压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

云訪問安全代理(CASB)技術(shù)是個快速成長的市場，該技術(shù)旨在幫助公司企業(yè)在云端應(yīng)用各種安全策略。CASB是云端安全這個老大難問題的解決方案，但選擇哪種CASB最適合自己？又如何規(guī)避一些常見的陷阱？

萬里長城曾是抵御侵略的堅實基礎(chǔ)，是以城墻為主體，同大量城、障、亭、標相結(jié)合的中國古代第一軍事工程，賦予了中華先民莫大的安全感。如今，長城的防御作用消退，城墻也演變成了歷史遺跡、旅游勝地。這種邊界防御控制力消退的感覺，技術(shù)主管們應(yīng)該不會陌生。

在云技術(shù)誕生前，公司企業(yè)以邊界圈住自身資產(chǎn)加以控制和保護。邊界之內(nèi)皆我所有，邊界之外非我族類。在邊界內(nèi)實施安全策略，確保沒有任何惱人的東西翻墻而過，安全人員的工作就算完美搞定。

云技術(shù)落地開花的當下，公司數(shù)據(jù)和系統(tǒng)分布各地，往往技術(shù)主管自己都不知道他們的數(shù)據(jù)存放在哪兒，也不知道是跟誰共享自身關(guān)鍵系統(tǒng)所依托的服務(wù)器。

如此離散的系統(tǒng)，要怎么應(yīng)用公司的安全原則呢？

答案之一，就是云訪問安全代理(CASB)。

CASB是幫助公司企業(yè)在云端實現(xiàn)安全策略的系統(tǒng)，位于云服務(wù)提供商和消費云服務(wù)的公司企業(yè)之間。CASB概念近幾年逐漸引人矚目，很多咨詢公司都預測，到2020年其市場將達75億美元規(guī)模。

市面上的CASB提供商很多，邁克菲（2018年1月并購 SkyHigh Networks）和賽門鐵克這種傳統(tǒng)安全供應(yīng)商、微軟和Oracle這樣的軟件巨獸，以及Netskope和Okta之類新興專業(yè)CASB提供商都在場中競爭。

何處著手？

技術(shù)主管實現(xiàn)CASB時要跨越的第一道障礙，就是理解從何處著手。

Gartner云安全研究總監(jiān) Steve Riley 建議公司企業(yè)從特定于客戶具體需求的用例詳單開始。

要考慮終端用戶將會怎樣與云服務(wù)交互，與何種設(shè)備交互：CASB能為托管設(shè)備和非托管設(shè)備提供不同的SaaS功能。

這有助于終端用戶從個人設(shè)備訪問公司敏感數(shù)據(jù)。CASB解決方案能將信息轉(zhuǎn)換為更安全的只讀格式，比完全禁止訪問更利于公司業(yè)務(wù)開展。

可以多設(shè)想一些員工與數(shù)據(jù)互動的場景和對公司而言非常重要的云服務(wù)的種類。然后你就能理出一套概念驗證，大幅減輕CASB實現(xiàn)的難度。

CASB的三種主要模式

CASB解決方案主要有三種：僅API、僅代理，或多模式（即有API也有代理）。

基于API的CASB為企業(yè)用戶定義出可以訪問的一些云應(yīng)用。舉例來講的話，CASB會接管其客戶 Office 365 (O365)用戶的管理權(quán)限。用戶登錄后，該應(yīng)用的流量會被轉(zhuǎn)移到CASB提供商處，由CASB提供商負責在發(fā)往O365前檢查所有數(shù)據(jù)。

Netskope歐洲、中東和非洲片區(qū)副總裁 André Stewart 說：“數(shù)據(jù)不在網(wǎng)上，而是發(fā)給應(yīng)用，我們在那兒查看所有文件，掃描任何惡意軟件跡象。”

僅代理CASB模式下，所有流量先流經(jīng)該安全提供商的云，在其上經(jīng)受企業(yè)策略合規(guī)檢測，然后再發(fā)往互聯(lián)網(wǎng)或本應(yīng)發(fā)往的云應(yīng)用。

