可靠的企业战略,数字化转型,智能化转型和企业架构智库

【云安全】 什么是云访问安全代理(CASB )?

云访问安全代理(Cloud Access Security Broker,CASB,发音为KAZ-bee)是位于云服务消费者和云服务提供商(CSP)之间的内部或基于云的策略实施点,用于监视与云相关的活动,并应用与基于云的资源的使用相关的安全性、合规性和治理规则。CASB允许组织将其应用于本地基础设施的相同类型的控制扩展到云中,并可以组合不同类型的策略实施,例如:

  • 用户凭据身份验证,因此仅向批准的云服务提供访问权限
  • 通过加密、令牌化或其他方式保护数据,因此敏感信息不会暴露在云服务或CSP中
  • 云服务活动监视,以便记录、标记和分析用户和实体的行为,以了解异常使用模式或受损的凭据
  • 数据丢失预防(DLP),因此敏感信息不能离开组织的网络,以及
  • 恶意软件检测和修复,使敏感信息无法进入组织的网络。

因此,CASB的目的是提高组织安全、安全地利用云服务的能力。CASB可以被认为是一个“安全节点”,通过它可以控制对组织云服务的访问。作为组织安全基础设施的一个组件,它补充而不是取代企业和web应用程序防火墙、IDaaS(身份即服务)和安全web网关(SWG)等技术。

随着云服务和BYOD(“自带设备”)政策的广泛采用,CASBs的重要性与日俱增,这些政策允许个人笔记本电脑、智能手机、平板电脑和其他非托管设备接入网络。使用CASBs控制组织的部分或全部云服务正在扩大,预计大型企业的采用率将翻三倍,从2018年的20%增加到2022年的60%(Gartner,2018年)。在类似的时期内,预计到2023年,云安全市场整体规模将升至1120亿美元左右(Forrester,2017年)。

为什么我需要一个CASB?

CASBs最初专注于发现Shadow IT(IT部门许可范围之外的个人或业务单位使用的未知服务),但随着组织意识到,解决此问题的方法更多地指向受控支持,而不是删除这些服务,CASBs开始提供跨越四大支柱的功能集:数据安全、法规遵从性、威胁保护和核心可见性能力。

能见度

许多组织已经开始加速云计算在各个业务部门的正式采用。这可能导致越来越多的员工在IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)以及现在的FaaS(功能即服务)资源上管理自己的安全凭证。在这种环境下,CASBs可以帮助弥合由于集中身份和访问管理(IAM)的侵蚀而造成的安全漏洞,并改善对这些服务的使用的控制,提供适当的障碍,但不会妨碍员工在房地和外地的自然业务行为。

这种云访问控制的整合有助于在已知哪些云服务正在使用的情况下使用,但对影子IT没有帮助。这样的服务可能被用来解决组织的官方IT堆栈中感知到的或实际的缺陷,或者它们可能只是用户偏好的简单反映。它们的使用对生产力、效率、员工满意度,甚至作为创新的源泉,可能对生产力、效率、员工满意度至关重要,但它不太可能符合组织的安全策略或其他it支持、可靠性、可用性等要求。,也可能是导致灾难性数据泄露的恶意软件来源。

CASB有助于将组织的影子IT暴露出来,不仅能够支持必要的工作实践,同时确保它们不会影响任务,而且还可以显示真实的云支出,从而改进成本控制。

数据安全

许多组织已经开始将IT资源从自己的数据中心迁移到多个云中,包括Amazon Web Services(AWS)、microsoft azure、Google云平台(GCP)提供的云,以及SaaS供应商市场上广泛的在线应用程序。员工已经在通过这些服务共享敏感数据了,这些服务包括Office 365、Salesforce、Amazon S3、Workday等,其中许多服务主张某种形式的共享责任模型,将数据安全责任推给客户。

