云访问安全代理CASB(Cloud Access Security Broker)是一种安全解决方案,专门设计来保护企业的SaaS(Software as a Service,软件即服务)应用程序。它通过在用户和云服务提供商之间提供一个监控和控制点,来确保安全的数据传输和访问控制。CASB可以实现对SaaS应用的全面可见性,使企业能够监控和管理对这些应用的访问,从而预防数据泄露和不合规行为。例如,提供对SaaS应用的精细管控,阻止内部威胁、影子IT和高风险的数据分享行为。
为什么需要CASB
什么是SaaS应用
SaaS是一种通过互联网提供软件的模式。用户不需要在自己的计算机上安装软件,而是通过网络访问由SaaS提供商托管在云端的软件。这种服务模式允许用户根据需求订阅软件服务,而不是购买完整的软件包。SaaS应用的一个显著特点是它的可访问性和便捷性,用户可以随时随地通过互联网连接使用软件。SaaS应用广泛应用于各种业务场景,包括网盘、在线会议、客户关系管理(CRM)、企业资源规划(ERP)、电子邮件营销、会计和人力资源管理等。通过SaaS,企业可以利用最新的技术和工具,而无需投资昂贵的硬件和软件基础设施。SaaS的另一个优势是它支持跨平台使用,用户可以在不同的设备和操作系统上访问相同的应用程序,确保了工作流程的连贯性和效率。总之,SaaS提供了一种高效、可扩展且成本效益高的软件使用方式,正因如此,它已成为当代企业数字化转型的重要推动力。
SaaS应用带来的威胁
SaaS应用突破了企业原有的物理安全边界,将企业内部大量的敏感信息存储在公共服务器上,如果不进行专门的安全防护会造成企业敏感信息的泄漏。一方面,SaaS应用可能存在权限控制不严的情况,一些用户可能会获取到超出其职能范围的数据,这极易导致信息泄漏;另一方面,企业账户和个人账户混用的现象也可能存在,这种混乱的使用模式使得数据的访问和管理缺乏明确界限,从而增加了信息泄露的风险。
SaaS应用安全面临的挑战
- 业务上云
业务上云为SaaS应用带来了一系列安全挑战,这些挑战主要集中在数据保护、访问控制、身份验证和应用程序的安全配置方面。首先,数据保护是一个重要问题,因为数据不再存储在本地服务器上,而是存储在云服务提供商的基础设施中,这就需要确保数据在传输和存储过程中的加密和安全。其次,访问控制变得更加复杂,因为用户可以从任何地点访问SaaS应用,这就要求有更强的身份验证和授权机制来防止未授权访问。此外,云环境的动态性要求安全配置必须持续更新以适应不断变化的环境,这增加了管理的复杂性。错误配置是导致安全事件的另一个主要原因,组织需要采取自动化和持续扫描措施来防止此类事件发生。缺少对SaaS安全设置变化的可见性和过多部门拥有访问权限也是导致错误配置的原因之一。
- 分支办公
多地域协作办公环境中的SaaS应用面临着一系列独特的安全挑战。多地域协作可能导致权限管理变得复杂,因为需要对不同地区的员工分配不同级别的访问权限。此外,遵守不同地区的数据保护法规也是一个挑战,企业必须确保其SaaS应用符合所有相关地区的法律要求。另一个挑战是投资不足。许多组织倾向于增加对业务关键型SaaS应用的投入,而对SaaS安全工具和人员的投入相对较少。这导致现有的安全团队承担了更多的监控责任,而没有足够的资源来支持他们的工作。使用自动化技术监控SaaS安全可以帮助减轻这种压力,但目前只有少数组织采用了这种技术。SaaS安全的错误配置与数据防泄漏、访问控制、密码管理和多因素认证等问题密切相关。组织希望避免未授权访问和泄漏公司的重要数据。因此,为安全团队提供对SaaS应用程序安全设置可见性的能力变得尤为重要。这种可视性允许多个部门保持其访问权限,而不会导致不适当的变更,从而使组织免受攻击。
- 移动办公
移动办公环境下,SaaS应用面临的安全挑战主要包括设备丢失或被盗、数据泄露、系统碎片化、应用市场的安全性、手机病毒以及公私数据混用等问题。设备的便携性使其易于丢失,进而导致企业数据的泄露风险增加。员工可能因个人行为不慎或恶意泄密,给企业带来数据泄露的损失。此外,移动操作系统的碎片化问题使得统一管理变得困难,应用市场中的安全性也不容忽视,恶意软件的传播可能会使移动设备成为攻击企业网络的跳板。公私数据的混用也可能导致个人隐私和企业数据的安全问题。
