云訪問安全代理(CASB)技術(shù)是個(gè)快速成長的市場，該技術(shù)旨在幫助公司企業(yè)在云端應(yīng)用各種安全策略。CASB是云端安全這個(gè)老大難問題的解決方案，但選擇哪種CASB最適合自己?又如何規(guī)避一些常見的陷阱?

[[235465]]

萬里長城曾是抵御侵略的堅(jiān)實(shí)基礎(chǔ)，是以城墻為主體，同大量城、障、亭、標(biāo)相結(jié)合的中國古代第一軍事工程，賦予了中華先民莫大的安全感。如今，長城的防御作用消退，城墻也演變成了歷史遺跡、旅游勝地。這種邊界防御控制力消退的感覺，技術(shù)主管們應(yīng)該不會(huì)陌生。

在云技術(shù)誕生前，公司企業(yè)以邊界圈住自身資產(chǎn)加以控制和保護(hù)。邊界之內(nèi)皆我所有，邊界之外非我族類。在邊界內(nèi)實(shí)施安全策略，確保沒有任何惱人的東西翻墻而過，安全人員的工作就算完美搞定。

云技術(shù)落地開花的當(dāng)下，公司數(shù)據(jù)和系統(tǒng)分布各地，往往技術(shù)主管自己都不知道他們的數(shù)據(jù)存放在哪兒，也不知道是跟誰共享自身關(guān)鍵系統(tǒng)所依托的服務(wù)器。

如此離散的系統(tǒng)，要怎么應(yīng)用公司的安全原則呢?

答案之一，就是云訪問安全代理(CASB)。

CASB是幫助公司企業(yè)在云端實(shí)現(xiàn)安全策略的系統(tǒng)，位于云服務(wù)提供商和消費(fèi)云服務(wù)的公司企業(yè)之間。CASB概念近幾年逐漸引人矚目，很多咨詢公司都預(yù)測，到2020年其市場將達(dá)75億美元規(guī)模。

市面上的CASB提供商很多，邁克菲(2018年1月并購 SkyHigh Networks)和賽門鐵克這種傳統(tǒng)安全供應(yīng)商、微軟和Oracle這樣的軟件巨獸，以及Netskope和Okta之類新興專業(yè)CASB提供商都在場中競爭。

何處著手?

技術(shù)主管實(shí)現(xiàn)CASB時(shí)要跨越的第一道障礙，就是理解從何處著手。

Gartner云安全研究總監(jiān) Steve Riley 建議公司企業(yè)從特定于客戶具體需求的用例詳單開始。

要考慮終端用戶將會(huì)怎樣與云服務(wù)交互，與何種設(shè)備交互：CASB能為托管設(shè)備和非托管設(shè)備提供不同的SaaS功能。

這有助于終端用戶從個(gè)人設(shè)備訪問公司敏感數(shù)據(jù)。CASB解決方案能將信息轉(zhuǎn)換為更安全的只讀格式，比完全禁止訪問更利于公司業(yè)務(wù)開展。

可以多設(shè)想一些員工與數(shù)據(jù)互動(dòng)的場景和對公司而言非常重要的云服務(wù)的種類。然后你就能理出一套概念驗(yàn)證，大幅減輕CASB實(shí)現(xiàn)的難度。

CASB的三種主要模式

CASB解決方案主要有三種：僅API、僅代理，或多模式(即有API也有代理)。

基于API的CASB為企業(yè)用戶定義出可以訪問的一些云應(yīng)用。舉例來講的話，CASB會(huì)接管其客戶 Office 365 (O365)用戶的管理權(quán)限。用戶登錄后，該應(yīng)用的流量會(huì)被轉(zhuǎn)移到CASB提供商處，由CASB提供商負(fù)責(zé)在發(fā)往O365前檢查所有數(shù)據(jù)。

Netskope歐洲、中東和非洲片區(qū)副總裁 André Stewart 說：“數(shù)據(jù)不在網(wǎng)上，而是發(fā)給應(yīng)用，我們在那兒查看所有文件，掃描任何惡意軟件跡象。”

僅代理CASB模式下，所有流量先流經(jīng)該安全提供商的云，在其上經(jīng)受企業(yè)策略合規(guī)檢測，然后再發(fā)往互聯(lián)網(wǎng)或本應(yīng)發(fā)往的云應(yīng)用。

這兩種模式的區(qū)別在于，基于代理的CASB能處理經(jīng)批準(zhǔn)的和未經(jīng)批準(zhǔn)的應(yīng)用，來自任意類型設(shè)備的所有流量都轉(zhuǎn)發(fā)到提供商的云。

第三種模式——多模式，則根據(jù)用例為終端用戶提供API和代理選項(xiàng)。

那么，有沒有明確的“最佳”選擇呢?