然而,对云本身安全性的担忧在很大程度上是错误的。大多数CSP的基础设施,尤其是那些提供主流服务的CSP,无疑是高度安全的。相反,应关注CSP提供的安全控制措施的正确配置,以及确定不可用的所需控制措施。最近的一份报告发现CSP,仅仅由于这些配置错误或缺失,超过15亿个文件暴露在云和云相关服务中,如S3、rsync、SMB、FTP、NAS驱动器和web服务器(Digital Shadows,2018)。预计到2023年,至少99%的云安全故障将由云服务消费者而非(CSP)犯下的错误造成(Gartner,2018)。虽然一些CASB现在提供云安全态势管理(CSPM)功能,通过加密等附加控制来评估和降低IaaS、PaaS和SaaS产品中的配置风险,但CASB可以为组织提供进一步的保险,即使存在错误配置,敏感数据也不会受到损害。当特定的云服务没有提供足够的数据保护时,或者当需要针对CSP本身提供这种保护时,这种保险就显得尤为必要。

大多数CASB都是从两种与数据安全相关的初始姿态中发展而来的:侧重于数据丢失预防(DLP)和威胁检测,或者提供加密或令牌化来解决隐私和数据驻留问题。虽然这些起始位置随后扩展到覆盖所有这些特性,但已经从提供健壮的以数据为中心的安全性和密钥管理转向了。如今,对于大多数CASB来说,数据安全主要指DLP,它使用各种机制来检测受许可云服务内的敏感数据,或在将其上载到云服务(已批准或隐藏)时,然后阻止、删除、法律封存或隔离标记为潜在违反策略的内容。这通常支持本地和远程云服务用户,无论是来自移动应用程序、web浏览器还是桌面同步客户端。但DLP只能在云服务内部和跨云服务共享数据变得越来越容易的环境中走到这一步。任何使用云存储数据的组织都应该意识到,CASB可能无法检测到数据是如何或与谁共享的,甚至是谁共享的。

强大的以数据为中心的保护机制可以解决这种漏洞风险,但尽管许多CASB宣传加密或标记发送到云端的数据的能力,但这些功能现在往往仅限于少数主流服务,如Salesforce和ServiceNow。CASBs开始添加这些特性——为了满足分析师的评级,以及为了实现或保持竞争对手的平等——发现密码学是一个具有挑战性的技术领域。实施和维护密码系统需要相当多的主题专业知识,这种专业知识通常不属于CASB核心能力的范围。因此,一些CASB已经退出或不再积极地推销这些特性,而有些则通过“数据安全性”的一般性主张来混淆它们的能力不足或适用性受限,而这些“数据安全性”只涉及DLP、自适应访问控制(AAC)等

此外,虽然美国颁布了《澄清合法海外使用数据(云)法》(Clarifying Legal Overseas Use of Data(CLOUD)Act),而且人们对欧盟《通用数据保护条例》(GDPR)的理解不断加深,强烈表明加密和密钥管理正成为关键能力(Gartner,2019),但在采用这些技术时仍有些犹豫,第三方应用程序的加密和第三方服务的功能也会受到影响。然而,通过一些供应商(如Micro Focus Voltage)提供的应用加密技术的持续创新,已经将这些对功能的影响降到了最低,因此,现在有必要评估将字段和文件级数据保护委托给CSP或根本不应用它的成本和风险。

合规

在许多行业和地区,更严格的隐私法的出台也可能会影响运营。地区性法规,如GDPR、加利福尼亚消费者隐私法(CCPA)、巴西通用数据保护法(LGPD)和印度个人数据保护法案,以及PCI DSS、SOX、HIPAA、HITECH、FINRA等行业法规,此外,FFIEC正在创建一系列法规遵从性要求,这些要求的复杂性将许多组织推向最保守的全球地位:确保企业及其客户的敏感数据无论在何处,都能得到最大程度的保护。

具有跨多个应用程序的强大数据隐私控制的CASB有助于实现这一点;通过策略意识和数据分类功能,CASB可以帮助确保遵守数据驻留法律,并根据不断更新的法规要求对安全配置进行基准测试。

威胁检测和预防

CASB可以保护组织抵御不断膨胀的恶意软件,包括通过云存储服务及其相关的同步客户端和应用程序引入和传播。CASB可使用先进的威胁情报来源,实时扫描和修复内部和外部资源的威胁;通过检测和防止未经授权访问云服务和数据,识别受损用户帐户;并将静态和动态分析与机器学习和UEBA(用户实体行为分析)功能相结合,识别异常活动、勒索软件、数据过滤等。

CASB是怎么工作的?

