智安網路丨「雲安全」 什麼是雲訪問安全代理（CASB ）

雲訪問安全代理（Cloud Access Security Broker，CASB，發音為KAZ-bee）是位於雲服務消費者和雲服務提供商（CSP）之間的內部或基於雲的策略實施點，用於監視與雲相關的活動，並應用與基於雲的資源的使用相關的安全性、合規性和治理規則。CASB允許組織將其應用於本地基礎設施的相同類型的控制擴展到雲中，並可以組合不同類型的策略實施，例如：

使用者憑據身份驗證，因此僅向批准的雲服務提供訪問許可權

通過加密、令牌化或其他方式保護資料，因此敏感資訊不會暴露在雲服務或CSP中

雲服務活動監視，以便記錄、標記和分析使用者和實體的行為，以瞭解異常使用模式或受損的憑據

資料丟失預防（DLP），因此敏感資訊不能離開組織的網路，以及

惡意軟體檢測和修復，使敏感資訊無法進入組織的網路。

因此，CASB的目的是提高組織安全、安全地利用雲服務的能力。CASB可以被認為是一個「安全節點」，通過它可以控制對組織雲服務的訪問。作為組織安全基礎設施的一個元件，它補充而不是取代企業和web應用程式防火牆、IDaaS（身份即服務）和安全web閘道器（SWG）等技術。

隨著雲服務和BYOD（「自帶裝置」）政策的廣泛採用，CASBs的重要性與日俱增，這些政策允許個人膝上型電腦、智慧手機、平板電腦和其他非託管裝置接入網路。使用CASBs控制組織的部分或全部雲服務正在擴大，預計大型企業的採用率將翻三倍，從2018年的20%增加到2022年的60%（Gartner，2018年）。在類似的時期內，預計到2023年，雲安全市場整體規模將升至1120億美元左右（Forrester，2017年）。

為什麼我需要一個CASB？

CASBs最初專注於發現Shadow IT（IT部門許可範圍之外的個人或業務單位使用的未知服務），但隨著組織意識到，解決此問題的方法更多地指向受控支援，而不是刪除這些服務，CASBs開始提供跨越四大支柱的功能集：資料安全、法規遵從性、威脅保護和核心可見效能力。

能見度

許多組織已經開始加速雲端計算在各個業務部門的正式採用。這可能導致越來越多的員工在IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟體即服務）以及現在的FaaS（功能即服務）資源上管理自己的安全憑證。在這種環境下，CASBs可以幫助彌合由於集中身份和訪問管理（IAM）的侵蝕而造成的安全漏洞，並改善對這些服務的使用的控制，提供適當的障礙，但不會妨礙員工在房地和外地的自然業務行為。

這種雲訪問控制的整合有助於在已知哪些雲服務正在使用的情況下使用，但對影子IT沒有幫助。這樣的服務可能被用來解決組織的官方IT堆棧中感知到的或實際的缺陷，或者它們可能只是使用者偏好的簡單反映。它們的使用對生產力、效率、員工滿意度，甚至作為創新的源泉，可能對生產力、效率、員工滿意度至關重要，但它不太可能符合組織的安全策略或其他it支援、可靠性、可用性等要求。，也可能是導致災難性資料洩露的惡意軟體來源。

CASB有助於將組織的影子IT暴露出來，不僅能夠支援必要的工作實踐，同時確保它們不會影響任務，而且還可以顯示真實的雲支出，從而改進成本控制。

資料安全

許多組織已經開始將IT資源從自己的資料中心遷移到多個雲中，包括Amazon Web Services（AWS）、microsoft azure、Google雲平臺（GCP）提供的雲，以及SaaS供應商市場上廣泛的線上應用程式。員工已經在通過這些服務共享敏感資料了，這些服務包括Office 365、Salesforce、Amazon S3、Workday等，其中許多服務主張某種形式的共享責任模型，將資料安全責任推給客戶。

