什么是 CASB?| 云访问安全代理
云访问安全代理(CASB)提供诸多服务,保护使用云计算的公司免受数据泄露和网络攻击。
学习目标
阅读本文后,您将能够:
- 定义云访问安全代理(CASB)
- 了解 CASB 的功能
- 探索 CASB 的四个支柱
复制文章链接
什么是云访问安全代理(CASB)?
云访问安全代理 (CASB) 是一种有助于保护云托管服务的安全解决方案。CASB 有助于保护企业的软件即服务 (SaaS) 应用程序,以及基础设施即服务 (IaaS) 和平台即服务 (PaaS) 等服务的安全,使其免受网络攻击和数据泄漏。通常情况下,CASB 供应商以云托管软件的形式提供服务,但某些 CASB 供应商还提供本地部署软件或硬件设备。
许多不同的安全技术都属于 CASB 的范畴,CASB 解决方案通常将这些技术打包提供。这些技术包括影子 IT 探索、访问控制和数据丢失防护 (DLP) 等。
可以将 CASB 想象成一家实体安全公司,它提供多种服务(监视、徒步巡逻、身份验证等)以确保设施安全,而不是仅仅由一个安保人员来保障安全。同样,CASB 提供多种服务而不是一种服务,从而简化了云数据保护的过程。
CASB 安全性的四大支柱是什么?
颇具影响力的行业分析公司 Gartner 为云访问安全代理定义了四个“支柱”:
- 可见性:CASB 解决方案帮助发现“影子 IT”,即未正式记录在案且可能带来未知安全风险的系统和流程,尤其是云服务。
- 数据安全:CASB 防止机密数据离开公司控制的系统,并帮助保护该数据的完整性。此功能与 AI 工具的激增尤其相关,员工可能会尝试将受保护的数据上传到其中。该领域的重要技术包括访问控制和数据丢失防护 (DLP)。
- 威胁防护:除了防止数据泄漏外,CASB 还能阻止外部威胁和攻击。反恶意软件检测、沙箱、数据包检查、URL 过滤和浏览器隔离均有助于阻止网络攻击。
- 合规性:因为云非常分散且不受公司控制,云端运营的公司可能难以满足 SOC 2、HIPAA 或 GDPR 等严格的监管要求。什么是《公平信息惯例》Cloudflare 的隐私政策。在某些行业和地区,不合规的公司会面临处罚和罚款风险。通过实施强大的安全控制,CASB 帮助在云中存储数据并运行业务流程的公司实现法规遵从。
CASB 提供哪些安全功能?
大多数 CASB 解决方案提供如下一部分或全部安全技术:
- 身份验证:通过检查多种身份因素(如密码或物理令牌)来确保用户是其声称的身份
- 访问控制:控制用户在公司控制的应用程序中可以查看的内容和可以执行的操作
- 影子 IT 发现:识别内部员工未经适当授权而用于业务用途的系统和服务
- 数据丢失防护(DLP):阻止数据泄漏并防止数据离开公司拥有的平台
- URL 过滤:阻止攻击者用于网络钓鱼或恶意软件攻击的网站
- 数据包检查:检查进入或离开网络的数据是否存在恶意活动
- 沙箱:在隔离的环境中运行程序和代码以确定其是否具有恶意
- 浏览器隔离:在远程服务器上而非用户设备上运行用户的浏览器,从而防止设备受到可能在浏览器中运行的潜在恶意代码的侵害
- 反恶意软件检测:识别恶意软件
以上列表并非详尽无遗,因为 CASB 可以提供除上述产品以外的许多其他安全产品。其中一些技术也包含在其他类型的安全产品中。例如,许多防火墙提供数据包检查,而许多端点安全产品也提供反恶意软件。但是,CASB 专门针对云计算打包了这些技术。
为了提供一整套 CASB 服务,许多主流 CASB 在某个时候收购某一产品或公司,与自己的现有产品捆绑在一起。它们可能还会与外部公司合作以提供额外的服务。
CASB 和数据丢失防护
随着数据监管框架(如 GDPR)给企业带来维护隐私和避免数据泄露的压力,数据丢失防护的重要性与日俱增,但传统的数据丢失防护产品在保护现代数据安全方面仍存在弱点。独立的数据丢失防护服务很难作为云服务的附加层来实施。在 CASB 解决方案中捆绑数据丢失防护有助于解决这些挑战,使企业能够保护数据并保持合规性。
CASB 有哪些好处?
