可见性、合规、数据安全和威胁保护四项功能对于云责任共担模式非常重要,本文将简单了解一下这些功能和应用场景。
随着IT运营开始从本地转向云端,安全和访问控制也在从本地数据中心向云端转移,其中一个非常受到关注的工具就是云访问安全代理(CASB)。
从CASB的出现到现在已经有了十年,在国外CASB已经成为安全基础设施的通用组件,但在国内还很少有机构采用CASB。除了SaaS基础环境与国外的差异化以外,国内还缺乏对CASB价值的实际认识,甚至有的机构拿它当防火墙来使用。
CASB的出现,是为了应对企业面临的影子IT和使用未经允可的云服务等问题,以提升企业员工在访问各种云服务时的可见性。在CASB的早期阶段,需要用户的数据中心部署物理的组件。但现在,大部分的CASB已经可以SaaS化部署了。不管是物理部署还是直接使用SaaS模式,CASB都需要通过代理或API来识别云应用,以及使用其他提供附加功能的产品。
随着应用的普及,CASB逐渐加入了更多的安全功能,最终形成了目前典型的四大功能:可见性、合规、数据安全和威胁保护。这四项功能对于云责任共担模式非常重要,下面我们就来简单了解一下这些功能和应用场景。
1. 可见性
通过监测云访问流量,CAS可以帮助安全团队了解哪些员工正在使用云服务以及如何访问云服务,以发现不安全的访问。
2. 合规
现在的CASB,更多的是通过API网关而不是代理来增加云访问的可见性,它可以看到数据在不同云之间以及本地和云之间的流动。除了给安全团队提供更好的企业云基础设施的可见性以外,还允许安全人员看到数据在云上的存储和使用。
许多合规要求需要知道数据存储在哪里以及如何存储,而且除了外部合规,许多企业内部也有对某些特定数据如何存储和处理的规定。有了CASB,就有了云端数据的可见性,帮助安全团队检测并纠正策略之外的数据存储和使用。
3. 数据安全
有了对云端数据状态的可见性之后,CASB能够进一步的保护数据。由于通过API网关可以看到云服务之间的可见性(这些云端的相互访问是游离在企业本地网络之外的),于是CASB可以实施数据加密,身份验证和访问控制等策略,以确认数据能够安全的存储。
4. 威胁保护
访问是CASB的核心功能,基于这个核心功能CASB得以在云端实现对数据与应用的验证和控制。其中一个主要的应用场景就是,与现有的单点登录或身份管理工具交互,来监控访问活动和实施安全策略。这种与其他安全工具的整合能力是CASB的一大优势,足以把CASB与其他安全产品明显地区别开来。
与下代墙、WAF等一些传统安全产品相比,CASB在配置与部署方面要相对简单,即便是经验尚浅的安全人员也可轻松完成。