导语:云访问安全代理(CASB)在过去几年已经获得了较好的发展,并且可以作为管理云端和现场(on-premise)系统身份验证及加密的有效方式。
云访问安全代理(CASB)在过去几年已经获得了较好的发展,并且可以作为管理云端和现场(on-premise)系统身份验证及加密的有效方式。
大家可以将云访问安全代理(CASB)想象为企业所有云端服务及现场系统的中央数据身份验证及加密中心,并可被所有终端(包括私人智能手机和平板电脑)访问。在CASB出现之前,企业安全经理根本无法了解公司所有数据受保护的情况。随着自带设备(BYOD)和非托管设备的日渐普及,数据经由个人手机或平板电脑访问时的风险也在随之增加。
随着云计算的兴起,企业也需要一种方法来跨多个云交付一致的安全性,并保护所有使用企业数据的用户。CASB由此应运而生,可以帮助企业更深入地了解云和软件即服务(SaaS)的使用情况——精细到单个文件名和数据元素的程度。
如今,大多数主流安全供应商都已经购买了CASB解决方案,包括甲骨文(Palerra)、思科(CloudLock)、IBM(Gravitant)、微软(Adallom)、Forcepoint(Skyfence)、Proofpoint(FireLayers)、赛门铁克(Skycure)以及迈克菲(Skyhigh Networks)等等。另外3家依然屹立的独立供应商则是CipherCloud、Netskope和Bitglass。
CASB与防火墙同等重要
CASB已经成熟,这里所说的“成熟”涉及一个程度问题,因为即便是运营时间最长的提供商也不过只销售了几年该产品而已。不过如今,许多分析师甚至认为CASB将很快发展到与防火墙同等重要的程度。据Gartner预测称,到2020年,更多的企业将使用CASB,这一比例将比2017年底的10%使用率会高出很多。
几年前,许多企业选择购买CASB的初衷,是为了遏制当时所谓的“影子IT”,如今,在许多企业中,它已被视为标准操作程序。IT经理会接到他们商业Dropbox销售代表的电话,并被告知数百名用户正在使用个人Dropbox账户,这通常是他们最不想听到的消息。当然,这也成就了CASB供应商最初的宣传卖点:我们可以发现您所有的云数据所在的位置,并帮助您保护这些数据。传统的安全工具无法提供这种可见性,尤其是企业数据中心从来看不到网络流量的时候。正如Gartner的Steve Riley所言,
我想控制自己的数据,即便它们并不在我自己的设备上。
对于许多企业IT经理而言,首次使用CASB的尝试会给人一种大开眼界的感觉。根据Riley的说法,当公司首次部署完CASB之后,IT部门就会发现其使用的云服务数量是其之前预计的十倍。当然,这也成为CASB的一大卖点。
现代CASB如何适应当今的IT和威胁景观
可见性卖点在当时非常成功,但今天的CASB功能显然更为全面,且更能融入到企业安全环境中。许多供应商提供多种方法供自家产品接入邮件服务器、网页应用网关设备、身份管理系统和单点登录工具,以跟踪和防止数据泄露(无论是有意或是无意的)。
企业IT经理希望更好的控制他们的云数据,而不仅仅是控制初始登录,因此,他们对用户登录身份验证工具的要求也就不再只是简单的二进制的“是”或“否”,而是所谓的“基于风险或自适应的身份验证”。这就意味着,他们希望强化身份验证挑战,以确保他们最敏感的内容不会落入罪犯手中。一些CASB供应商现在已将这些工具集成到了自己的产品之中。
越来越严格的合规要求业已成为推动CASB的另一股力量,例如欧盟《通用数据保护条例》(GDPR)的实施,以及越来越多的数据泄露事件报道宣传等。CASB可以在单一界面中展示企业最大的风险点,并总结出安全团队可以快速着手处理可疑行为的事件列表,这些功能都是其他产品无法轻易实现的。(请参见下面的Forcepoint风险摘要仪表板)
除此之外,云计算的快速部署也使CASB变得更具吸引力。Masergy公司安全产品管理总监Jay Barbour,曾在一篇博文中谈到了云和本地应用程序之间的共享安全模型。他写道,
一旦云应用程序数量超过一两个,如果想要让员工快速的管理他们自己的身份和密码,就会造成一种安全风险和一次糟糕的用户体验。
就在几年前,一些公司开始转向谷歌或微软基于云的电子邮件,但这只是数据大规模迁移的开始。微软提供了极具吸引力的许可模式,以鼓励更多的企业使用Office 365,而不用安装其软件。之后,许多公司开始加紧从多个供应商处采购云资源,因此需要使用诸如CASB之类的工具,来弥合跨AWS和Azure资源之间的安全差距。随着公司将资源从数据中心移出(或者完全消除它们)CASB也就逐渐发展成为必不可少的安全工具。
不过近年来,威胁场景开始不断发展演变。如今,我们需要面对更多混合型威胁,这些威胁使用了多种漏洞利用包以及众多混淆技术,来确保恶意软件不易被察觉和识别;设计日益精妙的网络钓鱼攻击也变得越来越难以识别,即便是经验丰富的IT人员也随时会中招;或是通过非常巧妙的云服务功能,迅速传播并感染数百万用户。
除了上述几种驱动力外,还有4大因素也有助于推动CASB发展:首先是安全人员赋予其的快速学习曲线。这些工具相对容易上手,直观显示的仪表板也让用户更容易理解,当然要比尝试订购防火墙规则集,或者为DLP产品制定适当的政策要容易得多。
