移动互联网、云计算、大数据、物联网蓬勃发展,与各垂直行业不断跨界融合,数字化商业应运而生。随着数字世界和物理世界之间的界限逐渐模糊,数字技术对现实世界产生了前所未有的影响。为了节约成本、提高效率,企业倾向于在业务中使用基于云的应用服务,越来越多的企业感受到了云服务的高效性、方便性与低成本,但与此同时,云服务的安全性也愈发被各个企业所重视。
甚者可以说,所有企业的CIO在决策是否使用云服务时的首要考虑的因素必然包括云服务的安全问题。在各种云安全威胁中,数据泄露,弱身份信息或访问管理所造成的威胁往往是最大的,其主要原因是我们在使用云服务的时候,云服务安全性对于租户来说是不透明的、而且租户缺少对于云服务的掌控力,与此同时传统安全解决方案又难以部署在云服务之前。因此能否解决这些安全难题,成为企业向云迁移的先决条件之一。
随着云应用的普及,云安全不再是空泛的概念和技术设想,已有众多厂商针对云的安全脆弱点开发出相应的产品并投入市场。在众多的云安全产品与解决方案中,CASB越来越受到人们的关注。在近期的各个安全大会上,信息安全专业人士们都充分肯定了云访问安全代理(CASB)的价值,他们认为CASB模式是全面云安全的关键。CASB被Gartner的研究人员评价为2016-2017全球网络安全新趋势中最重要的新技术之一。
什么是CASB?Cloud access security brokers (CASBs) are on-premises, or cloud-based security policy enforcementpoints, placed between cloud service consumers and cloudservice providers to combine and interject enterprise security policies as thecloud-based resources are accessed.
CASB是一种本地或基于云的安全策略执行点,位于云服务消费者和云服务提供商之间,在云中资源被访问时,组合并执行企业的安全策略。作为部署在云服务使用者和提供商之间的“经纪人”,CASB能够嵌入企业安全策略,通过整合云服务发现与评级、单点登录、设备及行为识别、加密、凭证化等多种安全技术,在云上资源被连接访问的过程中并加以监控和防护。换言之,CASB就像企业安防系统在各个云端远程部署的安全摄像头,或者可以形象地叫它“二郎神的天眼”,这些天眼随时对企业人员使用各个云服务的情况进行监控。目前,很多软件即服务(SaaS)应用的可见性和安全性还存在不足,SaaS在企业运用中日益普及,也加剧了安全团队的困扰。CASB则是重点针对SaaS模式下的云服务商提升其安全性与合规性,同时也在不断丰富针对IaaS和PaaS的应用场景, 填补了单个云服务的很多空白,允许首席信息安全官(CISO)同时跨越来越多的云服务做到这一点,包括基础设施即服务(IaaS)和平台即服务(PaaS)提供商。因此,CASB解决了CSIO要跨整个企业云服务制定政策、监控行为和管理风险这一关键要求。
根据Gartner的研究报告, CASB主要具有以下四大功能点:
-
透明度(Visibility): 业界大多数公有云服务虽然内部都提供了各种安全监控能力,但他们往往对企业是不透明的,也没有与企业既有的IT监控系统进行整合。大多数IT运维人员并不清楚企业内的哪些人在何时何地使用了什么云服务,使用了多少的云服务,因此就产生了Shadow IT问题。CASB厂商通常会维护一个云服务的库(主要是基于URLs)并相应的对于这些云服务进行信任评级(基于云服务商的安全能力、合规性等),通过对企业内部与不同云服务的通讯进行监控,从而对于整个企业内云服务的使用情况、使用量、安全缺口等信息有了更加清晰的认知,进而避免了Shadow IT的存在。
-
合规性(Compliance): CASB对于云服务的信任评级以及从客户端到云端通信的内容监控,审计日志等均可以使企业通过部署CASB而更好的提高安全上的合规性。
-
数据安全(Data Security): CASB主要通过DLP(数据防泄漏)、加密、凭证化等技术实现数据安全。加密和凭证化比较好理解,均是我们在传统安全解决方案中会用到的技术。对于DLP而言,相对于传统部署在边界上的方案来说,CASB的区别在于其结合了用户、设备、内容和应用这几个维度,来理解数据是如何在云环境中被共享或被使用的,从而做出相应的策略配置。同时,这些关键的安全策略自身也应该被监控、防止被篡改。
-
威胁防护(Threat Protection): 企业向云迁移之后能够减少一定的安全威胁或者说将安全威胁的部分责任一并外包给了云服务商。然而,云服务商更多的焦点在于基础设施的威胁防护,而关乎企业用户自身的特定威胁、诸如账户劫持此类问题是无法由云服务商来解决的。更进一步讲,类似威胁情报的收集,针对不同的垂直市场乃至不同的企业也都会有不同的侧重和方法,云服务商无法也没有能力帮助用户统一解决这些问题。CASB能够帮助企业去检查进出云的内容,分析云上用户的行为,监视不同的访问行为等,从而帮助企业去发现威胁、防御威胁并具有恢复生产的能力。
需要提醒各位CIO注意的是:CASB的名字中用的英文单词是Broker(代理人、经纪人)而非Proxy(代理),正是这个“一字之差”反映了CASB可以使用不同的技术取向的本质,而绝非仅仅是串联的Proxy代理模式而已。事实上,目前市场上的主流CASB解决方案确实存在两种技术流派:基于Proxy代理技术的CASB与基于API技术的CASB。让我们来看看他们各自的特点与区别:
