深入瞭解CASB的重要性
雲訪問安全代理(CASB)在過去幾年已經獲得了較好的發展,並且可以作為管理雲端和現場(on-premise)系統身份驗證及加密的有效方式。
大家可以將雲訪問安全代理(CASB)想象為企業所有云端服務及現場系統的中央資料身份驗證及加密中心,並可被所有終端(包括私人智慧手機和平板電腦)訪問。在CASB出現之前,企業安全經理根本無法瞭解公司所有資料受保護的情況。隨著自帶裝置(BYOD)和非託管裝置的日漸普及,資料經由個人手機或平板電腦訪問時的風險也在隨之增加。
隨著雲端計算的興起,企業也需要一種方法來跨多個雲交付一致的安全性,並保護所有使用企業資料的使用者。CASB由此應運而生,可以幫助企業更深入地瞭解雲和軟體即服務(SaaS)的使用情況——精細到單個檔名和資料元素的程度。
如今,大多數主流安全供應商都已經購買了CASB解決方案,包括甲骨文(Palerra)、思科(CloudLock)、IBM(Gravitant)、微軟(Adallom)、Forcepoint(Skyfence)、Proofpoint(FireLayers)、賽門鐵克(Skycure)以及邁克菲(Skyhigh Networks)等等。另外3家依然屹立的獨立供應商則是CipherCloud、Netskope和Bitglass。
CASB與防火牆同等重要
CASB已經成熟,這裡所說的“成熟”涉及一個程度問題,因為即便是運營時間最長的提供商也不過只銷售了幾年該產品而已。不過如今,許多分析師甚至認為CASB將很快發展到與防火牆同等重要的程度。據Gartner預測稱,到2020年,更多的企業將使用CASB,這一比例將比2017年底的10%使用率會高出很多。
幾年前,許多企業選擇購買CASB的初衷,是為了遏制當時所謂的“影子IT”,如今,在許多企業中,它已被視為標準操作程式。IT經理會接到他們商業Dropbox銷售代表的電話,並被告知數百名使用者正在使用個人Dropbox賬戶,這通常是他們最不想聽到的訊息。當然,這也成就了CASB供應商最初的宣傳賣點:我們可以發現您所有的雲資料所在的位置,並幫助您保護這些資料。傳統的安全工具無法提供這種可見性,尤其是企業資料中心從來看不到網路流量的時候。正如Gartner的Steve Riley所言,
我想控制自己的資料,即便它們並不在我自己的裝置上。
對於許多企業IT經理而言,首次使用CASB的嘗試會給人一種大開眼界的感覺。根據Riley的說法,當公司首次部署完CASB之後,IT部門就會發現其使用的雲服務數量是其之前預計的十倍。當然,這也成為CASB的一大賣點。
現代CASB如何適應當今的IT和威脅景觀
可見性賣點在當時非常成功,但今天的CASB功能顯然更為全面,且更能融入到企業安全環境中。許多供應商提供多種方法供自家產品接入郵件伺服器、網頁應用閘道器裝置、身份管理系統和單點登入工具,以跟蹤和防止資料洩露(無論是有意或是無意的)。
企業IT經理希望更好的控制他們的雲資料,而不僅僅是控制初始登入,因此,他們對使用者登入身份驗證工具的要求也就不再只是簡單的二進位制的“是”或“否”,而是所謂的“基於風險或自適應的身份驗證”。這就意味著,他們希望強化身份驗證挑戰,以確保他們最敏感的內容不會落入罪犯手中。一些CASB供應商現在已將這些工具整合到了自己的產品之中。
越來越嚴格的合規要求業已成為推動CASB的另一股力量,例如歐盟《通用資料保護條例》(GDPR)的實施,以及越來越多的資料洩露事件報道宣傳等。CASB可以在單一介面中展示企業最大的風險點,並總結出安全團隊可以快速著手處理可疑行為的事件列表,這些功能都是其他產品無法輕易實現的。(請參見下面的Forcepoint風險摘要儀表板)
除此之外,雲端計算的快速部署也使CASB變得更具吸引力。Masergy公司安全產品管理總監Jay Barbour,曾在一篇博文中談到了雲和本地應用程式之間的共享安全模型。他寫道,
一旦雲應用程式數量超過一兩個,如果想要讓員工快速的管理他們自己的身份和密碼,就會造成一種安全風險和一次糟糕的使用者體驗。
就在幾年前,一些公司開始轉向谷歌或微軟基於雲的電子郵件,但這只是資料大規模遷移的開始。微軟提供了極具吸引力的許可模式,以鼓勵更多的企業使用Office 365,而不用安裝其軟體。之後,許多公司開始加緊從多個供應商處採購雲資源,因此需要使用諸如CASB之類的工具,來彌合跨AWS和Azure資源之間的安全差距。隨著公司將資源從資料中心移出(或者完全消除它們)CASB也就逐漸發展成為必不可少的安全工具。
不過近年來,威脅場景開始不斷髮展演變。如今,我們需要面對更多混合型威脅,這些威脅使用了多種漏洞利用包以及眾多混淆技術,來確保惡意軟體不易被察覺和識別;設計日益精妙的網路釣魚攻擊也變得越來越難以識別,即便是經驗豐富的IT人員也隨時會中招;或是通過非常巧妙的雲服務功能,迅速傳播並感染數百萬使用者。
除了上述幾種驅動力外,還有4大因素也有助於推動CASB發展:首先是安全人員賦予其的快速學習曲線。這些工具相對容易上手,直觀顯示的儀表板也讓使用者更容易理解,當然要比嘗試訂購防火牆規則集,或者為DLP產品制定適當的政策要容易得多。
