「雲安全」 什麼是雲訪問安全代理（CASB ）？

雲訪問安全代理（Cloud Access Security Broker，CASB，發音爲KAZ-bee）是位於雲服務消費者和雲服務提供商（CSP）之間的內部或基於雲的策略實施點，用於監視與雲相關的活動，並應用與基於雲的資源的使用相關的安全性、合規性和治理規則。CASB允許組織將其應用於本地基礎設施的相同類型的控制擴展到雲中，並可以組合不同類型的策略實施，例如：

用戶憑據身份驗證，因此僅向批准的雲服務提供訪問權限

通過加密、令牌化或其他方式保護數據，因此敏感信息不會暴露在雲服務或CSP中

雲服務活動監視，以便記錄、標記和分析用戶和實體的行爲，以瞭解異常使用模式或受損的憑據

數據丟失預防（DLP），因此敏感信息不能離開組織的網絡，以及

惡意軟件檢測和修復，使敏感信息無法進入組織的網絡。

因此，CASB的目的是提高組織安全、安全地利用雲服務的能力。CASB可以被認爲是一個“安全節點”，通過它可以控制對組織雲服務的訪問。作爲組織安全基礎設施的一個組件，它補充而不是取代企業和web應用程序防火牆、IDaaS（身份即服務）和安全web網關（SWG）等技術。

隨着雲服務和BYOD（“自帶設備”）政策的廣泛採用，CASBs的重要性與日俱增，這些政策允許個人筆記本電腦、智能手機、平板電腦和其他非託管設備接入網絡。使用CASBs控制組織的部分或全部雲服務正在擴大，預計大型企業的採用率將翻三倍，從2018年的20%增加到2022年的60%（Gartner，2018年）。在類似的時期內，預計到2023年，雲安全市場整體規模將升至1120億美元左右（Forrester，2017年）。

爲什麼我需要一個CASB？

CASBs最初專注於發現Shadow IT（IT部門許可範圍之外的個人或業務單位使用的未知服務），但隨着組織意識到，解決此問題的方法更多地指向受控支持，而不是刪除這些服務，CASBs開始提供跨越四大支柱的功能集：數據安全、法規遵從性、威脅保護和核心可見性能力。

能見度

許多組織已經開始加速雲計算在各個業務部門的正式採用。這可能導致越來越多的員工在IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）以及現在的FaaS（功能即服務）資源上管理自己的安全憑證。在這種環境下，CASBs可以幫助彌合由於集中身份和訪問管理（IAM）的侵蝕而造成的安全漏洞，並改善對這些服務的使用的控制，提供適當的障礙，但不會妨礙員工在房地和外地的自然業務行爲。

這種雲訪問控制的整合有助於在已知哪些雲服務正在使用的情況下使用，但對影子IT沒有幫助。這樣的服務可能被用來解決組織的官方IT堆棧中感知到的或實際的缺陷，或者它們可能只是用戶偏好的簡單反映。它們的使用對生產力、效率、員工滿意度，甚至作爲創新的源泉，可能對生產力、效率、員工滿意度至關重要，但它不太可能符合組織的安全策略或其他it支持、可靠性、可用性等要求。，也可能是導致災難性數據泄露的惡意軟件來源。

CASB有助於將組織的影子IT暴露出來，不僅能夠支持必要的工作實踐，同時確保它們不會影響任務，而且還可以顯示真實的雲支出，從而改進成本控制。

數據安全

許多組織已經開始將IT資源從自己的數據中心遷移到多個雲中，包括Amazon Web Services（AWS）、microsoft azure、Google雲平臺（GCP）提供的雲，以及SaaS供應商市場上廣泛的在線應用程序。員工已經在通過這些服務共享敏感數據了，這些服務包括Office 365、Salesforce、Amazon S3、Workday等，其中許多服務主張某種形式的共享責任模型，將數據安全責任推給客戶。

然而，對雲本身安全性的擔憂在很大程度上是錯誤的。大多數CSP的基礎設施，尤其是那些提供主流服務的CSP，無疑是高度安全的。相反，應關注CSP提供的安全控制措施的正確配置，以及確定不可用的所需控制措施。最近的一份報告發現CSP，僅僅由於這些配置錯誤或缺失，超過15億個文件暴露在雲和雲相關服務中，如S3、rsync、SMB、FTP、NAS驅動器和web服務器（Digital Shadows，2018）。預計到2023年，至少99%的雲安全故障將由雲服務消費者而非（CSP）犯下的錯誤造成（Gartner，2018）。雖然一些CASB現在提供雲安全態勢管理（CSPM）功能，通過加密等附加控制來評估和降低IaaS、PaaS和SaaS產品中的配置風險，但CASB可以爲組織提供進一步的保險，即使存在錯誤配置，敏感數據也不會受到損害。當特定的雲服務沒有提供足夠的數據保護時，或者當需要針對CSP本身提供這種保護時，這種保險就顯得尤爲必要。

