随着云服务和 BYOD（"自带设备"）政策的广泛采用，允许个人笔记本电脑、智能手机、平板电脑和其他不受管理的设备接入网络，CASB 的重要性也与日俱增。使用 CASB 控制企业部分或全部云服务的情况正在扩大，预计大型企业的采用率将增加两倍，从 2018 年的 20% 增加到 2022 年的 60% （Gartner，2018 年）。同期，云安全市场的整体规模预计到 2023 年将增至约 1 120 亿美元（Forrester，2017 年）。

保护混合 IT 中的数据，同时简化云工作负载的安全性

OpenText™ Voltage™ SecureData Sentry 通过在数天内简单、透明地部署数据安全，帮助降低违规风险；实现混合 IT 关键任务应用程序的隐私合规性

了解更多信息

CASB（云访问安全代理）

CASB 最初的重点是发现 IT 部门允许之外的个人或业务部门使用的未知服务，但随着企业意识到解决这一问题的方法更多是通过控制启用而不是移除这些服务，CASB 开始提供跨越四大支柱的功能集：数据安全性、合规性、威胁保护以及可视性这一核心功能。

可见性

许多企业已经在加快各业务部门正式采用云计算的步伐。这可能会导致越来越多的员工在 IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）以及现在的 FaaS（功能即服务）资源上管理自己的安全凭证。在这种环境下，CASB 可以帮助弥补集中式身份和访问管理（IAM）的削弱所造成的安全漏洞，并改进对这些服务使用的控制，提供一个适当的屏障，但又不妨碍企业内部和外地员工自然开展业务。

这种云访问控制的整合有助于了解正在使用的云服务，但对影子 IT 却毫无帮助。这些服务可能是为了弥补企业官方 IT 堆栈中的感知或实际缺陷，也可能只是用户偏好的简单反映。与其说使用这些设备是必须杜绝的行为，不如说使用这些设备实际上对提高生产力、效率和员工满意度至关重要，甚至是创新的源泉，但这些设备不太可能符合组织的安全政策或其他信息技术对支持、可靠性和可用性等方面的要求，而且还可能成为恶意软件的源头，导致灾难性的数据泄露。

CASB 可以帮助将组织的影子 IT 暴露在阳光下，不仅能够支持必要的工作实践，同时确保它们不会影响任务，还能揭示真正的云支出，从而改进成本控制。

数据安全

许多组织已经在将 IT 资源从自己的数据中心迁移到多种云中，包括亚马逊网络服务（AWS）、Microsoft Azure、谷歌云平台（GCP）提供的云，以及 SaaS 供应商市场提供的大量在线应用程序。员工已经在通过这些服务（Office 365、Salesforce、Amazon S3、Workday 等）共享敏感数据，其中许多服务都主张某种分担责任模式，要求客户承担数据安全责任。

不过，对云本身安全性的担忧在很大程度上是多余的。不可否认，大多数 CSP（尤其是那些提供主流服务的 CSP）的基础设施都非常安全。相反，应重点关注 CSP 提供的安全控制的正确配置，以及识别不具备的所需控制。最近的一份报告发现，仅由于此类错误或缺失的配置，云和与云相关的服务（如 S3、rsync、SMB、FTP、NAS 驱动器和 Web 服务器）中就有超过 15 亿个文件被暴露（Digital Shadows，2018 年）。预计到 2023 年，至少 99% 的云安全故障将由云服务消费者而非 CSP 所犯的错误造成（Gartner，2018 年）。现在，一些 CASB 提供云安全态势管理 (CSPM) 功能，通过加密等附加控制措施来评估和降低 IaaS、PaaS 和 SaaS 产品的配置风险，而 CASB 可以为企业提供进一步的保险，即使存在配置错误，敏感数据也不会泄露。当特定云服务无法提供足够的数据保护，或者需要针对 CSP 本身提供保护时，这种保险就显得尤为必要。

