網路資安威脅
雲端安全代理如何降低 SaaS 風險-SASE系列 (4)
企業必須自行承擔保護雲端應用程式使用者與關鍵資料的責任,本文說明如何採用雲端存取安全代理 (CASB) 技術來維護資料的控制權。
另請參閱本系列前幾篇:
SaaS 與雲端應用程式所導致的資料外洩,是今日企業一項日益升高的風險因子。視您企業所處的數位轉型階段而定,您很可能已經採用了多重雲端環境與雲端應用程式來執行關鍵營運。
改用 SaaS 應用程式確實有許多好處,例如:簡易性、減輕管理負擔、降低成本。自從雲端運算問世以來,像 Microsoft Office、Salesforce、Box™ 這樣的應用程式已經成為現代企業營運不可或缺的要素。
但如同大多數變革一樣,在考慮採用 SaaS 應用程式時,難免要做出一些取捨和妥協,包括:雲端可視性不足以及相關的資安風險。而且這些問題還會因一些企業內基礎架構不常發生的新威脅而變得更加複雜,例如:影子 IT 和未經許可的應用程式。
SASE 解決方案的其中一環就是雲端存取安全代理 (CASB),它能協助降低採用 SaaS 應用程式的風險,還能保有更大的資料控制權。CASB 可橫跨多重雲端應用程式強制貫徹一致的資安政策來保護使用者和關鍵資料。
何謂 CASB?
CASB 是一種雲端專屬的資安解決方案,用來監控雲端基礎架構、發掘高風險應用程式的潛在威脅、偵測異常行為與勒索病毒(勒索軟體,Ransomware) ,然後採取矯正措施來提升關鍵資料的控管。
由於不同廠商之間有許多特殊功能需要不同的解決方式,所以 CASB 的核心關鍵就在於扮演使用者與雲端服務供應商之間的橋樑。而橋梁 (也就是代理) 的工作,就是要讓企業重拾因資料外移而喪失的可視性與控制權。
CASB 可扮演統一的政策執行中心,負責彙整多個防護層的資安政策,然後一致地套用到每一個連上雲端的使用者和資源,對任何企業來說,這都是一項關鍵的能力。經由這項能力 (包括資料發掘與身分管理),CASB 就能套用系統管理員所設定的資安規則來保護企業資料、降低資料外洩或遺失的風險。
為何要採用 CASB?
對抗影子 IT
員工使用未經授權的軟體很可能為企業帶來嚴重的風險,所以影子 IT 的問題又浮上檯面,這問題系統管理員原本還稍微管得動,但現在已經變成一項難以駕馭的挑戰,因為系統管理員既要保護企業安全、又不能拖慢企業腳步。
CASB 為使用者存取、使用者活動以及資料提供了一種精細的可視性,其在線式政策貫徹能力,涵蓋了連上雲端資源的每一台裝置,包括未受管理的智慧型手機與個人筆電。藉由確保這類連線的安全,CASB 就能為系統管理員提供一整全方位的雲端應用程式檢視來查看誰在使用應用程式、使用模式為何,而且不會阻礙生產力。
防範雲端帳號入侵
帳號與身分管理系統是任何企業網路的核心要素之一。以往,企業內有 Active Directory 目錄服務可提供這項功能,而獨立的應用程式則通常使用獨立的系統,但現在,雲端代管的身分反而是較為理想的選擇。
雲端代管的身分可提供聯合存取控管與單一簽入功能,使企業帳號管理大幅簡化。但由於這套系統越來越受歡迎,其相關的風險也隨之升高。
即使是最受歡迎、最可靠的應用程式也可能含有 多個漏洞 會讓駭客用來入侵企業網路並竊取關鍵機敏資料。為了防範這點,企業必須簡化資安作業並監控使用者行為,既要保護員工也要提升資料控制權。
CASB 可監測您環境中的異常使用狀況,留意是否有可疑活動,以便能更快回應駭客入侵,盡可能降低損害。作為在線式工具,CASB 可藉由發掘應用程式、帳號及資料的異常使用或濫用情況,主動降低駭客入侵風險。比方說,上述狀況可能意味著一些潛在的資安事件,而 CASB 只需將帳號鎖定來撤銷存取就能預先加以防範。
解決第三方服務的資安漏洞
儘管雲端服務供應商會窮盡一切措施來保護您存放在他們服務上的資料,但在責任共同分擔的框架下,您的企業需負責保護網路與使用者的安全。但由於受攻擊面的持續擴大,光變更密碼和採用多重認證或許已經不夠。
部署一套 CASB 可讓您企業重拾控制權,讓您強制貫徹使用者與資料政策,讓資安政策能廣泛套用以滿足您的特殊需求。
CASB 在 SASE 架構中的角色
SASE 架構能提供一套完整連貫的資安解決方案,結合網路與資安兩大領域的功能。
CASB 身為 SASE 當中面向網際網路的元素,能與提供威脅攔截功能的安全網站閘道 (SWG) 相輔相成,而且還能受惠於整合延伸式偵測及回應 (XDR) 的效益。原本散置各獨立解決方案的記錄檔,能彙整起來為您的環境提供一種更全面的檢視,給您更完整的風險評估。
建置 CASB 時該注意些什麼
面對市場上各式各樣的 CASB 解決方案,您或許會感到振奮,但也可能覺得不知所措。您可透過以下幾個問題來幫助您挑選出最適合您網路資安與資料控管需求的解決方案。
是否支援我所有的關鍵應用程式?
盤點一下您的使用者都在使用哪些雲端應用程式,可協助您過濾掉一些 CASB 解決方案。您所尋找的解決方案不僅要能支援您最關鍵的應用程式,還要提供您系統管理員所需的額外控管。
我是否能實質掌控雲端安全?
想要提升您使用者、資料及網路的安全與控管,光是蒐集數以千計的資料還不夠。好的 CASB 解決方案應提供一種方式讓您過濾這些大量資訊,並實質改善您的資安。
哪種定價方式最適合我?
多重雲端或混合雲環境可視性不足的問題,不僅可能帶來資料風險,還可能讓您的荷包失血。若您未考慮到使用者可能經由不安全的裝置存取應用程式,那麼一些按應用程式用量收費的方案將會比按使用者身分計費的方案貴上許多。
是否能與其他資安解決方案整合?
多增加一套資安解決方案,還可能讓可視性問題更加惡化。請尋找一套內含 CASB 功能的全方位網路資安平台,該平台還應具備廣泛的第三方整合能力與 XDR 功能。如此一來,您就能全方位掌握受攻擊面的可視性,進而提升資安狀況、資安風險管理,還有資料控管。
哪一種部署方式最符合我的需求?
CASB 解決方案的部署方式繁多,您一定能找到一種最適合您企業需求的解決方案。但在您投入大筆前期投資之前,請先考慮一下您有多少資源。
如需有關 SASE 以及您資安風險的更多資訊,請參閱以下文章:
原文出處:How a Cloud Security Broker Reduces SaaS App Risks – SASE Part 4