這就要看具體用例是什么了。最終選擇要根據(jù)企業(yè)的云應(yīng)用和連接來做出。因?yàn)槟芴幚砣我鈶?yīng)用而不僅僅是IT部門單列出的那些，基于代理的架構(gòu)更為全面一些。但是，特別注重安全的企業(yè)，或者監(jiān)管超嚴(yán)的行業(yè)，會(huì)想要限制云流量僅發(fā)往他們認(rèn)為合適的應(yīng)用。于是，所選為何，還是要落實(shí)到具體用例上。

CASB是干什么的?

CASB主要做4件事：發(fā)現(xiàn)公司在用哪些云應(yīng)用;保護(hù)數(shù)據(jù);抵御威脅;確保合規(guī)。Gartner將這四點(diǎn)視作CASB的四大支柱。

CASB市場競爭激烈，供應(yīng)商都想在這4個(gè)方面脫穎而出。有些供應(yīng)商這4個(gè)方面均衡發(fā)展，有些則重點(diǎn)發(fā)展其中幾個(gè)方面但仍保持全部4個(gè)方面的基本功能都有。最初，CASB要么專注可見性，要么重在加密。隨著產(chǎn)品日漸成熟，可見性繼續(xù)保持重要用例地位，但新增用例也達(dá)到了相同甚至有過之而無不及的重要程度。

雖然沒有任何一種CASB產(chǎn)品能完美貼合每個(gè)用例，但專業(yè)獨(dú)立CASB平臺(tái)(未必總是來自獨(dú)立CASB供應(yīng)商)正推出更多功能，覆蓋更多云服務(wù)，支持更多企業(yè)用例。

其敏捷性遠(yuǎn)勝云服務(wù)提供商交付服務(wù)的速度，也遠(yuǎn)遠(yuǎn)超出在已有安全技術(shù)上將部分CASB功能作為插件提供的其他廠商。而且，主流CASB供應(yīng)商的平臺(tái)根植于云，為云而生，對用戶、設(shè)備、應(yīng)用、交易和敏感數(shù)據(jù)的理解比傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)的CASB插件強(qiáng)的不是一點(diǎn)半點(diǎn)。

一些案例

于是，供應(yīng)商選擇再次歸結(jié)到用例上。但是，到底該看哪些用例?公司企業(yè)決定部署CASB解決方案的最常見原因是什么呢?

通常，嘗試解決云安全問題的終端用戶有兩種。一種是向云端遷移或意識到自己大半數(shù)據(jù)已經(jīng)在云端的傳統(tǒng)大型企業(yè)。另一種是幾乎沒有什么現(xiàn)場基礎(chǔ)設(shè)施的云優(yōu)先企業(yè)。CASB供應(yīng)商視線所及更多的是前者。

前者想要知道自己的數(shù)據(jù)都在哪兒。因?yàn)樗麄兊挠白覫T往往會(huì)催生出可見性用例。

這種企業(yè)中的各種業(yè)務(wù)會(huì)不斷引入新AWS實(shí)例，或者在云端為HR部署各種應(yīng)用，而IT部門就試圖確定自家公司的云應(yīng)用規(guī)模到底有多大。

大多數(shù)IT主管都會(huì)被審計(jì)結(jié)果大為震驚，驚訝于自家員工使用的云應(yīng)用數(shù)量，只有極少數(shù)CIO會(huì)在被問及影子IT問題時(shí)表示自家公司對此牢牢把控?！禖omputing》最新的調(diào)查研究揭示，8%的歐洲公司在公共云服務(wù)使用上完全是個(gè)人用戶的自主行為。

公司規(guī)模越大，情況越糟糕。擁有5萬以上員工的大企業(yè)，通常會(huì)發(fā)現(xiàn)自家員工在用的云應(yīng)用有3000-5000個(gè)之多。

僅云存儲(chǔ)應(yīng)用，大多數(shù)大企業(yè)就在用Box、DropBox、WeTransfer等等。專業(yè)CASB供應(yīng)商N(yùn)etskope分析過的某公司甚至在用40多個(gè)未經(jīng)批準(zhǔn)的云存儲(chǔ)應(yīng)用。

