甚麼是雲端存取防護代理程式?

Tball

雲端存取安全代理程式(CASB)是企業用戶與雲端服務商之間的網絡資訊保安方案,可在雲端 存取服務和資料時提供可視性、監控、威脅與資料防護,以及強制貫徹資訊保安政策。

雲端存取防護代理程式將各種資訊保安服務與技術整合至單一平台,提供雲端資料與服務的完整可視性與監控,包括軟件即服務(SaaS)、基礎架構即服務(IaaS)及平台即服務(PaaS)。

它的兩個主要功能是:

  • 發掘相關資料和應用程式,無論它們是儲存在網站或雲端,也無論資料是在移動中或處於靜止狀態。
  • 強制貫徹資訊保安政策,讓企業獲得妥善保護,並且持續無縫營運。

雲端存取防護代理程式採用強化的雲端防護,提供各式各樣的功能,例如認證、單一登入、授權、登入憑證對照、裝置分析、加密、代碼化、記錄檔、警示,與及惡意程式偵測及防護。

雲端存取防護代理程式一詞的來源?

Gartner 於 2012 年提出「雲端存取防護代理程式」一詞,顯示企業儲存及保護其資料、裝置及應用程式的方式已有所轉變。

傳統上企業都會將應用程式和資料儲存在企業內的數據中心,但隨著資料量的增長,這樣的模式卻難於擴充,因而帶動雲端儲存和應用程式的普及。同時,企業也開始採用遙距和混合上班模式,員工也會使用個人裝置從不同地點連上網絡。隨著許多未受管理的裝置在多重雲環境中存取資料和應用程式,資訊科技團隊對用戶、資料、裝置和應用程式都失去了視野。

資訊科技團隊在少了管控與存取權之下突然增加了更多需要監控的環節,因而帶來新的雲端保安風險:

  • 由於資料是從遠端儲存,並使用任何裝置經由互聯網存取,因此更難確保資料的安全與私密性。
  • 用戶的行為越來越難追蹤。
  • 資訊科技團隊必須監控第三方應用程式和服務。
  • 企業缺乏防範資料外洩、合規、惡意程式等所需的完整可視性。

保安專業人員原本就使用不同廠商的不同保安方案,因而需要花費大量時間來管理。資訊科技團隊必須使用許多工具來掌握整體情況,但有些方案卻無法輕易與其他平台整合。

為了對應這樣的複雜性,雲端存取資訊保安代理程式誕生了。它一開始是在企業內部部署的硬件,其代理伺服器方案與資訊保安基礎架構截然不同。雲端存取防護代理程式的角色是:

  • 發掘並監控所有用戶、裝置及應用程式。
  • 掌握資料與應用程式在雲端的使用情況,讓資訊科技人員留意並防範攻擊。
  • 確保用戶活動符合公司的資訊保安政策。

防護人員現在擁有單一平台來監控雲端資料、裝置及應用程式。

使用雲端存取防護代理程式有什麼好處?

雲端存取防護代理程式不需從不同廠商(甚至無法共同運作)尋找、安裝及管理多個資訊保安方案,而只需單一平台就能為 SaaS 環境提供所有必要的監控與貫徹政策。好處包括:

  • 中央化視野。
  • 快速、輕鬆、單一廠商的雲端防護管理。
  • 一套具備整合式工具的全方位生態系。
  • 監察並管控企業所有 SaaS 應用程式,避免某些可能潛藏的威脅。
  • 提升資料保護與合規能力,因為能夠追蹤並管控哪些人正存取資料,並且視用戶而定強制貫徹不同的政策。
  • 自動化政策實施的中心點,提供更高的一致性。

雲端存取防護代理程式如何運作?

雲端存取防護代理程式能與現有的資訊保安基礎架構整合,透過以下流程來追蹤及管控雲端資料和應用程式:

  1. 偵測。雲端存取防護代理程式可偵測用戶、裝置及應用程式,包括第三方雲服務,並實時監控及偵測威脅。
  2. 評估。雲端存取防護代理程式會在偵測到可疑活動時發出警示,並根據風險程度將可疑活動分類。
  3. 執行。根據企業的資訊保安政策,雲端存取防護代理程式會管理用戶對資料和應用程式的存取,強制要求管控用戶、裝置和/或資料。
雲端存取防護代理程式的運作原理示意圖。

我該在雲端存取防護代理程式中尋找哪些功能?

在選擇雲端存取防護代理程式時,很重要的一點就是要考慮一些條件,例如企業目前的技術、資訊保安需求及預算。或許最重要的一點是,雲端存取防護代理程式應該要滿足 Gartner 的四大支柱:

  • 資料防護與加密。 企業內資料外洩防護工具不會延伸至雲端,因此任何雲端存取防護代理程式都應提供資料防護與加密功能。如此有助於防止機密或敏感資料外洩給大眾或黑客,包括存取管控、協同作業管控、資料外洩防護、加密、資訊權限管理,以及金鑰化。
  • 威脅防護與異常偵測。 雲端存取防護代理程式需要偵測並攔截網絡攻擊和惡意程式,偵測可疑活動,例如不當存取資料或應用程式。它會利用像網址過濾之類的技術來做到這點。此外,許多雲端存取防護代理程式也採用機器學習與大規模數據分析來更有效偵測威脅,並且產生警示。
  • 合規管理與報表。某些產業的企業可能必須遵守 HIPPA 或歐盟通用資料保護法規等法律,無論其資料或服務是否在現場或由第三方管理。因此,雲端存取防護代理程式需要提供一些工具來報告、自動化修正及強制貫徹政策,以便掌握並掌控雲端生態系的每一塊環節。
  • 掌握及管理雲端應用程式使用情況。 隨著雲端使用量的不斷擴大,最大的挑戰之一就是影子資訊科技,也就是一些未正式記載的裝置、系統或應用程式,因此可能造成未知的資訊保安風險。任何雲端存取防護代理程式都必須全面掌握資料分享與存取方式,以及所有存取的應用程式、用戶、使用方式,以及哪些應用程式存取了企業資料。
雲端存取防護代理程式中該尋找哪些功能。

如何建置雲端存取防護代理程式?

實施雲端存取防護代理程式有幾種方法。採用內聯方式,讓雲端存取安全代理程式當成代理伺服器來攔截流量,讓裝置能夠存取資訊,並且連上雲端儲存位置或應用程式。如此一來,就能保護移動中的資料。

有些雲端應用程式缺乏將流量重導至代理伺服器雲端存取防護代理程式的方式,這意味著光靠內聯方式就看不見整個雲端環境。此時就需要應用程式介面式運作,保護靜態資料,提供更完整的可視性。由於不需重新改道流量,因此應用程式介面式雲端存取防護代理程式就能強制貫徹涵蓋多重 SaaS 和 IaaS 的資訊保安政策,而不影響用戶連線。

事實上,結合兩者的雲端存取防護代理程式組合或許是最好的。

哪裡可以取得雲端存取防護代理程式的協助?

Trend Vision One™ Cloud Security 能提升雲端可視性、雲端管理及營運效率,同時又能強化雲端與混合雲防護。中央化儀表板提供實時風險評估、曝險管理、監控,以及預測攻擊路徑。有了全方位的可視性與管控、持續的評估與優先次序判斷,以及簡化的合規與成本管理,企業就能利用 Cloud Security 來迅速發掘及回應在企業內部及雲端的威脅。

相關資料