IE-LAB网络实验室:您的云访问安全代理是否支持IPv6？

无论知情与否，企业都会为其许多互联网连接使用IPv6，这意味着CASB也应该支持该协议，以便对所有客户流量实施策略。以下是主要CASB堆叠的方式。
云访问安全代理（CASB）通过提供可见性和访问控制在企业及其云服务之间插入安全性，但IPv6可能会导致危险的盲点。

这是因为CASB可能不支持IPv6，即使在选择IPv4作为首选协议的企业中，也可能在企业中广泛使用。
例如，远程工作的最终用户通过IPv6连接的机会远远大于在办公室时的连接。移动提供商共同拥有高比例的IPv6连接用户，宽带住宅互联网用户通常在没有意识到的情况下拥有IPv6连接。互联网服务提供商和软件即服务（SaaS）供应商都广泛支持IPv6，因此通过Verizon 4G无线服务访问DropBox的移动工作人员可以通过IPv6进行连接。
此外，企业可能会与使用IPv4和IPv6互联网连接的SaaS提供商和基于Internet的应用程序服务签订合同。IPv6现在得到了主要云提供商的支持，使公司能够比以往更轻松地支持面向互联网的Web应用程序。
某些CASB可能看不到IPv6流量
无论有没有，企业可能会将IPv6用于许多用于常见业务功能的互联网连接。如果企业选择CASB（发音为caz-bee）仅检查和控制IPv4流量，那么这些直接IPv6连接可能会绕过CASB应该强制执行的公司策略。如果您的组织选择的CASB仅查看IPv4连接，则可能存在潜伏在盲点中的危险。
企业并不是唯一可能忽视这种危险的企业。Gartner概述了CASB应具备的适用于企业部署的四大功能支柱：
1.CASB必须提供最终用户行为和使用的云服务的可见性。
2.CASB应该认识到数据分类，数据标记和机密性。
3.CASB应该帮助组织防范Internet /云威胁和恶意行为。
4.CASB应根据公司策略提供云服务使用的治理。
这些都是很好的目标，但它们应该扩展为明确包含IPv6：
1.CASB必须提供使用IPv4，IPv6或两者的组合可能发生的连接的可见性。
2.无论客户端IP地址系列如何，CASB都应该认识到数据分类，标记和机密性。
3.CASB应该防止可以通过IPv4或IPv6传输的基于Internet的威胁，并警告通过任一协议发生的恶意行为。
4.CASB应根据最终用户或云服务的物理位置决定的公司策略提供控制和治理，并且还应了解基于IPv4或IPv6地址的地理位置信息。
企业可能无法立即在产品或服务中启用IPv6功能。但是，通过购买已经支持IPv6的产品和服务，他们可以选择按照自己的计划启用IPv6。
包括美国联邦政府在内的一些组织的采购指南优先考虑支持IPv6的产品和服务。一些组织选择仅从已经执行IPv6启用其网站的简单行为的供应商处采购IT产品。
CASB如何支持IPv6？
为了帮助缓解这些问题，一些CASB供应商现在支持IPv4和IPv6，并且拥有双协议网站。以下列表描述了哪些CASB能够检查和控制IPv6流量和连接，并注意那些未能认识到IPv6重要性的公司。
BitGlass团队“确认IPv6不是其产品的重点，并且极有可能将IPv6端点连接到公共互联网上的IPv6云应用程序。”在其支持IPv6的网站上没有提及IPv6。
CensorNet是一种支持IPv6的CASB，有两种工作模式。当CensorNet以API模式（带外）运行时，它会从云提供商处接收IPv4或IPv6信息。当它以Inline模式运行时，它使用正向代理，该代理与最终用户和云服务之间的IPv6连接兼容，假设所涉及的路由器配置为IPv6路由。CensorNet CASB DLP扫描程序还可以在上传到云存储应用程序的内容中搜索IPv6样式地址。但是，在其仅限IPv4的网站上没有提及其IPv6功能。
Check Point的CloudGuard SaaS CASB未在其启用IPv6的网站上提供有关安全服务中IPv6功能的信息。在Check Point的R80.20 CloudGuard控制器已知限制中，它声明“不会为公共云中的数据中心对象导入IPv6信息。公共云中的CloudGuard网关不支持IPv6。“我们联系Check Point但无法确认IPv6支持。如果公司澄清其IPv6支持，将更新本文。
CipherCloud在其纯IPv4网站上没有IPv6参考。我们联系了他们，但没有得到回应。如果他们确认IPv6支持，我们将更新本文。
思科的Cloudlock CASB支持IPv6。Cloudlock可以与运行AsyncOS 11.7的思科网络安全设备（WSA）集成，后者支持IPv6，并且可以与Cloudlock门户共享W3C日志。Cloudlock与Umbrella的任何集成都可以利用它支持IPv6的事实，现在使用IPv6地址 2620：119：35 :: 35和2620：119：53 :: 53进行服务。虽然在其支持IPv6的网站上没有明确提及IPv6 Cloudlock功能。
