云訪問安全代理（CASB）是一種管理企業(yè)端點(diǎn)和云資源之間訪問的安全解決方案，可以部署在本地或云端，可以是硬件設(shè)備或純軟件，通過代理、反向代理或特定API實(shí)現(xiàn)。

CASB的應(yīng)用場景

最初，CASB是為了解決影子IT問題。許多員工使用個(gè)人云存儲賬號存放公司數(shù)據(jù)，CASB工具幫助安全團(tuán)隊(duì)發(fā)現(xiàn)和監(jiān)控未經(jīng)授權(quán)或未管理的云服務(wù)。如今，CASB涵蓋了更多的應(yīng)用場景：

• 數(shù)據(jù)保護(hù)：在混合云環(huán)境中保護(hù)敏感數(shù)據(jù)。
• 合規(guī)性：確保遵守?cái)?shù)據(jù)隱私法規(guī)。
• 遠(yuǎn)程工作：為遠(yuǎn)程員工提供安全的云資源訪問。
• 威脅檢測：檢測惡意活動(dòng)、入侵嘗試、勒索軟件等。

CASB的主要趨勢

根據(jù)MordorResearch，獨(dú)立CASB市場在2023年估值為110億美元，預(yù)計(jì)到2029年將以每年17%的速度增長至242億美元。CASB也是業(yè)界主流安全策略的一部分，包括Gartner提出的安全服務(wù)邊緣（SSE）和IDC定義的網(wǎng)絡(luò)邊緣安全即服務(wù)（NESaaS），具體如下：

• CASB與SSE：Gartner的安全服務(wù)邊緣(SSE)是由CASB、SWG和零信任網(wǎng)絡(luò)訪問(ZTNA)集成的大安全框架。Gartner預(yù)測：“到2026年，85%尋求保護(hù)Web、SaaS和私有應(yīng)用程序的組織將從安全服務(wù)邊緣(SSE)產(chǎn)品中獲得安全功能。”（Gartner的命名法已成為事實(shí)上的標(biāo)準(zhǔn)。）
• CASB與NESaaS：IDC的網(wǎng)絡(luò)邊緣安全即服務(wù)(NESaaS)包含三個(gè)核心組件：CASB、SWG和ZTNA。IDC表示：“網(wǎng)絡(luò)安全市場正處于急需的融合趨勢中。安全供應(yīng)商已從專注于單點(diǎn)個(gè)性化安全服務(wù)轉(zhuǎn)向整合的云交付網(wǎng)絡(luò)安全平臺，將單個(gè)服務(wù)視為可選模塊。”

CASB工具的關(guān)鍵能力和部署方式

從功能角度看，CASB工具的四個(gè)關(guān)鍵能力包括：

• 可見性：CASB提供對云使用情況、用戶活動(dòng)和數(shù)據(jù)流的全面可見性。
• 控制：CASB提供對用戶權(quán)限和數(shù)據(jù)訪問的細(xì)粒度控制。
• 數(shù)據(jù)保護(hù)：CASB解決方案提供數(shù)據(jù)保護(hù)功能，以保護(hù)跨多個(gè)云服務(wù)的敏感信息。
• 合規(guī)性：CASB工具有助于保持對數(shù)據(jù)隱私法規(guī)的合規(guī)性。

除了這些核心功能之外，組織還需要確保CASB工具能夠與現(xiàn)有的云服務(wù)、應(yīng)用程序和安全基礎(chǔ)設(shè)施很好地集成。

CASB有兩種基本部署模式：基于代理和基于API。大多數(shù)專家表示，基于API的CASB提供更好的功能，但組織需要確保供應(yīng)商的應(yīng)用程序編程接口(API)連接列表與組織的云應(yīng)用程序清單相匹配。

選擇CASB工具的16個(gè)關(guān)鍵問題

CASB工具選型工作較為復(fù)雜。廣義的CASB定義(DLP、SWG等)中可能包含的功能列表很長，CASB工具本身是SSE和SASE平臺大趨勢的一部分，這些平臺包括ZTNA或SD-WAN等功能。企業(yè)需要確定其痛點(diǎn)是什么（無論是合規(guī)還是影子IT）。

購買CASB工具時(shí)，企業(yè)應(yīng)明確自身需求，確保選擇的供應(yīng)商能滿足當(dāng)前需求并支持未來發(fā)展。以下是CASB選型時(shí)用戶需要問自己的八個(gè)關(guān)鍵問題：

• 我對用戶訪問的云服務(wù)了解多少？
• 我是否有完善的數(shù)據(jù)分類系統(tǒng)？
• 我是否有跨本地和云環(huán)境的訪問控制政策？
• 我的主要需求是什么？
• CASB工具如何與現(xiàn)有安全基礎(chǔ)設(shè)施集成？
• CASB工具如何融入我的整體安全規(guī)劃？
• 是否有預(yù)算支持新工具？
• 是否有內(nèi)部人員管理該工具，或者需要選擇云托管服務(wù)？

此外，用戶還需要向CASB供應(yīng)商提出以下八個(gè)關(guān)鍵問題：

• CASB產(chǎn)品包含哪些功能？我是否將DLP和SWG作為CASB的一部分獲得，還是這些是附加模塊？
• 供應(yīng)商的SSE和SASE路線圖是什么？
• 如果供應(yīng)商的CASB產(chǎn)品是收購的，與其他產(chǎn)品組合的集成度如何？
• 當(dāng)用戶將更多的安全功能遷移到云中時(shí)，這個(gè)工具現(xiàn)在和將來將如何融入用戶的安全基礎(chǔ)設(shè)施？
• 供應(yīng)商的業(yè)務(wù)覆蓋哪些地區(qū)？
• 工具的API是否涵蓋我使用的所有云服務(wù)？
• 產(chǎn)品能否能隨著公司的發(fā)展而擴(kuò)大規(guī)模？
• 初始成本以及長期總擁有成本是多少？