为了应对这些新的挑战,CASB应运而生,专门提供针对SaaS应用的整体安全解决方案,帮助上云的企业统一管理SaaS应用的使用权限、数据安全和威胁防护。
CASB是如何工作的
在CASB中,SaaS应用被分为两类。一类是经企业批准的应用,这类应用是企业基于业务需求、安全评估等因素决定采用的,例如提供整体办公平台的Office365和Google Workspace,以及提供办公OA、HR管理系统、网络存储等单项功能的SaaS应用。另一类是未经企业批准,但员工私自使用的应用,例如AI应用突然火爆,部分员工是直接访问这类应用进行尝试。针对这两类应用,CASB会采用不同的处理方式并赋予不同的网络权限。
为了有效地管理这两类应用,CASB采用了不同的工作模式,其中主要包括Inline CASB和API CASB。
Inline CASB
Inline CASB一般内嵌在网络出口的网关中,对进出企业的流量进行检查、分析和控制。基于企业的流量,Inline CASB首先对提供SaaS应用使用情况的报表展示,帮助企业中的网络管理员掌握公司内SaaS应用的使用情况。随后Inline CASB会按照是否批准对SaaS应用进行分类,同时提供SaaS应用使用情况的排名和多个维度的统计,帮助网络管理员更深入的了解情况,从而发现存在的潜在问题,例如某个SaaS应用被大量员工使用等异常情况。最后,Inline CASB支持对SaaS应用进行细粒度的控制,对于被批准的SaaS应用,一般会配置放行策略,保障正常使用。如果SaaS应用功能比较复杂,部分企业会根据应用的不同功能设置更加详细的访问策略,例如某Dropbox应用仅允许下载文件但是不允许上传文件。更进一步,访问策略还可以基于账号的类型进行区分,例如仅允许本企业的账号登录并使用SaaS应用而不允许使用个人账号使用。对于传输的文件内容Inline CASB也会进行基于关键字的过滤,防止带有企业特殊标识的数据泄露到外部。
API CASB
API CASB不直接处理流量,而是通过SaaS应用对外提供的API访问SaaS应用内部的各种信息,包括各种配置信息、文件内容和访问日志。对于被批准的应用,如企业邮件系统SendGrid,API CASB能够基于这些信息进行数据的分类、筛查,发现违规或者带有风险的文件并进行处置。同时基于访问日志等信息,可以执行异常检测或者UEBA算法,发现各种潜在的风险并进行报警。对于未被批准的应用,API CASB可检测到企业内部系统与这些应用之间的API调用情况,及时发现并阻止员工私自使用这些应用,保障企业数据和网络安全。
CASB的主要功能有哪些
CASB的主要功能如下:
CASB的4大功能
- SaaS应用行为级别的可视化和管控
CASB主要用于监控和管理对SaaS应用程序的访问。CASB的核心功能之一是提供SaaS应用行为的可视化,这使得企业能够深入了解用户如何与云服务交互。CASB能够提供应用、用户、设备、资产、等不同维度的统计报报表,帮助用户掌握公司内SaaS应用的实际使用情况。由于SaaS应用的复杂性和对企业数据访问权限精细化的诉求,一般需要对SaaS应用的上传、下载、分享等敏感动作进行细分识别。更进一步,结合接入方式、接入地点、用户权限、设备类型等信息,CASB能够帮助企业在保护敏感数据的前提下给员工提供尽量灵活自由的办公环境。
- SaaS应用的自动化识别
在CASB的众多功能中,管理影子IT是一个关键特性。影子IT指的是未经IT部门批准或监督的IT资源的使用,这在企业中很常见,尤其是在员工为了便利和效率而使用个人设备或应用程序时。影子IT可能包括个人存储解决方案、通信工具和其他云服务,这些都可能绕过企业的安全措施。CASB通过提供对所有云服务的可见性,帮助企业发现和管理影子IT。它可以识别和评估未经批准的云应用程序,计算出风险系数,并根据企业的安全需求创建定制策略。例如,CASB可以实施加密、访问控制策略和恶意软件检测等安全措施,以确保员工与他们使用的任何云资产之间的连接是安全的。随着SaaS应用的逐渐增多,通过预置库识别SaaS应用的机制逐渐赶不上新SaaS应用出现的速度,自动化的SaaS应用识别技术能够在不需要人工介入的情况下识别新出现的SaaS应用,从而保护企业的敏感数据不会通过未知的SaaS应用泄漏。除了非受控的SaaS应用之外,大型SaaS应用中的三方插件也是容易造成信息泄露的渠道,另外多个SaaS应用之间的文件多次分享也会造成敏感文件的失控,这些都是CASB需要识别并进行管控的内容。