-
基于Proxy代理技术的CASB:如下图所示,基于Proxy代理技术的CASB往往以正向代理或反向代理的形式、作为访问云应用的网关进行部署,它们会检查和过滤所有流经网关的数据流、再将经过安全检查(已知用户、已知设备、已知经过授权)的数据流发送到各个目标云服务端。此类CASB的优点是实时性强、控制力强,而其缺点也很明显,那就是必须要确保所有对各个云服务的访问都要经过该网关(而不能绕过它)且必须确保该CASB具备足够高的性能。
-
基于API技术的CASB:如下图所示,基于API技术的CASB无需具有“与用户访问各个云服务的数据流”相同的网络访问路径,而是作为外置组件单独存在和部署在网络中的。换言之,用户端与云服务端之间是直接沟通的、无需经过CASB,而CASB则通过调用各个云服务商提供的API实现与云端服务的整合,进而实现对用户行为的安全监控。目前,主流云服务商几乎都提供了与用户认证、授权、日志、行为审计相关的API,与此同时,它们往往还会提供用于反向实时通知CASB的机制(例如:webhooks回调机制)从而确保CASB可以实时地了解相关安全事件并进行实时处理。基于API技术的CASB的最大优点是其端到端的完整性,无需对客户端访问进行网络路由上的安全强制、不会有漏网之鱼。此外,基于Proxy代理技术的CASB只能支持SaaS,而基于API技术的CASB除了可以支持SaaS、也同样可以支持IaaS和PaaS。IaaS和PaaS所运行的其他协议(例如:SSH)同样可以通过service to service的方式实现与基于API技术的CASB进行整合。
让我们用表格的形式对两种技术流派的CASB进行详细对比:
特性 | 基于Proxy技术的CASB | 基于API技术的CASB |
对Shadow IT的发现能力 | 能发现是否有人在使用(被企业)准许及不被准许的应用 | 能发现是否有人在使用(被企业)准许及不被准许的应用 |
对准许使用的应用进行保护,防止未经授权的访问 | 通过与“身份即服务”(IDaaS)进行整合,实现此类保护。 | 通过与“身份即服务”(IDaaS)进行整合,实现此类保护。 |
防止使用不被(企业)准许的应用 | 通过Proxy内置功能实现 | 通过与下一代防火墙(NGFW)进行整合实现 |
透明度、可视性 (Visibility) | 仅限对受管用户及设备具有可视性 | 对所有受管的及非受管的用户及设备都具有应用访问的可视性 |
监控 (Monitoring) | 仅限对用户行为及内容进行监控 | 可以对用户行为、内容、安全配置及交易进行全面监控 |
防范安全威胁 (Threat Protection) | 仅限对从受管的用户发起的安全威胁进行检测及安全防范 | 可以发现及保护从受管及非受管的用户、以及有风险的应用或数据集合所引起的安全威胁 |
合规 (Compliance) | 仅支持对受管用户发起的数据流进行合规检查 | 支持HIPAA, PCI DSS及其他数据治理安全认证 |
SaaS、PaaS及IaaS的安全 | 仅支持SaaS安全整合 | 支持SaaS、PaaS及IaaS的安全整合 |
以数据为中心的安全审计与保护DCAP (Data-Centric Audit and Protection) | 仅限对穿过Proxy代理服务的数据实现DCAP | 支持广泛的DCAP能力 |
防数据泄漏DLP (Data-Leak Protection) | 仅限对经过Proxy传输的数据进行DLP监控,对既有的云存储中的数据无法检测及归类 | 可以对既有的云存储中的数据进行检测及归类 |
业务连续性 | 作为单点故障点,可能因宕机造成业务中断 | 无单点故障点 |
可伸缩性 | 需要持续地进行投资,从而构建强壮的Proxy网络以避免网络延迟、确保用户体验 | 具备无限的可伸缩性,且不会造成用户体验上的负面影响 |
很明显,两种CASB技术流派中,基于API技术的CASB在功能上和体系架构上占据明显优势。事实上,越来越多的CASB厂商正在将其产品调整为基于API技术的CASB架构。在占据主流的基于API技术的CASB产品平台中,Oracle Cloud Security Service(OCSS)是一个备受瞩目的佼佼者,它的原名叫Palerra,是Oracle在2016年初收购的公司。OCSS具有众多的全球客户与成功部署案例,尤其是被Oracle收购之后,它与Oracle身份云服务(Oracle Identity Cloud Service)、Oracle API云服务等进行了深度整合,大大完善了其整体安全监控与服务能力,成为Oracle的云安全战略的中流砥柱。
OCSS的主要功能包括:
-
对安全策略及安全威胁的透明度(可视性:Visibility)
-
对可疑行为进行自动告警;
-
可以定制策略,对特定的云端的行为、变更(SaaS-PaaS-IaaS)等事件触发报警;
-
-
安全配置管理(监控及补救)
-
进行云端安全加固,对安全配置信息的变更进行发现及补救;
-
使云端应用符合企业信息安全规范;
-
-
用户行为分析(异常vs.正常)
-
OCSS会对每个访问云端应用的用户及服务收集行为习惯并生成基线档案;
-
启发性算法的自学习引擎会学习区分正常与异常的行为;
-
提供所有用户访问云端应用的行为视图;
-
-
事件响应与处理
-
提供事件管理功能,及时、完整地跟踪和处理安全威胁与告警。
-