什么是 CASB(云访问安全代理)?
概述
云访问安全代理(CASB,读作 KAZ-bee)是云服务消费者和云服务提供商(CSP)之间的内部部署或基于云的策略执行点,用于监控与云相关的活动,并应用与使用基于云的资源相关的安全性、合规性和管理规则。CASB可让企业将适用于内部基础设施的控制措施扩展到云中,并可将不同类型的政策执行措施结合起来,例如
- 用户凭证认证,因此只能访问经批准的云服务。
- 通过 加密、 令牌化或其他手段保护数据,使敏感信息不会暴露在云服务或 CSP 中。
- 云服务活动监控可记录、标记和分析用户和实体的行为,以发现异常使用模式或被泄露的凭证。
- 数据丢失防护(DLP)使敏感信息无法离开组织的网络,恶意软件检测和修复使敏感信息无法进入组织的网络。
因此,CASB 的目的是提高企业安全可靠地利用云服务的能力。CASB 可被视为一个 "安全节点",通过它可以控制对企业云服务的访问。作为企业安全基础设施的一个组成部分,它是对企业和网络应用防火墙、IDaaS(身份即服务)和安全网络网关(SWG)等技术的补充,而不是取代。
随着云服务和 BYOD("自带设备")政策的广泛采用,允许个人笔记本电脑、智能手机、平板电脑和其他非托管设备接入网络,CASB 的重要性也与日俱增。使用 CASB 控制企业部分或全部云服务的情况正在扩大,预计大型企业的采用率将增加两倍,从 2018 年的 20% 增加到 2022 年的 60%(Gartner,2018 年)。同期,整个云安全市场预计到 2023 年将增至约 1 120 亿美元(Forrester,2017 年)。
保护混合 IT 中的数据,同时简化云工作负载的安全性
Voltage OpenText™ 的 SecureData Sentry 通过在数天内简单、透明地部署数据安全,帮助降低外泄风险;实现混合 IT 关键任务应用程序的隐私合规性
了解更多CASB(云访问安全代理)
CASB 最初的重点是发现影子 IT(个人或业务部门在 IT 部门允许的范围之外使用的未知服务),但随着企业意识到解决这一问题的方法更多是通过控制启用而不是移除这些服务,CASB 开始提供跨越四大支柱的功能集:数据安全性、合规性、威胁保护以及可视性这一核心功能。
可见性
许多企业已经开始加速在各业务部门正式采用云计算。这可能会导致越来越多的员工在 IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)以及现在的 FaaS(功能即服务)资源上管理自己的安全凭证。在这种环境下,CASB 可以帮助弥补集中式身份和访问管理(IAM)的侵蚀所造成的安全漏洞,并改善对这些服务使用的控制,提供适当的屏障,但又不妨碍企业内部和现场员工自然开展业务。
云访问控制的整合有助于了解正在使用的云服务,但对影子 IT 却毫无帮助。这些服务可能被用于弥补企业官方 IT 堆栈中的感知或实际缺陷,也可能只是用户偏好的简单反映。这些服务的使用可能对生产力、效率、员工满意度至关重要,甚至是创新的源泉,而不是必须杜绝的活动,但它们不太可能符合组织的安全政策或其他 IT 对支持、可靠性、可用性等方面的要求,也可能是恶意软件的源泉,导致灾难性的数据泄露。
CASB 可以帮助将组织的影子 IT 暴露在阳光下,不仅能够支持必要的工作实践,同时确保它们不会影响任务,还能揭示真正的云支出,从而改进成本控制。
数据安全
许多组织已经在将 IT 资源从自己的数据中心迁移到多个云中,包括亚马逊网络服务(AWS)、微软 Azure、谷歌云平台(GCP)提供的云,以及 SaaS 供应商市场提供的大量在线应用程序。员工已经在通过这些服务(Office 365、Salesforce、亚马逊 S3、Workday 等)共享敏感数据,其中许多服务都主张某种责任分担模式,要求客户承担数据安全责任。
