在向云應(yīng)用程序和數(shù)字化轉(zhuǎn)型的大規(guī)模轉(zhuǎn)變中，云訪問安全代理 (CASB) 應(yīng)運而生。當用戶從企業(yè)外圍內(nèi)訪問這些資產(chǎn)時，CASB旨在減輕圍繞云資產(chǎn)的風(fēng)險。

有時，我們很容易將CASB視為發(fā)現(xiàn)和保護數(shù)據(jù)訪問的技術(shù)或功能的集合。有趣的是，當推出CASB時，他們的重點是加密靜態(tài)和傳輸中的數(shù)據(jù)。相比之下，用戶仍然駐留在企業(yè)的外圍內(nèi)。CASB為云外圍提供了與本地外圍類似的檢查和安全級別。

很多企業(yè)使用CASB日志分析功能來識別影子IT。隨后，CASB供應(yīng)商不斷改進他們的產(chǎn)品，添加數(shù)據(jù)丟失防護(DLP)、安全 Web 網(wǎng)關(guān) (SWG) 和其他功能。

云計算、遠程工作催生新的網(wǎng)絡(luò)模式

在過去十年，云轉(zhuǎn)型加速。在2020年，COVID-19疫情帶來結(jié)構(gòu)性轉(zhuǎn)變，迫使最終用戶離開辦公環(huán)境中的傳統(tǒng)本地網(wǎng)絡(luò)外圍，轉(zhuǎn)而在家工作。這一現(xiàn)實帶來對更成熟的架構(gòu)模型的需求。

當用戶訪問云服務(wù)和企業(yè)外圍內(nèi)的資產(chǎn)時，這里需要新的模式來保護用戶，無論用戶的物理位置如何，同時提供相同的網(wǎng)絡(luò)安全服務(wù)和控制。Gartner將這種模式命名為安全訪問服務(wù)邊緣(SASE)，發(fā)音同sassy。

從這個角度來看，CASB和SASE不一定是相互對立的。相反，SASE是CASB的自然演進過程，與其他功能一起發(fā)展為架構(gòu)框架。SASE安全模型是端到端安全的藍圖。它將外圍安全與云安全相結(jié)合，結(jié)合嚴格網(wǎng)絡(luò)訪問控制(遵循零信任概念)，并將CASB作為該模式的組件。

考慮到這個模式，并設(shè)想SASE架構(gòu)圖，我們看到的關(guān)系不是CASB與SASE，而是SASE中的CASB。

云訪問安全代理功能

CASB和SASE的共同點是A代表Access(訪問)。讓我們看看訪問的定義，將其區(qū)分為公共可用資源和私有資源：

• 訪問企業(yè)的SaaS應(yīng)用程序，例如Microsoft 365、Salesforce、代碼存儲庫或其他資產(chǎn)，這些應(yīng)用程序可能運行在云端，作為即服務(wù)使用并需要用戶身份驗證;
• 訪問IaaS資源，以完成操作、維護和部署目的，這些資源位于云環(huán)境，例如AWS、Google Cloud Platform和Microsoft Azure。
• 訪問企業(yè)數(shù)據(jù)中心資產(chǎn)、HR系統(tǒng)和財務(wù)軟件，包括第三方或承包商遠程訪問。

CASB的主要目標之一是抵御對存儲在云端信息的未經(jīng)授權(quán)訪問，以及降低此類數(shù)據(jù)泄露的風(fēng)險。我們可以稱之為風(fēng)險控制，而不只是純粹的安全控制。

在開發(fā)CASB時，它有三個目標：影子IT預(yù)防、加密，以及阻止將機密信息上傳到未經(jīng)批準的云應(yīng)用程序。另一方面，它也試圖控制非授權(quán)用戶對授權(quán)應(yīng)用程序的訪問。CASB的另一個功能是識別敏感信息，并使用公司定義的策略來限制對這些數(shù)據(jù)的訪問，在某些情況下，使用用戶和實體行為分析。

安全訪問服務(wù)邊緣功能

在查看SASE的優(yōu)勢時，最關(guān)鍵的功能之一是零信任網(wǎng)絡(luò)訪問 (ZTNA)。遠程工作人員使用它來訪問公司資源。同時，它們已通過身份驗證并獲得應(yīng)用程序級別的訪問權(quán)限，支持和推動NIST Special Publication 800-207的想法。

在SASE的早期階段，軟件定義WAN (SD-WAN) 設(shè)備與SWG緊密耦合。這為擁有多個辦事處的企業(yè)提供了快速入門，并以更直接的方式控制和優(yōu)化ISP鏈接。

隨著轉(zhuǎn)向在任何地方工作，很多SWG 供應(yīng)商開發(fā)一種最終用戶客戶端，該客戶端在計算機上運行，使流量能夠以安全的方式路由到SWG供應(yīng)商最近的存在點。在此配置中，最終用戶可以從相同的安全級別中受益，而不受位置限制。唯一的要求是互聯(lián)網(wǎng)連接。當用戶返回辦公室時，他們不必關(guān)閉客戶端，并保持相同的安全級別。

現(xiàn)在，SD-WAN設(shè)備的功能主要是連接公司位置;保護無法安裝客戶端的服務(wù)器和其他設(shè)備;并提供對無法遷移到云端的遺留系統(tǒng)的訪問。

同一個供應(yīng)商提供SASE安全功能很有意義，這包括CASB、DLP、SWG和ZTNA等。這些供應(yīng)商提供更好的流量路由、更少的排除、更好的監(jiān)控和故障排除，以及最重要的是，單一管理平臺用于安全策略創(chuàng)建。這種整合可以減少安裝在客戶設(shè)備上的客戶端數(shù)量。它還可以實現(xiàn)更輕松的策略創(chuàng)建、故障排除、安全計劃的整體更好的指標，以及高層管理人員的可見性。

因此，Gartner定義了一個新的市場，稱為安全服務(wù)邊緣 (SSE)。SSE將所有安全組件集中在一起，不包括與網(wǎng)絡(luò)相關(guān)的元素，例如SD-WAN。SSE和SD-WAN一起將構(gòu)成SASE模型。