【51CTO.com 快译】对于那些已经开始考虑使用云访问安全代理(CASB)产品的IT团队来说,他们经常会提及的一个问题是:“我们已经有了一个网络代理(Web Proxy)和/或防火墙,云访问安全代理的区别在于何处?”或问:“云访问安全代理会取代我们现有的网络代理和防火墙吗?“这些的确是会被自然问及的,因为网络代理和防火墙已经对企业网络与云服务之间的往来流量都具有了“可视性”。然而,云访问安全代理与现有的网络安全解决方案之间存在着显著差异。让我们首先来消除一个主要的误解:云访问安全代理并非现有网络安全工具的替代品,反之亦然。
云访问安全代理对于代理和防火墙来说是一个单独且不同的市场。云访问安全代理可被部署为正向或反向代理模式以实施带内控制。但是它与网络代理的相似之处仅限于此。不像那些专注于广泛的入站威胁并过滤非法网站网络安全解决方案,云访问安全代理所专注的是云服务使用的高可视性和细粒度控制。云访问安全代理可以应用程序接口(API)模式部署来扫描云服务里的数据并使之合规。下述几点是现有网络安全解决方案所不具备的,云访问安全代理独有的一些高级功能:
· 对每个云服务提供一个详细的、独立的风险评估 (例如合规认证,近期数据泄露,安全控制,司法判定)。
· 实施风险相关策略(例如:屏蔽所有高风险的文件共享服务并显示实时的提示信息指导用户获取推送服务)。
· 基于上下文的用户行为访问控制 (例如:防止用户从远程网络的非托管设备上下载报告)。
· 实施以数据为中心的安全策略(例如:对上传到云端的数据进行加密或实施权限管理以保护敏感数据的下载)。
· 应用机器学习来检测威胁(例如:一个IT用户下载不寻常大小的敏感数据并上传到另一个云应用程序的个人账户里)。
· 实时响应来自云端的威胁(例如:在一个内部威胁发送时终止某个帐户的访问,或在账号可能被盗用时,增加额外的身份验证因素方能继续使用云服务)。
· 增强云端数据相关策略(例如:撤销共享给业务合作伙伴的文件的共享权限,或是追溯加密的敏感数据)。
网络代理/防火墙的云相关功能
网络代理和防火墙提供广泛的网络威胁防护。作为该保护的一部分,在没有云访问安全代理集成的情况下,他们提供有限的云使用可视性。例如:尽管这些解决方案无法映射用户访问云服务的地址(URLs),它们在公司网络里跟踪各种云服务的访问。一些客户使用他们的网络安全解决方案来终止SSL连接并检查到恶意软件内容。代理和防火墙也会对云服务进行高级分类(例如:技术与互联网、商务与经济、是否可疑等)。然而这些类别一般并不能反映服务的潜在功能类型,例如:文件共享、客户关系管理(CRM)或是社交媒体。
网络安全解决方案的主要用例之一是对成千上万个包含色情、毒品、赌博等类型的非法网站进行分类和访问控制。网络代理可以将那些向特定URLs的访问尝试重定向到一个标明该URL被阻止掉了的网页上。同样,防火墙可以被配置来屏蔽特定的IP地址。这两种方案缺少详细的且与时俱进的云服务URL和IP地址注册列表,用以扩展其云服务访问控制的功能。一些企业经常会发现,尽管他们可能最初阻止了一些云服务,但是恶意云提供商仍定期引入新的不被屏蔽掉的URL和IP地址。这导致了员工隔一段时间后仍能访问到一些本该阻止的云服务。这是一种“代理泄漏”的普遍现象。
我们传统的对IP声誉度的专注,并不直接适用于云服务方面。有时某个云服务的IP声誉度虽然很高,但由于其安全控制的缺乏,可能并不适合于企业数据的存储。例如,一个持有良好的IP的文件共享服务却允许匿名使用,并与第三方共享客户数据,或者其主机放置在隐私权保护不善的国家,且三个月前经历了密码泄漏事件等。没有IT领导层会愿意将企业敏感数据上传到此服务上。显然没有这些属性特征的注册记录,网络安全解决方案将无法实施风险相关策略的。此外,由于许多云服务不使用标准的HTTP内容处理头(content-disposition headers),网络安全解决方案无法通过执行数据泄漏防护(DLP)方法来防止敏感数据的上传。
云访问安全代理如何与网络代理和防火墙集成呢?
