云接入安全代理 (CASB) 什么是云接入安全代理 (CASB)?
云接入安全代理或 CASB 是一种安全解决方案,部署在云服务消费者和云服务提供商之间,以作为代理保护与 SaaS 应用之间的连接,确保敏感数据得到保护、防止数据丢失并降低遭受网络攻击的可能性。
- CASB 释义
- CASB 在 SASE 中何处发挥作用?
- 为何应考虑使用 CASB?
- CASB 的工作原理是什么?
- CASB 的功能
- HPE 和 CASB
- HPE Aruba Networking CASB 的优势
CASB 释义
Gartner 认为
如今,企业机密数据广泛分布于数据中心、公有云(IaaS、PaaS)或 SaaS 应用中,CASB 可确保数据保护、法规合规性和威胁防护的实现,并帮助安全团队将其零信任网络安全策略从本地数据中心扩展到云和 SaaS。CASB 解决方案提供以下四种功能:
- 可见性:可深入查看所有用户通信流量和员工使用的 SaaS 应用。
- 合规性:通过限制对托管在多个云环境中的敏感数据的访问,确保遵守 GDPR、PCI DSS、HIPPA 等法规。
- 数据安全:执行数据安全策略,防止未经授权的数据共享,并监控和扫描进出 SaaS 提供商的数据使用情况。
- 威胁防护:在云应用中检测到异常行为时,立即采取补救措施,降低勒索软件、恶意软件或受感染用户带来的风险。
CASB 在 SASE 中何处发挥作用?
SASE(安全接入服务边缘)是 SD-WAN 和云交付安全服务边缘(或称 SSE)的组合。SSE 由包括云接入安全代理(或称 CASB)在内的多项关键安全服务组成,它使企业能够保护公有云中的敏感数据并帮助实现 SASE 的部分安全愿景。
为何应考虑使用 CASB?
敏感的企业数据不再驻留在服务器的防火墙后面,而是广泛分布于数据中心、公有云或 SaaS 应用中。在混合办公的情形下,员工会通过不安全的网络访问数据和应用,这给企业和安全团队带来了巨大安全挑战,首先是:
1. 如何限制员工在托管和非托管(由 IT 执行)云应用上共享(上传/下载)敏感数据。
2. 如何控制未经 IT 明确批准的应用和服务的使用(影子 IT)。
3. 如何满足要求严格保护数据隐私的各种合规性法规。
4. 如何保护公有云中的敏感数据并限制 BYOD 的访问。
5. 如何监控公有云中的数据是否存在恶意软件、勒索软件等,并保护员工免于下载这些类型的恶意软件。
只需单击即可获得的云服务为员工提供了轻松、不受限制的访问。在员工使用某些应用(如 GitHub、Dropbox 等)完成职业和个人工作,或者在非托管应用上创建帐户以进行数据分析或管理项目工作流程时,事情就会变得复杂。这些操作给安全团队带来了前所未有的挑战,并使企业数据面临巨大的安全风险。
CASB 可深入查看员工使用的所有云服务、监控或扫描 SaaS 应用以查找潜在威胁、保护数据免受威胁、满足合规性规定以及限制敏感数据共享,帮助安全团队将其控制扩展到云。
CASB 的工作原理是什么?