大多数 CASB 都是从与数据安全有关的两种初始态势之一演变而来的：侧重于数据丢失防护（DLP）和威胁检测，或提供加密或标记化以解决隐私和数据驻留问题。虽然这些起始位置后来扩大到涵盖所有这些功能，但已经从提供以数据为中心的强大安全和密钥管理转变。如今，对于大多数 CASB 来说，数据安全主要是指 DLP，它使用各种机制来检测受制裁云服务中的敏感数据，或上传到云服务（受制裁的或影子的）中的敏感数据，然后阻止、删除、依法扣留或隔离标记为可能违反政策的内容。这通常同时支持企业内部用户和远程云服务用户，无论是通过移动应用程序、网络浏览器还是桌面同步客户端。但是，在云服务内部和云服务之间的数据共享变得越来越容易的环境中，DLP 的作用只能到此为止，否则就会发生漏洞。任何使用云存储数据的组织都应该意识到，CASB 可能无法检测到数据是如何从云中共享或与谁共享的，甚至无法检测到共享数据的人。

强大的以数据为中心的保护机制可以应对这种外泄风险，但尽管许多 CASB 都宣传能够对运往云的数据进行加密或标记，但这些功能目前往往只限于少数主流服务，如 Salesforce 和 ServiceNow。开始增加这些功能的 CASB（既是为了满足分析师的评级，也是为了实现或保持竞争优势）发现，密码学是一个具有挑战性的技术领域。实施和维护密码系统需要大量的专业知识，而这些专业知识通常不属于 CASB 核心能力的范围。因此，一些 CASB 已撤消或不再积极推广这些功能，还有一些 CASB 通过笼统地声称 "数据安全"，只涉及 DLP、自适应访问控制 (AAC) 等功能，来掩盖其功能不足或适用性受限的问题。

此外，虽然美国颁布了《澄清海外合法使用数据法案》（CLOUD），欧盟的《通用数据保护条例》（GDPR）也日益深入人心，这都有力地表明加密和密钥管理正在成为关键能力（Gartner，2019 年），但在采用这些能力方面还存在一些犹豫，因为在 SaaS 应用程序外部应用加密和标记化可能会影响其功能以及集成第三方服务的功能。不过，一些供应商（如 OpenText Voltage）在应用加密技术方面的不断创新，已经将这些对功能的影响降到了最低，因此，现在值得评估的是，将字段和文件级数据保护委托给 CSP 或根本不采用这种保护方式的成本和风险，是否仍然存在影响。

合规性

在许多行业和地区，更严格的隐私法的出现也可能对运营产生影响。GDPR 、《加利福尼亚消费者隐私法》（CCPA）、《巴西通用数据保护法》（LGPD）和《印度个人数据保护法案》等地区性法规，以及 PCI DSS、SOX、HIPAA、HITECH、FINRA 和 FFIEC 等行业法规正在制定一系列合规要求，其复杂性将许多组织推向最保守的全球立场：确保企业及其客户的敏感数据始终受到保护，无论数据流向何方，都尽可能得到最有力的保护。

具有跨多个应用程序的强大数据隐私控制功能的 CASB 可以帮助实现这一目标；通过政策意识和数据分类功能，CASB 可以帮助确保遵守数据驻留法律，并根据不断更新的监管要求对安全配置进行基准测试。

威胁检测和预防

CASB 可以抵御组织不断扩大的恶意软件库，包括通过云存储服务及其相关同步客户端和应用程序引入和传播的恶意软件。CASB 可以使用高级威胁情报源对内部和外部资源的威胁进行实时扫描和修复；通过检测和防止对云服务和数据的未经授权访问来识别受损的用户账户；将静态和动态分析与机器学习和UEBA（用户实体行为分析）功能相结合，以识别异常活动、勒索软件、数据外渗等。

CASB 如何工作？

CASB 可以代理和/或 API 代理的形式部署。由于 CASB 的某些功能取决于部署模式，"多模式 "CASB（同时支持代理和 API 模式）为如何控制云服务提供了更广泛的选择。