這兩種模式的區(qū)別在于，基于代理的CASB能處理經(jīng)批準的和未經(jīng)批準的應(yīng)用，來自任意類型設(shè)備的所有流量都轉(zhuǎn)發(fā)到提供商的云。

第三種模式——多模式，則根據(jù)用例為終端用戶提供API和代理選項。

那么，有沒有明確的“最佳”選擇呢？

這就要看具體用例是什么了。最終選擇要根據(jù)企業(yè)的云應(yīng)用和連接來做出。因為能處理任意應(yīng)用而不僅僅是IT部門單列出的那些，基于代理的架構(gòu)更為全面一些。但是，特別注重安全的企業(yè)，或者監(jiān)管超嚴的行業(yè)，會想要限制云流量僅發(fā)往他們認為合適的應(yīng)用。于是，所選為何，還是要落實到具體用例上。

CASB是干什么的？

CASB主要做4件事：發(fā)現(xiàn)公司在用哪些云應(yīng)用；保護數(shù)據(jù)；抵御威脅；確保合規(guī)。Gartner將這四點視作CASB的四大支柱。

CASB市場競爭激烈，供應(yīng)商都想在這4個方面脫穎而出。有些供應(yīng)商這4個方面均衡發(fā)展，有些則重點發(fā)展其中幾個方面但仍保持全部4個方面的基本功能都有。最初，CASB要么專注可見性，要么重在加密。隨著產(chǎn)品日漸成熟，可見性繼續(xù)保持重要用例地位，但新增用例也達到了相同甚至有過之而無不及的重要程度。

雖然沒有任何一種CASB產(chǎn)品能完美貼合每個用例，但專業(yè)獨立CASB平臺（未必總是來自獨立CASB供應(yīng)商）正推出更多功能，覆蓋更多云服務(wù)，支持更多企業(yè)用例。

其敏捷性遠勝云服務(wù)提供商交付服務(wù)的速度，也遠遠超出在已有安全技術(shù)上將部分CASB功能作為插件提供的其他廠商。而且，主流CASB供應(yīng)商的平臺根植于云，為云而生，對用戶、設(shè)備、應(yīng)用、交易和敏感數(shù)據(jù)的理解比傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)的CASB插件強的不是一點半點。

一些案例

于是，供應(yīng)商選擇再次歸結(jié)到用例上。但是，到底該看哪些用例？公司企業(yè)決定部署CASB解決方案的最常見原因是什么呢？

通常，嘗試解決云安全問題的終端用戶有兩種。一種是向云端遷移或意識到自己大半數(shù)據(jù)已經(jīng)在云端的傳統(tǒng)大型企業(yè)。另一種是幾乎沒有什么現(xiàn)場基礎(chǔ)設(shè)施的云優(yōu)先企業(yè)。CASB供應(yīng)商視線所及更多的是前者。

前者想要知道自己的數(shù)據(jù)都在哪兒。因為他們的影子IT往往會催生出可見性用例。

這種企業(yè)中的各種業(yè)務(wù)會不斷引入新AWS實例，或者在云端為HR部署各種應(yīng)用，而IT部門就試圖確定自家公司的云應(yīng)用規(guī)模到底有多大。

大多數(shù)IT主管都會被審計結(jié)果大為震驚，驚訝于自家員工使用的云應(yīng)用數(shù)量，只有極少數(shù)CIO會在被問及影子IT問題時表示自家公司對此牢牢把控。《Computing》最新的調(diào)查研究揭示，8%的歐洲公司在公共云服務(wù)使用上完全是個人用戶的自主行為。

公司規(guī)模越大，情況越糟糕。擁有5萬以上員工的大企業(yè)，通常會發(fā)現(xiàn)自家員工在用的云應(yīng)用有3000-5000個之多。

僅云存儲應(yīng)用，大多數(shù)大企業(yè)就在用Box、DropBox、WeTransfer等等。專業(yè)CASB供應(yīng)商Netskope分析過的某公司甚至在用40多個未經(jīng)批準的云存儲應(yīng)用。