大多數CASB都是從兩種與數據安全相關的初始姿態中發展而來的：側重於數據丟失預防（DLP）和威脅檢測，或者提供加密或令牌化來解決隱私和數據駐留問題。雖然這些起始位置隨後擴展到覆蓋所有這些特性，但已經從提供健壯的以數據爲中心的安全性和密鑰管理轉向了。如今，對於大多數CASB來說，數據安全主要指DLP，它使用各種機制來檢測受許可雲服務內的敏感數據，或在將其上載到雲服務（已批准或隱藏）時，然後阻止、刪除、法律封存或隔離標記爲潛在違反策略的內容。這通常支持本地和遠程雲服務用戶，無論是來自移動應用程序、web瀏覽器還是桌面同步客戶端。但DLP只能在雲服務內部和跨雲服務共享數據變得越來越容易的環境中走到這一步。任何使用雲存儲數據的組織都應該意識到，CASB可能無法檢測到數據是如何或與誰共享的，甚至是誰共享的。

強大的以數據爲中心的保護機制可以解決這種漏洞風險，但儘管許多CASB宣傳加密或標記發送到雲端的數據的能力，但這些功能現在往往僅限於少數主流服務，如Salesforce和ServiceNow。CASBs開始添加這些特性——爲了滿足分析師的評級，以及爲了實現或保持競爭對手的平等——發現密碼學是一個具有挑戰性的技術領域。實施和維護密碼系統需要相當多的主題專業知識，這種專業知識通常不屬於CASB核心能力的範圍。因此，一些CASB已經退出或不再積極地推銷這些特性，而有些則通過“數據安全性”的一般性主張來混淆它們的能力不足或適用性受限，而這些“數據安全性”只涉及DLP、自適應訪問控制（AAC）等。

此外，雖然美國頒佈了《澄清合法海外使用數據（雲）法》（Clarifying Legal Overseas Use of Data（CLOUD）Act），而且人們對歐盟《通用數據保護條例》（GDPR）的理解不斷加深，強烈表明加密和密鑰管理正成爲關鍵能力（Gartner，2019），但在採用這些技術時仍有些猶豫，第三方應用程序的加密和第三方服務的功能也會受到影響。然而，通過一些供應商（如Micro Focus Voltage）提供的應用加密技術的持續創新，已經將這些對功能的影響降到了最低，因此，現在有必要評估將字段和文件級數據保護委託給CSP或根本不應用它的成本和風險。

合規

在許多行業和地區，更嚴格的隱私法的出臺也可能會影響運營。地區性法規，如GDPR、加利福尼亞消費者隱私法（CCPA）、巴西通用數據保護法（LGPD）和印度個人數據保護法案，以及PCI DSS、SOX、HIPAA、HITECH、FINRA等行業法規，此外，FFIEC正在創建一系列法規遵從性要求，這些要求的複雜性將許多組織推向最保守的全球地位：確保企業及其客戶的敏感數據無論在何處，都能得到最大程度的保護。

具有跨多個應用程序的強大數據隱私控制的CASB有助於實現這一點；通過策略意識和數據分類功能，CASB可以幫助確保遵守數據駐留法律，並根據不斷更新的法規要求對安全配置進行基準測試。

威脅檢測和預防

CASB可以保護組織抵禦不斷膨脹的惡意軟件，包括通過雲存儲服務及其相關的同步客戶端和應用程序引入和傳播。CASB可使用先進的威脅情報來源，實時掃描和修復內部和外部資源的威脅；通過檢測和防止未經授權訪問雲服務和數據，識別受損用戶帳戶；並將靜態和動態分析與機器學習和UEBA（用戶實體行爲分析）功能相結合，識別異常活動、勒索軟件、數據過濾等。

CASB是怎麼工作的？

CASB可以作爲代理和/或API代理進行部署。由於某些CASB特性依賴於部署模型，“多模式”CASB（同時支持代理和API模式的CASB）爲如何控制雲服務提供了更廣泛的選擇。

在代理模式下部署的CASB通常側重於安全性，並且可能被配置爲數據訪問路徑中的反向或正向代理，在雲服務消費者和CSP之間。反向代理CASB不需要在端點上安裝代理，因此可以通過避免配置更改、證書安裝等來更好地爲非託管（例如BYOD）設備工作。但是，它們不像前向代理CASB那樣控制未經授權的雲使用，所有來自託管端點的流量都通過它進行定向，包括到未經批准的雲服務的流量：這意味着一些非託管設備可能會從網絡中溜走。因此，轉發代理CASB通常需要在端點上安裝代理或VPN客戶端。如果代理和VPN客戶端配置錯誤或被錯誤關閉，敏感流量可能無法繞過檢查轉發到CASB。

