ما هو CASB؟ (اختصار لـ Cloud Access Security Broker)
تعريف وشرح CASB
تعريف Cloud Access Security Broker أو المعروف اختصارًا بـ CASB
في عام 2012، صاغت Gartner تعريفًا لـ Cloud Access Security Broker أو المعروف اختصارًا بـ CASBs جاء فيه "...هو نقاط تعزيز لسياسات الأمان الموجودة في الموقع أو المعتمدة على الخدمة السحابية، حيث تُوضَع بين عملاء الخدمة السحابية ومقدميها للجمع بين سياسات أمن المؤسسة والتداخل بينها عند الوصول إلى الموارد المعتمدة على الخدمة السحابية. حلول CASB تدمج بين أنواع متعددة من طرق إنفاذ سياسات الأمان. وتتضمن الأمثلة على سياسات الأمان ما يلي: المصادقة وتسجيل الدخول الأحادي والتخويل وتعيين بيانات الاعتماد وتحديد سمات الجهاز والتشفير واستخدام الرموز المميزة والتسجيل في السجلات والتنبيه واكتشاف البرامج الضارة ومنعها وما إلى ذلك."
كيف يعمل CASB؟
يعمل وسيط Cloud Access Security Broker (CASB) من خلال تأمين حالات تدفق البيانات إلى بنيات تكنولوجيا المعلومات في الشركات ومنها وكذلك بيئات موردي الخدمة السحابية باستخدام سياسات أمان المؤسسة. يحمي وسيط CASB أنظمة المؤسسة ضد الهجمات الإلكترونية من خلال منع البرامج الضارة وتوفير أمن البيانات عبر التشفير، ما يجعل تدفقات البيانات غير قابلة للقراءة من الأطراف الخارجية.
حالة استخدام CASB
إن الهدف من إنشاء وسيط CASB هو حماية البيانات الخاصة المُخزنة في وسائط خارجية لدى أطراف خارجية. ويوفر وسيط CASB قدرات لا تتوفر بشكل عام في عناصر التحكم التقليدية، مثل بوايات الويب الآمنة وجدران الحماية للمؤسسة. يوفر وسيط CASB السياسات والحوكمة في وقت واحد عبر خدمات سحابية متعددة، ويوفر رؤية دقيقة لأنشطة المستخدمين والتحكم فيها.
الركائز الأساسية لوسيط CASB
الرؤية
تؤدي تطبيقات الخدمة السحابية غير المعروفة لتكنولوجيا المعلومات إلى أصول معلومات غير خاضعة للرقابة وخارج عمليات الحوكمة والمخاطر والامتثال في المؤسسة. تشترط المؤسسات رؤية استخدام حساب تطبيقات الخدمة السحابية، بما في ذلك من يستخدم تطبيقات الخدمة السحابية وإداراتها ومواقعها وأجهزتها المستخدمة.
أمن البيانات
صُمّمت أدوات Data loss prevention (DLP)لإيقاف حالات تسريب بيانات المؤسسة بسبب المشاركة غير المخوّل بها، ولكن تجعل الخدمة السحابية مشاركة البيانات مع الأشخاص الخطأ أسهل من أي وقت مضى. وإذا كانت إحدى المؤسسات تستخدم تخزين الملفات في الخدمة السحابية، فلن يعرف منتج DLP التقليدي البيانات التي تتم مشاركتها خارجيًا ومن يشاركها.
الحماية من التهديدات
قد يصعب اتخاذ الحيطة والحماية ضد النوايا الخبيثة أو الإهمال من جانب المستخدمين المخوّلين. وللكشف عن سلوك المستخدمين الداخليين المشبوه، تحتاج المؤسسات إلى عرض شامل لأنماط الاستخدام العادية لديها. وعلى نفس هذا المنوال، يشكّل الموظفون السابقون خطرًا بارزًا في أنه من المحتمل أنهم تعرضوا للتعطيل من الدليل التنظيمي، بينما لا يزال بإمكانهم الوصول إلى تطبيقات الخدمة السحابية التي تحتوي على معلومات مهمة للشركة. وجدت شركة PWC أن الحوادث الأمنية التي تُعزى إلى الموظفين السابقين قد ارتفعت نسبتها من 27% في عام 2013 إلى 30% في عام 2014.
الامتثال
وبانتقال البيانات إلى الخدمة السحابية، سترغب المؤسسات في ضمان امتثالها للوائح الإقليمية التي تضمن خصوصية البيانات وأمنها. يمكن أن يساعد وسيط CASB في ضمان الامتثال للوائح التنظيمية، مثل SOX و HIPAA، فضلًا عن المساعدة في قياس قدرة تكوينات الأمان لديك على الامتثال للمتطلبات التنظيمية، مثل PCI DSS و NIST و CJIS و MAS و ISO 27001.