然而，對雲本身安全性的擔憂在很大程度上是錯誤的。大多數CSP的基礎設施，尤其是那些提供主流服務的CSP，無疑是高度安全的。相反，應關注CSP提供的安全控制措施的正確配置，以及確定不可用的所需控制措施。最近的一份報告發現CSP，僅僅由於這些配置錯誤或缺失，超過15億個檔案暴露在雲和雲相關服務中，如S3、rsync、SMB、FTP、NAS驅動器和web伺服器（Digital Shadows，2018）。預計到2023年，至少99%的雲安全故障將由雲服務消費者而非（CSP）犯下的錯誤造成（Gartner，2018）。雖然一些CASB現在提供雲安全態勢管理（CSPM）功能，通過加密等附加控制來評估和降低IaaS、PaaS和SaaS產品中的配置風險，但CASB可以為組織提供進一步的保險，即使存在錯誤配置，敏感資料也不會受到損害。當特定的雲服務沒有提供足夠的資料保護時，或者當需要針對CSP本身提供這種保護時，這種保險就顯得尤為必要。

大多數CASB都是從兩種與資料安全相關的初始姿態中發展而來的：側重於資料丟失預防（DLP）和威脅檢測，或者提供加密或令牌化來解決隱私和資料駐留問題。雖然這些起始位置隨後擴展到覆蓋所有這些特性，但已經從提供健壯的以資料為中心的安全性和金鑰管理轉向了。如今，對於大多數CASB來說，資料安全主要指DLP，它使用各種機制來檢測受許可雲服務內的敏感資料，或在將其上載到雲服務（已批准或隱藏）時，然後阻止、刪除、法律封存或隔離標記為潛在違反策略的內容。這通常支援本地和遠端雲服務使用者，無論是來自移動應用程式、web瀏覽器還是桌面同步客戶端。但DLP只能在雲服務內部和跨雲服務共享資料變得越來越容易的環境中走到這一步。任何使用雲端儲存資料的組織都應該意識到，CASB可能無法檢測到資料是如何或與誰共享的，甚至是誰共享的。

強大的以資料為中心的保護機制可以解決這種漏洞風險，但儘管許多CASB宣傳加密或標記傳送到雲端的資料的能力，但這些功能現在往往僅限於少數主流服務，如Salesforce和ServiceNow。CASBs開始新增這些特性——為了滿足分析師的評級，以及為了實現或保持競爭對手的平等——發現密碼學是一個具有挑戰性的技術領域。實施和維護密碼系統需要相當多的主題專業知識，這種專業知識通常不屬於CASB核心能力的範圍。因此，一些CASB已經退出或不再積極地推銷這些特性，而有些則通過「資料安全性」的一般性主張來混淆它們的能力不足或適用性受限，而這些「資料安全性」只涉及DLP、自適應訪問控制（AAC）等。

此外，雖然美國頒佈了《澄清合法海外使用資料（雲）法》（Clarifying Legal Overseas Use of Data（CLOUD）Act），而且人們對歐盟《通用資料保護條例》（GDPR）的理解不斷加深，強烈表明加密和金鑰管理正成為關鍵能力（Gartner，2019），但在採用這些技術時仍有些猶豫，第三方應用程式的加密和第三方服務的功能也會受到影響。然而，通過一些供應商（如Micro Focus Voltage）提供的應用加密技術的持續創新，已經將這些對功能的影響降到了最低，因此，現在有必要評估將欄位和檔案級資料保護委託給CSP或根本不應用它的成本和風險。

合規

在許多行業和地區，更嚴格的隱私法的出臺也可能會影響運營。地區性法規，如GDPR、加利福尼亞消費者隱私法（CCPA）、巴西通用資料保護法（LGPD）和印度個人資料保護法案，以及PCI DSS、SOX、HIPAA、HITECH、FINRA等行業法規，此外，FFIEC正在創建一系列法規遵從性要求，這些要求的複雜性將許多組織推向最保守的全球地位：確保企業及其客戶的敏感資料無論在何處，都能得到最大程度的保護。

具有跨多個應用程式的強大資料隱私控制的CASB有助於實現這一點；通過策略意識和資料分類功能，CASB可以幫助確保遵守資料駐留法律，並根據不斷更新的法規要求對安全配置進行基準測試。

威脅檢測和預防

CASB可以保護組織抵禦不斷膨脹的惡意軟體，包括通過雲端儲存服務及其相關的同步客戶端和應用程式引入和傳播。CASB可使用先進的威脅情報來源，實時掃描和修復內部和外部資源的威脅；通過檢測和防止未經授權訪問雲服務和資料，識別受損使用者帳戶；並將靜態和動態分析與機器學習和UEBA（使用者實體行為分析）功能相結合，識別異常活動、勒索軟體、資料過濾等。

