随着企业IT运营逐渐从本地迁移到云端,他们开始寻找安全访问控制方法,从内部数据中心引入云操作。云访问安全代理(CASB)就是这样一种工具。CASB已有10年历史,是企业安全基础设施的常见组成部分。但是,准确理解CASB的作用,以及它与下一代防火墙的不同之处,对许多人来说仍然是个谜。本文将带您学习CASB,讲解它的起源和演变。CASB的最初目的是提供企业基础架构中所有云服务的可见性。CASB是打击“影子IT”和未经授权的云服务的第一个专用武器。CASB部署在网络周边并使用多种代理类型,可以识别对云服务的每个响应或连接,无论云服务是否获得批准。首次创建CASB时,它们通常作为物理设备部署在客户数据中心。现在,它们仍然可以部署,但更像是云服务本身的“安全即服务”(SaaS)模型。在这两种情况下,今天的CASB使用代理和API来识别尽可能广泛的云服务,并根据产品现在具有的附加功能采取行动。知道云服务的存在与保护它(或为特定服务实施安全控制)不同,因此CASB不断发展并为安全团队提供更多服务。正如Gartner所说,CASB的“四大支柱”已经演变——可见性、合规性、数据安全和威胁防护。这四个功能领域在共享责任云安全模型中很重要,在该模型中,云提供商负责保护其基础架构,而云客户负责其应用程序和数据的安全。那么,这“四大支柱”到底是什么意思呢?它们如何用于保护企业云?让我们看看下面的每一个。可视化CASB可以让企业领导知道网络中所有员工坚持使用的云服务是否安全。虽然这是必要且令人恐惧的,但今天的CASB确实提供了部分检测。利用CASB查找和监控进出云服务的流量的方式,它还可以告诉安全团队哪些员工正在使用云服务以及他们如何获得这些服务。当面对不承认其个人行为破坏了公司安全计划的员工时,CASB工具会很有用。合规性随着CASB的发展,尤其是当他们使用API而不是代理来提高对云中业务的可见性时,他们能够看到从一个云到另一个云以及本地基础设施和云之间传输的内容。之间传输的数据。除了让安全团队更好地了解组织的云基础架构之外,这还提供了对存储在云中以及正在处理的数据的可见性。合规性的许多方面取决于了解数据的存储位置和方式。除了外部法规外,许多组织还有关于如何存储和处理某些类型数据的内部规则。CASB可以让安全团队清楚地了解云绑定数据的状态,使他们能够检测和纠正员工存储或迁移数据的情况,以避免与外部法规发生冲突。数据安全通过了解云端数据的状态,CASB可以采取下一步措施来保护这些数据。通过API控制操作允许CASB查看从未进入企业网络的交易(例如云服务之间的交易)。CASB可以强制执行一系列规则,例如数据加密或混淆、身份验证和访问控制的特定要求以及其他参数等,以确保数据以安全的方式存储。威胁防护“访问”是CASB的一部分。此类产品可以提供威胁防护,加强云端数据应用的访问和认证控制。在许多情况下,CASB可以通过与现有单点登录或“身份即服务工具”交互来监控业务活动并执行规则。CASB的优势之一是能够与现有的安全基础设施集成,这使CASB有别于其他工具。通常,下一代防火墙、Web应用程序防火墙和其他安全工具被认为很复杂,无法充分发挥其优势。相对而言,CASB传统上是一种易于配置和部署的工具,即使对于没有经验的安全团队也是如此。