有些人可能會覺得這么做挺好的：然而，只要我們知道云提供商在確定用戶身份上的孜孜不倦，我們就會意識到這么做是短視而危險的。

公司企業(yè)往往不知道其員工使用這些服務(wù)時都簽下了哪些條款，有時候這意味著他們甚至都不再擁有自己的數(shù)據(jù)了。

以上便是發(fā)現(xiàn)用例存在的原因了。接下來，公司企業(yè)還想對所用數(shù)據(jù)施加一定的控制。當公司發(fā)現(xiàn)員工在用3種不同HR工具做同樣的事時，就會想要整合這些工具，封掉那些有風險的，教導用戶使用經(jīng)過批準的那些。

而一旦有了“合法”應(yīng)用列表，比如說，把原來的40多種云存儲應(yīng)用整合成僅能使用Box、OneDrive和DropBox，公司企業(yè)就會想要對這些云存儲服務(wù)中的數(shù)據(jù)加以控制——不同等級的訪問權(quán)限之類的。之后，公司就能控制哪些數(shù)據(jù)可以公開共享，哪些需要應(yīng)用數(shù)據(jù)丟失防護(DLP)規(guī)則了。這樣一來，在遭遇惡意軟件攻擊時，至少云端數(shù)據(jù)還是干凈而安全的。

很多公司開始在向O365遷移時考慮部署CASB，作為傳統(tǒng)現(xiàn)場辦公套件的微軟Office，如今正將其部分客戶推向云端。

公司企業(yè)之前可能一直在用Salesforce之類的東西，但出于某些原因沒覺得自己的數(shù)據(jù)是在云端。O365強調(diào)出一個事實：公司企業(yè)應(yīng)將安全邊界覆蓋到數(shù)據(jù)和應(yīng)用領(lǐng)域，而不僅僅保持在物理邊界的定義上。

另外，隨著BYOD的逐漸深化，甚至核心業(yè)務(wù)過程也開始有員工用自己的智能手機和平板處理，這就讓設(shè)備控制也成為了頗具吸引力的想法。

GDPR是推動公司企業(yè)邁向CASB的另一個原因。在數(shù)據(jù)發(fā)往云端之前就加密，能降低個人可識別信息(PII)泄露的風險。更不用說高達至多4%年總營業(yè)額的巨額罰款對CASB采納的推動作用了。

最后，DLP也是常見的用例。

關(guān)鍵是要確保機密信息只能被正確的人訪問而不會公開共享。有些公司特別擔憂自己的數(shù)據(jù)會流向哪里，應(yīng)用CASB就能設(shè)置合理的過濾，只要數(shù)據(jù)去往不該去的地方，就能立即追蹤并加以處理。

即便是故意忽略了有效用例的情況，供應(yīng)商們也會敦促公司企業(yè)部署CASB的。大多數(shù)大型企業(yè)軟件提供商就正在將現(xiàn)有客戶遷往云服務(wù)，無論愿不愿意，軟件更新周期最終都會落到云端。安全團隊不得不求助于CASB功能來應(yīng)對新的環(huán)境。

小心陷阱

接受了CASB概念，通過了商業(yè)案例，下?lián)芰速徶妙A算后，CASB購買就成了順理成章的下一步舉動。與很多服務(wù)協(xié)商類似，購買中需要注意的是許可條款，否則很容易掉進“坑”里。

這是因為CASB供應(yīng)商使用的許可模式在復雜度和細節(jié)方面區(qū)別很大。如果可以的話，盡量選擇簡單許可模式。Gartner建議采用基于2個簡單指標的模式：云服務(wù)數(shù)量和用戶數(shù)量。