然而,对云本身安全性的担忧在很大程度上是错误的。大多数 CSP 的基础设施,尤其是那些提供主流服务的 CSP 的基础设施,无疑是高度安全的。相反,关注的重点应该是正确配置 CSP 提供的安全控制,以及识别不具备的所需控制。最近的一份报告发现,仅由于此类错误或缺失的配置,云和与云相关的服务(如 S3、rsync、SMB、FTP、NAS 驱动器和 Web 服务器)中就有超过 15 亿个文件被暴露(Digital Shadows,2018 年)。预计到 2023 年,至少 99% 的云安全故障将由云服务消费者而非 CSP 所犯的错误造成(Gartner,2018 年)。虽然一些 CASB 现在提供云安全态势管理 (CSPM) 功能,通过加密等附加控制措施来评估和降低 IaaS、PaaS 和 SaaS 产品的配置风险,但 CASB 可以为企业提供进一步的保险,即使存在配置错误,敏感数据也不会泄露。当特定云服务无法提供充分的 数据保护,或需要针对 CSP 本身提供此类保护时,此类保险就显得尤为必要。
大多数 CASB 都是从与数据安全有关的两种初始定位之一演变而来的:侧重于数据丢失防护(DLP)和威胁检测,或提供加密或标记化以解决隐私和数据驻留问题。虽然这些最初的定位后来扩展到涵盖所有这些功能,但已经从提供强大的以数据为中心的安全和密钥管理转向了以数据为中心的安全和密钥管理。如今,对于大多数 CASB 来说,数据安全主要是指 DLP,它使用各种机制来检测受制裁云服务中的敏感数据或上传到云服务中的敏感数据(受制裁的或影子的),然后阻止、删除、依法保留或隔离标记为可能违反政策的内容。这通常支持企业内部和远程云服务用户,无论是来自移动应用程序、网络浏览器还是桌面同步客户端。但是,在云服务内部和云服务之间的数据共享变得越来越容易的环境中,DLP 的作用只能到此为止,否则就会发生漏洞。任何使用云存储数据的组织都应该意识到,CASB 可能无法检测到数据是如何从云共享的,或者与谁共享的,甚至无法检测到共享数据的人。
以数据为中心的强大保护机制可以解决这种外泄风险,但是,虽然许多 CASB 都宣传能够对运往云的数据进行加密或标记,但这些功能目前往往只限于少数主流服务,如 Salesforce 和 ServiceNow。开始增加这些功能的 CASB 发现,加密技术是一个具有挑战性的技术领域。实施和维护密码系统需要大量的专业知识,而这些专业知识通常不属于 CASB 的核心能力范围。因此,一些 CASB 已撤消或不再积极推广这些功能,还有一些 CASB 通过笼统地声称 "数据安全 "只涉及 DLP、自适应访问控制 (AAC) 等,来掩盖其能力不足或适用性受限的问题。
此外,虽然美国颁布的《澄清海外合法使用数据法案》(CLOUD)和对欧盟《通用数据保护条例》(GDPR)的日益了解强烈表明,加密和密钥管理正在成为关键能力(Gartner,2019 年),但在采用这些能力方面仍有一些犹豫,因为在 SaaS 应用程序之外应用加密和标记化可能会影响其功能以及集成第三方服务的功能。不过,一些供应商(如OpenText Voltage )在应用加密技术方面的不断创新已经最大限度地减少了对功能的影响,因此,现在值得评估将字段和文件级数据保护委托给 CSP 或根本不应用的成本和风险。
合规性
许多行业和地区出现的更严格的隐私法也可能会对运营产生影响。GDPR 、《加利福尼亚消费者隐私法》(CCPA)、《巴西通用数据保护法》(LGPD)和《印度个人数据保护法案》等地区性法规,以及 PCI DSS、SOX、HIPAA、HITECH、FINRA 和 FFIEC 等行业法规正在制定一系列合规要求,其复杂性将许多组织推向最保守的全球立场:确保企业及其客户的敏感数据始终受到保护,无论数据流向何方,都尽可能得到最有力的保护。
具有跨多个应用程序的强大数据隐私控制功能的 CASB 可以帮助实现这一目标;通过政策意识和数据分类功能,CASB 可以帮助确保遵守数据驻留法律,并根据不断更新的监管要求对安全配置进行基准测试。
威胁检测和预防
CASB 可以帮助组织抵御不断扩大的恶意软件,包括通过云存储服务及其相关同步客户端和应用程序引入和传播的恶意软件。CASB 可以使用先进的威胁情报源对内部和外部资源的威胁进行实时扫描和修复;通过检测和防止对云服务和数据的未经授权访问来识别受损的用户账户;将静态和动态分析与机器学习和UEBA(用户实体行为分析)功能相结合,以识别异常活动、勒索软件、数据外渗等。
CASB 如何工作?