以代理模式部署的 CASB 通常以安全性为重点，可在云服务消费者和 CSP 之间的数据访问路径中配置为反向或正向代理。反向代理 CASB 不需要在端点上安装代理，因此可以避免更改配置、安装证书等操作，从而更好地适用于非托管（如 BYOD）设备。但是，它们无法像前向代理 CASB 那样控制未经许可的云使用，因为来自受管端点的所有流量都会通过 CASB 引导，包括指向未经许可的云服务的流量：这意味着一些不受管设备可能会漏网。因此，前向代理 CASB 通常需要在端点上安装代理或 VPN 客户端。如果代理和 VPN 客户端配置不当或错误关闭，敏感流量可能无法转发到 CASB，从而绕过检查。

以 API 模式部署的 CASB 侧重于通过 SaaS（以及越来越多的 IaaS 和 PaaS）服务提供的 API 管理 SaaS 应用程序，包括检查静态数据、日志遥测、策略控制和其他管理功能。它们能很好地与非托管设备配合使用，但由于只有主流云服务通常提供 API 支持，而且支持程度不一，因此仅提供 API 的 CASB 不可能涵盖所有必要的安全功能。虽然 SaaS 供应商和其他 CSP 可能会增强其 API 以弥补这一差距，但与此同时，仅提供 API 的 CASB 无法提供足够强大的功能来满足可扩展性和可用性要求。此外，由于用户和云服务之间交换的数据量不断增加，当 CSP 对 API 请求的响应进行节流时，API 模式 CASB 就会出现难以控制的性能下降。因此，代理模式仍然是一项关键能力。

CASB 可以在企业数据中心运行，也可以在数据中心和云的混合部署中运行，或者只在云中运行。注重以数据为中心的保护，或受到隐私法规或数据主权考虑的组织，往往需要内部部署的解决方案，以保持对安全基础设施的完全控制。此外，纯云 CASB 通过 "自带密钥"（BYOK）模式施加的责任委托和第三方信任要求可能会违反内部或外部政策，这种有问题的立场自然会延伸到 CSP 本身提供的安全服务，因为 CSP 也可能要求将 CASB 的 IP 地址列入白名单。

Voltage Secure Data Sentry 是 CASB 吗？

VoltageSecureData Sentry是一家专门从事数据保护的安全代理公司，不仅适用于云服务，也适用于企业内部应用。因此，它不是一个传统的小武器问题协调机构，因为它不寻求提供四大支柱的其他功能。相反，Sentry 与专门提供这些补充功能的 CASB 并存，同时承担加密重任，增加以数据为中心的强大保护机制，这些机制可应用于 SaaS 和其他云服务，以及内部网络中的商业和自主开发的应用程序。

Voltage SecureData 具有创新性，以标准为基础，并通过了国际公认的独立密码机构的安全强度独立验证。在保护全球最敏感数据的安全方面，它得到了多个行业中许多全球领先的公共和私营部门组织的信任。

格式保留加密（FPE）可确保在字段级应用保护，不会破坏现有数据库模式或 SaaS 字段类型或大小限制，它与无状态密钥管理系统相结合，可避免给安全管理员带来额外负担。安全无状态令牌化（SST）可确保包含信用卡号码或 SSN 的数字字段得到保护，而无需令牌数据库的管理或性能开销，同时还能使字段的选定部分（如前六位或后四位）保持清晰，以支持路由或客户验证。格式保留散列（FPH）可确保分析和其他使用情况下的数据参照完整性，同时遵守 GDPR 的删除权等法规。此外，通过更多创新，例如支持部分和通配符搜索词的安全本地索引，以及用于 SMTP 中继的安全电子邮件地址格式化，Sentry 保留了受竞争解决方案影响的应用功能。

企业可以在办公场所和/或云端部署 Sentry。Sentry 与具有 ICAP（互联网内容适配协议）功能的网络基础设施（如 HTTP 代理和负载平衡器）进行通信，以便对进出云的数据应用安全策略，它还能拦截 JDBC（Java 数据库连接）和 ODBC（开放式数据库连接）API 调用，以便对进出数据库的数据应用安全策略。无论部署在哪里，企业都能完全控制基础架构，无需与任何其他方共享加密密钥或令牌库，而且 Sentry 的检查模式可确保安全策略针对包含敏感信息的特定数据字段和文件附件。

云访问安全代理

立即开始

了解更多信息