CASB定價通常按每個受保護云服務(wù)所用的功能（或功能集）來算。如果DLP是關(guān)鍵CASB用例，很多供應(yīng)商會要求每個云服務(wù)都購買一份。Salesforce買一份，O365再買一份，ServiceNow還得另買。好的許可模式應(yīng)能在當前預算周期內(nèi)覆蓋所有云服務(wù)和用戶所需的CASB功能。新云應(yīng)用的上線使用，不應(yīng)造成需得根據(jù)預算在哪些應(yīng)用和數(shù)據(jù)可享受CASB保護上做出取舍。

部署之后也有陷阱，有些陷阱是加密環(huán)節(jié)上的。如果你的CASB解決方案會加密數(shù)據(jù)，那你的故障恢復、云應(yīng)用訪問很有可能馬上無法使用。

同理，如果CASB對云服務(wù)功能的映射因某個云服務(wù)更新而過時，CASB可能會中斷該云服務(wù)。更重要的是，數(shù)據(jù)加密或數(shù)據(jù)令牌化往往會影響SaaS應(yīng)用的終端用戶功能，尤其是搜索、索引、排序、現(xiàn)場級數(shù)字運算和企業(yè)文件同步共享(EFSS)中文檔預覽一類的功能——如果對象級附件被加密的話。鑒于此，除非是監(jiān)管有要求，否則任何時候就不要考慮采用外部云數(shù)據(jù)防護。

有些公司企業(yè)甚至會被其SaaS供應(yīng)商建議不要安裝CASB解決方案。比如說，微軟就不喜歡代理、緩存和WAN優(yōu)化器這樣的產(chǎn)品部署在他們的服務(wù)之前。微軟的考慮是，這些產(chǎn)品會引入延遲或其他問題，而微軟服務(wù)本身就成了代罪羔羊。當然，客戶沒必要取悅自己的供應(yīng)商，該怎么辦還怎么辦就好。

CASB部署后也不可急功冒進，妄想瞬間掌控一切。

CASB項目不應(yīng)試圖從一開始就控制和監(jiān)視所有可能的云應(yīng)用。云使用可見性基線建立起來后，最好是基于風險給所有云服務(wù)排個序，確定出最先進行監(jiān)視和控制的云服務(wù)。

可以考慮定出一兩個托管了公司最敏感信息的云服務(wù)，以此為起點，逐步擴展到所有云服務(wù)。

比如說，很多企業(yè)從單個最重要云應(yīng)用開始——通常是Salesforce或O365。CASB項目還應(yīng)包括從一開始就為關(guān)鍵服務(wù)啟動DLP的計劃。另一個擴展CASB項目的方法是先從僅限制托管設(shè)備訪問開始，再慢慢覆蓋到非托管設(shè)備。因為未來總會增加新的云服務(wù)，所以CASB合同中要為將來的擴充留有余地。

還有個常見問題是，買了全能型CASB解決方案，卻只使用其中某幾個功能。

確保用好用全自己的CASB。功能那么多，你可以控制下載到非托管設(shè)備上的數(shù)據(jù)，查找可能昭示著非法用戶或憑證竊取的流量異常，還可以用上數(shù)據(jù)丟失防護。CASB是有多種功能選項的工具集，然而有些客戶卻只使用其中少數(shù)功能，這是個令人傷心的景象。

最后，不僅僅是CASB，任何采購都適用的一條最佳建議是，問供應(yīng)商索要來自同等規(guī)模同樣需求的公司客戶的參考案例。如果供應(yīng)商給不出，那就值得三思了。

CASB解決方案不保證比其他產(chǎn)品更能提供安全，理智的供應(yīng)商都不會夸口說自己的產(chǎn)品包治百病，但瘋狂的供應(yīng)商營銷方式也確實存在。但是，隨著核心企業(yè)應(yīng)用往云端的遷移，越來越多的公司企業(yè)會發(fā)現(xiàn)自己需要什么東西來監(jiān)管愈趨分散的各類資產(chǎn)。

用個比喻來結(jié)束本文，城墻雖然不再是趨勢，但這并不意味著城里秩序井然的街道布局就可以被打亂。