有些人可能會(huì)覺得這么做挺好的：然而，只要我們知道云提供商在確定用戶身份上的孜孜不倦，我們就會(huì)意識到這么做是短視而危險(xiǎn)的。

公司企業(yè)往往不知道其員工使用這些服務(wù)時(shí)都簽下了哪些條款，有時(shí)候這意味著他們甚至都不再擁有自己的數(shù)據(jù)了。

以上便是發(fā)現(xiàn)用例存在的原因了。接下來，公司企業(yè)還想對所用數(shù)據(jù)施加一定的控制。當(dāng)公司發(fā)現(xiàn)員工在用3種不同HR工具做同樣的事時(shí)，就會(huì)想要整合這些工具，封掉那些有風(fēng)險(xiǎn)的，教導(dǎo)用戶使用經(jīng)過批準(zhǔn)的那些。

而一旦有了“合法”應(yīng)用列表，比如說，把原來的40多種云存儲(chǔ)應(yīng)用整合成僅能使用Box、OneDrive和DropBox，公司企業(yè)就會(huì)想要對這些云存儲(chǔ)服務(wù)中的數(shù)據(jù)加以控制——不同等級的訪問權(quán)限之類的。之后，公司就能控制哪些數(shù)據(jù)可以公開共享，哪些需要應(yīng)用數(shù)據(jù)丟失防護(hù)(DLP)規(guī)則了。這樣一來，在遭遇惡意軟件攻擊時(shí)，至少云端數(shù)據(jù)還是干凈而安全的。

很多公司開始在向O365遷移時(shí)考慮部署CASB，作為傳統(tǒng)現(xiàn)場辦公套件的微軟Office，如今正將其部分客戶推向云端。

公司企業(yè)之前可能一直在用Salesforce之類的東西，但出于某些原因沒覺得自己的數(shù)據(jù)是在云端。O365強(qiáng)調(diào)出一個(gè)事實(shí)：公司企業(yè)應(yīng)將安全邊界覆蓋到數(shù)據(jù)和應(yīng)用領(lǐng)域，而不僅僅保持在物理邊界的定義上。

另外，隨著BYOD的逐漸深化，甚至核心業(yè)務(wù)過程也開始有員工用自己的智能手機(jī)和平板處理，這就讓設(shè)備控制也成為了頗具吸引力的想法。

GDPR是推動(dòng)公司企業(yè)邁向CASB的另一個(gè)原因。在數(shù)據(jù)發(fā)往云端之前就加密，能降低個(gè)人可識別信息(PII)泄露的風(fēng)險(xiǎn)。更不用說高達(dá)至多4%年總營業(yè)額的巨額罰款對CASB采納的推動(dòng)作用了。

最后，DLP也是常見的用例。

關(guān)鍵是要確保機(jī)密信息只能被正確的人訪問而不會(huì)公開共享。有些公司特別擔(dān)憂自己的數(shù)據(jù)會(huì)流向哪里，應(yīng)用CASB就能設(shè)置合理的過濾，只要數(shù)據(jù)去往不該去的地方，就能立即追蹤并加以處理。

即便是故意忽略了有效用例的情況，供應(yīng)商們也會(huì)敦促公司企業(yè)部署CASB的。大多數(shù)大型企業(yè)軟件提供商就正在將現(xiàn)有客戶遷往云服務(wù)，無論愿不愿意，軟件更新周期最終都會(huì)落到云端。安全團(tuán)隊(duì)不得不求助于CASB功能來應(yīng)對新的環(huán)境。

小心陷阱

接受了CASB概念，通過了商業(yè)案例，下?lián)芰速徶妙A(yù)算后，CASB購買就成了順理成章的下一步舉動(dòng)。與很多服務(wù)協(xié)商類似，購買中需要注意的是許可條款，否則很容易掉進(jìn)“坑”里。

這是因?yàn)镃ASB供應(yīng)商使用的許可模式在復(fù)雜度和細(xì)節(jié)方面區(qū)別很大。如果可以的話，盡量選擇簡單許可模式。Gartner建議采用基于2個(gè)簡單指標(biāo)的模式：云服務(wù)數(shù)量和用戶數(shù)量。