Forcepoint CASB不支持IPv6。Forcepoint确认，当其产品在代理模式下工作时，它不支持IPv6。Forcepoint Web Security Cloud似乎具有一些IPv6功能，但是在其站点“ 允许的流量到IPv6目的地（默认设置） ”中的此语句未被过滤或记录，“听起来没有应用于IPv6连接的安全性。但是，他们表示正在测量客户输入和请求对IPv6功能的兴趣。在仅限IPv4的网站上没有提及IPv6功能。
McAfee MVISION云安全 CASB确实支持IPv6。该公司表示，“McAfee MVISION Cloud适用于IPv6用户访问支持IPv6的云服务的场景”。迈克菲表示“… MVISION Cloud提供对组织中使用的所有云服务的可见性…在用户或CSP上使用IPv6或IPv4。”在其仅限IPv4的网站上没有提及IPv6功能。
Microsoft Cloud App Security CASB支持IPv6以及有关使用IP范围和标记的文档“支持IPv4和IPv6。”Microsoft的Microsoft Cloud App Security的过去版本存档记录了一些IPv6功能。发行说明提到“IPv6支持现在可用于所有设备。”从版本90开始。它还指出，在版本88中，“Cloud Discovery现在支持IPv6。”
NetSkope确实支持其Netskope for Web（云原生安全Web网关），Netskope for Cloud Infrastructure（适用于IaaS）及其Netskope for Cloud Applications（SaaS）解决方案中的双栈连接。其流量转向技术可与IPv6连接一起使用。通过IPv6转换网关提供双栈支持，IPv6网关在CSP端作为IPv4终止IPv6连接。Netskope的IPv4专用网站没有提到IPv6。
ManagedMethods指出，在将API与云服务提供商一起使用时，API可以在其报告中传达客户端或云服务的IP地址（IPv4或IPv6）。ManagedMethods在其仅限IPv4的网站或其产品数据表中未提及IPv6功能。
在甲骨文CASB似乎并不支持IPv6，但我们无法证实这一点。我们向Oracle咨询了有关IPv6功能的信息，但未收到任何响应。他们的网站上没有提到IPv6功能。如果他们回复，我们将更新这篇文章。
Palo Alto Networks Aperture for SaaS应用程序是其CASB服务，支持IPv6和IPv6客户端会话记录。在Aperture文档“Aperture 入门，访问Aperture服务 ”中，它曾说“不支持IPv6地址”，但最近该文档已被编辑，该语句已被删除。Palo Alto Networks CASB作为PANOS防火墙的内联实施，具有丰富的IPv6支持历史和强大的IPv6安全功能。Palo Alto拥有一个支持IPv6的网站，但是对IPv6的搜索没有提到Aperture。“ Aperture管理员指南 ”没有任何有关IPv6的信息。在Palo Alto Networks TechDocs中 对于“所有Aperture文档”，对IPv6的搜索显示没有结果。
Proofpoint Cloud App安全代理（Proofpoint CASB）似乎没有公开记录的任何IPv6功能。在其启用IPv6的网站上搜索“IPv6”，会产生“ 0找到的结果 ”。我们联系了公司，但未收到任何回复。如果他们确认IPv6支持，我们将更新本文。
SAVIYNT表示他们的CASB不支持IPv6，并且在他们的IPv4专用网站上没有提到IPv6功能。
Symantec CloudSOC云访问安全代理是其支持IPv6的CASB。赛门铁克证实，CloudSOC支持IPv6地址，用于Shadow IT发现，基于API，认可的云应用程序监控和内联CASB网关。CloudSOC使用通过IPv6访问CSP服务的流量，CloudSOC自动适应IPv6，因此使用它不需要任何额外的用户操作。在其支持IPv6的网站上似乎没有提及与CloudSOC CASB相关的IPv6。
企业应该承认他们的远程工作人员正在他们的移动设备，员工家中以及他们在路上使用IPv6。拥有支持IPv4和IPv6的基于云的安全解决方案将为他们提供最大的可见性和控制。
CASB客户应该将IPv6支持作为必需的功能，并警惕CASB的开发策略，这些策略要求使用仅限IPv4的地址，因为这将限制其产品的使用寿命
文章节选自NETWORKWORD：
https://www.networkworld.com/article/3391380/does-your-cloud-access-security-broker-support-ipv6-it-should.html
ielab老师：赵韶磊