IDentity 即服務)和安全 Web 網關 (SWG) 等技術。
CASB 的重要性與日俱增,同時廣泛採用雲服務和 BYOD(“自帶設備”)策略,允許個人筆記型電腦、智慧手機、平板電腦和其他非託管設備進入網路。使用 CASB 來控制組織的部分或全部雲服務正在擴大,預計大型企業的採用率將增加兩倍,從 2018 年的 20% 增加到 2022 年的 60%(Gartner,2018)。在同一時期,預計到 2023 年,整個雲安全市場將上升到 112B 美元左右(Forrester,2017 年)。
跨混合IT保護數據,同時簡化雲工作負載的安全性
OpenText™ Voltage™ SecureData Sentry 可在幾天內簡單、透明地部署數據安全,從而説明降低數據泄露風險;為混合IT任務關鍵型應用程式實現隱私合規性
瞭解更多資訊CASB(雲存取安全代理)
CASB 最初專注於發現 IT 部門允許範圍之外的個人或營業單位使用的未知服務,但隨著組織意識到此問題的解決方案更傾向於受控支援而不是刪除這些服務,CASB 開始提供四大支柱的功能集:數據安全、合規性、威脅防護和可見性的核心功能。
能見度
許多組織已經在加速在廣泛的營業單位中正式採用雲計算。這可能會導致越來越多的員工在 IaaS(基礎設施即服務)、PaaS(平臺即服務)、SaaS(軟體即服務)以及現在的 FaaS(功能即服務)資源上管理自己的安全憑證。在這種環境下,CASB 可以幫助彌合集中式身份和訪問管理 (IAM) 的侵蝕造成的安全漏洞,並改善對這些服務使用的控制,從而形成適當的障礙,但不會妨礙本地和現場員工的自然業務行為。
這種雲存取控制的整合有助於瞭解正在使用哪些雲服務,但對影子IT沒有説明。此類服務可能用於解決組織官方 IT 堆疊中感知到的或實際的缺陷,或者它們可能只是使用者偏好的簡單反映。與其說是必須杜絕的活動,不如說它們的使用實際上可能對生產力、效率、員工滿意度至關重要,甚至作為創新的來源,但它不太可能符合組織的安全策略或其他IT對支援、可靠性、可用性等的要求,並且也可能成為可能導致災難性 數據洩露的惡意軟體的來源。
CASB 可以説明將組織的影子IT置於曝光狀態,不僅可以支援必要的工作實踐,同時確保它們不會影響使命,還可以闡明真正的雲支出,從而改進成本控制。
數據安全
許多組織已經在將IT資源從自己的數據中心遷移到 多個雲中,包括Amazon Web Services(AWS),Microsoft Azure,Google Cloud Platform(GCP)提供的雲,以及SaaS供應商市場中可用的在線應用程式的廣度。員工已經通過這些服務(Office 365、Salesforce、Amazon S3、Workday 等)共用敏感數據,其中許多服務都主張某種版本的責任共擔模型,將數據安全責任放在客戶身上。
然而,對雲本身安全性的擔憂在很大程度上是錯誤的。不可否認,大多數CSP的基礎設施,尤其是那些提供已成為主流服務的CSP的基礎設施,都是高度安全的。相反,關注點應集中在 CSP 提供的安全控制的正確配置上,以及識別不可用的所需控制。最近的一份報告發現,僅由於這種錯誤或缺失的配置,就有超過15億個檔暴露在雲端相關服務中,例如S3、rsync、SMB、FTP、NAS驅動器和Web伺服器(Digital Shadows,2018年)。預計到 2023 年,至少 99% 的雲安全故障將是由於雲服務消費者而不是 CSP 犯下的錯誤(Gartner,2018 年)。雖然一些 CASB 現在提供雲安全態勢管理 (CSPM) 功能,通過加密等其他控制來評估和降低 IaaS、PaaS 和 SaaS 產品中的配置風險,但 CASB 可以為組織提供進一步的保險,這樣即使存在錯誤配置,敏感數據也不會受到損害。當特定雲服務未提供足夠的 數據保護 時,或者當需要針對 CSP 本身提供此類保護時,此類保險被證明特別必要。
