隨著企業(yè)IT運(yùn)營逐漸從本地上云，他們就開始尋找從內(nèi)部數(shù)據(jù)中心引入云運(yùn)營的安全訪問控制方法。云訪問安全代理（CASB）就是這樣的一種工具。如今，CASB已推出十年，它是企業(yè)安全基礎(chǔ)結(jié)構(gòu)的常見組成部分。但是對于許多人來說，確切地了解CASB的功能，為什么它不同于下一代防火墻，這仍然是一個謎。

本文將帶大家來研究一下CASB，闡述它的來源以及演變。

CASB的最初目的是提供企業(yè)基礎(chǔ)架構(gòu)中所有云服務(wù)的可見性。在和“影子IT”以及未授權(quán)的云服務(wù)對抗中，CASB是第一種專用武器。CASB部署在網(wǎng)絡(luò)邊界并使用多種代理類型，可以識別對云服務(wù)的每次響應(yīng)或從云服務(wù)進(jìn)行的連接，無論這項(xiàng)云服務(wù)是否被批準(zhǔn)。

在CASB創(chuàng)建之初，它們經(jīng)常作為物理設(shè)備部署在客戶數(shù)據(jù)中心。現(xiàn)在，它們?nèi)钥梢圆渴穑嗟匾浴鞍踩捶?wù)”（SaaS）模型部署為云服務(wù)本身。在這兩種情況下，現(xiàn)在的CASB都使用代理和API來識別盡可能大范圍的云服務(wù)，并根據(jù)產(chǎn)品現(xiàn)在具有的附加功能采取行動。

知道云服務(wù)的存在并不等同于對其進(jìn)行保護(hù)（或針對特定服務(wù)實(shí)施安全控制），因此CASB逐步發(fā)展，并為安全團(tuán)隊(duì)提供更多服務(wù)。正如Gartner所言，CASB的“四個支柱”已然發(fā)展起來——可視化、合規(guī)性、數(shù)據(jù)安全和威脅防護(hù)。

這四個功能領(lǐng)域在共享責(zé)任云安全性模型中很重要，在該模型中，云提供商負(fù)責(zé)保護(hù)其基礎(chǔ)架構(gòu)，而云客戶負(fù)責(zé)其應(yīng)用程序和數(shù)據(jù)的安全性。

那么，這“四個支柱”的真正含義是什么？它們?nèi)绾斡糜诒Ｗo(hù)企業(yè)云？下文將進(jìn)行一一論述。

可視化

CASB可以讓企業(yè)負(fù)責(zé)人知道所有員工在網(wǎng)絡(luò)中堅持使用的云服務(wù)是否安全。雖然這是很必要且令人恐懼的，但現(xiàn)在的CASB確實(shí)可以提供部分的檢測。利用CASB可以查找和監(jiān)視往返云服務(wù)流量的方式，它還可以告訴安全團(tuán)隊(duì)哪些員工正在使用云服務(wù)，以及他們?nèi)绾潍@得云服務(wù)。當(dāng)與員工對質(zhì)，若員工不承認(rèn)個人行為破壞了公司的安全計劃時，CASB工具可以提供有效幫助。

合規(guī)性

隨著CASB的發(fā)展，尤其是當(dāng)他們使用API而不是代理來提高對云上業(yè)務(wù)的可見性時，他們能夠查看從一個云傳輸?shù)搅硪粋€云以及在內(nèi)部部署的基礎(chǔ)結(jié)構(gòu)和云之間傳輸?shù)臄?shù)據(jù)。除了讓安全團(tuán)隊(duì)可以更好地了解組織的云基礎(chǔ)架構(gòu)之外，這還可以查看存儲在云中以及處理中的數(shù)據(jù)。

合規(guī)的許多方面取決于要了解數(shù)據(jù)的存儲位置和存儲方式。除了外部法規(guī)外，許多組織還對如何存儲和處理特定類型的數(shù)據(jù)制定了內(nèi)部規(guī)則。CASB可以讓安全團(tuán)隊(duì)清楚地了解云綁定數(shù)據(jù)的狀態(tài)，從而可以檢測和糾正員工在存儲或遷移數(shù)據(jù)的情況，以免觸犯外部法規(guī)。

數(shù)據(jù)安全

通過了解云上數(shù)據(jù)的狀態(tài)，CASB可以采取下一步措施來保護(hù)該數(shù)據(jù)。通過API控件進(jìn)行操作，使CASB可以查看從未進(jìn)入企業(yè)網(wǎng)絡(luò)的事務(wù)（例如云服務(wù)之間的事務(wù)）。CASB可以執(zhí)行一系列規(guī)則，比如數(shù)據(jù)加密或混淆、身份驗(yàn)證和訪問控制的特定要求以及其他參數(shù)等，這樣可以確保數(shù)據(jù)以安全的方式存儲。

威脅防護(hù)

“訪問”是CASB中的一環(huán)，這類產(chǎn)品可以提供威脅防護(hù)，加強(qiáng)云上數(shù)據(jù)應(yīng)用的訪問和身份驗(yàn)證控制。在許多情況下，CASB通過和現(xiàn)有的單點(diǎn)登錄或“身份即服務(wù)工具”進(jìn)行交互，可以監(jiān)視業(yè)務(wù)活動并執(zhí)行規(guī)則。CASB的優(yōu)勢之一在于具備與現(xiàn)有的安全基礎(chǔ)結(jié)構(gòu)集成的能力，這將CASB和其他工具區(qū)分開來。

通常，下一代防火墻、Web應(yīng)用程序防火墻和其他安全工具被認(rèn)為很復(fù)雜，無法發(fā)揮最大優(yōu)勢。而相對來說，即使經(jīng)驗(yàn)不足的安全團(tuán)隊(duì)，CASB一直以來也都是易于配置和部署的工具。