Cloud Access Security Broker (CASB, pronounced KAZ-bee) 是放置在雲端服務消費者與雲端服務供應商 (CSP) 之間的內部部署或雲端政策執行點，用來監控與雲端相關的活動，並應用與使用雲端資源相關的安全性、合規性與治理規則。CASB可讓組織將應用於內部基礎架構的各種控制擴展至雲端，並可結合不同類型的政策強制執行，例如：

使用者憑證驗證，因此只能對經核准的雲端服務進行存取。
透過加密、令牌化或其他方式保護資料，使敏感資訊不會暴露於雲端服務或 CSP。
雲端服務活動監控，可記錄、標記使用者和實體行為，並分析異常使用模式或外洩憑證。
資料遺失防護 (DLP)，讓敏感資訊無法離開組織網路；惡意軟體偵測與修復，讓敏感資訊無法進入組織網路。

因此，CASB 的目的是提高組織安全可靠地利用雲端服務的能力。CASB 可視為一個「安全節點」，透過它來控制組織雲端服務的存取。作為組織安全基礎架構的一個組成部分，它可以補充而非取代企業和 Web 應用程式防火牆、IDaaS (IDentity as a Service，身分即服務) 和安全 Web 閘道 (SWG) 等技術。

CASB 的重要性與雲端服務和 BYOD (「自帶裝置」) 政策的廣泛採用同步增加，這些政策允許個人筆記型電腦、智慧型手機、平板電腦和其他未受管理的裝置進入網路。使用 CASB 來控制組織的部分或全部雲端服務的情況正不斷擴大，預計大型企業採用的 CASB 將增加三倍，從 2018 年的 20% 增加到 2022 年的 60% (Gartner，2018)。在類似期間內，預測整個雲端安全市場到 2023 年將上升至約 1,120 億美元 (Forrester, 2017)。

保護混合 IT 的資料，同時簡化雲端工作負載的安全性

OpenText™ Voltage™ SecureData Sentry 可在數天內簡單、透明地部署資料安全性，協助降低外洩風險；讓混合 IT 關鍵任務應用程式符合隱私規範。

了解更多

CASB (雲端存取安全代理)

CASB 最初專注於發現 IT 部門允許之外的個人或業務單位所使用的未知服務 - 但隨著組織意識到此問題的解決方案更多地指向受控啟用而非移除這些服務，CASB 開始提供橫跨四大支柱的功能集：資料安全性、合規性、威脅防護以及可視性的核心功能。

能見度

許多組織已經開始加速在廣泛的業務單位正式採用雲端運算。這可能會導致越來越多員工在 IaaS (基礎架構即服務)、PaaS (平台即服務)、SaaS (軟體即服務) 以及現在的 FaaS (功能即服務) 資源上管理自己的安全憑證。在這種環境下，CASB 可協助彌補集中式身分與存取管理 (IAM) 的侵蝕所造成的安全缺口，並改善對這些服務使用的控制，提供適當的障礙，但不會妨礙企業內部與現場員工自然地執行業務。

雲端存取控制的整合有助於瞭解哪些雲端服務正在使用，但對影子 IT 並無幫助。這些服務可能是用來解決組織官方 IT 堆疊中可察覺或實際存在的不足，也可能只是使用者偏好的簡單反映。與其說它們是必須杜絕的活動，實際上它們的使用可能對生產力、效率、員工滿意度，甚至是創新的來源都很重要，但卻不大可能符合組織的安全政策或其他 IT 對於支援、可靠性、可用性等的要求，而且也可能是惡意軟體的來源，導致災難性的資料外洩。

CASB 可協助將機構的影子 IT 曝光，不僅可支援必要的工作實務，同時確保它們不會影響任務，還可顯示真正的雲端支出，從而改善成本控制。

資料安全

許多組織已經開始將 IT 資源從自己的資料中心遷移到多種雲端，包括 Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) 所提供的雲端，以及 SaaS 供應商市場上廣泛的線上應用程式。員工已經在透過這些服務分享敏感資料 - Office 365、Salesforce、Amazon S3、Workday 等 - 其中許多服務都主張採用某種共同責任模式，將資料安全的責任交給客戶。

然而，對雲端本身安全性的疑慮在很大程度上是錯誤的。無可否認，大多數 CSP（尤其是那些提供已成為主流服務的 CSP）的基礎架構都是高度安全的。反之，應將關注焦點放在 CSP 所提供的安全控管的正確配置，以及識別無法提供的所需控管。最近的一份報告發現，僅因為此類錯誤或遺失的設定，雲端和雲端相關服務（如 S3、rsync、SMB、FTP、NAS 磁碟機和 Web 伺服器）中就有超過 15 億個檔案被曝光（Digital Shadows，2018）。預計到 2023 年，至少有 99% 的雲端安全失敗是由於雲端服務消費者而非 CSP 所犯的錯誤 (Gartner，2018)。雖然有些 CASB 現在提供雲端安全勢態管理 (CSPM) 功能，可透過加密等額外控制來評估和降低 IaaS、PaaS 和 SaaS 產品的組態風險，但 CASB 可為組織提供進一步的保險，即使存在錯誤組態，敏感資料也不會外洩。當特定雲端服務無法提供足夠的資料保護，或需要針對 CSP 本身提供保護時，此類保險就顯得特別必要。

