本帖最后由 julianchen 于 2016-9-28 09:40 编辑 云访问安全代理(CASB)软件的出现旨在帮助IT人员获知整个云环境的安全情况。云访问安全代理是置于云服务用户和一个或多个云服务提供商之间的安全实施策略。他们可以驻留于企业系统环境内,或是由云提供商所掌管。无论哪种方式,一个在使用多个云提供商的云服务时,云访问安全代理为信息安全专业人员提供在安全与合规性的关键控制点。他们加强了企业诸如在用户、设备以及云资源之间相互访问等许多层面上的的安全策略。
究竟如何将云访问安全代理集成到您云接入安全策略,从而对您的安全方案的维度以及网络性能带来改变呢?这里有两个主要的云访问安全代理部署方式:应用程序接口(API)和代理。
基于代理的解决方案
带内的基于代理的解决方案是通过一个网关来检查和过滤已知的用户和设备。因为所有流量都经过一个单独的节点,代理便可实时采取安全措施。不过可惜的是:一个单独的节点也就意味着它降低了网络性能,且仅已知用户提供保护。此外, 基于代理的解决方案仅对SaaS(Software as a Service)云服务的提供安全保护,对IaaS(Infrastructureas a Service)和PaaS(Platformas a Service))云却爱莫能助。
基于API的解决方案
基于API的云访问安全代理是一个带外的解决方案,它并不占用数据流量的相同网络路径。由于直接与云服务相集成,基于API的解决方案无性能下降的弊端,他们能同时对Saas、IaaS和PaaS三种云服务的托管和非托管流量提供安全保护。
一些业内专家建议使用多模的方法,即同时支持API和代理的方法的云访问安全代理架构。在现实中,尽管其实现方式不同,API和代理这两种方法的确被联合使用并实现了多模的效果。
随着企业将更多的关键业务功能转移到云端环境上,实施云访问安全代理已经成为一种必要的控制手段。在决定实施云访问安全代理之前,了解两个备选方案并作出正确的选择是非常重要的。
云访问安全代理与网络代理/防火墙并非“一路货色”
对于那些已经开始考虑使用云访问安全代理(CASB)产品的IT团队来说,他们经常会提及一个问题:“我们已经有了一个网络代理(Web Proxy)和、或防火墙,云访问安全代理区别于何处?”或问:“云访问安全代理会取代我们现有的网络代理和防火墙吗?“这些的确是被自然被问及的,因为网络代理和防火墙对企业网络与云服务之间的往来流量都具有“可视性”。然而,云访问安全代理与现有的网络安全解决方案之间存在着显著差异。让我们首先来消除一个主要的误解:云访问安全代理并非现有网络安全工具的替代品,反之亦然。
云访问安全代理对于代理和防火墙来说是一个单独且不同的市场。云访问安全代理可被部署为正向或反向代理模式以实施带内控制。但是其余网络代理的相似之处仅限于此。不像那些专注于广泛的入站威胁并过滤非法网站网络安全解决方案,云访问安全代理所专注的是云的使用高可视性和细粒度控制。云访问安全代理可以应用程序接口(API)模式部署来扫描云服务里的数据并使之合规。下面是现有网络安全解决方案所不具备的云访问安全代理的一些高级功能:
对每个云服务提供一个详细的、独立的风险评估 (例如合规认证,近期数据泄露,安全控制,司法判定)。
实施风险相关策略(例如:屏蔽所有高风险的文件共享服务并显示实时的提示信息指导用户获取推送服务)。
基于上下文的用户行为访问控制 (例如:防止用户从远程网络的非托管设备上下载报告)。
实施以数据为中心的安全策略(例如:对上传到云端的数据进行加密或实施权限管理以保护敏感数据的下载)。
应用机器学习来检测威胁(例如:一个IT用户下载不寻常大小的敏感数据并上传到另一个云应用程序的个人账户里)。
实时响应来自云端的威胁(例如:在一个内部威胁发送时终止某个帐户的访问,或在账号可能被盗用时,增加额外的身份验证因素方能继续其使用云服务)。
增强云端数据相关策略(例如:撤销共享给业务合作伙伴的文件的共享权限或是追溯加密的敏感数据)。
网络代理/防火墙的云相关功能
网络代理和防火墙提供广泛的网络威胁防护。作为该保护的一部分,在没有云访问安全代理集成的情况下,他们提供有限的云使用可视性。例如:尽管这些解决方案无法映射用户访问云服务的地址(URLs),它们在公司网络里跟踪这些云接入。一些客户使用他们的网络安全解决方案来终止SSL连接并检查到恶意软件内容。代理和防火墙也会对云服务进行高级分类(例如:技术与互联网、商务与经济、是否可疑)。然而这些类别一般并不能反映服务的潜在功能类型,如:文件共享、客户关系管理(CRM)或是社交媒体。
网络安全解决方案的主要用例之一是对百万多个包含色情、毒品、赌博等类型的非法网站进行分类和访问控制。网络代理可以将那些向特定URL的访问尝试重定向到一个标明该URL被阻止掉了的网页上。同样,防火墙可以被配置来屏蔽特定的IP地址。这两中方案缺少详细的且与时俱进的云服务URL和IP地址注册列表以扩展其云服务访问控制的功能。企业经常发现,尽管他们可能最初阻止了云服务,云提供商通常会引入新的url和IPs不阻塞。这导致了广泛的“代理漏”现象的员工定期访问云服务,它打算阻止。
原文链接:
