什麼是 CASB?| 雲端存取安全性代理程式

雲端存取安全性代理程式 (CASB) 提供多種服務來保護使用雲端運算的公司,使其免遭資料外洩和網路攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義雲端存取安全性代理程式 (CASB)
  • 瞭解 CASB 可做些什麼
  • 探索 CASB 的四大支柱

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是雲端存取安全性代理程式 (CASB)?

CASB

雲端存取安全性代理程式 (CASB) 是一種協助保護雲端託管服務的安全解決方案。CASB 可保護企業軟體即服務 (SaaS) 應用程式以及基礎結構即服務 (IaaS)平台即服務 (PaaS) 等服務的安全,使其免受網路攻擊和資料洩漏之危害。通常,CASB 廠商以雲端託管軟體形式提供服務,但某些 CASB 還提供內部部署軟體或內部部署硬體設備。

許多不同的安全技術都屬於 CASB 的範疇,CASB 解決方案通常將這些技術打包提供。這些技術包括影子 IT 探索、存取控制資料丟失預防 (DLP) 等。

可以將 CASB 想像成一家實體安全公司,它提供多種服務(監視、徒步巡邏、身分驗證等)以確保設施安全,而不是僅僅由一個安保人員來保障安全。同樣,CASB 提供多種服務而不是一種服務,從而簡化了雲端資料保護的過程。

CASB 安全性的四大支柱是什麼?

CASB 功能

Gartner 是一家有影響力的產業分析公司,它為雲端存取安全性代理程式定義了四個「支柱」:

  1. 可見度:CASB 解決方案協助探索「影子 IT」:未正式記錄且可能帶來未知安全風險的系統和處理序,尤其是雲端服務。
  2. 資料安全性:CASB 防止機密資料離開公司控制的系統,並協助保護該資料的完整性。此功能與 AI 工具的激增尤其相關,員工可能會嘗試將受保護的資料上傳到其中。該領域的重要技術包括存取控制資料丟失預防 (DLP)
  3. 威脅防護:CASB 除了阻止資料洩露外,還可以封鎖外部威脅和攻擊。反惡意軟體偵測、沙箱、封包檢查、URL 篩選瀏覽器隔離都有助於封鎖網路攻擊。
  4. 合規性:由於雲端非常分散且不受公司控制,雲端營運的公司可能難以滿足 SOC 2、HIPAA 或 GDPR 等嚴格的監管要求。在某些產業和地區,不合規的公司會面臨處罰和罰款風險。透過實作強大的安全性控制,CASB 協助在雲端儲存資料並執行商務流程的公司實現法規遵從。

CASB 提供哪些安全性功能?

大多數 CASB 解決方案將提供以下部分或全部安全性技術:

  • 身分驗證:透過檢查多個身分因素(例如密碼或擁有實體權杖)來確保使用者是他們聲稱的身分
  • 存取控制:控制使用者可以在公司控制的應用程式中查看的內容和執行的操作
  • 影子 IT 探索:識別內部員工在未經適當授權的情況下用於商務目的的系統和服務
  • 資料丟失預防 (DLP):阻止資料洩露並防止資料離開公司擁有的平台
  • URL 篩選:封鎖攻擊者用於進行網路釣魚惡意軟體攻擊的網站
  • 封包偵測:檢查進入或離開網路的資料是否存在惡意活動
  • 沙箱:在隔離環境中執行程式和程式碼,以確定它是否具有惡意
  • 瀏覽器隔離:在遠端伺服器上而不是在使用者裝置上執行使用者的瀏覽器,而防止裝置受到可能在瀏覽器中執行的潛在惡意程式碼的侵害
  • 反惡意軟體偵測:識別惡意軟體

此清單並不詳盡,因為除了上面列出的產品之外,CASB 還可以提供許多其他安全性產品。其中一些技術也包含在其他類型的安全性產品中。例如,許多防火牆提供封包檢查,許多端點安全性產品提供反惡意軟體。不過,CASB 將這些技術打包在一起以專門用於雲端運算。

為了提供一整套 CASB 服務,許多主流 CASB 在某個時候收購某一產品或公司,與自己的現有產品捆綁在一起。他們也可能與外部公司合作提供額外的服務。

CASB 和 DLP

隨著資料監管框架(如 GDPR)給企業帶來維護隱私和避免資料洩露的壓力,DLP 的重要性與日俱增,但傳統的 DLP 產品在保護現代資料安全方面仍存在弱點。獨立的 DLP 服務很難作為雲端服務的附加層來實施。在 CASB 解決方案中捆綁 DLP 有助於解決這些挑戰,使企業能夠保護資料並保持合規性。

CASB 有哪些好處?

在雲端運算中,資料被遠端儲存並透過網際網路存取。因此,使用雲端的公司對資料的儲存位置和使用者存取資料的方式控制有限。使用者可以在任何連接網際網路的裝置上以及從任何網路存取雲端資料與應用程式,而不僅僅是公司內部管理的網路。例如,使用者可以使用其個人裝置從不安全的網路登入公司管理的 SaaS 應用程式,這對於在內部部署電腦和伺服器上執行的應用程式而言通常是不可能的(除非使用遠端桌面)。

雲端的使用使得確保資料的私密性和安全性變得更加困難,就像在公共場所而不是在私人房間中交談時更難防止陌生人竊聽一樣。

為了充分保護雲端的資料,組織通常也使用基於雲端的安全性服務。有時,他們從不同的廠商處獲得這些服務:使用一個平台用於 DLP,一個用於身分驗證,一個用於反惡意軟體,等等。但是這種雲端安全方法也帶來了挑戰:必須分別協商多個合約,必須多次設定安全性原則,實作和管理多個平台會給 IT 帶來複雜性等。

CASB 是應對這些挑戰的一種網路安全解決方案。從一個雲端安全性代理程式而不是幾個不同的廠商處購買這些安全措施意味著:

  1. 所有涉及的技術都能很好地協同工作。
  2. 簡化雲端安全性工具的管理;IT 團隊可以跟一家廠商合作,而不必與數家廠商配合。另外,許多 CASB 讓其客戶能夠從單一儀表板管理所有雲端安全性服務。

使用 CASB 有哪些挑戰?

可擴展性:CASB 需要管理大量資料以及多個雲端平台和應用程式。公司應確保其 CASB 廠商能夠隨著他們的成長而擴大規模。

緩解:並非所有 CASB 都能夠在識別安全威脅後阻止它們。根據具體情況,沒有緩解功能的 CASB 對公司的用途可能有限。

整合:公司必須確保其 CASB 將與其所有系統和基礎結構整合。如果沒有完全整合,CASB 將無法全面瞭解未經授權的 IT 和潛在的安全威脅。

資料隱私:CASB 廠商是會對資料保密,還是說他們只是接觸敏感性資料的其中一個外部方?如果 CASB 將他們客戶的資料移動到雲端,其安全性和隱私性如何?這些問題對於遵照嚴格的資料隱私規定而運作的組織來說尤其重要。

誰需要 CASB?

大多數部分依賴或完全依賴雲端的企業都可以從與 CASB 廠商的合作中受益。正在努力遏制影子 IT 增長(這是當今許多企業的主要關注點)的企業尤其可以從 CASB 服務中受益。

CASB 如何與 SASE 整合?

安全存取服務邊緣 (SASE) 是一種基於雲端的網路基礎結構模型,它將網路和安全性服務整合到單一服務提供者,讓公司能夠更簡單地在所有已連接裝置上保護和管理網路存取。與 CASB 捆綁各種安全性服務的方式相同,SASE 將 SD-WAN(和其他網路功能一起)與 CASB、安全 Web 閘道 (SWG)Zero Trust 網路存取 (ZTNA)防火牆即服務 (FWaaS) 以及其他網路安全功能捆綁起來。SASE 解決方案建立在單個全球網路基礎之上。

Cloudflare 有 CASB 產品嗎?

Cloudflare One 在單一平台上整合了 CASB、DLP、Zero Trust 、SWG 和瀏覽器隔離功能。這些服務由 Cloudflare 網路提供,盡可能靠近終端使用者,並可位於內部部署、雲端和混合網路的前端。瞭解有關 Cloudflare One 的更多資訊