雲端存取安全代理 (CASB) 是一種設置在企業使用者與雲端服務供應商之間的網路資安解決方案,能提供可視性、監控、威脅防護、資料防護,並強制貫徹資安政策來保護使用者對雲端服務和資料的存取。
目錄
雲端存取安全代理將各種資安服務與技術整合至單一平台,提供雲端資料和服務的完整可視性與控管,包括:軟體服務 (SaaS)、基礎架構服務 (IaaS) 以及平台服務 (PaaS)。
其兩大主要功能為:
- 發掘相關的資料和應用程式,不論是儲存在企業內或雲端上,也不論資料是否正在移動或處於靜止狀態。
- 強制貫徹資安政策,讓企業獲得妥善保護、維持營運的順暢。
CASB 透過強化的雲端防護來提供各式各樣的功能,例如:認證、單一簽入、授權、登入憑證對應、裝置分析、加密、記號化 (tokenization)、記錄檔、警報,以及惡意程式偵測及防範。
「雲端存取安全代理」一詞來自何處?
雲端存取安全代理 (Cloud Access Security Broker) 一詞是由 Gartner 在 2012 年所提出,當時該機構認為企業儲存與保護其資料、裝置及應用程式的方式正在轉變。
傳統上,企業都是將應用程式和資料儲存在企業內的資料中心,但隨著資料量的成長,這樣的模式卻很難擴大規模,進而帶動了雲端儲存與應用程式的普及。在此同時,企業也開始導入遠距和混合上班模式,員工紛紛使用個人裝置從多個地點連上網路。有這麼多未受管理的裝置在存取多個雲端環境內的資料和應用程式,IT 團隊開始無法充分掌握使用者、資料、裝置和應用程式的可視性。
IT 需要監控的對象大幅增加,但能掌握和控制的卻反而減少,帶來了新的雲端資安風險:
- 隨著資料儲存在遠端,並可透過任何裝置和網際網路來存取,因此更難確保資料的安全與隱私。
- 使用者的行為越來越難追蹤。
- IT 被迫必須監控非企業所擁有的第三方應用程式和服務。
- 企業缺乏防範資料外洩、違規情況,以及惡意程式等等所需的完整可視性。
資安人員原本就使用了各種不同廠牌的資安解決方案,但這既難以管理、又缺乏效率。IT 團隊必須透過好幾種工具才能完全掌握狀況,而且有些解決方案還無法與其他平台輕易整合。
雲端存取安全代理正是為了應付這樣的複雜性而生,它一開始是部署在企業內的硬體:一套與其他資安基礎架構獨立開來的代理器 (proxy) 解決方案。CASB 扮演著以下角色:
- 發掘並監控所有使用者、裝置及應用程式。
- 提供雲端資料與應用程式使用及存取狀況的可視性,好讓 IT 人員能夠察覺並防範攻擊。
- 確保使用者的活動符合公司的資安政策。
現在,資安人員擁有了單一平台來監視和控管雲端資料、裝置及應用程式。
使用雲端存取安全代理的效益為何?
CASB 省去了尋找、安裝及管理各種不同廠牌資安解決方案的麻煩 (甚至無法互相搭配),在單一平台上提供 SaaS 環境所需的所有監控與政策強制能力。它提供以下效益:
- 集中化可視性。
- 快速、輕鬆、單一廠牌的雲端防護管理。
- 一套完整的生態系與整合式工具。
- 掌握及控管企業「所有的」SaaS 應用程式,不必擔心有漏網之魚。
- 提升資料保護與合規能力,因為能夠追蹤及控管哪些人正在存取資料,並根據不同使用者來強制套用不同的政策。
- 從單一集中位置自動強制執行政策,提升一致性。
雲端存取安全代理如何運作?
CASB 能與現有的資安基礎架構整合,透過以下步驟來追蹤及控管雲端資料和應用程式:
- 發掘。CASB 可偵測使用者、裝置及應用程式,包括第三方雲端服務,並即時監控及偵測威脅。
- 評估。雲端存取安全代理會在偵測到可疑活動時發出警報,並根據風險程度來加以分類。
- 強制。根據企業的資安政策,CASB 可管理使用者對資料和應用程式的存取,對使用者、裝置和/或資料採取必要的強制控管。
我該尋找哪些雲端存取安全代理功能?
在挑選雲端存取安全代理時,很重要的一點是要考慮到某些條件,例如:企業當前的技術、資安需求以及預算。最重要的一點或許是 CASB 應該符合 Gartner 提出的四大基石 (或稱為支柱):
- 資料防護與加密。由於企業內的資料外洩防護 (DLP) 工具無法延伸至雲端,所以任何 CASB 都應提供資料防護與加密功能。這有助於防止機密或敏感資料洩露給大眾或駭客,並且應包含:存取控管、協同作業控管、DLP、加密、資訊權限管理,以及記號化。
- 威脅防護與異常偵測。雲端存取安全代理要能偵測可疑活動 (例如不當存取資料或應用程式) 來發掘及攔截網路攻擊和惡意程式。它通常使用網址過濾之類的技術來達到這點。此外,許多 CASB 也利用機器學習與大規模數據分析來更有效率偵測威脅,並自動產生警報。
- 合規管理與報表。某些產業的企業可能必須遵守 HIPPA 或歐盟 GDPR 等法規,不論其資料或服務是否在企業內或由第三方所代管。因此,CASB 需要提供一些工具來製作報表、自動矯正,以及強制執行政策,以便掌握雲端生態系每一環節的可視性並加以控管。
- 雲端應用程式使用情況可視性與管理。雲端不斷普及的最大挑戰之一就是影子 IT,也就是未正式登記的裝置、系統或應用程式,它們可能引來未知的資安風險。任何 CASB 都必須完全掌握資料如何被分享和存取,以及所有被存取的應用程式、由誰存取、使用方式如何,以及哪些應用程式存取了企業資料。
如何建置 CASB?
建置 CASB 的方法有幾種,在線 (inline) 建置方式可以讓雲端存取安全代理扮演攔截流量的代理器 (proxy),架設在存取資訊的裝置與被存取的雲端儲存或應用程式之間,這種方式可以保護移動中的資料。
有些雲端應用程式無法將流量重導至扮演代理器的 CASB,這意味著單靠在線方式無法看到整個雲端環境。此時就需要採用 API 建置方式來保護靜止中的資料,並提供更完整的可視性。由於 API 建置方式的 CASB 不需要將流量重導,因此可將資安政策強制落實到多個 SaaS 和 IaaS 而不影響使用者的連線。
事實上,最好的作法也許是同時結合兩種類型的 CASB 一起使用。
哪裡可以取得有關雲端存取安全代理的協助?
Trend Vision One™ Cloud Security 能提升可視性、雲端風險管理以及營運效率,同時強化雲端和混合雲防護。其集中式儀表板,能提供即時的風險評估、曝險管理、監控,以及預測攻擊路徑。有了全方位的可視性與控管、持續的評估與優先次序判斷,以及簡化的合規與成本管理,企業就能利用 Cloud Security 來迅速發掘及回應企業內及雲端的威脅。