云计算和云服务的广泛应用使得企业和组织能够以更高效、灵活的方式存储和访问数据。然而,云环境中的数据安全问题也日益凸显,这就需要采取相应的安全措施来保护云上的数据。云访问安全代理(Cloud Access Security Broker,CASB)应运而生,它通过提供终端用户、设备和云服务之间的安全中介,帮助组织控制和监控云环境中的数据流和访问。
网络安全中的云访问安全代理(CASB)
在过去几年中,云技术在业务运营中的重要性呈上升趋势,虽然云部署为企业提供了许多好处,但它也带来了新的风险,例如可见性降低、确保安全性的复杂性增加以及用户使用未经批准的云应用程序。这些风险对组织的安全性和信誉构成威胁,并可能导致严重损害。立即降低风险是必要的,这就是云访问安全代理(CASB)的用武之地。
CASB 是一种本地或云托管的软件或设备,充当网守并监视用户与云服务提供商(CSP)之间的交互。
CASB 提供对活动的可见性,并试图使企业能够在访问基础设施即服务、平台即服务和软件即服务环境(通常分别称为 Iaas、PaaS 和 Saas)方面履行其安全责任。
除了提供可见性外,CASB 还允许企业通过实施策略并将其本地安全策略扩展到云来控制访问。
为什么 CASB 很重要
- 规范用户访问:由于云服务托管在组织边界之外,因此很难对用户活动进行控制,CASB 使组织能够实施安全策略并规范用户对存储在云上的数据的访问。
- 保护敏感数据:可用于监控传输中的敏感数据,并通过加密保护数据内容。
- 阻止数据滥用:有助于识别和限制未经授权的访问尝试,以及从云中传输数据。
- 监控影子 IT:密切关注用户访问的未经批准的云应用程序或“影子 IT”应用程序。
- 确保合规性:使用 CASB,组织可以满足各种 IT 合规性要求的数据安全和访问要求。
- 跟踪使用情况:CASB 出于预算目的审核云服务的使用情况。
云访问安全代理(CASB)的功能
云访问安全代理(CASB)的功能可以用它的四个基石来描述。CASB的4个基石:
- 可见性
- 威胁检测
- 数据安全
- 合规
可见性
大多数 CSP 在审核和日志记录方面提供的很少,CASB 通过提供有关在组织和云提供商之间移动的数据流量的详细信息来克服这些限制。这有助于组织更好地了解用户正在使用哪些已批准和未批准的云服务,并指导他们选择更安全的替代方案。用户、位置、设备、应用程序和数据量是可以提取的一些指标,用于监控用户对云服务的使用情况。
威胁检测
组织需要规范从云服务访问关键数据,并检测凭据被盗的恶意行为者或试图访问敏感信息的疏忽用户对数据的泄露。CASB 可以使用用户实体和行为分析 (UEBA) 观察和记录用户表现出的使用模式并形成基线。任何偏离基线的行为都会被标记为异常,从而帮助组织尽早发现和缓解威胁。CASB 的开箱即用功能(例如动态恶意软件分析和威胁分析)可检测恶意软件的存在。
数据安全
虽然云计算使与人们共享数据变得比以往任何时候都更容易,但它也使传统的数据泄漏防护(DLP)工具处于危险之中,因为云服务不属于他们的职权范围。CASB 可以检查在云中、云服务之间以及云中移动的敏感数据,这些观察结果可帮助组织识别和阻止泄露敏感信息的企图。CASB 还可以提供上下文访问控制,该控制可以根据角色、设备和地理位置等因素来控制应用程序对用户的访问。
合规
在切换到基于云的服务时,应考虑的一个重要方面是合规性。PCI-DSS、HIPAA、GDPR 等法规确保组织拥有适当的安全系统来存储和处理敏感数据。CASB 为您提供了一系列选项来识别和控制个人数据流、监控高风险活动以及检测影子 IT 应用程序,以确保遵守隐私法规和合规性要求。
基于代理的云访问安全代理(CASB)部署
云访问安全代理(CASB)解决方案可以帮助组织获得对其员工访问的云应用程序的可见性和控制。
无论是部署在云中还是在本地,CASB 都能提供对云应用程序使用情况的可见性、控制对云应用程序和数据的访问、帮助满足合规性法规、防止数据丢失、使用 UEBA 技术检测和修复威胁等。借助 CASB 解决方案,员工可以在不危及组织安全的情况下使用云服务。身份验证、授权、加密、单点登录、令牌化和设备分析是可以使用 CASB 实现的安全策略的一些示例。