CASB是怎麼工作的？

CASB可以作為代理和/或API代理進行部署。由於某些CASB特性依賴於部署模型，「多模式」CASB（同時支援代理和API模式的CASB）為如何控制雲服務提供了更廣泛的選擇。

在代理模式下部署的CASB通常側重於安全性，並且可能被配置為資料訪問路徑中的反向或正向代理，在雲服務消費者和CSP之間。反向代理CASB不需要在端點上安裝代理，因此可以通過避免配置更改、證書安裝等來更好地為非託管（例如BYOD）裝置工作。但是，它們不像前向代理CASB那樣控制未經授權的雲使用，所有來自託管端點的流量都通過它進行定向，包括到未經批准的雲服務的流量：這意味著一些非託管裝置可能會從網路中溜走。因此，轉發代理CASB通常需要在端點上安裝代理或VPN客戶端。如果代理和VPN客戶端配置錯誤或被錯誤關閉，敏感流量可能無法繞過檢查轉發到CASB。

在API模式下部署的CASB專注於通過SaaS（以及越來越多的IaaS和PaaS）服務提供的API管理SaaS應用程式，包括靜態資料檢查、日誌遙測、策略控制和其他管理功能。它們可以很好地與非託管裝置一起工作，但是，由於只有主流雲服務通常提供API支援，而且在不同程度上提供了這樣的支援，僅API的CASB不太可能涵蓋所有必需的安全特性。雖然SaaS供應商和其他csp可能會增強它們的API來彌補這一差距，但與此同時，只有API的casb不能提供足夠健壯的功能來滿足可伸縮性和可用性需求。此外，由於使用者和雲服務之間的資料交換量不斷增加，當csp限制對API請求的響應時，API模式的casb會出現無法管理的效能下降。因此，代理模式仍然是一個關鍵功能。

CASB可以在企業資料中心中運行，也可以在涉及資料中心和雲的混合部署中運行，或者只在雲中運行。專注於以資料為中心的保護，或受隱私法規或資料主權考慮的組織，往往需要內部解決方案來保持對安全基礎設施的完全控制。此外，僅限雲端計算的casb通過「自帶金鑰」（BYOK）模型強加的責任授權和第三方信任要求可能違反內部或外部政策，這個有問題的位置自然延伸到CSP自己提供的安全服務，CSP可能還需要白名單CASB的IP地址。

Voltage SecureData Sentry是CASB嗎？

Voltage SecureData Sentry是一家專門從事資料保護的安全代理，不僅適用於雲服務，還適用於本地應用程式。因此，它不是傳統的CASB，因為它不尋求在四個支柱上提供其他功能。取而代之的是，Sentry與專門提供這些補充功能的casb共存，同時通過加密來增加強大的以資料為中心的保護機制，這些機制可以應用於SaaS和其他雲服務以及內部網路中的商業和自行開發的應用程式。

Voltage SecureData具有創新性和基於標準的特點，並且已經過國際公認的獨立密碼機構的安全強度獨立驗證。全球多個行業中最敏感和最安全的It部門都信任這些資料。

格式保護加密（FPE）與無狀態金鑰管理系統相結合，避免了安全管理員的額外負擔，可確保在欄位級別以不破壞現有資料庫架構或SaaS欄位類型或大小限制的方式應用保護。安全無狀態令牌化（SST）確保包含信用卡號碼或SSN的數字欄位得到保護，而不需要令牌資料庫的管理或效能開銷，同時允許欄位的選定部分保持清晰，例如前六位或後四位，以支援路由或客戶驗證。格式保留雜湊（FPH）確保分析和其他用例的資料引用完整性，同時遵守GDPR的擦除權等法規。此外，通過其他創新，如支援部分和通配符搜尋詞的安全本地索引，以及用於SMTP中繼的安全電子郵件地址格式，Sentry保留了受競爭解決方案影響的應用程式功能。

組織可以在本地和/或雲端部署哨兵。Sentry與支援ICAP（Internet內容適配協議）的網路基礎設施（如HTTP代理和負載平衡器）進行通訊，以將安全策略應用於往返於雲端的資料，它還攔截JDBC（Java資料庫連線）和ODBC（開放資料庫連線）API呼叫，以對進出資料庫的資料應用安全策略。無論部署在何處，企業都保留對基礎架構的完全控制，而無需與任何其他方共享加密金鑰或令牌保險庫，而且Sentry的檢查模式確保安全策略可以針對包含敏感資訊的特定資料欄位和檔案附件。