【51CTO.com 快譯】對于那些已經(jīng)開始考慮使用云訪問安全代理(CASB)產(chǎn)品的IT團隊來說，他們經(jīng)常會提及的一個問題是：“我們已經(jīng)有了一個網(wǎng)絡(luò)代理(Web Proxy)和/或防火墻，云訪問安全代理的區(qū)別在于何處?”或問：“云訪問安全代理會取代我們現(xiàn)有的網(wǎng)絡(luò)代理和防火墻嗎?“這些的確是會被自然問及的，因為網(wǎng)絡(luò)代理和防火墻已經(jīng)對企業(yè)網(wǎng)絡(luò)與云服務(wù)之間的往來流量都具有了“可視性”。然而，云訪問安全代理與現(xiàn)有的網(wǎng)絡(luò)安全解決方案之間存在著顯著差異。讓我們首先來消除一個主要的誤解：云訪問安全代理并非現(xiàn)有網(wǎng)絡(luò)安全工具的替代品，反之亦然。

[[170414]]

云訪問安全代理對于代理和防火墻來說是一個單獨且不同的市場。云訪問安全代理可被部署為正向或反向代理模式以實施帶內(nèi)控制。但是它與網(wǎng)絡(luò)代理的相似之處僅限于此。不像那些專注于廣泛的入站威脅并過濾非法網(wǎng)站網(wǎng)絡(luò)安全解決方案，云訪問安全代理所專注的是云服務(wù)使用的高可視性和細粒度控制。云訪問安全代理可以應(yīng)用程序接口(API)模式部署來掃描云服務(wù)里的數(shù)據(jù)并使之合規(guī)。下述幾點是現(xiàn)有網(wǎng)絡(luò)安全解決方案所不具備的，云訪問安全代理獨有的一些高級功能：

· 對每個云服務(wù)提供一個詳細的、獨立的風(fēng)險評估 (例如合規(guī)認證，近期數(shù)據(jù)泄露，安全控制，司法判定)。

· 實施風(fēng)險相關(guān)策略(例如：屏蔽所有高風(fēng)險的文件共享服務(wù)并顯示實時的提示信息指導(dǎo)用戶獲取推送服務(wù))。

· 基于上下文的用戶行為訪問控制 (例如：防止用戶從遠程網(wǎng)絡(luò)的非托管設(shè)備上下載報告)。

· 實施以數(shù)據(jù)為中心的安全策略(例如：對上傳到云端的數(shù)據(jù)進行加密或?qū)嵤?quán)限管理以保護敏感數(shù)據(jù)的下載)。

· 應(yīng)用機器學(xué)習(xí)來檢測威脅(例如：一個IT用戶下載不尋常大小的敏感數(shù)據(jù)并上傳到另一個云應(yīng)用程序的個人賬戶里)。

· 實時響應(yīng)來自云端的威脅(例如：在一個內(nèi)部威脅發(fā)送時終止某個帳戶的訪問，或在賬號可能被盜用時，增加額外的身份驗證因素方能繼續(xù)使用云服務(wù))。

· 增強云端數(shù)據(jù)相關(guān)策略(例如：撤銷共享給業(yè)務(wù)合作伙伴的文件的共享權(quán)限，或是追溯加密的敏感數(shù)據(jù))。

網(wǎng)絡(luò)代理/防火墻的云相關(guān)功能

網(wǎng)絡(luò)代理和防火墻提供廣泛的網(wǎng)絡(luò)威脅防護。作為該保護的一部分，在沒有云訪問安全代理集成的情況下，他們提供有限的云使用可視性。例如：盡管這些解決方案無法映射用戶訪問云服務(wù)的地址(URLs)，它們在公司網(wǎng)絡(luò)里跟蹤各種云服務(wù)的訪問。一些客戶使用他們的網(wǎng)絡(luò)安全解決方案來終止SSL連接并檢查到惡意軟件內(nèi)容。代理和防火墻也會對云服務(wù)進行高級分類(例如：技術(shù)與互聯(lián)網(wǎng)、商務(wù)與經(jīng)濟、是否可疑等)。然而這些類別一般并不能反映服務(wù)的潛在功能類型，例如：文件共享、客戶關(guān)系管理(CRM)或是社交媒體。

