【51CTO.com 快譯】對(duì)于那些已經(jīng)開始考慮使用云訪問安全代理(CASB)產(chǎn)品的IT團(tuán)隊(duì)來說，他們經(jīng)常會(huì)提及的一個(gè)問題是：“我們已經(jīng)有了一個(gè)網(wǎng)絡(luò)代理(Web Proxy)和/或防火墻，云訪問安全代理的區(qū)別在于何處?”或問：“云訪問安全代理會(huì)取代我們現(xiàn)有的網(wǎng)絡(luò)代理和防火墻嗎?“這些的確是會(huì)被自然問及的，因?yàn)榫W(wǎng)絡(luò)代理和防火墻已經(jīng)對(duì)企業(yè)網(wǎng)絡(luò)與云服務(wù)之間的往來流量都具有了“可視性”。然而，云訪問安全代理與現(xiàn)有的網(wǎng)絡(luò)安全解決方案之間存在著顯著差異。讓我們首先來消除一個(gè)主要的誤解：云訪問安全代理并非現(xiàn)有網(wǎng)絡(luò)安全工具的替代品，反之亦然。

[[170414]]

云訪問安全代理對(duì)于代理和防火墻來說是一個(gè)單獨(dú)且不同的市場(chǎng)。云訪問安全代理可被部署為正向或反向代理模式以實(shí)施帶內(nèi)控制。但是它與網(wǎng)絡(luò)代理的相似之處僅限于此。不像那些專注于廣泛的入站威脅并過濾非法網(wǎng)站網(wǎng)絡(luò)安全解決方案，云訪問安全代理所專注的是云服務(wù)使用的高可視性和細(xì)粒度控制。云訪問安全代理可以應(yīng)用程序接口(API)模式部署來掃描云服務(wù)里的數(shù)據(jù)并使之合規(guī)。下述幾點(diǎn)是現(xiàn)有網(wǎng)絡(luò)安全解決方案所不具備的，云訪問安全代理獨(dú)有的一些高級(jí)功能：

· 對(duì)每個(gè)云服務(wù)提供一個(gè)詳細(xì)的、獨(dú)立的風(fēng)險(xiǎn)評(píng)估 (例如合規(guī)認(rèn)證，近期數(shù)據(jù)泄露，安全控制，司法判定)。

· 實(shí)施風(fēng)險(xiǎn)相關(guān)策略(例如：屏蔽所有高風(fēng)險(xiǎn)的文件共享服務(wù)并顯示實(shí)時(shí)的提示信息指導(dǎo)用戶獲取推送服務(wù))。

· 基于上下文的用戶行為訪問控制 (例如：防止用戶從遠(yuǎn)程網(wǎng)絡(luò)的非托管設(shè)備上下載報(bào)告)。

· 實(shí)施以數(shù)據(jù)為中心的安全策略(例如：對(duì)上傳到云端的數(shù)據(jù)進(jìn)行加密或?qū)嵤?quán)限管理以保護(hù)敏感數(shù)據(jù)的下載)。

· 應(yīng)用機(jī)器學(xué)習(xí)來檢測(cè)威脅(例如：一個(gè)IT用戶下載不尋常大小的敏感數(shù)據(jù)并上傳到另一個(gè)云應(yīng)用程序的個(gè)人賬戶里)。

· 實(shí)時(shí)響應(yīng)來自云端的威脅(例如：在一個(gè)內(nèi)部威脅發(fā)送時(shí)終止某個(gè)帳戶的訪問，或在賬號(hào)可能被盜用時(shí)，增加額外的身份驗(yàn)證因素方能繼續(xù)使用云服務(wù))。

· 增強(qiáng)云端數(shù)據(jù)相關(guān)策略(例如：撤銷共享給業(yè)務(wù)合作伙伴的文件的共享權(quán)限，或是追溯加密的敏感數(shù)據(jù))。