- SaaS系统中的数据安全
CASB中的DLP(Data Loss Prevention,数据泄漏防护)特性是一种重要的安全措施,旨在保护企业的敏感数据不被未经授权的用户访问或泄露。DLP功能通过监控和控制数据的传输,确保敏感信息如财务数据、个人身份信息和知识产权等在存储、使用和传输过程中的安全。CASB的DLP特性可以识别和分类企业数据,对数据进行加密,以及在数据被传输到非授权的目的地时阻止传输。此外,DLP还能够监控和分析用户行为,识别出潜在的数据泄露风险,例如通过不安全的应用程序或设备传输敏感信息。通过实施DLP策略,企业能够更好地遵守数据保护法规,如GDPR或HIPAA,并减少因数据泄露而可能遭受的财务损失和品牌信誉损害。CASB的DLP特性是现代企业云安全策略中不可或缺的一部分,它提供了一种灵活且强大的方法来保护企业数据免受内部和外部威胁的侵害。
- 针对SaaS系统的威胁防护
CASB的威胁防护特性能够识别和防范各种云应用程序中的异常行为和潜在威胁,如勒索软件、被盗用户账户和恶意软件。通过分析用户行为和应用程序使用情况,CASB可以发现不寻常的活动模式,从而及时识别出潜在的安全威胁。此外,CASB还能够评估未批准应用程序的风险,并根据企业的安全需求制定相应的访问策略和修正措施。这些功能使得CASB成为现代企业在云环境中保护数据和应用程序的重要工具,帮助企业降低风险,执行策略,并保持监管合规。CASB的威胁检测能力不仅限于已知的安全威胁,它还可以通过行为分析来识别新型和复杂的攻击手段。这种自适应的威胁防护机制,结合DLP和合规性管理,为企业提供了一个全面的安全解决方案。通过实时监控和分析,CASB确保企业能够对抗日益复杂的安全挑战,同时也支持企业在多云环境中的工作负载安全。
CASB vs. DLP
DLP是一种广泛的数据安全技术,其功能覆盖企业内部的多种数据环境,它旨在保护企业的数据,防止数据通过各种途径(如网络传输、存储设备等)泄露。CASB是专门针对云服务的安全解决方案,它包含了部分DLP功能,但主要聚焦于SaaS应用场景。两者的关键差异如下图所示。
CASB vs. DLP
CASB在SASE解决方案中的作用
CASB是SASE解决方案中必不可少的一项安全功能,其提供的访问控制、策略实施和威胁预防功能,对保护组织的云资源免遭未经授权的访问和各种网络威胁至关重要。CASB与SASE解决方案中的其他组件紧密配合,实现更完整强大的安全能力:它与SWG配合保护用户访问的Web应用,防止通过浏览器进行的恶意操作;与ZTNA集成提供细粒度的访问控制,确保只有经过认证的用户和设备才能访问特定的云服务。在SASE解决方案中,CASB的核心作用是保护企业对云应用的使用安全,解决云访问中的可见性、控制、数据保护和合规性挑战。它与SASE中的其他组件协同工作,共同构建一个无缝、高效的安全访问框架,适应现代分布式和云优先的IT环境。
华为星河AI融合SASE解决方案遵从MEF的SASE模型标准,将SD-WAN组网、安全性和远程访问融合到统一的安融合解决方案中,并从逻辑功能上将SASE解决方案划分为管控层、SSE层、网络层和终端层。 其中,SSE层通过模块化灵活组合,为用户提供多种安全服务,包括SWG、CASB、ZTNA、FWaaS等流量型安全能力或非流量型安全能力。更多解决方案介绍请参见:华为星河AI融合SASE解决方案,解决方案部署和维护请参见:华为星河AI融合SASE解决方案产品文档。
扫一扫
318
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