網(wǎng)絡(luò)安全解決方案的主要用例之一是對成千上萬個包含色情、毒品、賭博等類型的非法網(wǎng)站進行分類和訪問控制。網(wǎng)絡(luò)代理可以將那些向特定URLs的訪問嘗試重定向到一個標(biāo)明該URL被阻止掉了的網(wǎng)頁上。同樣，防火墻可以被配置來屏蔽特定的IP地址。這兩種方案缺少詳細的且與時俱進的云服務(wù)URL和IP地址注冊列表，用以擴展其云服務(wù)訪問控制的功能。一些企業(yè)經(jīng)常會發(fā)現(xiàn),盡管他們可能最初阻止了一些云服務(wù)，但是惡意云提供商仍定期引入新的不被屏蔽掉的URL和IP地址。這導(dǎo)致了員工隔一段時間后仍能訪問到一些本該阻止的云服務(wù)。這是一種“代理泄漏”的普遍現(xiàn)象。

我們傳統(tǒng)的對IP聲譽度的專注，并不直接適用于云服務(wù)方面。有時某個云服務(wù)的IP聲譽度雖然很高，但由于其安全控制的缺乏，可能并不適合于企業(yè)數(shù)據(jù)的存儲。例如，一個持有良好的IP的文件共享服務(wù)卻允許匿名使用，并與第三方共享客戶數(shù)據(jù)，或者其主機放置在隱私權(quán)保護不善的國家，且三個月前經(jīng)歷了密碼泄漏事件等。沒有IT領(lǐng)導(dǎo)層會愿意將企業(yè)敏感數(shù)據(jù)上傳到此服務(wù)上。顯然沒有這些屬性特征的注冊記錄，網(wǎng)絡(luò)安全解決方案將無法實施風(fēng)險相關(guān)策略的。此外，由于許多云服務(wù)不使用標(biāo)準的HTTP內(nèi)容處理頭(content-disposition headers)，網(wǎng)絡(luò)安全解決方案無法通過執(zhí)行數(shù)據(jù)泄漏防護(DLP)方法來防止敏感數(shù)據(jù)的上傳。

云訪問安全代理如何與網(wǎng)絡(luò)代理和防火墻集成呢?

云訪問安全代理其實是網(wǎng)絡(luò)代理和防火墻的互補技術(shù)。通過與這些解決方案集成，云訪問安全代理可以利用現(xiàn)有的網(wǎng)絡(luò)架構(gòu)來獲得云服務(wù)使用的可視性。同時，云訪問安全代理通過云認知(cloud-aware)來實現(xiàn)其自身的使用價值。我們可從日志收集、數(shù)據(jù)包捕獲和代理串聯(lián)這三個主要方法來進行云訪問安全代理與網(wǎng)絡(luò)安全方案的集成。

日志收集

網(wǎng)絡(luò)代理和防火墻能捕獲網(wǎng)絡(luò)中云服務(wù)使用的數(shù)據(jù)，但它們可能并不區(qū)分云服務(wù)使用過程中的具體網(wǎng)站的使用。云訪問安全代理則可以通過分析這些解決方案的日志，來解析出具體是誰使用了什么樣的云服務(wù)，從云端上傳和下載的數(shù)據(jù)量，和每種云服務(wù)的風(fēng)險及類別。實際上，云訪問安全代理通過現(xiàn)有的基礎(chǔ)架構(gòu)實現(xiàn)云認知(cloud-aware)。云訪問安全代理檢測到基礎(chǔ)架構(gòu)的邏輯“出口”處的策略缺口，向他們推送具有最新云服務(wù)的URLs的訪問政策來彌補此缺口。云訪問安全代理還可以通過收集具有用戶使用云服務(wù)的行為細節(jié)的日志，達到終止某些客戶使用SSL的效果。使用機器學(xué)習(xí)，云訪問安全代理還可作為一個數(shù)據(jù)泄漏的參考源來檢測那些使用云端傳播的檢測惡意軟件或僵尸網(wǎng)絡(luò)。

數(shù)據(jù)包捕獲

在數(shù)據(jù)包捕獲的部署模式下，云訪問安全代理通過現(xiàn)有網(wǎng)絡(luò)安全解決方案的反饋數(shù)據(jù)流來獲得數(shù)據(jù)內(nèi)容的可視性。例如，云訪問安全代理可以通過ICAP協(xié)議與網(wǎng)絡(luò)代理集成。在被配置為僅監(jiān)控(monitor-only)的模式下，網(wǎng)絡(luò)代理被配置為復(fù)制并轉(zhuǎn)發(fā)云端流量至云訪問安全代理，來對數(shù)據(jù)泄漏防護(DLP)進行評估。許多云服務(wù)通過定制HTTP內(nèi)容處理頭(content-disposition headers)來提高其應(yīng)用程序的性能。這些定制HTTP內(nèi)容處理頭對防止網(wǎng)絡(luò)安全解決方案(和與之運用ICAP協(xié)議集成的本地數(shù)據(jù)泄漏防護方案)檢測數(shù)據(jù)內(nèi)容的泄漏反而帶來了意想不到的副作用。云訪問安全代理使用詳細的云服務(wù)簽名來檢查云流量，評估數(shù)據(jù)泄漏防護策略，并生成DLP策略違規(guī)的報警。

