什么是 CASB？|云访问安全代理

什么是云访问安全代理（CASB）？

云访问安全代理 (CASB) 是帮助其他公司保护云托管服务的公司。CASB 可保护企业软件即服务 (SaaS) 应用程序以及基础设施即服务 (IaaS) 和平台即服务 (PaaS) 等服务的安全，使其免受网络攻击和数据泄漏之危害。通常，CASB 以云托管软件形式提供服务，但某些 CASB 还提供内部软件或内部硬件设备。

许多不同的安全技术都属于 CASB 的范畴，CASB 通常将这些技术打包提供。这些技术包括影子 IT 探索、访问控制和数据丢失防护 (DLP) 等。

可以将 CASB 想象成一家实体安全公司，它提供多种服务（监视、徒步巡逻、身份验证等）以确保设施安全，而不是仅仅由一个安保人员来保障安全。同样，CASB 提供多种服务而不是一种服务，从而简化了云数据保护的过程。

CASB 在哪些主要领域提供安全保护？

颇具影响力的行业分析公司 Gartner 为云访问安全代理定义了四个“支柱”：

1. 可见性：CASB 帮助发现“影子 IT”，即未正式记录在案且可能带来未知安全风险的系统和流程，尤其是云服务。
2. 数据安全性：CASB 防止机密数据离开公司控制的系统，并帮助保护这些数据的完整性。此领域的相关技术包括访问控制和数据丢失防护 (DLP)。
3. 威胁防护：除了防止数据泄漏外，CASB 还能阻止外部威胁和攻击。反恶意软件检测、沙箱、数据包检查、URL 过滤和浏览器隔离均有助于阻止网络攻击。
4. 合规性：因为云非常分散且不受公司控制，云端运营的公司可能难以满足 SOC 2、HIPAA 或 GDPR 等严格的监管要求。什么是《公平信息惯例》Cloudflare 的隐私政策。在某些行业和地区，不合规的公司会面临处罚和罚款风险。通过实施强大的安全控制，CASB 帮助在云中存储数据并运行业务流程的公司实现法规遵从。

CASB 提供哪些安全功能？

大多数 CASB 提供如下一部分或全部安全技术：

• 身份验证：通过检查多种身份因素（如密码或物理令牌）来确保用户是其声称的身份
• 访问控制：控制用户在公司控制的应用程序中可以查看的内容和可以执行的操作
• 影子 IT 发现：识别内部员工未经适当授权而用于业务用途的系统和服务
• 数据丢失防护（DLP）：阻止数据泄漏并防止数据离开公司拥有的平台
• URL 过滤：阻止攻击者用于网络钓鱼或恶意软件攻击的网站
• 数据包检查：检查进入或离开网络的数据是否存在恶意活动
• 沙箱：在隔离的环境中运行程序和代码以确定其是否具有恶意
• 浏览器隔离：在远程服务器上而非用户设备上运行用户的浏览器，从而防止设备受到可能在浏览器中运行的潜在恶意代码的侵害
• 反恶意软件检测：识别恶意软件

以上列表并非详尽无遗，因为 CASB 可以提供除上述产品以外的许多其他安全产品。其中一些技术也包含在其他类型的安全产品中。例如，许多防火墙提供数据包检查，而许多端点安全产品也提供反恶意软件。但是，CASB 专门针对云计算打包了这些技术。

为了提供一整套 CASB 服务，许多主流 CASB 在某个时候收购某一产品或公司，与自己的现有产品捆绑在一起。它们可能还会与外部公司合作以提供额外的服务。

为什么组织要使用 CASB？

在云计算中，数据被远程存储并通过互联网访问。因此，使用云的公司对数据的存储位置和用户访问数据的方式控制有限。用户可以在任何连接互联网的设备上和从任何网络访问云数据与应用程序，而不仅仅是公司内部管理的网络。例如，用户可以使用个人设备从不安全的网络登录到公司管理的 SaaS 应用程序，这对于在内部部署电脑和服务器上运行的应用程序通常是不可能的（除非使用远程桌面）。

云的使用使得确保数据的私密性和安全性变得更加困难，就像在公共场所而不是在私人房间中交谈时更难防止陌生人窃听一样。

为了充分保护云中的数据，组织通常也使用基于云的安全服务。有时，他们从不同的供应商处获得这些服务：使用一个平台用于 DLP，一个用于身份验证，一个用于反恶意软件，等等。但是这种云安全方法也带来了挑战：必须分别协商多个合同，必须多次配置安全策略，实施和管理多个平台会给 IT 带来复杂性等。

CASB 这一个解决方案即可应对所有这些挑战。组织只需从一个云安全代理处购买安全措施，而无需从几个不同的供应商处购买，这意味着：

1. 所有涉及的技术都能很好地协同工作。
2. 简化云安全工具的管理；IT 团队可以跟一家供应商合作，而不必与数家供应商配合。另外，许多 CASB 让其客户能够从单一仪表板管理所有云安全服务。

使用 CASB 有哪些挑战？

可扩展性：CASB 需要管理大量数据和多个云平台与应用程序。公司应该确保他们的 CASB 供应商能够随着他们的成长而扩大规模。

缓解：并非所有的 CASB 都能够在发现安全威胁后立即予以阻止。根据不同的情况，没有缓解能力的 CASB 对于公司的作用可能十分有限。

集成：公司必须确保他们的 CASB 能够与所有的系统和基础设施集成。如果没有完全集成，CASB 将无法全面了解未经授权的 IT 和潜在的安全威胁。

数据隐私：CASB 供应商是否对数据保密，还是说他们只是接触敏感数据的其中一个外部方？如果 CASB 将他们客户的数据转移到云中，其安全性和隐私性如何？这些问题对于遵照严格的数据隐私规定而运作的组织来说尤其重要。

谁需要 CASB？

大多数部分依赖或完全依赖云的企业都可以从与 CASB 供应商的合作中受益。正在努力遏制影子 IT 增长（这是当今许多企业的主要关注点）的企业尤其可以从 CASB 服务中受益。

CASB 如何与 SASE 集成？

安全访问服务边缘 (SASE) 是一种基于云的网络基础设施模型，它将网络和安全服务整合到一个服务提供商，让公司能够更简单地在所有连接设备上保护和管理网络访问。与 CASB 捆绑各种安全服务的方式相同，SASE 将 SD-WAN（和其他网络功能一起）与 CASB、安全 Web 网关 (SWG)、零信任网络访问 (ZTNA)、防火墙即服务 (FWaaS) 以及其他网络安全功能捆绑起来。SASE 解决方案建立在单个全球网络基础之上。

Cloudflare 是否提供 CASB 产品？

Cloudflare Zero Trust 捆绑了若干 Cloudflare 安全性产品，以帮助确保公司数据的安全。Cloudflare Access 提供了基于身份的访问控制，以控制对传统上需要 VPN 的内部管理应用程序的访问。Cloudflare Gateway 保护客户端设备免受恶意软件的侵害，阻止恶意网站并过滤内容。Cloudflare Gateway 还纳入了浏览器隔离技术，可抵御恶意的浏览器内置 JavaScript。

Cloudflare Zero Trust 有助于确保云服务和使用它们的公司的安全。了解有关 Cloudflare for Teams 的更多信息，或探索其他访问控制技术。