CASB 解决方案通过本地硬件或软件或云服务提供,CASB 使用代理和 API 方法来实施强大的安全检查:
- 代理工作流程:用于实时数据检查。
1. 用户尝试访问 SaaS 应用或 IaaS 平台。流量被 CASB 拦截并执行 SSL 检查。
2. CASB 通过内联 CASB 和数据保护控制措施验证身份并应用策略,以限制上传、下载和共享活动。它将检查合规性,并根据实时环境变化自动调整访问权限。
3. 通过采取限制措施,将安全的 SaaS 访问扩展到用户,同时限制未经授权的行为以防止数据丢失并强制满足合规性。
4. 管理员在访问 SaaS 应用时查看所有用户活动。如果安全态势发生变化或用户尝试执行未经授权的活动,则重新评估访问权限并向管理员发出警报。
- API 工作流程:用于扫描静态数据。
CASB 利用带外应用编程接口 (API) 安全性来监控存储在 Microsoft Office 365、Salesforce、Workday、SharePoint 等云服务中的数据。CASB 与这些云服务的 API 集成,进行扫描,查找恶意软件、勒索软件和其他类型的网络威胁。
CASB 的功能
- 内联 CASB:在数据进出云时实时执行安全策略,可以采用身份验证、加密和其他安全控制措施。
- 用于 CASB 控制的 SSL 检查:检查加密的 SSL/TLS 流量,以提前阻止潜在威胁或数据泄露的发生。CASB 可以通过解密流量来应用保护敏感数据的安全策略。
- 深入查看应用和影子 IT:影子 IT 是指未经 IT 明确批准而使用应用和服务。通过 CASB,企业可以深入了解 SaaS 应用和影子 IT,从而更好地了解和管理与使用批准和未批准的应用相关的风险。
- 精细控制受限操作:管理员可以设置精细策略来限制从任何 SaaS 应用执行的某些操作,例如上传、下载、共享数据等。这是防止数据丢失和确保遵守各种法规的重要要求。
- 基于 SaaS 的应用的 DLP:DLP(数据丢失防护)通过监控、检测和阻止潜在的数据泄露或未经授权的访问来帮助保护 SaaS 应用中的敏感数据。DLP 可以使用正则表达式 (regex) 和字典匹配或使用 OCR(光学字符识别)来识别和保护敏感数据。
- 遵守预定义和自定义字典:可以创建预定义和自定义字典,以确保遵守特定法规,如 HIPAA、PCI DSS、GDPR 和 NIST。这些词典包含每个法规所独有的术语和模式,因此可帮助组织履行其合规义务。
HPE 和 CASB
HPE Aruba Networking CASB 是一种现代化云接入安全代理 (CASB) 解决方案,旨在增强云安全性并确保组织安全访问各种 SaaS 应用。我们的 CASB 充当用户和 SaaS 应用之间的安全中介,为移动数据提供内联 CASB 保护,有效地规范数据流、发现影子 IT 并防止数据丢失。
HPE Aruba Networking CASB 提供端到端可见性,能够集中管理用户访问、下载并实现权限共享。我们的 CASB 操作简单明了:它代理流量以避免有风险的直通连接、验证身份、应用策略,在检查流量和监控用户体验的同时将用户安全地连接到资源。
HPE Aruba Networking CASB 以易用性和可扩展性著称,以此安全访问现代云服务和应用。在我们以云为中心的世界中,CASB 作为更广泛的 HPE Aruba Networking SSE 平台的一部分,旨在从一开始就提高可见性、合规性和数据安全性,为客户提供价值。
HPE Aruba Networking CASB 的优势
HPE Aruba Networking CASB 使企业能够积极采用云,并在云端提供等同于本地服务的数据安全水平。我们的 CASB 解决方案具有以下优势:
- 增强数据安全性:实时扫描和监控 SaaS 提供商的进出数据使用情况和流量。其中包括保护敏感数据的各种 DLP 功能,这些功能可防止未经授权的共享并确保执行数据安全策略。
- 可见性和控制力:可详细查看并控制云环境。团队可以查看所有用户通信流量,识别人们正在使用哪些云应用,并通过精细控制来管理数据的访问和使用方式。
- 合规性:在多个云环境中实施企业网络安全策略,帮助用户满足相关数据隐私法规。还可以对用户和应用进行风险评估和评分,帮助管理合规性要求。
- 减轻威胁:防御已知和未知威胁,包括反恶意软件和防病毒功能。检测各种云应用中的异常行为,识别勒索软件、受感染用户和恶意应用等风险,并可自动采取补救威胁以防止组织风险扩大。
- 运营效率:通过整合,在单点实施多种类型的安全策略,以简化安全运营和安全策略的管理并保护多种云服务。