大多數 CASB 都是從與資料安全性相關的兩種初始姿態之一演變而來的：著重於資料遺失防護 (DLP) 和威脅偵測，或提供加密或標記化解決隱私權和資料居住權問題。雖然這些起始位置隨後擴展至涵蓋所有這些功能，但已從提供強大的以資料為中心的安全性和金鑰管理，轉變為提供強大的以資料為中心的安全性和金鑰管理。對於大多數 CASB 而言，目前資料安全主要是指 DLP，即使用各種機制偵測受制裁雲端服務內的敏感資料，或上傳至雲端服務 (受制裁或影子) 時的敏感資料，然後封鎖、刪除、依法保留或隔離標示為可能違反政策的內容。這通常可同時支援內部部署和遠端雲端服務使用者，不論是來自行動應用程式、網頁瀏覽器或桌上型電腦同步用戶端。但 DLP 在環境中只能做到這一步，因為在發生外洩之前，雲端服務內和雲端服務間的資料共用越來越容易。任何使用雲端儲存資料的組織都應該意識到，CASB 可能無法偵測到資料如何或與誰從雲端共用，甚至無法偵測到是誰共用了資料。

以資料為中心的強大保護機制可以解決這種外洩風險，但雖然許多 CASB 宣稱有能力加密或標記運送至雲端的資料，但這些功能現在往往只限於少數主流服務，例如 Salesforce 和 ServiceNow。為了滿足分析師的評價，也為了達到或維持競爭優勢，開始增加這些功能的 CASB 發現，加密技術是一個充滿挑戰的技術領域。實施和維護密碼系統需要相當多的專業知識，而這些專業知識通常不屬於 CASB 核心能力的範圍。因此，有些 CASB 已經撤銷或不再積極推廣這些功能，有些 CASB 則透過只針對 DLP、自適應存取控制 (AAC) 之類的「資料安全」概括性聲稱，混淆這些功能的不足或限制其適用性。

此外，儘管美國頒布的「釐清海外合法使用資料法案」(CLOUD) 以及對歐盟「一般資料保護規範」(GDPR) 日漸加深的瞭解，都強烈顯示加密和金鑰管理正逐漸成為關鍵能力 (Gartner，2019)，但由於在 SaaS 應用程式外部應用的加密和標記化可能會影響其功能以及整合第三方服務的功能，因此在採用上仍有一些猶豫。然而，某些廠商 (例如 OpenText Voltage) 在應用加密技術上的持續創新，已將這些功能上的影響降至最低，因此，現在值得評估的是，在將欄位和檔案層級資料保護委託給 CSP 的成本和風險方面，或在完全不應用 CSP 的情況下，可能仍然存在的任何影響。

合規

許多產業和地區出現更嚴格的隱私權法律，也可能會影響營運。GDPR、加州消費者隱私權法案 (CCPA)、巴西一般資料保護法 (LGPD) 和印度個人資料保護法案等地區性法規，以及 PCI DSS、SOX、HIPAA、HITECH、FINRA 和 FFIEC 等產業法規，正在創造出一系列的法規遵循要求，其複雜性將許多組織推向最保守的全球立場：確保企業及其客戶的敏感資料無論到哪裡，都能受到最強大的保護。

CASB 具備跨多種應用程式的強大資料隱私權控制功能，可協助實現這一目標；透過政策認知和資料分類功能，CASB 可協助確保符合資料居住權法律，並根據不斷更新的法規要求來設定安全配置基準。

威脅偵測與預防

CASB 可保護組織免受不斷擴大的惡意軟體攻擊，包括透過雲端儲存服務及其相關同步用戶端和應用程式引進和傳播的惡意軟體。CASB 可以使用先進的威脅情報來源，即時掃描和修復內部與外部資源上的威脅；透過偵測和防止未經授權存取雲端服務和資料，找出受損的使用者帳戶；結合靜態和動態分析與機器學習和UEBA(User Entity Behavior Analytics，使用者實體行為分析) 功能，找出異常活動、駭客軟體、資料外洩等。

CASB 如何運作？

CASB 可以代理和/或 API 代理的方式部署。由於 CASB 的某些功能取決於部署模式，因此「多模式」CASB (同時支援代理和 API 模式的 CASB) 可為如何控制雲端服務提供更廣泛的選擇。

