【.com快速翻译】开始考虑云访问安全代理(CASB)产品的IT团队经常问的一个问题是:“我们已经有了一个Web代理(Web代理)和/或防火墙,云访问安全代理有什么区别?”或者问:“CloudAccessSecurityProxy会取代我们现有的Web代理和防火墙吗?”这些确实是很自然要问的问题,因为网络代理和防火墙已经对进出企业网络和云服务的流量具有“可见性”。然而,云访问安全代理与现有网络安全解决方案之间存在显着差异。让我们首先消除一个主要的误解:CloudAccessSecurityProxy不能替代现有的网络安全工具,反之亦然。CloudAccessSecurityProxy是一个独立且独特的代理和防火墙市场。云访问安全代理可以部署在正向或反向代理模式下进行带内控制。但它与网络代理的相似之处仅此而已。与专注于广泛的入站威胁和过滤非法网站的网络安全解决方案不同,云访问安全代理专注于云服务使用的高可见性和精细控制。CloudAccessSecurityProxy可以部署在应用程序编程接口(API)模式下,扫描云服务中的数据并使其合规。以下几点是现有网络安全解决方案所不具备的云访问安全代理特有的一些高级功能:为每个云服务提供详细和独立的风险评估(如合规认证、近期数据泄露、安全控制、司法判决).·实施风险相关政策(例如:屏蔽所有高风险文件共享服务,实时提示,引导用户获取推送服务)。·基于上下文的用户行为访问控制(例如,防止用户从远程网络上的非托管设备下载报告)。·实施以数据为中心的安全策略(例如,加密上传到云的数据或实施权限管理以保护敏感数据下载)。·应用机器学习来检测威胁(例如:IT用户下载异常大小的敏感数据并将其上传到另一个云应用程序的个人帐户)。·实时响应来自云的威胁(例如,在发送内部威胁时终止对帐户的访问,或在帐户可能受到威胁时添加额外的身份验证因素以继续使用云服务)。·加强云端数据相关政策(例如:撤销与业务合作伙伴共享文件的共享权限,或追溯加密敏感数据)。网络代理/防火墙的云相关功能网络代理和防火墙提供针对广泛网络威胁的保护。作为该保护的一部分,它们在没有CloudAccessSecurityBroker集成的情况下提供对云使用情况的有限可见性。例如:虽然这些解决方案无法映射用户访问云服务的地址(URL),但它们可以跟踪对企业网络内各种云服务的访问。一些客户使用他们的Web安全解决方案来终止SSL连接和检测恶意软件内容。代理和防火墙还提供云服务的高级分类(例如:技术与互联网、商业与经济、可疑等??)。然而,这些类别通常不反映服务的基本功能,例如文件共享、客户关系管理(CRM)或社交媒体。Web安全解决方案的主要用例之一是对数千个包含色情、毒品、赌博等类型的非法网站进行分类和访问控制。Web代理可以将对特定URL的访问尝试重定向到指示该URL被阻止的页面。同样,可以将防火墙配置为阻止特定的IP地址。这两种解决方案都缺乏详细的、最新的云服务URL和IP地址注册列表来扩展其云服务访问控制功能。企业经常会发现,虽然他们最初可能已经阻止了一些云服务,但恶意云提供商会定期引入未被阻止的新URL和IP地址。这导致员工能够访问一些本应在一段时间后被阻止的云服务。这是“代理泄漏”的普遍现象。我们传统上对IP声誉的关注并不直接适用于云服务。有时云服务可能拥有很高的IP声誉,但由于缺乏安全控制,它可能不适合企业数据存储。比如一个IP好的文件共享服务允许匿名使用并与第三方共享客户数据,或者其主机位于隐私保护较差的国家,三个月前曾发生过密码泄露等情况,没有IT领导会想要将敏感的公司数据上传到此服务。显然,如果不对这些属性进行登记,网络安全解决方案将无法执行与风险相关的政策。此外,由于许多云服务不使用标准的HTTP内容处理标头,网络安全解决方案无法通过强制数据丢失防护(DLP)方法来防止敏感数据被上传。云访问安全代理如何与网络代理和防火墙集成?云访问安全代理实际上是网络代理和防火墙的互补技术。通过与这些解决方案集成,CloudAccessSecurityBroker可以利用现有的网络架构来了解云服务的使用情况。同时,云访问安全代理通过云感知实现自身的使用价值。我们可以从日志收集、数据包捕获和代理内联三种主要方式集成云访问安全代理和网络安全解决方案。日志收集Web代理和防火墙可以捕获网络上有关云服务使用情况的数据,但它们可能无法区分云服务使用过程中的具体网站使用情况。