網(wǎng)絡(luò)代理/防火墻的云相關(guān)功能

網(wǎng)絡(luò)代理和防火墻提供廣泛的網(wǎng)絡(luò)威脅防護(hù)。作為該保護(hù)的一部分，在沒有云訪問安全代理集成的情況下，他們提供有限的云使用可視性。例如：盡管這些解決方案無法映射用戶訪問云服務(wù)的地址(URLs)，它們?cè)诠揪W(wǎng)絡(luò)里跟蹤各種云服務(wù)的訪問。一些客戶使用他們的網(wǎng)絡(luò)安全解決方案來終止SSL連接并檢查到惡意軟件內(nèi)容。代理和防火墻也會(huì)對(duì)云服務(wù)進(jìn)行高級(jí)分類(例如：技術(shù)與互聯(lián)網(wǎng)、商務(wù)與經(jīng)濟(jì)、是否可疑等)。然而這些類別一般并不能反映服務(wù)的潛在功能類型，例如：文件共享、客戶關(guān)系管理(CRM)或是社交媒體。

網(wǎng)絡(luò)安全解決方案的主要用例之一是對(duì)成千上萬個(gè)包含色情、毒品、賭博等類型的非法網(wǎng)站進(jìn)行分類和訪問控制。網(wǎng)絡(luò)代理可以將那些向特定URLs的訪問嘗試重定向到一個(gè)標(biāo)明該URL被阻止掉了的網(wǎng)頁上。同樣，防火墻可以被配置來屏蔽特定的IP地址。這兩種方案缺少詳細(xì)的且與時(shí)俱進(jìn)的云服務(wù)URL和IP地址注冊(cè)列表，用以擴(kuò)展其云服務(wù)訪問控制的功能。一些企業(yè)經(jīng)常會(huì)發(fā)現(xiàn),盡管他們可能最初阻止了一些云服務(wù)，但是惡意云提供商仍定期引入新的不被屏蔽掉的URL和IP地址。這導(dǎo)致了員工隔一段時(shí)間后仍能訪問到一些本該阻止的云服務(wù)。這是一種“代理泄漏”的普遍現(xiàn)象。

我們傳統(tǒng)的對(duì)IP聲譽(yù)度的專注，并不直接適用于云服務(wù)方面。有時(shí)某個(gè)云服務(wù)的IP聲譽(yù)度雖然很高，但由于其安全控制的缺乏，可能并不適合于企業(yè)數(shù)據(jù)的存儲(chǔ)。例如，一個(gè)持有良好的IP的文件共享服務(wù)卻允許匿名使用，并與第三方共享客戶數(shù)據(jù)，或者其主機(jī)放置在隱私權(quán)保護(hù)不善的國家，且三個(gè)月前經(jīng)歷了密碼泄漏事件等。沒有IT領(lǐng)導(dǎo)層會(huì)愿意將企業(yè)敏感數(shù)據(jù)上傳到此服務(wù)上。顯然沒有這些屬性特征的注冊(cè)記錄，網(wǎng)絡(luò)安全解決方案將無法實(shí)施風(fēng)險(xiǎn)相關(guān)策略的。此外，由于許多云服務(wù)不使用標(biāo)準(zhǔn)的HTTP內(nèi)容處理頭(content-disposition headers)，網(wǎng)絡(luò)安全解決方案無法通過執(zhí)行數(shù)據(jù)泄漏防護(hù)(DLP)方法來防止敏感數(shù)據(jù)的上傳。

云訪問安全代理如何與網(wǎng)絡(luò)代理和防火墻集成呢?