什么是基于代理的 CASB 部署
基于代理的部署通常称为内联部署,因为它位于用户和 SaaS 应用程序流量之间。此部署模式检查进出云的内容,并强制实施实时安全策略来控制访问。它可以阻止用户流量流向云应用程序、停止将文件上传到 SaaS 应用程序、阻止将文件下载到非托管设备等。由于提供了各种功能和覆盖范围,因此此部署模式通常用于各种 CASB 工具中。
让我们看一下基于代理的 CASB 如何监视和控制云流量。当用户尝试访问云应用程序时,他们会发起访问请求。在云服务提供商处理请求之前,流量首先定向到代理。这个代理,即 CASB 工具,知道用户的要求和详细信息。此时,CASB 工具可以执行控制并添加与安全相关的功能,例如阻止用户的访问或阻止他们执行某些操作。
基于代理的 CASB 工具使用两种不同的代理部署模式:正向代理和反向代理。
正向代理部署
在此模式下,代理离用户更近,用户的设备或网络将流量路由到代理,正向代理使用 SSL 中间人技术将用户的流量路由到 CASB 代理,此流量路由通过以下方式启动:
- PAC 文件:代理自动配置(PAC)文件确定 Web 请求是直接转到目标还是转发到正向代理。实施正向代理 CASB 部署时,设备中部署的用户浏览器或代理配置了代理 PAC 文件,用于将云流量路由到 CASB 正向代理。使用 PAC 文件进行正向代理重新路由的一个缺点是,用户可以轻松绕过这些文件。
- DNS URL 重定向:在此方法中,用户的 DNS 为选定的云服务配置了特殊的流量转发区域,以便将发往这些云服务的所有流量请求重新路由到 CASB 正向代理。但是,此方法通常不是首选方法,因为用户通常不愿修改其环境中的 DNS 条目。此外,在大多数企业中,DNS 由外包的第三方供应商管理。
- 代理:在此方法中,代理部署在用户的终结点中,并使用安全的 VPN 隧道将流量重新路由到 CASB 正向代理。管理代理是此部署方法的缺点。
通过配置 PAC 文件或部署代理实现的正向代理 CASB 无法监视非托管设备。另一方面,通过配置客户的 DNS 实现的正向代理 CASB 可以监视托管和非托管设备。
正向代理 CASB 部署可以:
- 分析用户端点和云应用程序之间的内容,以发现恶意活动和数据泄露。
- 根据用户的源设备、网络、请求时间等实施基于上下文的访问控制。
- 提供对影子 IT 的可见性,并列出用户或用户组对未经批准的应用程序的使用情况。
- 对字段级数据进行加密和标记化。
反向代理部署
通常称为最后一英里技术,在这种模式下,代理更接近云服务提供商,云服务或资源将流量路由到 CASB 代理。
它比转发代理技术更无缝,可以与组织使用的身份即服务(IDaaS)集成,对用户进行身份验证,并将流量从 SaaS 应用程序重新路由到用户。
此外,与转发代理不同,您不必担心与 SSL 中间人技术相关的安全问题,也无需部署任何代理来重新路由流量。
但是,反向代理技术不提供对影子 IT 的可见性。
反向代理 CASB 部署可以:
- 控制来自托管和非托管设备的访问,但与其他部署模式相比,它更适合非托管设备。
- 对传输到云的数据进行加密。
- 监控用户活动并发现内部威胁和被盗用帐户。
- 实时实施 DLP,包括检查传输中的数据,并在出现威胁时采取适当的预防或补救措施。
- 防止用户绕过它。
选择最适合您组织要求的 CASB 解决方案势在必行,每种方法都有其优点和缺点。更可取的选项是混合方法:混合 API 和代理部署模式,混合解决方案可以提供更大的灵活性、访问控制、可见性和用例覆盖范围。
Log360 的 SIEM 解决方案,集成了 CASB 能力,以解决云中的安全问题。控制对云中敏感数据的访问,跟踪已批准和未批准的应用程序的使用情况,以及检测基础架构中影子 IT 应用程序的使用情况,将有助于防止针对云的内部和外部攻击。由于组织的云边界超出了传统的网络边界,因此实施严格的策略来保护敏感数据,并获得对网络中用户和应用程序的可操作见解,将增强组织的安全库。
扫一扫
517
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
