在向云应用程序和数字化转型的大规模转变中,出现了云访问安全代理(CASB)。CASB旨在降低用户从企业范围内访问这些资产时围绕云资产的风险。有时很容易将CASB视为发现和保护数据访问的技术或功能的集合。有趣的是,当CASB推出时,他们的重点是加密静态和传输中的数据。相比之下,用户仍然驻留在企业范围内。CASB为云边界提供与本地边界相似级别的检查和安全性。许多企业使用CASB日志分析功能来识别影子IT。随后,CASB供应商不断改进他们的产品,增加了数据丢失防护(DLP)、安全Web网关(SWG)和其他功能。云计算、远程工作催生新网络模式过去十年,云转型加速。2020年,COVID-19大流行带来了结构性转变,迫使最终用户离开办公环境中传统的本地网络边界,转而在家工作。这一现实带来了对更成熟的架构模型的需求。这里需要新的模型来保护用户,因为他们在公司范围内访问云服务和资产,无论他们的物理位置如何,同时提供相同的网络安全服务和控制。Gartner将此模式命名为安全访问服务边缘(SASE),发音很时髦。从这个角度看,CASB和SASE并不一定是对立的。相反,SASE是CASB的自然演变,与其他功能一起发展成为一个架构框架。SASE安全模型是端到端安全的蓝图。它将边界安全与云安全相结合,结合严格的网络访问控制(遵循零信任概念),并将CASB作为该模型的一个组件。考虑这个模型,设想SASE架构图,我们看到的不是CASB和SASE的关系,而是SASE中的CASB。CASB和SASE的共同点是A代表Access(访问)。让我们看看访问的定义,区分公共资源和私有资源:访问企业的SaaS应用程序,例如Microsoft365、Salesforce、代码存储库或其他资产,这些应用程序可能作为服务运行在云中使用并需要用户验证;访问IaaS资源以进行操作、维护和部署,这些资源位于AWS、谷歌云平台和MicrosoftAzure等云环境中。访问公司数据中心资产、人力资源系统和财务软件,包括第三方或承包商的远程访问。CASB的主要目标之一是防止未经授权访问存储在云中的信息,并降低此类数据泄露的风险。我们可以称之为风险控制,而不仅仅是纯粹的安全控制。开发CASB时,它有三个目标:影子IT预防、加密和防止将机密信息上传到未经批准的云应用程序。另一方面,它也试图控制未经授权的用户对授权应用程序的访问。CASB的另一个功能是识别敏感信息并使用公司定义的策略限制对该数据的访问,在某些情况下,使用用户和实体行为分析。安全访问服务边缘功能在查看SASE的优势时,最关键的功能之一是零信任网络访问(ZTNA)。远程工作人员使用它来访问公司资源。同时,它们已通过身份验证并获得应用程序级访问权限,支持和推进NIST特别出版物800-207的想法。在SASE的早期,软件定义的WAN(SD-WAN)设备与SWG紧密结合。这为拥有多个办公室的企业提供了一种快速启动和更直接的方式来控制和优化ISP链接。随着从任何地方开始工作,许多SWG提供商开发了一个在计算机上运行的最终用户客户端,使流量能够以安全的方式路由到SWG提供商最近的存在点。在此配置中,无论身在何处,最终用户都可以享受到相同级别的安全性。唯一的要求是互联网连接。当用户返回办公室时,他们不必关闭客户端并保持相同级别的安全性。如今,SD-WAN设备的主要功能是连接企业位置;保护无法安装客户端的服务器和其他设备;并提供对无法迁移到云的遗留系统的访问。同一供应商提供SASE安全功能是有意义的,这包括CASB、DLP、SWG和ZTNA等。这些供应商提供更好的流量路由、更少的故障排除、更好的监控和故障排除,最重要的是,提供用于安全策略创建的单一管理平台。这种整合减少了客户端设备上安装的客户端数量。它还支持更轻松的策略创建、故障排除、安全程序的总体更好指标以及最高管理层的可见性。因此,Gartner定义了一个名为安全服务边缘(SSE)的新市场。SSE将所有安全组件组合在一起,不包括SD-WAN等网络相关元素。SSE和SD-WAN将共同构成SASE模型。
