在向云應(yīng)用程序和數(shù)字化轉(zhuǎn)型的大規(guī)模轉(zhuǎn)變中，云訪(fǎng)問(wèn)安全代理 (CASB) 應(yīng)運(yùn)而生。當(dāng)用戶(hù)從企業(yè)外圍內(nèi)訪(fǎng)問(wèn)這些資產(chǎn)時(shí)，CASB旨在減輕圍繞云資產(chǎn)的風(fēng)險(xiǎn)。

有時(shí)，我們很容易將CASB視為發(fā)現(xiàn)和保護(hù)數(shù)據(jù)訪(fǎng)問(wèn)的技術(shù)或功能的集合。有趣的是，當(dāng)推出CASB時(shí)，他們的重點(diǎn)是加密靜態(tài)和傳輸中的數(shù)據(jù)。相比之下，用戶(hù)仍然駐留在企業(yè)的外圍內(nèi)。CASB為云外圍提供了與本地外圍類(lèi)似的檢查和安全級(jí)別。

很多企業(yè)使用CASB日志分析功能來(lái)識(shí)別影子IT。隨后，CASB供應(yīng)商不斷改進(jìn)他們的產(chǎn)品，添加數(shù)據(jù)丟失防護(hù)(DLP)、安全 Web 網(wǎng)關(guān) (SWG) 和其他功能。

云計(jì)算、遠(yuǎn)程工作催生新的網(wǎng)絡(luò)模式

在過(guò)去十年，云轉(zhuǎn)型加速。在2020年，COVID-19疫情帶來(lái)結(jié)構(gòu)性轉(zhuǎn)變，迫使最終用戶(hù)離開(kāi)辦公環(huán)境中的傳統(tǒng)本地網(wǎng)絡(luò)外圍，轉(zhuǎn)而在家工作。這一現(xiàn)實(shí)帶來(lái)對(duì)更成熟的架構(gòu)模型的需求。

當(dāng)用戶(hù)訪(fǎng)問(wèn)云服務(wù)和企業(yè)外圍內(nèi)的資產(chǎn)時(shí)，這里需要新的模式來(lái)保護(hù)用戶(hù)，無(wú)論用戶(hù)的物理位置如何，同時(shí)提供相同的網(wǎng)絡(luò)安全服務(wù)和控制。Gartner將這種模式命名為安全訪(fǎng)問(wèn)服務(wù)邊緣(SASE)，發(fā)音同sassy。

從這個(gè)角度來(lái)看，CASB和SASE不一定是相互對(duì)立的。相反，SASE是CASB的自然演進(jìn)過(guò)程，與其他功能一起發(fā)展為架構(gòu)框架。SASE安全模型是端到端安全的藍(lán)圖。它將外圍安全與云安全相結(jié)合，結(jié)合嚴(yán)格網(wǎng)絡(luò)訪(fǎng)問(wèn)控制(遵循零信任概念)，并將CASB作為該模式的組件。

考慮到這個(gè)模式，并設(shè)想SASE架構(gòu)圖，我們看到的關(guān)系不是CASB與SASE，而是SASE中的CASB。

云訪(fǎng)問(wèn)安全代理功能

CASB和SASE的共同點(diǎn)是A代表Access(訪(fǎng)問(wèn))。讓我們看看訪(fǎng)問(wèn)的定義，將其區(qū)分為公共可用資源和私有資源：

• 訪(fǎng)問(wèn)企業(yè)的SaaS應(yīng)用程序，例如Microsoft 365、Salesforce、代碼存儲(chǔ)庫(kù)或其他資產(chǎn)，這些應(yīng)用程序可能運(yùn)行在云端，作為即服務(wù)使用并需要用戶(hù)身份驗(yàn)證;
• 訪(fǎng)問(wèn)IaaS資源，以完成操作、維護(hù)和部署目的，這些資源位于云環(huán)境，例如AWS、Google Cloud Platform和Microsoft Azure。
• 訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)中心資產(chǎn)、HR系統(tǒng)和財(cái)務(wù)軟件，包括第三方或承包商遠(yuǎn)程訪(fǎng)問(wèn)。

