什么是 CASB,在网络安全中的作用
数字化转型正在稳步攀升,组织现在越来越关注在线生产力系统和协作平台,各行各业的企业都采用了不同的云基础设施服务模式。云基础架构提供按需服务,可提高易用性、访问控制、内容协作和减少内部存储资源,以及许多其他好处。迁移到云时,组织需要确保云应用程序只能由授权用户访问,随着网络边界的变化,需要实施安全策略,以适应不断变化的威胁形势。
云基础架构中的网络安全问题
云安全是网络安全的一部分,旨在保护云基础设施服务和系统免受潜在风险和攻击,虽然云基础架构为企业提供了许多好处,但重要的是要认识到云安全问题,认识到这些问题将有助于组织找到合适的工具和技术来克服它们。
其中一些网络安全问题包括:
- 云平台的无边界特性使得监控谁访问了什么内容变得困难,从而使云安全监控变得复杂。
- 共享安全责任模型通常会在设置配置方面造成混乱,通常会导致无意的错误配置,这可能是代价高昂的事务。
- 恶意软件,通过不受信任的云应用使用更容易植入组织。
- 当凭据被泄露时,通过被劫持的用户帐户进行数据盗窃或操纵。
- 使用 API,同时促进云中应用程序之间的通信,当身份验证、加密和其他访问控制方法设计不当时,这可能会暴露漏洞。
什么是CASB
CASB 是一种安全解决方案,位于组织的本地或远程基础结构与其云应用程序之间,充当监视它们之间的流量的中介,这些解决方案使用代理或 API 进行部署,以确定与云服务的连接是否经过授权,它们提供了额外的安全层,支持对公共和企业云应用之间共享的信息进行控制。
云访问安全代理(CASB)是云托管或本地软件或硬件,充当云用户和云服务提供商之间的中间策略实施点。CASB 可确保跨各种云基础架构模型的安全性,例如:
- 平台即服务(PaaS)
- 软件即服务(SaaS)
- 基础架构即服务(IaaS)
CASB 的发展带来了从合规性、数据安全和威胁防护到整体数据和流量可见性等各种好处。
为什么使用 CASB
随着组织迁移到云并允许员工在任何地方工作,网络边界已不复存在,因此,安全团队需要采用新的网络安全思维方式来保护其云基础设施,CASB 可以填补云中的安全漏洞,使安全专业人员能够规划策略、监督威胁,并全面了解已批准和未批准的云使用情况。
CASB 在组织中的好处
- 保护数据免受未经授权的访问和网络威胁。
- 监控用户行为并立即响应任何威胁。
- 检测网络中是否存在和使用非托管设备和未经授权的应用程序。
- 允许组织监控用户活动,并在检测到任何异常活动时进行报告。
- 生成用于合规性审计的报告。
CASB 部署模式和用例
希望在其网络中实施 CASB 的组织应该知道有两种部署模式:基于代理和基于 API,每种部署模式都有其优点和缺点,因此,公司需要了解与每个用例相关的重要用例,并根据其特定需求做出决策
基于代理的 CASB
第一代 CASB 使用代理来监视已知用户与云应用程序之间的访问,流量通过代理重新路由,允许 IT 团队添加加密安全控制并监控访问尝试、登录和使用情况,基于代理的 CASB 充当用户设备与设备尝试访问的云应用程序之间的中介,基于代理的 CASB 进一步分为正向代理模式和反向代理模式。
转发代理用例
- 实施精细的访问和活动控制:CASB 转发代理可以与网络防火墙集成,以在用户活动级别监视和实施控制。例如,您可以定义 CASB 策略来阻止用户访问特定应用程序或将文档上载到某些网站。
- 检测网络中的影子 IT:每个访问请求都通过 CASB 转发代理发送,提供有关传输中数据发生情况的实时信息。因此,转发代理可以使用 Web 流量日志检测用户是尝试访问已批准的应用程序还是未批准的应用程序。
反向代理用例
- 根据用户行为实施访问控制:CASB 可以监视用户和实体行为详细信息,例如角色、位置和时间,以确定访问级别,并在检测到任何恶意时向管理员发出警报。CASB 反向代理可以与身份管理应用程序集成,以允许或限制对特定应用程序、文件和功能的访问。
- 防止特定应用程序的数据丢失:恶意内部人员或外部攻击者有时可以访问上传到内部应用程序的敏感数据。您可以将 CASB 与 DLP 解决方案集成,以应用精细的访问策略并防止数据外泄。
- 加密驻留在云中的公司数据:CASB 可以与密钥管理服务集成,以加密传输到云服务的某些类型的数据,例如电子邮件地址和信用卡号。