代理串聯(lián)

云訪問安全代理可以被部署為轉(zhuǎn)發(fā)代理模式。許多組織已經(jīng)有了一個網(wǎng)絡(luò)代理，他們也不希望再部署另一個代理節(jié)點。在代理串聯(lián)模式下，下游的網(wǎng)絡(luò)代理被配置為轉(zhuǎn)發(fā)所有云服務(wù)流量至云訪問安全代理。該部署模式中，云訪問安全代理能實時執(zhí)行管控和安全策略。例如，云訪問安全代理能通過執(zhí)行訪問控制策略來阻止特定受限的云服務(wù)功能。同時它還能在用戶試圖訪問允許以外的服務(wù)時以顯示規(guī)勸式信息的方式通知用戶，或者重定向用戶到被允許的云服務(wù)。不同于數(shù)據(jù)包捕獲，該部署方式允許云訪問安全代理實施帶內(nèi)的DLP策略以防止被違反。

綜上所述，云訪問安全代理增強了企業(yè)對網(wǎng)絡(luò)安全解決方案的投資價值。并非以一個破壞性的方式替代現(xiàn)有方案，云訪問安全代理集成并擴展了它們對云服務(wù)的處理能力。網(wǎng)絡(luò)代理/防火墻和云訪問安全代理在功能上有明顯不同。不再是誰替代誰，他們一起為保護企業(yè)數(shù)據(jù)轉(zhuǎn)移到云端提供了更好云服務(wù)使用的可視性和執(zhí)行合規(guī)以及管控的能力。

原文標(biāo)題：How CASB Is Different from Web Proxy / Firewall

深入閱讀

API和代理，哪種云訪問安全代理方式能提供最好的保護

云訪問安全代理(CASB)軟件的出現(xiàn)旨在幫助IT人員獲知整個云環(huán)境的安全狀況。云訪問安全代理是置于云服務(wù)用戶和一個或多個云服務(wù)提供商之間的安全實施策略。他們可以駐留于企業(yè)系統(tǒng)環(huán)境內(nèi)，或是由云提供商所掌管。無論哪種方式，一個在使用多個云提供商的云服務(wù)時，云訪問安全代理為信息安全專業(yè)人員提供在安全與合規(guī)性的關(guān)鍵控制點。他們加強了企業(yè)諸如在用戶、設(shè)備以及云資源之間相互訪問等許多層面上的安全策略。

究竟如何將云訪問安全代理集成到您云接入安全策略，從而對您的安全方案的維度以及網(wǎng)絡(luò)性能帶來改變呢?這里有兩個主要的云訪問安全代理部署方式：應(yīng)用程序接口(API)和代理。

◆基于代理的解決方案

帶內(nèi)的基于代理的解決方案是通過一個網(wǎng)關(guān)來檢查和過濾已知的用戶和設(shè)備。因為所有流量都經(jīng)過一個單獨的節(jié)點，代理便可實時采取安全措施。不過可惜的是：一個單獨的節(jié)點也就意味著它降低了網(wǎng)絡(luò)性能,且僅已知用戶提供保護。此外, 基于代理的解決方案僅對SaaS(Software as a Service)云服務(wù)的提供安全保護，對IaaS(Infrastructure as a Service)和PaaS(Platform as a Service))云卻愛莫能助。

◆基于API的解決方案

基于API的云訪問安全代理是一個帶外的解決方案，它并不占用數(shù)據(jù)流量的相同網(wǎng)絡(luò)路徑。由于直接與云服務(wù)相集成，基于API的解決方案無性能下降的弊端，他們能同時對SaaS、IaaS和PaaS三種云服務(wù)的托管和非托管流量提供安全保護。

一些業(yè)內(nèi)專家建議使用多模的方法，即同時支持API和代理的方法的云訪問安全代理架構(gòu)。在現(xiàn)實中，盡管其實現(xiàn)方式不同，API和代理這兩種方法的確被聯(lián)合使用并實現(xiàn)了多模的效果。

隨著企業(yè)將更多的關(guān)鍵業(yè)務(wù)功能轉(zhuǎn)移到云端環(huán)境上，實施云訪問安全代理已經(jīng)成為一種必要的控制手段。在決定實施云訪問安全代理之前，了解兩個備選方案并做出正確的選擇是非常重要的。

原文標(biāo)題：API vs. Proxy: How to Get the Best Protection from Your CASB

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】