خدمة إحضار جهازك الخاص و Shadow IT والاستخدام المتزايد للخدمة السحابية
إن بعض الحالات، مثل سياسات إحضار جهازك الخاص (BYOD)، والرواج المتنامي لتطبيقات SaaS والخدمة السحابية، وزيادة Shadow IT يفرض قيودًا تجعل من الصعب على تطبيقات الخدمة السحابية الوصول إلى مجموعة محددة من نقاط النهاية. وغالبًا ما تتطلب الأجهزة المُدارة وغير المُدارة سياسات مختلفة لحماية بيانات الشركة بفعالية. يساعد وسيط CASB في تطبيق سياسات الوصول الدقيقة بالإضافة إلى تحديد تطبيقات الخدمة السحابية وتصنيفها في مؤسستك.
قائمة التحقق من موردي Cloud Access Security Broker
| القدرات |
ما تحتاج إلى معرفته - متطلبات موردي وسيط CASB |
|---|---|
|
استكشاف تطبيقات الخدمة السحابية | كيف يستكشف وسيط CASB تطبيقات الخدمة السحابية؟ هل يتطلب وسيط CASB إرسال ملفات السجل إلى خارج مؤسستك، أي هل هناك عملية اكتشاف داخل المؤسسة؟ هل يتم تحديث كتالوج اكتشاف وتحليل المخاطر في وسيط CASB وفق جدول منتظم؟ هل يمكنك البحث في كتالوج التطبيقات لمعرفة المزيد حول تطبيق معين؟ |
|
حوكمة المخاطر والبيانات | هل يوفر وسيط CASB نظرة ثاقبة على مستخدمي أحد التطبيقات لتحديد المناطق عالية المخاطر بشكل أفضل؟ هل يقيس وسيط CASB تكوينات أمن التطبيقات مقارنةً بالمتطلبات التنظيمية (مثل PCI DSS و HIPAA و SOX) أو معايير أفضل الممارسات (مثل تحالف أمن الخدمة السحابية) لتحديد الثغرات الأمنية؟ هل يحدد وسيط CASB الموظفين السابقين الذين لا يزال بإمكانهم الوصول إلى بيانات الشركة؟ ل يمكن لوسيط CASB تحديد البيانات الحسّاسة أو الخاضعة للتنظيم في خدمات مشاركة الملفات في الخدمة السحابية؟ |
| مراقبة النشاط | هل يراقب وسيط CASB الأنشطة على مستوى المستندات (على سبيل المثال، هل يمكنه الإبلاغ عن عمليات إنشاء/حذف/تحميل/تنزيل لجميع الملفات والمجلدات)؟ هل يراقب وسيط CASB الأنشطة على مستوى السجل مثل Salesforce أو Workday أو Box؟ هل يمكن دعم تطبيقات الخدمة السحابية الجديدة بسهولة دون تغيير المنتج أو نموذج النشر؟ |
|
منع التهديدات | ما نوع التهديدات التي يمكن لوسيط CASB اكتشافها وكيف يمكن ذلك؟ كيف يتم الكشف عن التهديدات لتطبيقات الخدمة السحابية المُصممة خصيصًا؟ هل يتعرف وسيط CASB على سلوك المستخدم للكشف عن الاستخدام غير الطبيعي والسلوك المشبوه تلقائيًا؟ |
|
أمن البيانات | هل يمكن لوسيط CASB فرض سياسات DLP أثناء النقل لمنع فقدان البيانات؟ هل يمكن لوسيط CASB فرض المصادقة متعددة العوامل للأنشطة عالية المخاطر؟ هل يمكن إنشاء السياسات والتنبيهات المخصصة بناءً على أي عدد وأي مجموعات من المعايير (من وماذا وأين ومتى وكيف)؟ |
| تحليلات الأنشطة | هل تتوفر تحليلات الأنشطة مع مستويات متعددة من خيارات التجميع (على سبيل المثال، حسب موقع المستخدم ونوع نقطة النهاية والقسم)؟ هل يمكن لوسيط CASB ربط أسماء مستخدمي الولوج مع هوية دليل الشركات للمستخدم (مثل الدليل النشط)؟ هل يمكن تصدير التحليلات إلى حلول SIEM بسهولة (مثل، Splunk)؟ |
|
التحكم في الوصول إلى نقطة النهاية | هل يمكن لوسيط CASB التمييز بين الأجهزة المحمولة وأجهزة نقاط النهاية المُدارة وغير المُدارة؟ وتطبيق السياسات الفريدة لكل منها؟ هل يدعم وسيط CASB حلول MDM التابعة لجهات خارجية؟ |
| خيارات الإصلاح | ما خيارات الإصلاح المدعومة (مثل التنبيه والحظر والمصادقة متعددة العوامل)؟ هل يتكامل وسيط CASB مع وحدات NGFW أو حلول الأمان الأخرى لتطبيق سياسات الإصلاح؟ |
