云访问安全代理(CloudAccessSecurityBroker,CASB,发音为KAZ-bee)是位于云服务消费者和云服务提供商(CSP)之间的内部或基于云的策略实施点,用于监视与云相关的活动,并应用与基于云的资源的使用相关的安全性、合规性和治理规则。CASB允许组织将其应用于本地基础设施的相同类型的控制扩展到云中,并可以组合不同类型的策略实施,例如:
用户凭据身份验证,因此仅向批准的云服务提供访问权限
通过加密、令牌化或其他方式保护数据,因此敏感信息不会暴露在云服务或CSP中
云服务活动监视,以便记录、标记和分析用户和实体的行为,以了解异常使用模式或受损的凭据
数据丢失预防(DLP),因此敏感信息不能离开组织的网络,以及
恶意软件检测和修复,使敏感信息无法进入组织的网络。
因此,CASB的目的是提高组织安全、安全地利用云服务的能力。CASB可以被认为是一个“安全节点”,通过它可以控制对组织云服务的访问。作为组织安全基础设施的一个组件,它补充而不是取代企业和web应用程序防火墙、IDaaS(身份即服务)和安全web网关(SWG)等技术。
随着云服务和BYOD(“自带设备”)政策的广泛采用,CASBs的重要性与日俱增,这些政策允许个人笔记本电脑、智能手机、平板电脑和其他非托管设备接入网络。使用CASBs控制组织的部分或全部云服务正在扩大,预计大型企业的采用率将翻三倍,从年的20%增加到年的60%(Gartner,年)。在类似的时期内,预计到年,云安全市场整体规模将升至亿美元左右(Forrester,年)。
为什么我需要一个CASB?
CASBs最初专注于发现ShadowIT(IT部门许可范围之外的个人或业务单位使用的未知服务),但随着组织意识到,解决此问题的方法更多地指向受控支持,而不是删除这些服务,CASBs开始提供跨越四大支柱的功能集:数据安全、法规遵从性、威胁保护和核心可见性能力。
能见度
许多组织已经开始加速云计算在各个业务部门的正式采用。这可能导致越来越多的员工在IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)以及现在的FaaS(功能即服务)资源上管理自己的安全凭证。在这种环境下,CASBs可以帮助弥合由于集中身份和访问管理(IAM)的侵蚀而造成的安全漏洞,并改善对这些服务的使用的控制,提供适当的障碍,但不会妨碍员工在房地和外地的自然业务行为。
这种云访问控制的整合有助于在已知哪些云服务正在使用的情况下使用,但对影子IT没有帮助。这样的服务可能被用来解决组织的官方IT堆栈中感知到的或实际的缺陷,或者它们可能只是用户偏好的简单反映。它们的使用对生产力、效率、员工满意度,甚至作为创新的源泉,可能对生产力、效率、员工满意度至关重要,但它不太可能符合组织的安全策略或其他it支持、可靠性、可用性等要求。,也可能是导致灾难性数据泄露的恶意软件来源。
CASB有助于将组织的影子IT暴露出来,不仅能够支持必要的工作实践,同时确保它们不会影响任务,而且还可以显示真实的云支出,从而改进成本控制。
数据安全
许多组织已经开始将IT资源从自己的数据中心迁移到多个云中,包括AmazonWebServices(AWS)、microsoftazure、Google云平台(GCP)提供的云,以及SaaS供应商市场上广泛的在线应用程序。员工已经在通过这些服务共享敏感数据了,这些服务包括Office、Salesforce、AmazonS3、Workday等,其中许多服务主张某种形式的共享责任模型,将数据安全责任推给客户。
然而,对云本身安全性的担忧在很大程度上是错误的。大多数CSP的基础设施,尤其是那些提供主流服务的CSP,无疑是高度安全的。相反,应