云訪問安全代理其實(shí)是網(wǎng)絡(luò)代理和防火墻的互補(bǔ)技術(shù)。通過與這些解決方案集成，云訪問安全代理可以利用現(xiàn)有的網(wǎng)絡(luò)架構(gòu)來獲得云服務(wù)使用的可視性。同時(shí)，云訪問安全代理通過云認(rèn)知(cloud-aware)來實(shí)現(xiàn)其自身的使用價(jià)值。我們可從日志收集、數(shù)據(jù)包捕獲和代理串聯(lián)這三個(gè)主要方法來進(jìn)行云訪問安全代理與網(wǎng)絡(luò)安全方案的集成。

日志收集

網(wǎng)絡(luò)代理和防火墻能捕獲網(wǎng)絡(luò)中云服務(wù)使用的數(shù)據(jù)，但它們可能并不區(qū)分云服務(wù)使用過程中的具體網(wǎng)站的使用。云訪問安全代理則可以通過分析這些解決方案的日志，來解析出具體是誰使用了什么樣的云服務(wù)，從云端上傳和下載的數(shù)據(jù)量，和每種云服務(wù)的風(fēng)險(xiǎn)及類別。實(shí)際上，云訪問安全代理通過現(xiàn)有的基礎(chǔ)架構(gòu)實(shí)現(xiàn)云認(rèn)知(cloud-aware)。云訪問安全代理檢測(cè)到基礎(chǔ)架構(gòu)的邏輯“出口”處的策略缺口，向他們推送具有最新云服務(wù)的URLs的訪問政策來彌補(bǔ)此缺口。云訪問安全代理還可以通過收集具有用戶使用云服務(wù)的行為細(xì)節(jié)的日志，達(dá)到終止某些客戶使用SSL的效果。使用機(jī)器學(xué)習(xí)，云訪問安全代理還可作為一個(gè)數(shù)據(jù)泄漏的參考源來檢測(cè)那些使用云端傳播的檢測(cè)惡意軟件或僵尸網(wǎng)絡(luò)。

數(shù)據(jù)包捕獲

在數(shù)據(jù)包捕獲的部署模式下，云訪問安全代理通過現(xiàn)有網(wǎng)絡(luò)安全解決方案的反饋數(shù)據(jù)流來獲得數(shù)據(jù)內(nèi)容的可視性。例如，云訪問安全代理可以通過ICAP協(xié)議與網(wǎng)絡(luò)代理集成。在被配置為僅監(jiān)控(monitor-only)的模式下，網(wǎng)絡(luò)代理被配置為復(fù)制并轉(zhuǎn)發(fā)云端流量至云訪問安全代理，來對(duì)數(shù)據(jù)泄漏防護(hù)(DLP)進(jìn)行評(píng)估。許多云服務(wù)通過定制HTTP內(nèi)容處理頭(content-disposition headers)來提高其應(yīng)用程序的性能。這些定制HTTP內(nèi)容處理頭對(duì)防止網(wǎng)絡(luò)安全解決方案(和與之運(yùn)用ICAP協(xié)議集成的本地?cái)?shù)據(jù)泄漏防護(hù)方案)檢測(cè)數(shù)據(jù)內(nèi)容的泄漏反而帶來了意想不到的副作用。云訪問安全代理使用詳細(xì)的云服務(wù)簽名來檢查云流量，評(píng)估數(shù)據(jù)泄漏防護(hù)策略，并生成DLP策略違規(guī)的報(bào)警。

代理串聯(lián)

云訪問安全代理可以被部署為轉(zhuǎn)發(fā)代理模式。許多組織已經(jīng)有了一個(gè)網(wǎng)絡(luò)代理，他們也不希望再部署另一個(gè)代理節(jié)點(diǎn)。在代理串聯(lián)模式下，下游的網(wǎng)絡(luò)代理被配置為轉(zhuǎn)發(fā)所有云服務(wù)流量至云訪問安全代理。該部署模式中，云訪問安全代理能實(shí)時(shí)執(zhí)行管控和安全策略。例如，云訪問安全代理能通過執(zhí)行訪問控制策略來阻止特定受限的云服務(wù)功能。同時(shí)它還能在用戶試圖訪問允許以外的服務(wù)時(shí)以顯示規(guī)勸式信息的方式通知用戶，或者重定向用戶到被允許的云服務(wù)。不同于數(shù)據(jù)包捕獲，該部署方式允許云訪問安全代理實(shí)施帶內(nèi)的DLP策略以防止被違反。