大多數 CASB 都是從與數據安全相關的兩種初始態勢之一演變而來的:專注於數據丟失防護 (DLP) 和威脅檢測,或者提供加密或令牌化以解決隱私和數據駐留問題。雖然這些起始位置隨後擴展到涵蓋所有這些功能,但已經從提供強大的以數據為中心的安全性和密鑰管理轉向。如今,對於大多數 CASB 來說,數據安全主要是指 DLP,它使用各種機制來檢測受制裁的雲服務中的敏感數據,或者在上傳到雲服務時(已批准或影子),然後阻止、刪除、置於法律保留狀態或隔離標記為潛在違反政策的內容。這通常支援本地和遠端雲服務用戶,無論是來自行動應用程式、Web 瀏覽器還是桌面同步用戶端。但是,DLP 只能在使雲服務內部和雲服務之間的數據共享越來越容易的環境中走得更遠,以免發生違規行為。任何使用雲存儲數據的組織都應該意識到,CASB 可能無法檢測從雲中共用數據的方式或與誰共享數據,甚至無法檢測誰共享數據。
強大的 以數據為中心的保護 機制可以解決這種泄露風險,但是,儘管許多CASB都宣傳能夠對發往雲的數據進行加密或標記化,但這些功能現在往往僅限於少數主流服務,例如Salesforce和ServiceNow。開始添加這些功能的 CASB 發現,密碼學是一個具有挑戰性的技術領域,既是為了滿足分析師的評級,也是為了實現或保持競爭平等。實施和維護加密系統需要相當多的主題專業知識,而這些專業知識通常不屬於 CASB 核心能力的範圍。因此,一些 CASB 已經撤回或不再積極推銷這些功能,一些 CASB 通過僅涉及 DLP、自適應訪問控制 (AAC) 等的“數據安全”的籠統聲明來混淆它們缺乏功能或有限的適用性。
此外,雖然美國頒布的《澄清海外合法使用數據 (CLOUD) 法案》以及對歐盟《通用數據保護條例》(GDPR ) 的日益瞭解強烈表明加密和密鑰管理正在成為關鍵功能(Gartner,2019 年),但在採用它們方面存在一些猶豫,因為在 SaaS 應用程式之外應用的加密和令牌化可能會影響其功能以及集成第三方服務的功能。 通過一些供應商提供應用密碼學的持續創新,例如 OpenText Voltage但是,這些對功能的影響已降至最低,因此現在值得評估與將字段和檔級數據保護委託給 CSP 或根本不應用它的成本和風險相關的任何可能仍然存在的問題。
合規
許多行業和地區更嚴格的隱私法的出臺也可能影響運營。GDPR、加州消費者隱私法案 (CCPA )、巴西通用數據保護法 (LGPD) 和 印度個人數據保護法案 等區域法規,以及 PCI DSS、SOX、HIPAA、HITECH、FINRA 和 FFIEC 等行業法規正在制定一系列合規性要求,其複雜性將許多組織推向最保守的全球立場: 確保企業及其客戶的敏感數據始終受到保護,無論它走到哪裡,都能得到最強的保護。
CASB 在多個應用程式中具有強大的數據隱私控制,可以幫助實現這一目標;通過策略感知和數據分類功能,CASB 可以幫助確保遵守數據駐留法律,並根據不斷更新的法規要求對安全配置進行基準測試。
威脅檢測和預防
CASB 可以保護組織免受不斷擴大的惡意軟體庫的侵害,包括通過雲存儲服務及其相關的同步用戶端和應用程式引入和傳播。CASB 可以使用高級威脅情報源來實時掃描和修復內部和外部資源的威脅;通過檢測和防止未經授權訪問雲服務和數據來識別被盜用的用戶帳戶;並將靜態和動態分析與機器學習和 UEBA (使用者實體行為分析)功能相結合,以識別異常活動、勒索軟體、數據洩露等。
CASB如何運作?
