CASB 是什麼?(Cloud Access Security Broker)
定義、說明及探索 CASB
定義 CASB Cloud Access Security Broker
Cloud Access Security Brokers 簡稱 CASB,這個由 Gartner 於 2012 年首度提出的名詞是指「……內部部署或雲端型安全政策執行點,位置介於雲端服務消費者與雲端服務供應商之間,在存取雲端型資源時結合並插入企業安全政策。CASB 解決方案整合多種類型的安全政策執行方式。安全政策實例包括身分驗證、單一登入、授權、認證對應、裝置剖析、加密、Token 化、記錄、警示,以及惡意軟體偵測/防範等。」
CASB 如何運作?
Cloud Access Security Broker (CASB) 利用組織的安全政策,保護在內部 IT 架構和雲端供應商環境之間雙向傳送的資料。CASB 利用惡意軟體防範機制為企業系統防範網路攻擊,以加密方式提供資料安全措施,讓外部人士無法讀取資料流。
CASB 使用案例
CASB 問世時的信念只有一個:保護儲存於外部第三方媒體的專屬資料。CASB 提供傳統控制措施通常無法提供的功能,例如安全網路閘道 (SWG) 和企業防火牆。CASB 在多重雲端服務同時提供政策與治理,針對使用者活動提供精細的可見度與控制措施。
CASB 的基礎要素
可見度
IT 未知的雲應用程式,會產生企業治理、風險和法規遵循程序之外無法控制的資訊資產。企業需要清楚掌握雲應用程式帳戶使用情況,包括是哪些人使用了哪些雲端應用程式、使用者所屬部門、所在位置和使用的裝置。
資料安全
Data loss prevention (DLP) 工具的設計,可防止企業資料因為未經授權共用而外洩,然而雲端卻使得現在比過去還容易與不對的對象共享資料。如果組織使用雲端檔案儲存空間,則傳統 DLP 產品便無法得知在外部共用的是哪些資料,以及共享資料的人是誰。
威脅防護
防範授權使用者的惡意意圖或疏忽可能頗為棘手。組織需要全面掌握正常使用模式,才能察覺可疑的內部人員行為。同樣地,前任員工也可能構成極大的風險,因為他們雖然可能已經無權使用組織目錄,但卻可能依舊可以存取包含關鍵業務資訊的雲應用程式。PWC 發現,肇因於前任員工的安全事件比例,從 2013 年的 27% 攀升至 2014 年的 30%。
法規遵循
資料移至雲端之際,組織必須確定自己遵守保證資料隱私和安全的區域法規。CASB 可協助確保遵守法規 SOX 和 HIPAA 這類法規,並且協助根據各項法規要求評測安全配置,例如 PCI DSS、NIST、CJIS、MAS 與 ISO 27001。
BYOD、影子 IT,以及增加的雲端使用率
BYOD (自備裝置) 政策、SaaS 和雲應用程式越來越受歡迎,以及影子 IT 興起這類現象,使得限制雲應用程式存取定義的端點集成了艱鉅的任務。管理型和非管理型裝置通常需要不同的政策,才能有效保護企業資料。CASB 協助執行精細的存取政策,以及識別並分類組織內的雲應用程式。
Cloud Access Security Broker 供應商核對清單
|
功能 |
您必須瞭解的資訊 - CASB 供應商要求 |
|---|---|
|
雲應用程式探索 | CASB 如何探索雲應用程式? CASB 是否要求在組織外部傳送記錄檔,也就是說,是否存在內部部署探索程序? CASB 探索與風險分析目錄是否定期更新? 您能否搜尋應用程式目錄,進一步瞭解特定應用程式? |
|
風險與資料治理 | CASB 是否就應用程式使用者提供深入解析,更有效識別高風險區域? 為了發現安全漏洞,CASB 評測基準應用程式安全措施配置的依據是法規要求 (例如 PCI DSS、HIPAA、SOX),還是最佳實務標準 (例如雲端安全聯盟)? CASB 是否識別仍可存取公司資料的前任員工? CASB 是否識別雲端檔案共用服務中的敏感或受管制的資料? |
