云访问安全代理 (CASB) 的定义
云访问安全代理(通常缩写成 CASB)是介于企业用户和云服务提供商之间的安全策略执行点。CASB 可以结合多种不同的安全策略(从身份验证和凭据映射到加密、恶意软件检测等等),提供灵活的企业解决方案,帮助确保云应用在授权和未授权应用程序以及托管和非托管设备上的安全性。
CASB 的重要优势
CASB 提供了一系列安全优势,使企业能够降低风险,在各种应用程序和设备上执行策略并保持监管合规。
影子 IT 的评估和管理
通过 CASB 可以了解所有云应用程序,包括批准的和未批准的云应用程序。企业可以利用 CASB 全面了解云活动并制定相应的安全措施。
精细的云使用控制
CASB 拥有强大的分析能力,可细致管理云的使用。企业可以根据员工的职位或位置限制或允许访问,并可以管理特定的活动、服务或应用程序。
数据丢失防护 (DLP)
CASB 的 DLP 功能可帮助安全团队保护敏感信息,例如金融数据、专有数据、信用卡号码、健康记录或社会安全号码。CASB 解决方案可以实现在未经授权的情况下阻止共享这些数据的策略。
风险可见性
企业借助 CASB 可评估未批准应用程序的风险,并做出相应的访问决定。
威胁防范
CASB 可检测整个云应用程序的异常行为,从而识别勒索软件、被盗用户和流氓应用程序。CASB 可以分析高风险应用程序的使用情况并自动修正威胁,减少企业的风险。
了解 CASB
在现代工作时代,企业要负责在用户和基于云的应用程序之间执行日益复杂的安全策略。传统的二进制安全系统只能阻止或允许访问,而无法适用于面临多个位置和设备问题的基于云的企业。企业借助 CASB 能够采取灵活的方法来执行安全策略,为当代员工提供定制方案并平衡访问和数据安全性。
CASB 的四大基础
可见性
IT 部门借助 CASB 可识别所有正在使用的云服务并评估后续风险因素。对于正在努力解决影子 IT 问题的企业来说,CASB 可以全面了解员工正在访问的所有基于云的应用程序。然后,风险评估提供信息来制定 IT 的访问策略,包括根据特定员工和设备标准进行更细致的控制。
数据安全性
数据丢失防护 (DLP) 是 CASB 系统的核心组成部分,可将企业的安全性延伸到所有前往云端、云端内部迁移和存储的数据,减少了代价巨大的数据泄露风险。CASB 既保护数据本身,也保护数据的移动。
威胁防护
通过汇总和了解典型的使用模式,CASB 可以发现异常行为并识别恶意活动。自适应访问控制、恶意软件缓解和其他功能有助于保护企业免受第三方或内部威胁。CASB 的威胁保护可以防范所有现代威胁,无论该威胁是因蓄意破坏还是工作疏忽造成的。
合规性
CASB 有助于确保遵守数据隐私和安全法规,并为需要遵守 HIPAA 或 PCI DSS 等监管标准的企业监测合规性。
CASB 是如何运作的?
CASB 使用包含三个部分的过程来提供对批准和未批准应用程序的可见性,以及控制云中的企业数据。
发现
CASB 可识别所有正在使用的云应用程序及其相关员工。
分类
CASB 可评估每个应用程序,确定其数据,并计算出风险系数。
修正
CASB 根据企业的安全需求,为企业创建定制策略。之后,CASB 便可识别和修正任何传入的威胁或违规。
如何实现 CASB
CASB 易于部署和使用。虽然大多数 CASB 部署在云端,但也提供本地方案。CASB 采用三种不同的部署模型,而利用这三种模型的多模式 CASB 提供了最灵活和强大的保护。
API 扫描
API 扫描适用于批准的企业应用程序,它是一种不起眼的安全措施,可用于扫描云中的静态数据,但不提供实时防护。
转发代理
转发代理为批准和未批准的应用程序提供实时 DLP,但只适用于托管设备,不能扫描静态数据。
反向代理
反向代理重定向所有的用户流量,因此同时适用于托管和非管理设备。它提供实时的 DLP,但只针对批准的应用程序。
CASB 的主要用例
发现所有正在使用的云应用和服务
影子 IT 可能包含 60% 的企业云服务。CASB 可全面展示所有正在使用的基于云的应用程序。
评估基于云的应用的风险和合规性
评估企业所使用的任何基于云的应用的一般安全性、监管合规性和法律因素。
启用监视以检测新的和有风险的云应用
CASB 的持续监视策略有助于确保企业在出现新的云服务和使用高峰时收到提醒。
对云应用中存储的敏感数据执行 DLP 和合规性策略
CASB 在数据到达云端后立即执行 DLP 策略,帮助企业在云端找到敏感文件,并提供修正方案。
保护非托管设备上的数据
配置精细访问,以防止下载或在非托管设备上应用保护标签。
检测并修正云应用中的恶意软件
CASB 可监视和发现基于云的应用中的恶意文件,提供补救方案,帮助企业快速响应。
CASB 商业版的角色
在不断演变的基于云的工作场所,CASB 将继续在企业安全方面发挥重要作用。多个供应商提供多模式 CASB 安全服务 - 在评估方案时,请考虑不断变化的安全环境,并确定某个 CASB 是否会随着企业的需求而不断改进。CASB 应与企业安全策略的其他要素协同工作以帮助保护用户和数据,因此请确保 CASB 与企业的安全体系结构集成。
衡量 CASB 方案时应考虑的因素:
- 现有企业安全性体系结构
- 企业所需的能力和功能
- 实现时间
- 易用性
- 合规认证需求
CASB 提供的产品和服务:
- 数据丢失防护
- 恶意软件检测
- 自适应访问控制
- 行为分析
- Web 应用程序防火墙
- 身份验证
- 协作控制
- 加密
详细了解 Microsoft 云安全
云安全解决方案
为多云应用和资源获得集成保护。
Microsoft Defender for Cloud
加强云安全,监视和保护跨多云环境的工作负载。
Microsoft Defender for Cloud Apps
实时获得全面的 DLP,并跨多个云服务查看用户活动。
常见问题解答
-
CASB 解决方案是一套产品和服务,在企业员工与云应用程序和服务之间充当安全网关。
-
CASB 与各种各样的基于云和本地应用程序及服务集成,包括 SaaS、PaaS 和 IaaS。内容协作平台、CRM、HR 系统、云服务提供商等都可使用 CASB。
-
CASB 用于帮助确保监管合规和数据保护,跨设备和云应用程序管理云的使用,以及防范威胁。随着企业将服务迁移到云端,CASB 将成为其安全配置文件的一个重要元素。
-
调查 CASB 在像你这样的企业中的效果,并考虑供应商的能力如何能满足你的安全需求并与企业一起发展。许多 CASB 提供免费试用,可以帮助你评估其功能和集成。
关注 Microsoft