CASB 可以部署為代理和/或 API 代理。由於某些 CASB 功能取決於部署模型,因此“多模式”CASB(同時支援代理和 API 模式的 CASB)為如何控制雲服務提供了更廣泛的選擇。
在代理模式下部署的 CASB 通常側重於安全性,並且可能配置為雲服務消費者和 CSP 之間的數據存取路徑中的反向或正向代理。反向代理 CASB 不需要在端點上安裝代理,因此通過避免更改配置、證書安裝等,可能更適合非託管(例如 BYOD)設備。但是,它們不像轉發代理 CASB 那樣控制未經批准的雲使用,來自託管端點的所有流量(包括流向未經批准的雲服務的流量)都通過轉發代理 CASB 進行定向:這意味著一些未託管設備可能會漏網。因此,轉發代理 CASB 通常需要在端點上安裝代理或 VPN 用戶端。如果代理和 VPN 用戶端配置錯誤或錯誤關閉,敏感流量可能不會繞過檢查轉發到 CASB。
在 API 模式下部署的 CASB 側重於通過這些服務提供的 API 管理 SaaS(以及越來越多的 IaaS 和 PaaS)應用程式,包括靜態數據檢查、日誌遙測、策略控制和其他管理功能。它們適用於非託管設備,但由於通常只有主流雲服務提供 API 支援(並且在不同程度上這樣做),僅 API 的 CASB 不太可能涵蓋所有必需的安全功能。雖然 SaaS 供應商和其他 CSP 可能會增強其 API 以縮小這一差距,但與此同時,僅 API 的 CASB 無法提供足夠強大的功能來滿足可擴展性和可用性要求。此外,當 CSP 由於使用者和雲端服務之間交換的數據量不斷增加而限制對 API 請求的回應時,API 模式 CASB 會遇到無法控制的性能下降。因此,代理模式仍然是一項關鍵功能。
CASB 可以在企業數據中心運行,也可以在涉及數據中心和雲的混合部署中運行,也可以僅在雲中運行。專注於以數據為中心的保護的組織,或受隱私法規或數據主權考慮因素約束的組織,往往需要本地解決方案來保持對安全基礎結構的完全控制。此外,僅雲 CASB 通過「自帶密鑰」(BYOK) 模型實施的責任委派和第三方信任要求可能違反內部或外部策略,這種有問題的立場自然延伸到 CSP 本身提供的安全服務,他們可能還需要將 CASB 的 IP 位址列入白名單。
是 Voltage 保護數據哨兵 CASB?
Voltage SecureData Sentry 是一家 安全代理 ,專門從事數據保護,不僅適用於雲服務,還適用於本地應用程式。因此,它不是傳統的 CASB,因為它不尋求在四個支柱中提供其他功能。取而代之的是,Sentry 與專門提供這些互補功能的 CASB 共存,同時執行加密繁重的工作,以添加強大的以數據為中心的保護機制,這些機制可以應用於 SaaS 和其他雲服務以及內部網路中的商業和自主開發的應用程式。
Voltage SecureData具有創新性和基於標準,並已通過國際公認的獨立加密機構對安全強度的獨立驗證。它受到公共和私營部門以及多個行業的許多領先全球組織的信賴,可以保護世界上最敏感的數據。
格式保留加密 (FPE) 可確保以不會破壞現有資料庫架構或 SaaS 欄位類型或大小限制的方式在欄位級別應用保護,它與 無狀態密鑰管理 系統相結合,可避免給安全管理員帶來額外負擔。安全無狀態令牌化 (SST) 可確保包含信用卡號或 SSN 的數位欄位受到保護,而不會產生令牌資料庫的管理或性能開銷,同時使字段的選定部分(例如前六位或後四位數位)保持明文狀態,以支援路由或客戶驗證。格式保留哈希 (FPH) 可確保分析和其他用例的數據引用完整性,同時遵守 GDPR 的刪除權等法規。此外,通過其他創新,例如支援部分和通配符搜索詞的安全本地索引,以及用於 SMTP 中繼的安全電子郵件位址格式,Sentry 保留了受競爭解決方案影響的應用程式功能。
組織可以在本地和/或雲中部署 Sentry。Sentry 與支援 ICAP(Internet 內容適配協定)的網路基礎設施(如 HTTP 代理和負載平衡器)進行通信,以將安全策略應用於傳入和傳出雲的數據,並攔截 JDBC(Java 資料庫連接)和 ODBC(開放式資料庫連接)API 調用,以將安全策略應用於傳入和傳出資料庫的數據。無論部署在何處,企業都可以完全控制基礎設施,而無需與任何其他方共用加密密鑰或令牌保管庫,並且 Sentry 的檢查模式可確保安全策略可以針對包含敏感資訊的特定數據欄位和檔附件。
