CASB
本文约需 2 分钟阅读
CASB (Cloud Access Security Broker,云访问安全代理) 是一种位于组织用户与云服务之间,集中实现访问可视化、合规执行、数据保护和威胁检测的安全解决方案。该概念由 Gartner 于 2012 年提出,随着云迁移加速,影子 IT 的风险日益凸显,CASB 因此迅速普及。作为弥补传统防火墙和代理无法完全应对的 SaaS 使用安全缺口的存在,它在企业云安全战略中发挥着核心作用。
Gartner 的提出与市场发展
Gartner 在 2012 年的报告中指出,企业的云使用正在超出 IT 部门的管理范围而扩张,并提出有必要在云与用户之间设置「中介者 (Broker)」。最初由 Netskope 、 Skyhigh Networks (现 McAfee Enterprise) 、 Bitglass 等初创公司引领市场,但自 2020 年前后起,Microsoft 、 Palo Alto Networks 、 Zscaler 等大型厂商通过收购或自主开发进入市场,市场正迅速整合。
CASB 的四大支柱
全面检测员工正在使用的云服务。通过仪表板掌握包括影子 IT 在内的全部 SaaS 使用情况。
监控对监管要求的合规情况。自动检查数据的存储位置、加密状态和访问日志。
通过 DLP (Data Loss Prevention,数据丢失防护) 功能防止机密数据外泄。利用加密和令牌化保护云上的数据。
检测异常的登录模式、大量下载、可疑的共享设置等,并实时进行拦截或发出告警。
部署模式的比较
| 模式 | 工作原理 | 优点 | 缺点 |
|---|---|---|---|
| 正向代理 | 将用户流量通过 CASB 路由 | 实时控制,也可拦截未经批准的服务 | 需要部署代理程序,延迟增加 |
| 反向代理 | 将 CASB 置于云服务的前端 | 无需代理程序,也支持 BYOD | 支持的服务有限 |
| API 模式 | 通过云服务的 API 分析数据 | 部署容易,也可检查已存储的数据 | 无法实时拦截,仅能事后检测 |
向 SASE 整合的趋势
近年来,CASB 已从独立产品演进为 SASE (Secure Access Service Edge,安全访问服务边缘) 的组成部分。SASE 是一个整合了零信任网络访问 (ZTNA) 、 SD-WAN 、防火墙和 CASB 的云原生安全平台。Gartner 预测到 2025 年将有 80% 的大型企业采用 SASE 战略,CASB 的功能作为 SASE 的一部分来提供正逐渐成为主流。通过与IAM 的整合,可实现基于用户 ID 的精细化访问控制。
现场使用案例
“在引入 CASB 并执行首次扫描后,我们发现公司内部正在使用 350 多个未经批准的云服务。其中 15 个存储了包含个人信息的数据,我们立即实施了数据迁移。通过 API 模式,我们还对现有的 Microsoft 365 和 Google Workspace 的数据进行了追溯性检查,检测并整改了 200 多个被对外共享的机密文件。”
关于云存储的安全对策,请参阅云存储安全的文章;关于远程办公环境的保护,请参阅远程办公安全的文章,其中有详细的讲解。云安全相关书籍 (Amazon)也对实务有帮助。
这篇文章对您有帮助吗?