What is CASB? | Cloud access security brokers
云访问安全代理(CASB)提供诸多服务,保护使用云计算的公司免受数据泄露和网络攻击。
学习目标
阅读本文后,您将能够:
- 定义云访问安全代理(CASB)
- 了解 CASB 的功能
- 探索 CASB 的四个支柱
复制文章链接
什么是云访问安全代理(CASB)?
A cloud access security broker, or CASB, is a type of security solution that helps protect cloud-hosted services. CASBs help keep corporate software-as-a-service (SaaS) applications, along with infrastructure-as-a-service (IaaS) and platform-as-a-service (PaaS) services, safe from cyber attacks and data leaks. Typically, CASB vendors offer their services as cloud-hosted software, although some CASBs also offer on-premise software or on-premise hardware appliances.
A number of different security technologies fall under the CASB umbrella, and a CASB solution will typically offer these technologies together in one bundled package. These technologies include shadow IT discovery, access control, and data loss prevention (DLP), among several others.
可以将 CASB 想象成一家实体安全公司,它提供多种服务(监视、徒步巡逻、身份验证等)以确保设施安全,而不是仅仅由一个安保人员来保障安全。同样,CASB 提供多种服务而不是一种服务,从而简化了云数据保护的过程。
What are the 4 pillars of CASB security?
颇具影响力的行业分析公司 Gartner 为云访问安全代理定义了四个“支柱”:
- Visibility: CASB solutions help discover "shadow IT": systems and processes, especially cloud services, that are not officially documented and that may introduce unknown security risks.
- Data security: CASBs prevent confidential data from leaving company-controlled systems, and help protect the integrity of that data. This capability is especially relevant with the proliferation of AI tools into which employees may attempt to upload protected data. Important technologies for this area include access control and data loss prevention (DLP).
- 威胁防护:除了防止数据泄漏外,CASB 还能阻止外部威胁和攻击。反恶意软件检测、沙箱、数据包检查、URL 过滤和浏览器隔离均有助于阻止网络攻击。
- 合规性:因为云非常分散且不受公司控制,云端运营的公司可能难以满足 SOC 2、HIPAA 或 GDPR 等严格的监管要求。什么是《公平信息惯例》Cloudflare 的隐私政策。在某些行业和地区,不合规的公司会面临处罚和罚款风险。通过实施强大的安全控制,CASB 帮助在云中存储数据并运行业务流程的公司实现法规遵从。
CASB 提供哪些安全功能?
Most CASB solutions will offer some or all of the following security technologies:
- 身份验证:通过检查多种身份因素(如密码或物理令牌)来确保用户是其声称的身份
- 访问控制:控制用户在公司控制的应用程序中可以查看的内容和可以执行的操作
- 影子 IT 发现:识别内部员工未经适当授权而用于业务用途的系统和服务
- 数据丢失防护(DLP):阻止数据泄漏并防止数据离开公司拥有的平台
- URL 过滤:阻止攻击者用于网络钓鱼或恶意软件攻击的网站
- 数据包检查:检查进入或离开网络的数据是否存在恶意活动
- 沙箱:在隔离的环境中运行程序和代码以确定其是否具有恶意
- 浏览器隔离:在远程服务器上而非用户设备上运行用户的浏览器,从而防止设备受到可能在浏览器中运行的潜在恶意代码的侵害
- 反恶意软件检测:识别恶意软件
以上列表并非详尽无遗,因为 CASB 可以提供除上述产品以外的许多其他安全产品。其中一些技术也包含在其他类型的安全产品中。例如,许多防火墙提供数据包检查,而许多端点安全产品也提供反恶意软件。但是,CASB 专门针对云计算打包了这些技术。
为了提供一整套 CASB 服务,许多主流 CASB 在某个时候收购某一产品或公司,与自己的现有产品捆绑在一起。它们可能还会与外部公司合作以提供额外的服务。
CASBs and DLP
While DLP has grown in importance as data regulatory frameworks (like the GDPR) put pressure on organizations to maintain privacy and avoid data leaks, traditional DLP products come with weaknesses when it comes to securing the modern data landscape. Standalone DLP services are difficult to implement as an additional layer for cloud services. Bundling DLP in CASB solutions helps solve these challenges, enabling organizations to protect their data and maintain compliance.
What are the benefits of CASBs?
在云计算中,数据被远程存储并通过互联网访问。因此,使用云的公司对数据的存储位置和用户访问数据的方式控制有限。用户可以在任何连接互联网的设备上和从任何网络访问云数据与应用程序,而不仅仅是公司内部管理的网络。例如,用户可以使用个人设备从不安全的网络登录到公司管理的 SaaS 应用程序,这对于在内部部署电脑和服务器上运行的应用程序通常是不可能的(除非使用远程桌面)。
云的使用使得确保数据的私密性和安全性变得更加困难,就像在公共场所而不是在私人房间中交谈时更难防止陌生人窃听一样。
为了充分保护云中的数据,组织通常也使用基于云的安全服务。有时,他们从不同的供应商处获得这些服务:使用一个平台用于 DLP,一个用于身份验证,一个用于反恶意软件,等等。但是这种云安全方法也带来了挑战:必须分别协商多个合同,必须多次配置安全策略,实施和管理多个平台会给 IT 带来复杂性等。
CASB 这一个解决方案即可应对所有这些挑战。组织只需从一个云安全代理处购买安全措施,而无需从几个不同的供应商处购买,这意味着:
- 所有涉及的技术都能很好地协同工作。
- 简化云安全工具的管理;IT 团队可以跟一家供应商合作,而不必与数家供应商配合。另外,许多 CASB 让其客户能够从单一仪表板管理所有云安全服务。
使用 CASB 有哪些挑战?
可扩展性:CASB 需要管理大量数据和多个云平台与应用程序。公司应该确保他们的 CASB 供应商能够随着他们的成长而扩大规模。
缓解:并非所有的 CASB 都能够在发现安全威胁后立即予以阻止。根据不同的情况,没有缓解能力的 CASB 对于公司的作用可能十分有限。
集成:公司必须确保他们的 CASB 能够与所有的系统和基础设施集成。如果没有完全集成,CASB 将无法全面了解未经授权的 IT 和潜在的安全威胁。
数据隐私:CASB 供应商是否对数据保密,还是说他们只是接触敏感数据的其中一个外部方?如果 CASB 将他们客户的数据转移到云中,其安全性和隐私性如何?这些问题对于遵照严格的数据隐私规定而运作的组织来说尤其重要。
谁需要 CASB?
大多数部分依赖或完全依赖云的企业都可以从与 CASB 供应商的合作中受益。正在努力遏制影子 IT 增长(这是当今许多企业的主要关注点)的企业尤其可以从 CASB 服务中受益。
CASB 如何与 SASE 集成?
安全访问服务边缘 (SASE) 是一种基于云的网络基础设施模型,它将网络和安全服务整合到一个服务提供商,让公司能够更简单地在所有连接设备上保护和管理网络访问。与 CASB 捆绑各种安全服务的方式相同,SASE 将 SD-WAN(和其他网络功能一起)与 CASB、安全 Web 网关 (SWG)、零信任网络访问 (ZTNA)、防火墙即服务 (FWaaS) 以及其他网络安全功能捆绑起来。SASE 解决方案建立在单个全球网络基础之上。
Cloudflare 是否提供 CASB 产品?
Cloudflare One integrates CASB, DLP, Zero Trust, SWG, and browser isolation capabilities in a single platform. These services are delivered from the Cloudflare network, as close to end users as possible, and can sit in front of on-premise, cloud, and hybrid networks. Learn more about Cloudflare One.