云访问安全代理(CASB)近几年有了较大发展,可作为管理云端及现场系统身份验证及加密的有效方式。
可以将CASB想象为企业所有云端服务及现场系统的中央数据身份验证及加密中心,并可被所有终端访问,包括私人智能手机和平板电脑。CASB时代以前,企业安全经理看不全公司数据的受保护情况。随着BYOD和非托管设备的盛行,数据经由个人手机或平板访问时的风险也在加大。
而随着云计算的兴起,企业也需要找到跨多个云交付一致安全的方法,保护所有使用企业数据的用户。CASB由此应运而生,帮助企业更好更深入地观察云及SaaS使用情况——细致到单个文件名和数据元素的程度。
大多数主流安全供应商都购买了CASB解决方案:Oracle (Palerra)、IBM (Gravitant)、微软 (Adallom)、Forcepoint (Skyfence)、Proofpoint (FireLayers)、赛门铁克 (Skycure) 和迈克菲 (Skyhigh Networks)等等。3家依然屹立的独立供应商则是CipherCloud、Netskope和Bitglass。
CASB和防火墙同等重要
CASB已成熟,尽管历史最悠久的提供商也不过才卖了几年产品而已。很多分析师甚至感觉到CASB将很快拥有防火墙那种PC标配的重要程度。Gartner预测,2020年将有更多企业使用CASB,比2017年底的10%采纳率会高很多。
几年前,很多企业购买CASB以遏制当时所谓的影子IT。如今,在很多公司里已被认为是标准操作规程。IT经理会接到其商业Dropbox销售代表的电话通知说,有好几百用户在用个人Dropbox账户——IT经理非常不想听到的消息。这就是CASB供应商最初的销售说辞:我们可以发现您所有云数据容身之处并能提供保护。传统安全工具提供不了这种可见性,尤其是企业数据中心从来看不到网络流量的时候。即便没在自家机器上,公司企业还是会想要控制自己的所有数据的。
很多企业IT经理一尝试CASB就会有种大开眼界的感觉。CASB一部署上,IT就会看到十倍于之前估计的在用云服务数量。CASB的一大卖点正在于此。
现代CASB如何适应当今IT和威胁态势
可见性卖点在当时非常成功,但今天的CASB功能更完善更能集成到企业安全环境中。很多供应商提供多种方法供自家产品接入邮件服务器、网页应用网关设备、身份管理系统和单点登录工具以跟踪并预防数据泄露,无论有意还是无意。
企业IT经理想要更深入的云数据控制而不仅仅是对初始登录的控制,对用户登录身份验证工具的要求也就不仅仅是二元的“是”或“否”,而是所谓的基于风险的身份验证或自适应身份验证。这意味着他们想要强化身份验证挑战,以确保最敏感的内容不会落到罪犯手中。几家CASB供应商如今已将此类工具整合到了自己的产品中。
越来越严的合规要求是促进CASB进化的另一股力量,比如欧盟GDPR的实施和数据泄露事件越来越高的曝光度。CASB能在单一界面中展示企业风险点并总结出安全团队能快速着手处理可疑行为的事件列表,这是其他产品无法轻易做到的。
驱动CASB的第三股力量,是托管服务提供商业务的展开,比如Masergy转售多个CASB解决方案,其中就包括Bitglass。这对希望更快部署CASB工具的中小企业来说很具吸引力。鉴于大多数CASB产品主要运行在云端,让Masergy这样的公司替自己全天候进行安全监测还是很有用的。
最后,多模式运营变得更加普遍。CASB有3种运营模式,越来越多的产品如今在每种模式上都支持多种App:
- 前向代理,通常随终端代理或VPN客户端部署
- 反向代理,不需要代理端,能更好地控制非托管设备
- API控制,能看到已存储在云仓库的数据或云过程中使用而从未进入到企业网络中的数据
有些供应商将该功能分散到多个产品中:思科的CASB产品仅支持API访问并通过其Umbrella产品提供代理。其他的,比如微软,在使用其CASB产品前得预先配备一系列必备产品。
怎样购买合适的CASB解决方案
在开始评估之前,不妨先用CASB提供商的免费服务计划看看自己都有哪些云资产。Cofense的Cloudseeker也有这项服务,但他们并不售卖CASB解决方案。大多数供应商都会在一个月的使用期里免费提供有限数量的App或服务,供用户看清自己的资产暴露面和这些工具与自身基础设施的匹配度。
购买CASB之前你应该考虑:
- 选取关键App初步试点CASB项目,然后以该较小集合运行一个产品,再逐步扩大应用规模。
- 弄清自己是否想要与现有身份即服务(IDaaS)/单点登录(SSO)工具整合。
- 别将云访问看成简单的“是”或“否”身份验证事件。知道自己何时需要更细粒度的身份验证,弄清自己是否想要CASB来施现该功能。
- 知道自己的产品是否支持现场级数据加密,怎样加密。
- 看看多模式CASB,这样你才能灵活覆盖多种可能用例,并要确保自己知道产品在每种操作模式下的局限性。
- 检查产品是否能与安全网页网关、应用防火墙、数据丢失预防工具和电子邮件提供商融合。对照审查CASB提供的这些功能与现有产品的功能。
- 计算成本。Gartner估算,适用少量云App的单个安装在15美元/用户/年左右,更健壮的覆盖多模式不受限云App的安装大约在85美元/用户/年。
主要CASB供应商
- Bitglass
- CipherCloud
- Cisco CloudlockForcepoint CASB
- IBM Managed Cloud Services
- ManagedMethods
- Masergy
- McAfee/Skyhigh Security Cloud
- Microsoft Cloud App Security
- Netskope
- Oracle CASB Cloud Service
- Palo Alto Networks Aperture
- Proofpoint CASB
- Symantec/Skycure