购买云访问安全代理服务的IT安全专业人士必须专注于服务当前提供的技术并且对他们公司的IT架构要求有精准的判断。这篇文章将会介绍如何做到这一点。
随着过去几年云服务采纳的爆炸式增长,组织机构开始意识到一个令人不安的现实,即他们不知道自己不知道什么。数据在云中的存储和访问,组织既不可见也无法控制,而云提供商环境中的安全功能要达到企业本地的安全控制标准一直以来都进展缓慢。购买可以控制和监控组织发送到云端的信息的云安全服务对于任何组织的安全策略来说都是必需的。
CASB阐释
云访问安全代理(CASB)可以是本地网关或用于检查发往云的网络流量的安全即服务云产品。这些平台和服务会检查所有的网络流量,以确定敏感数据是否正在被传输到云中,他们运用各种策略和安全控制来保护数据或者从一开始就阻止数据进行传输。
任何好的CASB,应该易于使用并且实现起来相对容易。无论是基于云还是本地的CASB,都应该可以同其他工具或技术集成。大多数CASB是一种服务产品,即组织在购买时本质上是购买云服务。公司修改其网络传输路由使其穿过CASB供应商的检查和策略控制的环境,从而可以检测到任何恶意流量或对用户的部分不良行为进行修复。本地网关被放在网络的边缘地带,并对所有向外流出的流量进行同样的检测。许多CASB服务使用云服务提供商(CSP)提供的API,可以同一些最流行的云服务,如Box,Microsoft Office 365,Salesforce等集成。
所有的CASB平台都应该提供检查网络流量的能力,应用客户定义的政策来控制哪些数据可以去哪里,并保证对数据采用某种形式的保护控制。有的CASB集成了比其他CASB明显更多的云服务,可能还有很多更加紧密集成的功能。企业要仔细评估CASB的每一个合作关系。
需要调研的功能点
IT安全专业人士在考虑购买云访问安全性代理产品或服务时,有几个功能特性是他们期望拥有的:
云服务可视性和访问控制。CASB最初被引入是用来检测云应用的使用,帮助企业确定是否有影子IT发生在云中。为了这个目的,应用程序和数据的可见性以及云计算的使用模式分析仍然是任何CASB的功能列表中的第一条。CASB通过URL检测,流量和协议分析,以及数据丢失防护模式匹配来识别出云应用和数据。
数据保护:加密和标记化是最常见的可用的数据保护控制类型,而一些CASB同时提供这两种类型的数据保护。企业应对他们打算实施数据加解密的CASB仔细评估其密钥管理的功能和实践方法。
威胁保护。许多CASB现在都可以通过寻找异常行为和已知的命令控制签名来监控流量,寻找是否有恶意软件和网络攻击。攻击者可以劫持云服务帐户或尝试访问存储在CSP环境中的数据。一个理想的CASB应该能检测到这些不寻常的访问模式。
访问控制。由于许多云服务都依赖于内部用户目录如Active Directory,通过基于角色的访问策略来控制对云服务和数据的访问是数据保护的另一个核心要素。理想情况下,CASB将提供与内部用户目录或基于云的身份服务的简单原生的集成。除此之外还应该有对CASB控制台和配置的很强的访问控制和认证能力,同时一个成熟的产品应该对于管理员拥有基于角色的访问控制,控制台的多因素身份验证,以及对CASB服务使用情况进行监控的强大日志和审计跟踪能力。
仪表板指标和报告。组织选择的任何CASB平台都应该提供一个易于使用的拥有各种报告选项的仪表板。所有CASB的提供商都应该提供一整套“封装好的”用于详细描述用户活动,检测或受保护的数据,恶意流量检测并阻止,等等的报表。
以下虽然不是最关键的必须具备的功能,但也是一些不错的CASB功能。
同网络恶意软件沙箱集成。有些CASB服务可以同本地或基于云的来自如Blue Coat与FireEye这样的公司的恶意软件沙箱集成,允许对电子邮件进行任何恶意软件的检测或对其他可疑流量进行自动分析。
用户行为时间表。对于希望评估用户与云服务行为交互模式的组织,经常需要检测泄露帐号或欺诈行为,一些CASB已经开始提供行为分析和可视化工具可以展示一段时间内的用户与云服务的交互情况。
内部威胁情报团队。一些供应商提供额外的威胁情报服务和数据输入用以增加对核心数据和用户的监控。对这种威胁情报数据有兴趣的企业应该期待该CASB厂商会维护一个内部的情报团队,可以不断更新提供给客户的威胁情报。
云服务信誉评级。一些CASB厂商还会监控云服务供应商的行为和声誉。他们可以通知客户任何有风险的变化。
总而言之
CASB服务主要侧重于监控云使用和对传送到云的数据保护。但他们正迅速发展为功能更全面的提供预防性,探测和响应控制的平台。购买CASB服务的组织可以受益于云服务使用可视性的提高;检测和预防诸如帐户劫持,恶意软件和内部威胁之类的恶意行为;并通过加密和标记工具对数据进行保护。企业的IT决策者在考虑购买云访问安全代理服务时,应该专注于同CSP的兼容性以及用户和数据的检测和保护功能。威胁情报,恶意软件分析和事故跟踪对于安全和运营团队来说也许会是很有用的附加功能。
实施一个CASB服务不应该需要对架构的大幅改动,也不需要很多的人力来维护。政策的配置和调整可能需要一些时间,但是,同用户目录以及云提供商API的整合过程也需要时间。