在API模式下部署的CASB專注於通過SaaS（以及越來越多的IaaS和PaaS）服務提供的API管理SaaS應用程序，包括靜態數據檢查、日誌遙測、策略控制和其他管理功能。它們可以很好地與非託管設備一起工作，但是，由於只有主流雲服務通常提供API支持，而且在不同程度上提供了這樣的支持，僅API的CASB不太可能涵蓋所有必需的安全特性。雖然SaaS供應商和其他csp可能會增強它們的API來彌補這一差距，但與此同時，只有API的casb不能提供足夠健壯的功能來滿足可伸縮性和可用性需求。此外，由於用戶和雲服務之間的數據交換量不斷增加，當csp限制對API請求的響應時，API模式的casb會出現無法管理的性能下降。因此，代理模式仍然是一個關鍵功能。

CASB可以在企業數據中心中運行，也可以在涉及數據中心和雲的混合部署中運行，或者只在雲中運行。專注於以數據爲中心的保護，或受隱私法規或數據主權考慮的組織，往往需要內部解決方案來保持對安全基礎設施的完全控制。此外，僅限雲計算的casb通過“自帶密鑰”（BYOK）模型強加的責任授權和第三方信任要求可能違反內部或外部政策，這個有問題的位置自然延伸到CSP自己提供的安全服務，CSP可能還需要白名單CASB的IP地址。

Voltage SecureData Sentry是CASB嗎？

Voltage SecureData Sentry是一家專門從事數據保護的安全代理，不僅適用於雲服務，還適用於本地應用程序。因此，它不是傳統的CASB，因爲它不尋求在四個支柱上提供其他功能。取而代之的是，Sentry與專門提供這些補充功能的casb共存，同時通過加密來增加強大的以數據爲中心的保護機制，這些機制可以應用於SaaS和其他雲服務以及內部網絡中的商業和自行開發的應用程序。

Voltage SecureData具有創新性和基於標準的特點，並且已經過國際公認的獨立密碼機構的安全強度獨立驗證。全球多個行業中最敏感和最安全的It部門都信任這些數據。

格式保護加密（FPE）與無狀態密鑰管理系統相結合，避免了安全管理員的額外負擔，可確保在字段級別以不破壞現有數據庫架構或SaaS字段類型或大小限制的方式應用保護。安全無狀態令牌化（SST）確保包含信用卡號碼或SSN的數字字段得到保護，而不需要令牌數據庫的管理或性能開銷，同時允許字段的選定部分保持清晰，例如前六位或後四位，以支持路由或客戶驗證。格式保留哈希（FPH）確保分析和其他用例的數據引用完整性，同時遵守GDPR的擦除權等法規。此外，通過其他創新，如支持部分和通配符搜索詞的安全本地索引，以及用於SMTP中繼的安全電子郵件地址格式，Sentry保留了受競爭解決方案影響的應用程序功能。

組織可以在本地和/或雲端部署哨兵。Sentry與支持ICAP（Internet內容適配協議）的網絡基礎設施（如HTTP代理和負載平衡器）進行通信，以將安全策略應用於往返於雲端的數據，它還攔截JDBC（Java數據庫連接）和ODBC（開放數據庫連接）API調用，以對進出數據庫的數據應用安全策略。無論部署在何處，企業都保留對基礎架構的完全控制，而無需與任何其他方共享加密密鑰或令牌保險庫，而且Sentry的檢查模式確保安全策略可以針對包含敏感信息的特定數據字段和文件附件。

本文：http://jiagoushi.pro/node/1079

討論：請加入知識星球【首席架構師圈】或者小號【jiagoushi_pro】

微信公衆號 微信公衆號【首席架構師智庫】微信小號 希望加入的羣：企業架構，雲計算，大數據，數據科學，物聯網，人工智能，安全，全棧開發，DevOps，數字化，產品轉型。視頻號 首席架構師智庫

知識星球 向大咖提問，近距離接觸，或者獲得私密資料分享。 知識星球【首席架構師圈】 微信圈子 志趣相投的同好交流。 微信圈子【首席架構師圈】 喜馬拉雅 路上或者車上了解最新黑科技資訊，架構心得。 收聽【智能時刻，架構君和你聊黑科技】 知識星球 認識更多朋友，職場和技術閒聊。 知識星球【職場和技術】

謝謝大家關注，轉發，點贊和在看。