綜上所述，云訪問安全代理增強(qiáng)了企業(yè)對(duì)網(wǎng)絡(luò)安全解決方案的投資價(jià)值。并非以一個(gè)破壞性的方式替代現(xiàn)有方案，云訪問安全代理集成并擴(kuò)展了它們對(duì)云服務(wù)的處理能力。網(wǎng)絡(luò)代理/防火墻和云訪問安全代理在功能上有明顯不同。不再是誰替代誰，他們一起為保護(hù)企業(yè)數(shù)據(jù)轉(zhuǎn)移到云端提供了更好云服務(wù)使用的可視性和執(zhí)行合規(guī)以及管控的能力。

原文標(biāo)題：How CASB Is Different from Web Proxy / Firewall

深入閱讀

API和代理，哪種云訪問安全代理方式能提供最好的保護(hù)

云訪問安全代理(CASB)軟件的出現(xiàn)旨在幫助IT人員獲知整個(gè)云環(huán)境的安全狀況。云訪問安全代理是置于云服務(wù)用戶和一個(gè)或多個(gè)云服務(wù)提供商之間的安全實(shí)施策略。他們可以駐留于企業(yè)系統(tǒng)環(huán)境內(nèi)，或是由云提供商所掌管。無論哪種方式，一個(gè)在使用多個(gè)云提供商的云服務(wù)時(shí)，云訪問安全代理為信息安全專業(yè)人員提供在安全與合規(guī)性的關(guān)鍵控制點(diǎn)。他們加強(qiáng)了企業(yè)諸如在用戶、設(shè)備以及云資源之間相互訪問等許多層面上的安全策略。

究竟如何將云訪問安全代理集成到您云接入安全策略，從而對(duì)您的安全方案的維度以及網(wǎng)絡(luò)性能帶來改變呢?這里有兩個(gè)主要的云訪問安全代理部署方式：應(yīng)用程序接口(API)和代理。

◆基于代理的解決方案

帶內(nèi)的基于代理的解決方案是通過一個(gè)網(wǎng)關(guān)來檢查和過濾已知的用戶和設(shè)備。因?yàn)樗辛髁慷冀?jīng)過一個(gè)單獨(dú)的節(jié)點(diǎn)，代理便可實(shí)時(shí)采取安全措施。不過可惜的是：一個(gè)單獨(dú)的節(jié)點(diǎn)也就意味著它降低了網(wǎng)絡(luò)性能,且僅已知用戶提供保護(hù)。此外, 基于代理的解決方案僅對(duì)SaaS(Software as a Service)云服務(wù)的提供安全保護(hù)，對(duì)IaaS(Infrastructure as a Service)和PaaS(Platform as a Service))云卻愛莫能助。

◆基于API的解決方案

基于API的云訪問安全代理是一個(gè)帶外的解決方案，它并不占用數(shù)據(jù)流量的相同網(wǎng)絡(luò)路徑。由于直接與云服務(wù)相集成，基于API的解決方案無性能下降的弊端，他們能同時(shí)對(duì)SaaS、IaaS和PaaS三種云服務(wù)的托管和非托管流量提供安全保護(hù)。

一些業(yè)內(nèi)專家建議使用多模的方法，即同時(shí)支持API和代理的方法的云訪問安全代理架構(gòu)。在現(xiàn)實(shí)中，盡管其實(shí)現(xiàn)方式不同，API和代理這兩種方法的確被聯(lián)合使用并實(shí)現(xiàn)了多模的效果。

隨著企業(yè)將更多的關(guān)鍵業(yè)務(wù)功能轉(zhuǎn)移到云端環(huán)境上，實(shí)施云訪問安全代理已經(jīng)成為一種必要的控制手段。在決定實(shí)施云訪問安全代理之前，了解兩個(gè)備選方案并做出正確的選擇是非常重要的。

原文標(biāo)題：API vs. Proxy: How to Get the Best Protection from Your CASB

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】