云访问安全代理可以通过分析这些解决方案的日志来分析谁使用了哪些云服务,从云端上传和下载的数据量,以及每个云服务的风险和类别。实际上,云访问安全代理是通过现有的基础设施实现云感知(cloud-aware)。CloudAccessSecurityProxy检测基础设施逻辑“出口”处的策略漏洞,并使用最新云服务的URL将访问策略推送到它们以弥补漏洞。云访问安全代理还可以通过收集包含用户使用云服务的行为细节的日志来达到终止某些客户使用SSL的效果。使用机器学习,CAS还可以作为数据泄漏的参考源,以检测使用云传播的恶意软件或僵尸网络。数据包捕获在数据包捕获部署模式下,CloudAccessSecurityBroker通过从现有网络安全解决方案中反馈数据流来获得对数据内容的可见性。例如,云访问安全代理可以通过ICAP协议与网络代理集成。在仅监控模式下,Web代理配置为复制云流量并将其转发到云访问安全代理以进行数据丢失防护(DLP)评估。许多云服务通过自定义HTTP内容配置标头来提高其应用程序的性能。这些自定义HTTP内容处理标头具有阻止网络安全解决方案(以及使用ICAP协议与其集成的本机数据丢失防护解决方案)检测数据内容泄漏的意外副作用。CloudAccessSecurityBroker使用详细的云服务签名来检查云流量、评估数据丢失防护策略并针对DLP策略违规生成警报。ProxyinlineCloudAccessSecurityProxy可以部署在正向代理模式下。许多组织已经有了Web代理,他们不想部署另一个代理节点。在代理内联模式下,下游Web代理配置为将所有云服务流量转发到CAS代理。在这种部署模式下,云访问安全代理可以实时实施控制和安全策略。例如,云访问安全代理可以通过执行访问控制策略来阻止某些受限的云服务功能。同时,它还可以在用户尝试访问允许的服务以外的服务时通过显示具有说服力的消息来通知用户,或者将用户重定向到允许的云服务。与数据包捕获不同,此部署允许云访问安全代理执行带内DLP策略以防止违规。总之,云访问安全代理提高了企业在网络安全解决方案上的投资价值。CASB不是以颠覆性的方式替换现有解决方案,而是将其处理能力集成并扩展到云服务。Web代理/防火墙和云访问安全代理具有明显的功能差异。不再是谁取代谁,他们共同提供了更好的云服务使用可见性以及实施合规性和控制以保护传输到云的企业数据的能力。原标题:CASB与Web代理/防火墙有何不同深入阅读API和代理,哪种云访问安全代理方式可以提供最好的保护云访问安全代理(CASB)软件应运而生,帮助IT人员了解整个云环境安全状态。CloudAccessSecurityBroker是一种置于云服务用户和一个或多个云服务提供商之间的安全实施策略。它们可以驻留在企业系统环境中,或由云提供商托管。无论哪种方式,当使用来自多个云提供商的云服务时,云访问安全代理为信息安全专业人员提供安全性和合规性的关键控制点。他们在多个级别实施企业安全策略,例如用户、设备和云资源之间的访问。如何将云访问安全代理集成到您的云访问安全策略中,从而为您的安全解决方案和网络性能维度带来改变?云访问安全代理的部署方式主要有两种:应用程序编程接口(API)和代理。◆基于代理的解决方案基于代理的带内解决方案是通过网关检查和过滤已知的用户和设备。因为所有流量都经过一个节点,所以代理可以实时采取安全措施。但遗憾的是:单个节点意味着它会降低网络性能,并且只有已知用户才能提供保护。此外,基于代理的解决方案只能为SaaS(软件即服务)云服务提供安全保护,无法帮助IaaS(基础设施即服务)和PaaS(平台即服务)云。◆基于API的解决方案基于API的云访问安全代理是一种带外解决方案,不与数据流量占用相同的网络路径。基于API的解决方案不会因直接与云服务集成而导致性能下降,并且可以同时为SaaS、IaaS和PaaS云服务的托管和非托管流量提供安全保护。一些行业专家建议使用多模式方式,即同时支持API和代理方式的云访问安全代理架构。实际上,尽管它们的实现方式不同,但API和Proxy这两种方法确实是结合使用来实现多模态效果的。随着企业将更多关键业务功能转移到云环境,实施云访问安全代理已成为必要的控制措施。在决定实施云访问安全代理之前,重要的是要了解这两种选择并做出正确的选择。原标题:APIvs.Proxy:如何从您的CASB获得最佳保护