以代理模式部署的 CASB 通常專注於安全性，並可能在雲服務消費者與 CSP 之間的資料存取路徑中設定為反向或正向代理。反向代理 CASB 不需要在端點上安裝代理，因此可避免設定變更、安裝憑證等需求，對於未受管理的 (例如 BYOD) 裝置而言可能更有效。然而，它們無法像前向代理 CASB 一樣控制未經認可的雲端使用，所有來自受管端點的流量都會透過 CASB 導向，包括導向未經認可雲端服務的流量：這表示有些未受管裝置可能會漏網。因此，前向代理 CASB 通常需要在端點上安裝代理或 VPN 用戶端。如果代理和 VPN 用戶端配置錯誤或被錯誤關閉，敏感流量可能無法轉發至 CASB，從而繞過檢查。

以 API 模式部署的 CASB 著重於透過 SaaS（以及越來越多的 IaaS 和 PaaS）服務所提供的 API 來管理這些服務的應用程式，包括檢查靜態資料、日誌遙測、政策控制以及其他管理功能。它們與不受管理的裝置配合得很好，但由於通常只有主流雲端服務提供 API 支援，而且支援程度不一，因此僅提供 API 的 CASB 不可能涵蓋所有必要的安全功能。雖然 SaaS 供應商和其他 CSP 可能會增強其 API 以縮小這一差距，但與此同時，僅提供 API 的 CASB 並無提供足夠強大的功能來滿足可擴展性和可用性要求。此外，當 CSP 因使用者與雲端服務之間交換的資料量不斷增加而抑制對 API 請求的回應時，API 模式 CASB 就會出現無法管理的效能衰退。因此，代理模式仍然是一項重要的功能。

CASB 可以在企業資料中心、資料中心與雲端混合部署或僅在雲端執行。專注於以資料為中心的保護，或受限於隱私權法規或資料主權考量的組織，往往需要內部部署解決方案，以保留對安全基礎架構的完整控制。此外，純雲端 CASB 透過「自備金鑰」(BYOK) 模式強加的責任委託和第三方信任要求，可能會違反內部或外部政策，而這種有問題的立場自然會延伸至 CSP 本身提供的安全服務，因為 CSP 也可能會要求將 CASB 的 IP 位址列入白名單。

Voltage Secure Data Sentry 是 CASB 嗎？

VoltageSecureData Sentry是專門提供資料保護的安全經紀人，不僅適用於雲端服務，也適用於企業內部應用程式。因此，它不是傳統的 CASB，因為它不尋求提供跨越四大支柱的其他功能。取而代之的是，Sentry 與 CASB 並存，CASB 專門提供這些補充功能，同時進行加密重任，以增加強大的資料中心保護機制，可應用於 SaaS 和其他雲端服務，以及內部網路中的商業和自行開發應用程式。

Voltage SecureData 是創新且以標準為基礎的產品，其安全強度已通過國際認可的獨立加密機構的獨立驗證。在保護全球最敏感資料的安全方面，它深獲跨公、私部門及多個產業的眾多全球領先組織的信賴。

Format-Preserving Encryption (FPE)，可確保在欄位層級應用的保護方式，不會破壞現有資料庫架構或 SaaS 欄位類型或大小限制，並結合無狀態金鑰管理系統，避免增加安全管理員的負擔。Secure Stateless Tokenization (SST) 可確保包含信用卡號碼或 SSN 的數字欄位受到保護，而無需管理或執行令牌資料庫，同時使欄位的特定部分保持明確，例如前 6 位或最後 4 位數字，以支援路由或客戶驗證。格式保留切細值 (FPH) 可確保分析和其他使用個案的資料參考完整性，同時符合 GDPR 刪除權等法規。此外，透過其他創新功能，例如支援部分與通配符搜尋詞彙的安全本機索引，以及 SMTP 中繼的安全電子郵件位址格式，Sentry 可保留受競爭解決方案影響的應用程式功能。

組織可以在內部和/或雲端部署 Sentry。Sentry 可與具備 ICAP（網際網路內容適配協定）功能的網路基礎架構（例如 HTTP 代理伺服器和負載平衡器）進行溝通，將安全政策套用至往返雲端的資料，並可攔截 JDBC（Java 資料庫連線）和 ODBC（開放資料庫連線）API 呼叫，將安全政策套用至往返資料庫的資料。無論部署在何處，企業都能保留對基礎架構的完全控制，無需與任何其他方共用加密金鑰或令牌保管庫，而且 Sentry 的檢測模式可確保安全政策能夠針對包含敏感資訊的特定資料欄位和檔案附件。

雲端存取安全中介

立即開始。

了解更多