CASB定價(jià)通常按每個(gè)受保護(hù)云服務(wù)所用的功能(或功能集)來算。如果DLP是關(guān)鍵CASB用例，很多供應(yīng)商會(huì)要求每個(gè)云服務(wù)都購買一份。Salesforce買一份，O365再買一份，ServiceNow還得另買。好的許可模式應(yīng)能在當(dāng)前預(yù)算周期內(nèi)覆蓋所有云服務(wù)和用戶所需的CASB功能。新云應(yīng)用的上線使用，不應(yīng)造成需得根據(jù)預(yù)算在哪些應(yīng)用和數(shù)據(jù)可享受CASB保護(hù)上做出取舍。

部署之后也有陷阱，有些陷阱是加密環(huán)節(jié)上的。如果你的CASB解決方案會(huì)加密數(shù)據(jù)，那你的故障恢復(fù)、云應(yīng)用訪問很有可能馬上無法使用。

同理，如果CASB對云服務(wù)功能的映射因某個(gè)云服務(wù)更新而過時(shí)，CASB可能會(huì)中斷該云服務(wù)。更重要的是，數(shù)據(jù)加密或數(shù)據(jù)令牌化往往會(huì)影響SaaS應(yīng)用的終端用戶功能，尤其是搜索、索引、排序、現(xiàn)場級數(shù)字運(yùn)算和企業(yè)文件同步共享(EFSS)中文檔預(yù)覽一類的功能——如果對象級附件被加密的話。鑒于此，除非是監(jiān)管有要求，否則任何時(shí)候就不要考慮采用外部云數(shù)據(jù)防護(hù)。

有些公司企業(yè)甚至?xí)黄銼aaS供應(yīng)商建議不要安裝CASB解決方案。比如說，微軟就不喜歡代理、緩存和WAN優(yōu)化器這樣的產(chǎn)品部署在他們的服務(wù)之前。微軟的考慮是，這些產(chǎn)品會(huì)引入延遲或其他問題，而微軟服務(wù)本身就成了代罪羔羊。當(dāng)然，客戶沒必要取悅自己的供應(yīng)商，該怎么辦還怎么辦就好。

CASB部署后也不可急功冒進(jìn)，妄想瞬間掌控一切。

CASB項(xiàng)目不應(yīng)試圖從一開始就控制和監(jiān)視所有可能的云應(yīng)用。云使用可見性基線建立起來后，最好是基于風(fēng)險(xiǎn)給所有云服務(wù)排個(gè)序，確定出最先進(jìn)行監(jiān)視和控制的云服務(wù)。

可以考慮定出一兩個(gè)托管了公司最敏感信息的云服務(wù)，以此為起點(diǎn)，逐步擴(kuò)展到所有云服務(wù)。

比如說，很多企業(yè)從單個(gè)最重要云應(yīng)用開始——通常是Salesforce或O365。CASB項(xiàng)目還應(yīng)包括從一開始就為關(guān)鍵服務(wù)啟動(dòng)DLP的計(jì)劃。另一個(gè)擴(kuò)展CASB項(xiàng)目的方法是先從僅限制托管設(shè)備訪問開始，再慢慢覆蓋到非托管設(shè)備。因?yàn)槲磥砜倳?huì)增加新的云服務(wù)，所以CASB合同中要為將來的擴(kuò)充留有余地。

還有個(gè)常見問題是，買了全能型CASB解決方案，卻只使用其中某幾個(gè)功能。

確保用好用全自己的CASB。功能那么多，你可以控制下載到非托管設(shè)備上的數(shù)據(jù)，查找可能昭示著非法用戶或憑證竊取的流量異常，還可以用上數(shù)據(jù)丟失防護(hù)。CASB是有多種功能選項(xiàng)的工具集，然而有些客戶卻只使用其中少數(shù)功能，這是個(gè)令人傷心的景象。

最后，不僅僅是CASB，任何采購都適用的一條最佳建議是，問供應(yīng)商索要來自同等規(guī)模同樣需求的公司客戶的參考案例。如果供應(yīng)商給不出，那就值得三思了。

CASB解決方案不保證比其他產(chǎn)品更能提供安全，理智的供應(yīng)商都不會(huì)夸口說自己的產(chǎn)品包治百病，但瘋狂的供應(yīng)商營銷方式也確實(shí)存在。但是，隨著核心企業(yè)應(yīng)用往云端的遷移，越來越多的公司企業(yè)會(huì)發(fā)現(xiàn)自己需要什么東西來監(jiān)管愈趨分散的各類資產(chǎn)。

用個(gè)比喻來結(jié)束本文，城墻雖然不再是趨勢，但這并不意味著城里秩序井然的街道布局就可以被打亂。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文