在云计算中,数据被远程存储并通过互联网访问。因此,使用云的公司对数据的存储位置和用户访问数据的方式控制有限。用户可以在任何连接互联网的设备上和从任何网络访问云数据与应用程序,而不仅仅是公司内部管理的网络。例如,用户可以使用个人设备从不安全的网络登录到公司管理的 SaaS 应用程序,这对于在内部部署电脑和服务器上运行的应用程序通常是不可能的(除非使用远程桌面)。
云的使用使得确保数据的私密性和安全性变得更加困难,就像在公共场所而不是在私人房间中交谈时更难防止陌生人窃听一样。
为了充分保护云中的数据,组织通常也使用基于云的安全服务。有时,他们从不同的供应商处获得这些服务:使用一个平台用于 DLP,一个用于身份验证,一个用于反恶意软件,等等。但是这种云安全方法也带来了挑战:必须分别协商多个合同,必须多次配置安全策略,实施和管理多个平台会给 IT 带来复杂性等。
CASB 这一个解决方案即可应对所有这些挑战。组织只需从一个云安全代理处购买安全措施,而无需从几个不同的供应商处购买,这意味着:
- 所有涉及的技术都能很好地协同工作。
- 简化云安全工具的管理;IT 团队可以跟一家供应商合作,而不必与数家供应商配合。另外,许多 CASB 让其客户能够从单一仪表板管理所有云安全服务。
使用 CASB 有哪些挑战?
可扩展性:CASB 需要管理大量数据和多个云平台与应用程序。公司应该确保他们的 CASB 供应商能够随着他们的成长而扩大规模。
缓解:并非所有的 CASB 都能够在发现安全威胁后立即予以阻止。根据不同的情况,没有缓解能力的 CASB 对于公司的作用可能十分有限。
集成:公司必须确保他们的 CASB 能够与所有的系统和基础设施集成。如果没有完全集成,CASB 将无法全面了解未经授权的 IT 和潜在的安全威胁。
数据隐私:CASB 供应商是否对数据保密,还是说他们只是接触敏感数据的其中一个外部方?如果 CASB 将他们客户的数据转移到云中,其安全性和隐私性如何?这些问题对于遵照严格的数据隐私规定而运作的组织来说尤其重要。
谁需要 CASB?
大多数部分依赖或完全依赖云的企业都可以从与 CASB 供应商的合作中受益。正在努力遏制影子 IT 增长(这是当今许多企业的主要关注点)的企业尤其可以从 CASB 服务中受益。
CASB 如何与 SASE 集成?
安全访问服务边缘 (SASE) 是一种基于云的网络基础设施模型,它将网络和安全服务整合到一个服务提供商,让公司能够更简单地在所有连接设备上保护和管理网络访问。与 CASB 捆绑各种安全服务的方式相同,SASE 将 SD-WAN(和其他网络功能一起)与 CASB、安全 Web 网关 (SWG)、零信任网络访问 (ZTNA)、防火墙即服务 (FWaaS) 以及其他网络安全功能捆绑起来。SASE 解决方案建立在单个全球网络基础之上。
Cloudflare 是否提供 CASB 产品?
Cloudflare One 在单个平台上集成了 CASB、数据丢失防护、Zero Trust 、SWG 和浏览器隔离功能。这些服务由 Cloudflare 网络提供,尽可能靠近最终用户,并可位于本地、云和混合网络的前端。了解有关 Cloudflare One 的更多信息。