什么是 CASB? (Cloud Access Security Broker)
CASB 定义、解释和探索
CASB (Cloud Access Security Broker) 的定义
Gartner 于 2012 年首次提出 CASB,即云访问安全代理的概念。CASB “是本地或基于云的安全策略实施点,放置在云服务消费者和云服务提供商之间,用于在访问基于云的资源时组合和插入企业安全策略。CASB 解决方案 巩固多种安全策略的实施。例如身份验证、单点登录、授权、凭证映射、设备画像、加密、令牌化、日志、警报、恶意软件检测/预防等。 "
CASB 如何运作?
云访问安全代理 (CASB) 利用组织的安全策略,保护进出内部 IT 架构和云供应商环境的数据。 通过恶意软件预防,CASB 保护企业系统免受网络攻击,并通过加密提供数据安全,防止数据流被外部读取。
CASB 用例
CASB 创建的初衷只有一个:保护存储在外部第三方的专有数据。 CASB 提供传统管控方式通常不具备的功能,例如安全网络网关 (SWG) 和企业防火墙。 CASB 同时提供多个云服务的策略和治理,并能精确地了解和控制用户活动。
CASB 的五大支柱
可视性
某些 IT 部门陌生的云应用会使信息资产缺少控制,且处于企业治理、风险控制及合规流程之外。 企业需要了解云应用帐户的使用情况,包括谁在使用哪些云应用、其部门、位置和设备。
数据安全
Data loss prevention (DLP),即数据丢失防护 工具旨在阻止因未经授权的共享而导致的企业数据泄漏,但由于数据处于云端,增加了容易泄露的风险。如果企业使用云文件存储,传统的 DLP 产品将不知道哪些数据被分享至外部,以及与谁分享。
威胁防护
有时候,很难防范已授权用户的恶意意图或疏忽。为了检测可疑的内部行为,需要企业对其日常使用模式进行全面了解。 同样,前员工也有可能造成重大风险,因为即使他们在企业名录中已被禁用,但仍可以访问包含关键业务信息的云应用。 普华永道指出,前员工的安全事件从 2013 年的 27% 上升到 2014 年的 30%。
合规性
随着数据迁移到云端,企业需要确保数据隐私和安全符合区域法规。 CASB 可以帮助确保合规,例如 SOX、HIPAA 等,并根据 PCI DSS、 NIST、CJIS、MAS 和 ISO 20071 等监管要求,对安全配置进行基准测试。
BYOD、影子 IT 和更多的云使用
自带设备 (BYOD) 类似政策的出现、Saas 和云应用的日益普及、 影子 IT 的兴起,都让企业更难限制云应用对某组端点进行访问。针对受管理和非受管理的设备通常需要不同的策略,才能有效保护企业数据。 CASB 帮助实施细致的访问策略,并识别企业中的云应用,然后对其进行分类。
您的 Cloud Access Security Broker 供应商检查单
|
功能 | 您需要了解对 CASB 供应商的要求 |
|---|---|
| 云应用发现 | CASB 如何发现云应用? CASB 是否要求将日志文件发送到企业外部,即是否存在本地发现流程? CASB 的发现和风险分析目录是否定期更新? 能否让您搜索应用目录,从而深入了解特定应用? |
|
风险和数据管理 | CASB 是否提供对应用用户的洞察,以更好地识别高风险领域? CASB 是否根据监管要求(例如,PCI DSS、HIPAA、SOX)或最佳实践标准(例如,云安全联盟)对应用安全配置进行基准测试,以识别安全漏洞? CASB 是否识别仍有权访问公司数据的前员工? CASB 能否识别云文件共享服务中的敏感或受监管数据? |
| 活动监控 | CASB 是否监控文档级别的活动(例如,是否报告所有文件和文件夹的创建/删除/上传/下载操作)? CASB 是否在记录层级监控活动,例如 Salesforce、Workday或Box? 在不更改产品或部署模式的情况下,是否能够轻松支持新的云应用? |
| 威胁预防 | CASB 可以检测哪些威胁,以及如何检测? 如何检测自定义云应用的威胁? CASB 是筛查用户行为,以自动检测异常使用和可疑行为? |
| 数据安全 | CASB 能否实施传输中 DLP 策略,以防止数据丢失? CASB 能否对高风险活动实施多重身份验证? 是否能够根据任意数字和条件组合(谁、什么、在哪里、何时、如何)创建自定义策略和警报? |
| 活动分析 | 是否提供多个聚合选项(例如,用户位置、端点类型、部门)的活动分析? CASB 能否将登录用户名与用户的企业目录(例如,活跃人员目录)关联? 能否将分析结果轻松导出到 SIEM 解决方案(例如 Splunk)? |
|
端点访问控制 | CASB 能否区分受管和非受管的移动和端点设备? 并为每个策略实施独特的策略? CASB 是否支持第三方 MDM 解决方案? |
| 补救措施 | 支持哪些补救措施(例如,警报、阻止、多重身份验证)? CASB 是否与 NGFW 或其他安全解决方案整合,以应用补救策略? |
| 部署考虑因素 | CASB 是否支持基于 API 的与云应用整合? CASB 是否支持基于代理(即内联)的部署? 能否通过单一登录解决方案(例如 Okta、Ping Identity、Centrify、OneLogin 等)部署 CASB ? |
| 交付基础设施 | 如何保护 CASB 基础设施免受 DDoS 攻击? CASB 是否提供优化功能,以最大限度地减少代理内联部署时的延迟? CASB 是否从 Tier 1 交换交付? |
Forcepoint CASB
应用发现 — 获取所有云应用的全局视图
- 了解员工访问的所有云应用
- 在组织层面,对每个云应进行在库管理与风险态势评估
- 汇总整个企业的防火墙和代理日志
- 生成云应用使用情况的全局视图,包括流量、使用时间和帐户数量的指标
- 创建基线视图,以便了解在一定时间内添加了多少应用
- 深入了解每个云应用,执行详细的风险分析
风险管理 — 根据具体情况了解风险,并设置缓解策略
- 识别您企业的高风险活动
- 确定谁拥有访问应用的标准权限和特殊权限
- 识别休眠帐户(即几天未访问的帐户)、孤儿帐户(例如,前员工)和外部帐户(例如,合作伙伴),以创建适当的访问策略
- 根据法规或最佳实践指南,对当前应用安全配置进行基准测试,以查明安全和合规性差距
- 根据用户和/或云服务提供商数据中心的位置,评估并定义访问策略(即基于位置的访问控制)
- 分配任务,解决用户和应用问题
- 利用独特的内置组织工作流,通过 Forcepoint CASB 或与第三方工单系统集成来分配和完成风险缓解任务。
审计与保护 — 自动实施策略,并防止凭证滥用和内部人员恶意行为
- 监控并编录访问云应用的人员,不管其来自受管端点还是非受管端点
- 跟踪并监控特权用户访问和配置更改
- 监控多个情景类别的云应用使用情况,包括用户、位置、设备、操作、数据对象和部门使用情况
- 确保实时检测异常和可疑行为
- 实施攻击补救,包括强大的用户验证、阻止应用操作(例如,阻止共享文档下载)和帐户访问
- 实施基于位置的访问控制(又称“地理围栏”)策略
- 对受管和非受管设备实施端点访问控制,无论设备来自浏览器还是本地移动应用
- 监视并管理敏感数据的上传、下载和共享,支持超过100个文件类型
- 实时检查文件和内容,确保 PII、PCI、HIPAA 和其他敏感信息始终受到保护