云访问安全代理其实是网络代理和防火墙的互补技术。通过与这些解决方案集成,云访问安全代理可以利用现有的网络架构来获得云服务使用的可视性。同时,云访问安全代理通过云认知(cloud-aware)来实现其自身的使用价值。我们可从日志收集、数据包捕获和代理串联这三个主要方法来进行云访问安全代理与网络安全方案的集成。
日志收集
网络代理和防火墙能捕获网络中云服务使用的数据,但它们可能并不区分云服务使用过程中的具体网站的使用。云访问安全代理则可以通过分析这些解决方案的日志,来解析出具体是谁使用了什么样的云服务,从云端上传和下载的数据量,和每种云服务的风险及类别。实际上,云访问安全代理通过现有的基础架构实现云认知(cloud-aware)。云访问安全代理检测到基础架构的逻辑“出口”处的策略缺口,向他们推送具有最新云服务的URLs的访问政策来弥补此缺口。云访问安全代理还可以通过收集具有用户使用云服务的行为细节的日志,达到终止某些客户使用SSL的效果。使用机器学习,云访问安全代理还可作为一个数据泄漏的参考源来检测那些使用云端传播的检测恶意软件或僵尸网络。
数据包捕获
在数据包捕获的部署模式下,云访问安全代理通过现有网络安全解决方案的反馈数据流来获得数据内容的可视性。例如,云访问安全代理可以通过ICAP协议与网络代理集成。在被配置为仅监控(monitor-only)的模式下,网络代理被配置为复制并转发云端流量至云访问安全代理,来对数据泄漏防护(DLP)进行评估。许多云服务通过定制HTTP内容处理头(content-disposition headers)来提高其应用程序的性能。这些定制HTTP内容处理头对防止网络安全解决方案(和与之运用ICAP协议集成的本地数据泄漏防护方案)检测数据内容的泄漏反而带来了意想不到的副作用。云访问安全代理使用详细的云服务签名来检查云流量,评估数据泄漏防护策略,并生成DLP策略违规的报警。
代理串联
云访问安全代理可以被部署为转发代理模式。许多组织已经有了一个网络代理,他们也不希望再部署另一个代理节点。在代理串联模式下,下游的网络代理被配置为转发所有云服务流量至云访问安全代理。该部署模式中,云访问安全代理能实时执行管控和安全策略。例如,云访问安全代理能通过执行访问控制策略来阻止特定受限的云服务功能。同时它还能在用户试图访问允许以外的服务时以显示规劝式信息的方式通知用户,或者重定向用户到被允许的云服务。不同于数据包捕获,该部署方式允许云访问安全代理实施带内的DLP策略以防止被违反。
综上所述,云访问安全代理增强了企业对网络安全解决方案的投资价值。并非以一个破坏性的方式替代现有方案,云访问安全代理集成并扩展了它们对云服务的处理能力。网络代理/防火墙和云访问安全代理在功能上有明显不同。不再是谁替代谁,他们一起为保护企业数据转移到云端提供了更好云服务使用的可视性和执行合规以及管控的能力。
原文标题:How CASB Is Different from Web Proxy / Firewall
深入阅读
API和代理,哪种云访问安全代理方式能提供最好的保护
云访问安全代理(CASB)软件的出现旨在帮助IT人员获知整个云环境的安全状况。云访问安全代理是置于云服务用户和一个或多个云服务提供商之间的安全实施策略。他们可以驻留于企业系统环境内,或是由云提供商所掌管。无论哪种方式,一个在使用多个云提供商的云服务时,云访问安全代理为信息安全专业人员提供在安全与合规性的关键控制点。他们加强了企业诸如在用户、设备以及云资源之间相互访问等许多层面上的安全策略。
究竟如何将云访问安全代理集成到您云接入安全策略,从而对您的安全方案的维度以及网络性能带来改变呢?这里有两个主要的云访问安全代理部署方式:应用程序接口(API)和代理。
◆基于代理的解决方案
带内的基于代理的解决方案是通过一个网关来检查和过滤已知的用户和设备。因为所有流量都经过一个单独的节点,代理便可实时采取安全措施。不过可惜的是:一个单独的节点也就意味着它降低了网络性能,且仅已知用户提供保护。此外, 基于代理的解决方案仅对SaaS(Software as a Service)云服务的提供安全保护,对IaaS(Infrastructure as a Service)和PaaS(Platform as a Service))云却爱莫能助。
◆基于API的解决方案
基于API的云访问安全代理是一个带外的解决方案,它并不占用数据流量的相同网络路径。由于直接与云服务相集成,基于API的解决方案无性能下降的弊端,他们能同时对SaaS、IaaS和PaaS三种云服务的托管和非托管流量提供安全保护。
一些业内专家建议使用多模的方法,即同时支持API和代理的方法的云访问安全代理架构。在现实中,尽管其实现方式不同,API和代理这两种方法的确被联合使用并实现了多模的效果。
随着企业将更多的关键业务功能转移到云端环境上,实施云访问安全代理已经成为一种必要的控制手段。在决定实施云访问安全代理之前,了解两个备选方案并做出正确的选择是非常重要的。
原文标题:API vs. Proxy: How to Get the Best Protection from Your CASB
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】