其次是它們在應用程式支援方面更具包容性。早期的產品只可以保護有限的應用程式組合,但如今,該方面已經得到大幅擴充套件。例如,Forcepoint聲稱它可以在幾天內完成對任何自定義應用程式的支援。
第三是託管服務提供商業務的展開,比如Masergy轉售了多個CASB解決方案,其中就包括Bitglass。這對希望更快部署CASB工具的中小企業來說很具吸引力。鑑於大多數CASB產品主要執行在雲端,因此,讓Masergy這樣的公司替自己全天候進行安全監控還是很有幫助的。
最後是多模式運營變得更加普遍。CASB有3種不同的運營模式,如今,越來越多的產品在每種模式上都支援多種應用:
·前向代理,通常隨終端代理或VPN客戶端一起部署;
· 反向代理,不需要代理端,可以更好地控制非託管裝置;
· API控制,能看到已儲存在雲倉庫的資料,或雲程序中使用而從未進入到企業網路中的資料;
一些供應商將該功能分解到多個產品中:思科的CASB產品僅支援API訪問,並通過其Umbrella產品提供代理。其他的,比如微軟,在使用其CASB產品之前需要預先配備一系列必備產品。
如何購買合適的CASB解決方案
在開始評估之前,建議先用CASB供應商的免費服務計劃,瞭解一下自己都有哪些雲產品組合。Cofense的Cloudseeker也有這項服務,但他們並不銷售CASB解決方案。大多數供應商都會在一個月的使用期內,免費提供有限數量的應用程式或服務,以便幫助使用者更好的瞭解自己的資產暴露規模和範圍,以及這些工具在您的基礎架構中的工作方式。
以下是為大家總結的關於購買CASB需要預先考慮的關鍵事項:
·選取最關鍵的應用程式來初步試點CASB專案,然後以這個較小的集合執行一個產品,再逐步擴大應用範圍;
· 弄清楚自己是否想要與現有的身份即服務(IDaaS)/單點登入(SSO)工具整合;
· 不要將雲訪問看成簡單的“是”或“否”身份驗證事件。你需要了解自己何時以及如何進行更細粒度的身份驗證,以及自己是否希望CASB提供該功能;
· 瞭解自己的產品是否以及如何支援現場級(field-level)資料加密;
· 檢視多模式CASB,以便您可以靈活的覆蓋儘可能多的用例,並確保自己知道產品在上述3種操作模式下的侷限性;
· 檢查產品是否能與安全Web閘道器、應用程式防火牆、資料丟失防護工具以及電子郵件提供整合。對照審查CASB提供的這些功能與您已經部署的功能;
· 計算成本。據Gartner估算,只需幾個雲應用的簡單安裝費用在15美元/使用者/年左右,覆蓋多模式無限雲應用的複雜安裝費用大約在85美元/使用者/年。
主要的CASB供應商
點選連結可轉到可用的免費試用頁面:
Bitglass
ofollow,noindex">https://pages.bitglass.com/bitglass-free-trial.html
CipherCloud
https://casb.ciphercloud.com/casb-trial
Cisco CloudlockForcepoint CASB
https://www.cisco.com/c/en/us/products/security/cloudlock/index.html
IBM Managed Cloud Services
https://www.ibm.com/services/cloud/managed
ManagedMethods
https://managedmethods.com/casb-free-product-trial/
Masergy
https://www.masergy.com/managed-security/unified-enterprise-security/casb/
McAfee/Skyhigh Security Cloud
https://info.skyhighnetworks.com/2-Step-Request-a-Demo-MFE.html?Source=Website&LSource=Website
Microsoft Cloud App Security
Netskope
https://www.netskope.com/blog/netskope-product-demo/
Oracle CASB Cloud Service
https://www.oracle.com/cloud/paas/casb-cloud-service.html
Palo Alto Networks Aperture
https://www.paloaltonetworks.com/products/secure-the-cloud/aperture-for-saas.html
Proofpoint CASB
https://www.proofpoint.com/us/products/cloud-app-security-broker
Symantec/Skycure
https://support.symantec.com/en_US/product.casb-gateway.html