CASB可以作为代理和/或API代理进行部署。由于某些CASB特性依赖于部署模型,“多模式”CASB(同时支持代理和API模式的CASB)为如何控制云服务提供了更广泛的选择。

在代理模式下部署的CASB通常侧重于安全性,并且可能被配置为数据访问路径中的反向或正向代理,在云服务消费者和CSP之间。反向代理CASB不需要在端点上安装代理,因此可以通过避免配置更改、证书安装等来更好地为非托管(例如BYOD)设备工作。但是,它们不像前向代理CASB那样控制未经授权的云使用,所有来自托管端点的流量都通过它进行定向,包括到未经批准的云服务的流量:这意味着一些非托管设备可能会从网络中溜走。因此,转发代理CASB通常需要在端点上安装代理或VPN客户端。如果代理和VPN客户端配置错误或被错误关闭,敏感流量可能无法绕过检查转发到CASB。

在API模式下部署的CASB专注于通过SaaS(以及越来越多的IaaS和PaaS)服务提供的API管理SaaS应用程序,包括静态数据检查、日志遥测、策略控制和其他管理功能。它们可以很好地与非托管设备一起工作,但是,由于只有主流云服务通常提供API支持,而且在不同程度上提供了这样的支持,仅API的CASB不太可能涵盖所有必需的安全特性。虽然SaaS供应商和其他csp可能会增强它们的API来弥补这一差距,但与此同时,只有API的casb不能提供足够健壮的功能来满足可伸缩性和可用性需求。此外,由于用户和云服务之间的数据交换量不断增加,当csp限制对API请求的响应时,API模式的casb会出现无法管理的性能下降。因此,代理模式仍然是一个关键功能。

CASB可以在企业数据中心中运行,也可以在涉及数据中心和云的混合部署中运行,或者只在云中运行。专注于以数据为中心的保护,或受隐私法规或数据主权考虑的组织,往往需要内部解决方案来保持对安全基础设施的完全控制。此外,仅限云计算的casb通过“自带密钥”(BYOK)模型强加的责任授权和第三方信任要求可能违反内部或外部政策,这个有问题的位置自然延伸到CSP自己提供的安全服务,CSP可能还需要白名单CASB的IP地址。

Voltage SecureData Sentry是CASB吗?

Voltage SecureData Sentry是一家专门从事数据保护的安全代理,不仅适用于云服务,还适用于本地应用程序。因此,它不是传统的CASB,因为它不寻求在四个支柱上提供其他功能。取而代之的是,Sentry与专门提供这些补充功能的casb共存,同时通过加密来增加强大的以数据为中心的保护机制,这些机制可以应用于SaaS和其他云服务以及内部网络中的商业和自行开发的应用程序。

Voltage SecureData具有创新性和基于标准的特点,并且已经过国际公认的独立密码机构的安全强度独立验证。全球多个行业中最敏感和最安全的It部门都信任这些数据。

格式保护加密(FPE)与无状态密钥管理系统相结合,避免了安全管理员的额外负担,可确保在字段级别以不破坏现有数据库架构或SaaS字段类型或大小限制的方式应用保护。安全无状态令牌化(SST)确保包含信用卡号码或SSN的数字字段得到保护,而不需要令牌数据库的管理或性能开销,同时允许字段的选定部分保持清晰,例如前六位或后四位,以支持路由或客户验证。格式保留哈希(FPH)确保分析和其他用例的数据引用完整性,同时遵守GDPR的擦除权等法规。此外,通过其他创新,如支持部分和通配符搜索词的安全本地索引,以及用于SMTP中继的安全电子邮件地址格式,Sentry保留了受竞争解决方案影响的应用程序功能。

组织可以在本地和/或云端部署哨兵。Sentry与支持ICAP(Internet内容适配协议)的网络基础设施(如HTTP代理和负载平衡器)进行通信,以将安全策略应用于往返于云端的数据,它还拦截JDBC(Java数据库连接)和ODBC(开放数据库连接)API调用,以对进出数据库的数据应用安全策略。无论部署在何处,企业都保留对基础架构的完全控制,而无需与任何其他方共享加密密钥或令牌保险库,而且Sentry的检查模式确保安全策略可以针对包含敏感信息的特定数据字段和文件附件。

 

原文:https://www.microfocus.com/en-us/what-is/cloud-access-security-broker

本文:http://jiagoushi.pro/node/1079

讨论:请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】