|
اعتبارات النشر | هل يدعم وسيط CASB التكامل القائم على واجهة برمجة التطبيقات مع تطبيقات الخدمة السحابية؟ هل يدعم وسيط CASB عمليات النشر المستندة إلى الوكيل (أي المضمنة)؟ هل يمكن نشر وسيط CASB باستخدام حل تسجيل الدخول الأحادي (مثل Okta و Ping Identity و Centrify و OneLogin وما إلى ذلك)؟ |
|
البنية التحتية للتوصيل | كيف تتم حماية البنية التحتية لوسيط CASB من هجمات DDoS؟ هل يوفر وسيط CASB قدرات التحسين لتقليل زمن الاستجابة عند النشر المضمون كوكيل؟ هل يتم توصيل وسيط CASB من التبديل من المستوى الأول؟ |
Forcepoint CASB
اكتشاف التطبيقات—الحصول على عرض عالمي لجميع تطبيقات الخدمة السحابية
- اكتشاف جميع تطبيقات الخدمة السحابية التي يصل إليها الموظفون
- تقييم المخاطر ومستودع تطبيقات الخدمة السحابية - لكل تطبيق وعلى مستوى المؤسسة
- تجميع جدار الحماية وسجلات الوكيل عبر المؤسسة
- إنشاء عرض عالمي لاستخدام تطبيقات الخدمة السحابية، بما في ذلك مقاييس حجم حركة المرور وساعات الاستخدام وعدد حسابات الخدمة
- إنشاء طريقة عرض أساسية بحيث يمكنك معرفة عدد التطبيقات التي تمت إضافتها على مدار فترة زمنية معينة
- التنقل لأسفل في كل تطبيق من تطبيقات الخدمة السحابية لإجراء تحليلات مفصلة للمخاطر
حوكمة المخاطر - تجنب المخاطر حسب السياق ووضع سياسات للتخفيف
- تحديد الأنشطة عالية المخاطر لشركتك
- تحديد من لديه وصول قياسي ومميز إلى أحد التطبيقات
- تحديد الحسابات الساكنة (أي حسابات لم يتم الوصول إليها لعدة أيام) والحسابات المعزولة (مثل الموظفين السابقين) والحسابات الخارجية (مثل الشركاء) لإنشاء سياسات وصول مناسبة
- قياس تكوينات أمن التطبيقات الحالية مقابل اللوائح أو إرشادات أفضل الممارسات لتحديد ثغرات الأمن والامتثال
- تحديد سياسات الوصول بناءً على موقع المستخدمين و/أو مراكز بيانات موفر الخدمة السحابية (أي التحكم في الوصول بناءً على الموقع)
- تخصيص المهام لحل مشكلات المستخدم والتطبيقات
- الاستفادة من سير العمل التنظيمي المضمّن لتسجيل مهام تخفيف المخاطر وإكمالها عبر وسيط Forcepoint CASB أو من خلال التكامل مع أنظمة التذاكر التابعة لجهات خارجية
التدقيق والحماية - فرض السياسات تلقائيًا والحماية من إساءة استخدام بيانات الاعتماد وإجراءات المستخدمين الداخليين الضارة
- مراقبة وإضافة كتالوج لمن يصل إلى تطبيقات الخدمة السحابية من نقاط النهاية المُدارة وغير المُدارة
- تتبع ومراقبة وصول المستخدم المتميز وتغييرات التكوينات
- مراقبة استخدام تطبيقات الخدمة السحابية عبر فئات متعددة محددة بالسياق، بما في ذلك المستخدم والموقع والجهاز والإجراء وعناصر البيانات واستخدام القسم
- ضمان الكشف في الوقت الفعلي عن السلوك غير الطبيعي والمشبوه
- تنفيذ معالجة الهجمات، بما في ذلك التحقق القوي من المستخدمين وحظر إجراءات التطبيقات (مثل حظر تنزيلات المستندات التي تمت مشاركتها) والوصول إلى الحساب
- فرض سياسات التحكم في الوصول المستندة إلى الموقع (ويعرف أيضًا باسم "السياج الجغرافي")
- فرض عناصر تحكم الوصول إلى نقاط النهاية للأجهزة المُدارة وغير المُدارة، سواء كانت صادرة من متصفح أو تطبيق جوال أصلي
- مراقبة عمليات التحميل والتنزيل ومشاركة البيانات الحسّاسة والتحكم فيها لأكثر من 100 نوع من الملفات
- فحص الملفات والمحتوى في الوقت الفعلي لضمان حماية معلومات PII و PCI و HIPAA والمعلومات الحسّاسة الأخرى