Gartner2019年十大安全项目-云安全代理CSAB

根据Gartner的定义，CASB是一种本地或基于云的安全策略执行点，位于云服务消费者和云服务提供商之间，在云中资源被访问时，组合并执行企业的安全策略。

CASB 作为一种产品或服务，为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。CASB 的出现原因简单说，就是随着用户越来越多采用云服务，并将数据存入（公有）云中，他们连服务器这些设备都没有，所有业务系统都托管在云服务商处；而日常管理也大量使用SaaS化服务，例如客户关系使用Salesforce/纷享销客，代码使用Github保存，日常文档使用OFFICE365或者印象笔记，企业文件共享使用Dropbox或者其他类似网盘，企业邮箱使用类似Gmail的自有域企业邮箱托管服务，其他例如HR、社保、报销、OA等等工作事务的管理都有相应的SaaS服务可以采用。在这种情况下，企业往往失去了对业务及数据的安全控制权。因此，企业需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用，让他们清晰地看到云服务的使用况，实现异构云服务的治理，并对云中的数据进行有效的保护。CSAB技术应用而生。

CASB相当于一个超级网关，融合了多种类型的安全策略执行点。在这个超级网关上，能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全（内容检测、加密、混淆）、日志管理、告警，甚至恶意代码检测和防护，CSAB看起来即像是上网行为管理+威胁分析+DLP+防火墙+堡垒机+身份认证产品的合集但它究竟如何部署呢？ 总体来说，分为3种部署模式：

1. 纯网关型模式。在用户的网络出口处放置一套CASB网关设备，对所有的需要处理的SaaS服务进行代理，相应的移动设备需要配置相关的Profile文件或者安装客户端，使此类SaaS流量也指向CASB网关。

2. 控制器+云端能力中心模式。与第一种方案不同之处在于，用户网络内只有一个轻型的控制器用于策略执行。但是对于风险分析、数据加密、安全评估、策略生成、初始化数据格式等工作都在云端完成。而第一种方案中所有工作都有CASB网关完成。

3. 客户端+云模式。在所有SaaS终端使用设备上装上CASB客户端APP。从美国的CASB使用案例来看，金融等大型用户多使用第一种方案，第三种方案通常在用户已经有MDM系统时使用较多，此时终端设备客户端配置及推送方便。

CASB一个很重要的设计理念是充分意识到在云中（尤指公有云）数据是自己的，但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性，同时也在不断丰富针对 IaaS 和 PaaS 的应用场景。 Gartner 认为 CASB 应提供 4 个维度的功能：发现、数据保护、威胁检测、合规性。 NeilMcdonald 将 CASB 项目分为云应用发现、自适应访问、敏感数据发现与保护3个子方向，建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这 3个子方向也对应CASB四大功能中除了威胁检测的3个功能。

CASB的出现依然是解决身份、控制、审查、防泄密、完整性等这些老生常谈的问题，但是面向的基础架构环境已经从传统盒子堆，变成了云。早在2016 年的RSA大会上，针对云安全的厂商就受到了普遍的关注，而这其中CASB（Cloud AccessSecurity Broker，云访问安全代理）更是成为当年大会的亮点，吸引了大量的眼球。Gartner当时提到：“到2020年，85%的大型企业用户将用到CASB产品，而今天这个数字才不到5%”。在Gartner的2018年云安全 HypeCycle 中，CASB依然位于失望的低谷，但快要爬出来，继续处于青春期阶段。
阅读更多云安全文章请关注“云计算与大数据安全”公众号。