- 控制对下载数据的访问:CASB 可用于防止未经授权将关键数据从云应用程序导出到非托管设备。这是通过将 CASB 与端点代理和身份管理解决方案集成来实现的,以检测下载请求是来自托管设备还是非托管设备,并限制对数据的访问。
- 审核云应用程序中的用户活动:CASB 反向代理更靠近云应用程序,与身份提供程序集成,以跟踪云服务中的用户和管理员活动。这使安全团队能够调查 CASB 工具生成的日志,并查看源自云服务的安全事件。
基于 API 的 CASB
CASB 可以使用 API 来访问和监控存储在云中的数据,由于它们使用云提供商的内置 API,因此它们允许 IT 专业人员自定义访问规则、自动执行事件响应,并更深入地了解在云中执行的活动。
API 使用案例
- 检测云服务中的恶意软件:基于 API 的 CASB 提供对存储在云服务中的文件的精细可见性,这使 IT 管理员能够检测并删除深层恶意软件,它们还可以与恶意软件检测解决方案集成,以加强恶意软件诊断。
- 跨多个云服务实施数据传输策略:员工有时可能会与其个人电子邮件地址共享敏感的公司数据,或者使用两个或多个云应用来简化他们的工作,这有其自身的一系列危险。基于 API 的 CASB 可以检测与未经批准的域或 Internet 上的任何人共享的所有文件,然后撤消权限和共享链接。
- 审核用户访问预配:基于 API 的 CASB 可以检测被授予权限的帐户是仍处于活动状态还是休眠状态,他们还可以检测授予的权限类型,例如管理员或查看者。
- 扩展本地 DLP 策略以涵盖云数据:基于 API 的 CASB 可以与本地 DLP 解决方案集成,以审核存储在云应用程序中的文件并执行必要的操作,例如删除或加密根据 DLP 策略存储的文件。
CASB在网络安全中的作用
CASB 不同于其他安全方法和技术,例如SIEM、Web 应用程序防火墙和安全 Web 网关,因为它提供了有关云数据应用和文件的可见性,提供了有关用户流量的见解,并实施了安全策略,向云基础设施的日益转变造成了网络安全方面需要解决的差距。
- 监控和管理影子 IT
- 用户监控以缓解威胁
- 防止数据泄露和数据丢失
- 防止帐户盗用
监控和管理影子 IT
影子 IT 为定期处理大量第三方应用程序的企业带来了挑战。随着远程工作模式重新定义员工和组织的运作方式,必须考虑可疑应用程序未经授权访问云上的企业数据的问题。
为了解决此问题,CASB 提供了一些功能,这些功能能够阻止用户尝试授权未经批准的第三方应用程序使用工作或个人凭据来浏览机密企业数据,最终,CASB 能够向 IT 团队提供指导,说明可以采取哪些措施来最好地修复问题,无论是提醒尝试提供访问权限的用户、限制第三方应用程序的访问,还是完全禁止其访问。
用户监控以缓解威胁
CASB 非常适合缓解威胁,因为攻击者在破坏企业数据时通常会以不安全的网络为目标,借助 CASB 解决方案,组织可以实时监控用户的行为,并密切跟踪任何被禁止的活动实例。例如,CASB 能够监控:来自托管和非托管端点的用户。
- 云应用使用情况,提供对用户信息(包括用户位置和设备)的全面可见性。
- 用户访问资源和数据。
- 特权用户访问和相关配置更改。
- 可疑的流量移动。
- 权限更改。
部署 CASB 解决方案通过监视对云中信息的访问来应对外部和内部威胁,而不仅仅是在网络边界。
防止数据泄露和数据丢失
在云安全方面,数据泄漏和丢失是主要问题之一。强大的 CASB 能够严格执行对用户活动的限制,以消除攻击者恶意意图的任何机会,这些限制可能会根据位置、访问时间和其他因素阻止对设备的访问,如果企业已经有 DLP 解决方案,则可以将 CASB 与 DLP 解决方案集成,在这种情况下,CASB 将强制执行预先存在的已配置 DLP 策略,并在云服务中强制执行这些策略。
防止帐户盗用
当未经授权的用户获得对授权用户帐户的访问权限和控制权时,就会发生帐户接管,帐户接管可能是由于身份验证凭据薄弱、网络钓鱼攻击或任何其他具有恶意意图的进程造成的,如果监控工具无法提供对用户行为的可见性,则在云中识别帐户接管可能特别困难,CASB 能够通过全天候监控可疑活动来解决此问题。
云基础设施服务的使用正在通过不断变化的工作环境和动态网络访问而加速,最近云基础设施使用的增加增加了对云安全解决方案的需求,实施 CASB 解决方案可以帮助组织确保对存储在云上的企业数据的可见性、控制和保护。
Log360 是一个统一的 SIEM 解决方案,集成了 CASB 能力,以解决云中的安全问题。