| 活動監測 | CASB 是否監測文件層級的活動 (例如,它能否回報所有檔案和資料夾的建立/刪除/上傳/下載作業)? CASB 是否監測記錄層級的活動,例如 Salesforce、Workday 或 Box? 能否不變更產品或部署模式,輕鬆支援新的雲應用程式? |
|
威脅防範 | CASB 可偵測哪些種類的威脅,方法又是什麼? 如何為客製化建置的雲應用程式偵測威脅? 為了自動偵測異常使用情況和可疑行為,CASB 是否剖析使用者行為? |
|
資料安全 | CASB 能否執行傳輸中 DLP 政策,防範資料外洩? CASB 能否針對高風險活動執行多因素驗證? 能否根據任何數量和組合的標準 (何人、何事、何地、何時、如何),建立自訂政策與警示? |
|
活動分析 | 多層級彙總選項是否提供活動分析 (例如,按照使用者位置、端點類型、部門)? CASB 能否在登入使用者名與使用者公司目錄(例如 Active Directory) 身分之間建立關聯? 分析能否輕鬆匯出至 SIEM 解決方案 (例如 Splunk)? |
| 端點存取控制 | CASB 能否區分管理型和非管理型的行動與端點裝置?此外,能否針對每個類型執行獨一無二的政策? CASB 是否支援第三方 MDM 解決方案? |
| 補救選項 | 支援的補救選項有哪些 (例如警示、封鎖、多因素驗證)? 為了採用補救政策,CASB 是否與 NGFW 或其他安全解決方案整合? |
| 部署考量 | CASB 是否支援與雲應用程式的 API 型整合? CASB 是否支援 Proxy 型 (亦即內嵌) 部署? 能否利用單一登入解決方案部署 (例如 Okta、Ping Identity、Centrify、OneLogin 等) 部署 CASB? |
| 交付基礎架構 | CASB 基礎架構如何防範 DDoS 攻擊? CASB 是否提供最佳化功能,儘量減少以 Proxy 方式內嵌部署時出現的延遲? CASB 是否從 Tier 1 交換所提供? |
Forcepoint CASB
應用程式探索—獲得所有雲應用程式的全域視圖
- 探索員工存取的所有雲應用程式
- 清查雲應用程式並評估風險態勢 – 以組織層級針對每個應用程式
- 彙總全企業的防火牆和 Proxy 記錄檔
- 產生雲應用程式使用情況的全域視圖,包括流量、使用時數和帳戶數量的統計數據
- 建立基準視圖,以便查看特定時間範圍內新增了多少個應用程式
- 深入瞭解每個雲應用程式,執行詳細的風險分析
風險治理—根據情境分析風險,並且制定減輕風險的政策
- 識別企業的高風險活動
- 確定擁有應用程式標準與特權存取權限的人員
- 識別休眠 (亦即數日未存取的帳戶)、遭遺棄 (例如前任員工) 以及外部 (例如合作夥伴) 帳戶,建立適當的存取政策
- 根據法規或最佳實務準則評測當前的應用程式安全配置,找出安全措施和法規遵循漏洞
- 根據使用者與/或雲服務供應商資料中心的位置,評估及定義存取政策 (亦即位置型存取控制)
- 分配工作,解決使用者與應用程式問題
- 透過 Forcepoint CASB 或是與第 3 方報修系統,利用內建的組織工作流程,分配及完成減輕風險的工作
稽核與防護—自動執行政策,防範濫用認證與內部人員惡意行為
- 監測從管理型和非管理型端點存取雲應用程式的人員,並且將他們編目
- 追蹤並監測特權使用者存取權與配置變更
- 監測多重情境感知類別的雲應用程式使用情況,包括使用者、位置、裝置、行動、資料物件和部門使用情況
- 確保即時偵測異常和可疑的行為
- 實作攻擊補救,包括強大的使用者驗證、封鎖應用程式行動 (例如封鎖下載共享的文件),以及帳戶存取
- 執行位置型存取控制 (又稱為「地理圍欄」) 政策
- 針對管理型和非管理型裝置執行端點存取控制措施,無論是源自瀏覽器或原生行動應用程式都一視同仁
- 監測及控制逾 100 種檔案類型敏感資料的上傳、下載與共用活動
- 即時檢查檔案和內容,確保 PII、PCI、HIPAA 和其他敏感資訊持續受到保護