CASB的主要目標(biāo)之一是抵御對(duì)存儲(chǔ)在云端信息的未經(jīng)授權(quán)訪(fǎng)問(wèn)，以及降低此類(lèi)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。我們可以稱(chēng)之為風(fēng)險(xiǎn)控制，而不只是純粹的安全控制。

在開(kāi)發(fā)CASB時(shí)，它有三個(gè)目標(biāo)：影子IT預(yù)防、加密，以及阻止將機(jī)密信息上傳到未經(jīng)批準(zhǔn)的云應(yīng)用程序。另一方面，它也試圖控制非授權(quán)用戶(hù)對(duì)授權(quán)應(yīng)用程序的訪(fǎng)問(wèn)。CASB的另一個(gè)功能是識(shí)別敏感信息，并使用公司定義的策略來(lái)限制對(duì)這些數(shù)據(jù)的訪(fǎng)問(wèn)，在某些情況下，使用用戶(hù)和實(shí)體行為分析。

安全訪(fǎng)問(wèn)服務(wù)邊緣功能

在查看SASE的優(yōu)勢(shì)時(shí)，最關(guān)鍵的功能之一是零信任網(wǎng)絡(luò)訪(fǎng)問(wèn) (ZTNA)。遠(yuǎn)程工作人員使用它來(lái)訪(fǎng)問(wèn)公司資源。同時(shí)，它們已通過(guò)身份驗(yàn)證并獲得應(yīng)用程序級(jí)別的訪(fǎng)問(wèn)權(quán)限，支持和推動(dòng)NIST Special Publication 800-207的想法。

在SASE的早期階段，軟件定義WAN (SD-WAN) 設(shè)備與SWG緊密耦合。這為擁有多個(gè)辦事處的企業(yè)提供了快速入門(mén)，并以更直接的方式控制和優(yōu)化ISP鏈接。

隨著轉(zhuǎn)向在任何地方工作，很多SWG 供應(yīng)商開(kāi)發(fā)一種最終用戶(hù)客戶(hù)端，該客戶(hù)端在計(jì)算機(jī)上運(yùn)行，使流量能夠以安全的方式路由到SWG供應(yīng)商最近的存在點(diǎn)。在此配置中，最終用戶(hù)可以從相同的安全級(jí)別中受益，而不受位置限制。唯一的要求是互聯(lián)網(wǎng)連接。當(dāng)用戶(hù)返回辦公室時(shí)，他們不必關(guān)閉客戶(hù)端，并保持相同的安全級(jí)別。

現(xiàn)在，SD-WAN設(shè)備的功能主要是連接公司位置;保護(hù)無(wú)法安裝客戶(hù)端的服務(wù)器和其他設(shè)備;并提供對(duì)無(wú)法遷移到云端的遺留系統(tǒng)的訪(fǎng)問(wèn)。

同一個(gè)供應(yīng)商提供SASE安全功能很有意義，這包括CASB、DLP、SWG和ZTNA等。這些供應(yīng)商提供更好的流量路由、更少的排除、更好的監(jiān)控和故障排除，以及最重要的是，單一管理平臺(tái)用于安全策略創(chuàng)建。這種整合可以減少安裝在客戶(hù)設(shè)備上的客戶(hù)端數(shù)量。它還可以實(shí)現(xiàn)更輕松的策略創(chuàng)建、故障排除、安全計(jì)劃的整體更好的指標(biāo)，以及高層管理人員的可見(jiàn)性。

因此，Gartner定義了一個(gè)新的市場(chǎng)，稱(chēng)為安全服務(wù)邊緣 (SSE)。SSE將所有安全組件集中在一起，不包括與網(wǎng)絡(luò)相關(guān)的元素，例如SD-WAN。SSE和SD-WAN一起將構(gòu)成SASE模型。