其次是它们在应用程序支持方面更具包容性。早期的产品只可以保护有限的应用程序组合,但如今,该方面已经得到大幅扩展。例如,Forcepoint声称它可以在几天内完成对任何自定义应用程序的支持。
第三是托管服务提供商业务的展开,比如Masergy转售了多个CASB解决方案,其中就包括Bitglass。这对希望更快部署CASB工具的中小企业来说很具吸引力。鉴于大多数CASB产品主要运行在云端,因此,让Masergy这样的公司替自己全天候进行安全监控还是很有帮助的。
最后是多模式运营变得更加普遍。CASB有3种不同的运营模式,如今,越来越多的产品在每种模式上都支持多种应用:
· 前向代理,通常随终端代理或VPN客户端一起部署;
· 反向代理,不需要代理端,可以更好地控制非托管设备;
· API控制,能看到已存储在云仓库的数据,或云进程中使用而从未进入到企业网络中的数据;
一些供应商将该功能分解到多个产品中:思科的CASB产品仅支持API访问,并通过其Umbrella产品提供代理。其他的,比如微软,在使用其CASB产品之前需要预先配备一系列必备产品。
如何购买合适的CASB解决方案
在开始评估之前,建议先用CASB供应商的免费服务计划,了解一下自己都有哪些云产品组合。Cofense的Cloudseeker也有这项服务,但他们并不销售CASB解决方案。大多数供应商都会在一个月的使用期内,免费提供有限数量的应用程序或服务,以便帮助用户更好的了解自己的资产暴露规模和范围,以及这些工具在您的基础架构中的工作方式。
以下是为大家总结的关于购买CASB需要预先考虑的关键事项:
· 选取最关键的应用程序来初步试点CASB项目,然后以这个较小的集合运行一个产品,再逐步扩大应用范围;
· 弄清楚自己是否想要与现有的身份即服务(IDaaS)/单点登录(SSO)工具集成;
· 不要将云访问看成简单的“是”或“否”身份验证事件。你需要了解自己何时以及如何进行更细粒度的身份验证,以及自己是否希望CASB提供该功能;
· 了解自己的产品是否以及如何支持现场级(field-level)数据加密;
· 查看多模式CASB,以便您可以灵活的覆盖尽可能多的用例,并确保自己知道产品在上述3种操作模式下的局限性;
· 检查产品是否能与安全Web网关、应用程序防火墙、数据丢失防护工具以及电子邮件提供集成。对照审查CASB提供的这些功能与您已经部署的功能;
· 计算成本。据Gartner估算,只需几个云应用的简单安装费用在15美元/用户/年左右,覆盖多模式无限云应用的复杂安装费用大约在85美元/用户/年。
主要的CASB供应商
点击链接可转到可用的免费试用页面:
Bitglass
https://pages.bitglass.com/bitglass-free-trial.html
CipherCloud
https://casb.ciphercloud.com/casb-trial
Cisco CloudlockForcepoint CASB
https://www.cisco.com/c/en/us/products/security/cloudlock/index.html
IBM Managed Cloud Services
https://www.ibm.com/services/cloud/managed
ManagedMethods
https://managedmethods.com/casb-free-product-trial/
Masergy
https://www.masergy.com/managed-security/unified-enterprise-security/casb/
McAfee/Skyhigh Security Cloud
https://info.skyhighnetworks.com/2-Step-Request-a-Demo-MFE.html?Source=Website&LSource=Website
Microsoft Cloud App Security
Netskope
https://www.netskope.com/blog/netskope-product-demo/
Oracle CASB Cloud Service
https://www.oracle.com/cloud/paas/casb-cloud-service.html
Palo Alto Networks Aperture
https://www.paloaltonetworks.com/products/secure-the-cloud/aperture-for-saas.html
Proofpoint CASB
https://www.proofpoint.com/us/products/cloud-app-security-broker
Symantec/Skycure
https://support.symantec.com/en_US/product.casb-gateway.html