云訪問安全代理(CASB)近幾年有了較大發(fā)展，可作為管理云端及現(xiàn)場系統(tǒng)身份驗證及加密的有效方式。

[[233515]]

可以將CASB想象為企業(yè)所有云端服務及現(xiàn)場系統(tǒng)的中央數(shù)據(jù)身份驗證及加密中心，并可被所有終端訪問，包括私人智能手機和平板電腦。CASB時代以前，企業(yè)安全經(jīng)理看不全公司數(shù)據(jù)的受保護情況。隨著BYOD和非托管設備的盛行，數(shù)據(jù)經(jīng)由個人手機或平板訪問時的風險也在加大。

而隨著云計算的興起，企業(yè)也需要找到跨多個云交付一致安全的方法，保護所有使用企業(yè)數(shù)據(jù)的用戶。CASB由此應運而生，幫助企業(yè)更好更深入地觀察云及SaaS使用情況——細致到單個文件名和數(shù)據(jù)元素的程度。

大多數(shù)主流安全供應商都購買了CASB解決方案：Oracle (Palerra)、IBM (Gravitant)、微軟 (Adallom)、Forcepoint (Skyfence)、Proofpoint (FireLayers)、賽門鐵克 (Skycure) 和邁克菲 (Skyhigh Networks)等等。3家依然屹立的獨立供應商則是CipherCloud、Netskope和Bitglass。

CASB和防火墻同等重要

CASB已成熟，盡管歷史最悠久的提供商也不過才賣了幾年產(chǎn)品而已。很多分析師甚至感覺到CASB將很快擁有防火墻那種PC標配的重要程度。Gartner預測，2020年將有更多企業(yè)使用CASB，比2017年底的10%采納率會高很多。

幾年前，很多企業(yè)購買CASB以遏制當時所謂的影子IT。如今，在很多公司里已被認為是標準操作規(guī)程。IT經(jīng)理會接到其商業(yè)Dropbox銷售代表的電話通知說，有好幾百用戶在用個人Dropbox賬戶——IT經(jīng)理非常不想聽到的消息。這就是CASB供應商最初的銷售說辭：我們可以發(fā)現(xiàn)您所有云數(shù)據(jù)容身之處并能提供保護。傳統(tǒng)安全工具提供不了這種可見性，尤其是企業(yè)數(shù)據(jù)中心從來看不到網(wǎng)絡流量的時候。即便沒在自家機器上，公司企業(yè)還是會想要控制自己的所有數(shù)據(jù)的。

很多企業(yè)IT經(jīng)理一嘗試CASB就會有種大開眼界的感覺。CASB一部署上，IT就會看到十倍于之前估計的在用云服務數(shù)量。CASB的一大賣點正在于此。

現(xiàn)代CASB如何適應當今IT和威脅態(tài)勢

可見性賣點在當時非常成功，但今天的CASB功能更完善更能集成到企業(yè)安全環(huán)境中。很多供應商提供多種方法供自家產(chǎn)品接入郵件服務器、網(wǎng)頁應用網(wǎng)關(guān)設備、身份管理系統(tǒng)和單點登錄工具以跟蹤并預防數(shù)據(jù)泄露，無論有意還是無意。

企業(yè)IT經(jīng)理想要更深入的云數(shù)據(jù)控制而不僅僅是對初始登錄的控制，對用戶登錄身份驗證工具的要求也就不僅僅是二元的“是”或“否”，而是所謂的基于風險的身份驗證或自適應身份驗證。這意味著他們想要強化身份驗證挑戰(zhàn)，以確保最敏感的內(nèi)容不會落到罪犯手中。幾家CASB供應商如今已將此類工具整合到了自己的產(chǎn)品中。

越來越嚴的合規(guī)要求是促進CASB進化的另一股力量，比如歐盟GDPR的實施和數(shù)據(jù)泄露事件越來越高的曝光度。CASB能在單一界面中展示企業(yè)風險點并總結(jié)出安全團隊能快速著手處理可疑行為的事件列表，這是其他產(chǎn)品無法輕易做到的。

驅(qū)動CASB的第三股力量，是托管服務提供商業(yè)務的展開，比如Masergy轉(zhuǎn)售多個CASB解決方案，其中就包括Bitglass。這對希望更快部署CASB工具的中小企業(yè)來說很具吸引力。鑒于大多數(shù)CASB產(chǎn)品主要運行在云端，讓Masergy這樣的公司替自己全天候進行安全監(jiān)測還是很有用的。

最后，多模式運營變得更加普遍。CASB有3種運營模式，越來越多的產(chǎn)品如今在每種模式上都支持多種App：

• 前向代理，通常隨終端代理或VPN客戶端部署
• 反向代理，不需要代理端，能更好地控制非托管設備
• API控制，能看到已存儲在云倉庫的數(shù)據(jù)或云過程中使用而從未進入到企業(yè)網(wǎng)絡中的數(shù)據(jù)

有些供應商將該功能分散到多個產(chǎn)品中：思科的CASB產(chǎn)品僅支持API訪問并通過其Umbrella產(chǎn)品提供代理。其他的，比如微軟，在使用其CASB產(chǎn)品前得預先配備一系列必備產(chǎn)品。

怎樣購買合適的CASB解決方案

在開始評估之前，不妨先用CASB提供商的免費服務計劃看看自己都有哪些云資產(chǎn)。Cofense的Cloudseeker也有這項服務，但他們并不售賣CASB解決方案。大多數(shù)供應商都會在一個月的使用期里免費提供有限數(shù)量的App或服務，供用戶看清自己的資產(chǎn)暴露面和這些工具與自身基礎(chǔ)設施的匹配度。

購買CASB之前你應該考慮：

• 選取關(guān)鍵App初步試點CASB項目，然后以該較小集合運行一個產(chǎn)品，再逐步擴大應用規(guī)模。
• 弄清自己是否想要與現(xiàn)有身份即服務(IDaaS)/單點登錄(SSO)工具整合。
• 別將云訪問看成簡單的“是”或“否”身份驗證事件。知道自己何時需要更細粒度的身份驗證，弄清自己是否想要CASB來施現(xiàn)該功能。
• 知道自己的產(chǎn)品是否支持現(xiàn)場級數(shù)據(jù)加密，怎樣加密。
• 看看多模式CASB，這樣你才能靈活覆蓋多種可能用例，并要確保自己知道產(chǎn)品在每種操作模式下的局限性。
• 檢查產(chǎn)品是否能與安全網(wǎng)頁網(wǎng)關(guān)、應用防火墻、數(shù)據(jù)丟失預防工具和電子郵件提供商融合。對照審查CASB提供的這些功能與現(xiàn)有產(chǎn)品的功能。
• 計算成本。Gartner估算，適用少量云App的單個安裝在15美元/用戶/年左右，更健壯的覆蓋多模式不受限云App的安裝大約在85美元/用戶/年。

主要CASB供應商

• Bitglass
• CipherCloud
• Cisco Cloudlock
• Forcepoint CASB
• IBM Managed Cloud Services
• ManagedMethods
• Masergy
• McAfee/Skyhigh Security Cloud
• Microsoft Cloud App Security
• Netskope
• Oracle CASB Cloud Service
• Palo Alto Networks Aperture
• Proofpoint CASB
• Symantec/Skycure

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文