CASB 可作为代理和/或 API 代理部署。由于 CASB 的某些功能取决于部署模式,"多模式 "CASB(同时支持代理和 API 模式)为如何控制云服务提供了更广泛的选择。
以代理模式部署的 CASB 通常以安全性为重点,在云服务消费者和 CSP 之间的数据访问路径中可能配置为反向或正向代理。反向代理 CASB 不需要在端点上安装代理,因此可以避免更改配置、安装证书等操作,从而更好地适用于非托管(如BYOD)设备。但是,它们不能像前向代理 CASB 那样很好地控制未经许可的云使用,因为来自受管端点的所有流量都是通过前向代理 CASB 引导的,包括指向未经许可的云服务的流量:这意味着一些不受管理的设备可能会漏网。因此,前向代理 CASB 通常需要在端点上安装代理或 VPN 客户端。如果代理和 VPN 客户端配置错误或误关,敏感流量可能无法转发到 CASB,从而绕过检查。
以 API 模式部署的 CASB 侧重于通过 SaaS(以及越来越多的 IaaS 和 PaaS)服务提供的 API 管理这些服务的应用程序,包括检查静态数据、日志遥测、策略控制和其他管理功能。它们能很好地与不受管理的设备配合使用,但由于只有主流云服务通常提供 API 支持(而且支持程度不一),仅提供 API 的 CASB 不可能涵盖所有必需的安全功能。虽然 SaaS 供应商和其他 CSP 可能会增强其 API 以弥补这一差距,但与此同时,纯 API CASB 无法提供足够强大的功能来满足可扩展性和可用性要求。此外,由于用户和云服务之间交换的数据量不断增加,当 CSP 对 API 请求的响应进行节流时,API 模式 CASB 就会出现难以控制的性能下降。因此,代理模式仍然是一项至关重要的功能。
CASB 可以在企业数据中心运行,也可以在数据中心和云的混合部署中运行,或者完全在云中运行。注重以数据为中心的保护,或受隐私法规或数据主权考虑的组织,往往需要内部部署的解决方案,以保持对安全基础设施的完全控制。此外,纯云 CASB 通过 "自带密钥"(BYOK)模式施加的责任委托和第三方信任要求可能会与内部或外部政策相抵触,这种有问题的立场自然会延伸到 CSP 本身提供的安全服务,而 CSP 可能也会要求将 CASB 的 IP 地址列入白名单。
Voltage Secure Data Sentry 是 CASB 吗?
Voltage SecureData Sentry是一家专门从事数据保护的安全代理公司,不仅为云服务提供数据保护,还为企业内部应用程序提供数据保护。因此,它不是传统的 CASB,因为它并不寻求提供四大支柱的其他功能。相反,Sentry 与专门提供这些补充功能的 CASB 共存,同时承担加密重任,以添加强大的以数据为中心的保护机制,这些机制可应用于 SaaS 和其他云服务,以及内部网络中的商业和自主开发的应用程序。
Voltage SecureData 具有创新性,以标准为基础,其安全强度已通过国际公认的独立密码机构的独立验证。在保护世界上最敏感数据的安全方面,SecureData 深受全球公共和私营部门以及多个行业中许多领先组织的信赖。
格式保留加密(FPE)可确保在字段级应用保护,不会破坏现有数据库模式或 SaaS 字段类型或大小限制,并与无状态密钥管理系统相结合,避免给安全管理员带来额外负担。安全无状态令牌化(SST)可确保包含信用卡号或 SSN 的数字字段得到保护,而无需令牌数据库的管理或性能开销,同时还能使字段的选定部分(如前六位或后四位)保持透明,以支持路由或客户验证。格式保留散列(FPH)可确保分析和其他用例的数据参考完整性,同时符合 GDPR 的删除权等法规。此外,通过其他创新,如支持部分和通配符搜索词的安全本地索引,以及用于 SMTP 中继的安全电子邮件地址格式,Sentry 还能保留受竞争解决方案影响的应用功能。
企业可以在办公场所和/或云中部署 Sentry。Sentry 可与具有 ICAP(互联网内容适配协议)功能的网络基础设施(如 HTTP 代理和负载平衡器)进行通信,以便将安全策略应用于进出云的数据,还可拦截 JDBC(Java 数据库连接)和 ODBC(开放式数据库连接)API 调用,以便将安全策略应用于进出数据库的数据。无论部署在哪里,企业都能保留对基础架构的完全控制,无需与任何其他方共享加密密钥或令牌库,而且 Sentry 的检查模式可确保安全策略针对包含敏感信息的特定数据字段和文件附件。
