找不同:云訪問安全代理與網絡代理/防火墻
譯文【51CTO.com 快譯】對于那些已經開始考慮使用云訪問安全代理(CASB)產品的IT團隊來說,他們經常會提及的一個問題是:“我們已經有了一個網絡代理(Web Proxy)和/或防火墻,云訪問安全代理的區別在于何處?”或問:“云訪問安全代理會取代我們現有的網絡代理和防火墻嗎?“這些的確是會被自然問及的,因為網絡代理和防火墻已經對企業網絡與云服務之間的往來流量都具有了“可視性”。然而,云訪問安全代理與現有的網絡安全解決方案之間存在著顯著差異。讓我們首先來消除一個主要的誤解:云訪問安全代理并非現有網絡安全工具的替代品,反之亦然。
云訪問安全代理對于代理和防火墻來說是一個單獨且不同的市場。云訪問安全代理可被部署為正向或反向代理模式以實施帶內控制。但是它與網絡代理的相似之處僅限于此。不像那些專注于廣泛的入站威脅并過濾非法網站網絡安全解決方案,云訪問安全代理所專注的是云服務使用的高可視性和細粒度控制。云訪問安全代理可以應用程序接口(API)模式部署來掃描云服務里的數據并使之合規。下述幾點是現有網絡安全解決方案所不具備的,云訪問安全代理獨有的一些高級功能:
· 對每個云服務提供一個詳細的、獨立的風險評估 (例如合規認證,近期數據泄露,安全控制,司法判定)。
· 實施風險相關策略(例如:屏蔽所有高風險的文件共享服務并顯示實時的提示信息指導用戶獲取推送服務)。
· 基于上下文的用戶行為訪問控制 (例如:防止用戶從遠程網絡的非托管設備上下載報告)。
· 實施以數據為中心的安全策略(例如:對上傳到云端的數據進行加密或實施權限管理以保護敏感數據的下載)。
· 應用機器學習來檢測威脅(例如:一個IT用戶下載不尋常大小的敏感數據并上傳到另一個云應用程序的個人賬戶里)。
· 實時響應來自云端的威脅(例如:在一個內部威脅發送時終止某個帳戶的訪問,或在賬號可能被盜用時,增加額外的身份驗證因素方能繼續使用云服務)。
· 增強云端數據相關策略(例如:撤銷共享給業務合作伙伴的文件的共享權限,或是追溯加密的敏感數據)。
網絡代理/防火墻的云相關功能
網絡代理和防火墻提供廣泛的網絡威脅防護。作為該保護的一部分,在沒有云訪問安全代理集成的情況下,他們提供有限的云使用可視性。例如:盡管這些解決方案無法映射用戶訪問云服務的地址(URLs),它們在公司網絡里跟蹤各種云服務的訪問。一些客戶使用他們的網絡安全解決方案來終止SSL連接并檢查到惡意軟件內容。代理和防火墻也會對云服務進行高級分類(例如:技術與互聯網、商務與經濟、是否可疑等)。然而這些類別一般并不能反映服務的潛在功能類型,例如:文件共享、客戶關系管理(CRM)或是社交媒體。
網絡安全解決方案的主要用例之一是對成千上萬個包含色情、毒品、賭博等類型的非法網站進行分類和訪問控制。網絡代理可以將那些向特定URLs的訪問嘗試重定向到一個標明該URL被阻止掉了的網頁上。同樣,防火墻可以被配置來屏蔽特定的IP地址。這兩種方案缺少詳細的且與時俱進的云服務URL和IP地址注冊列表,用以擴展其云服務訪問控制的功能。一些企業經常會發現,盡管他們可能最初阻止了一些云服務,但是惡意云提供商仍定期引入新的不被屏蔽掉的URL和IP地址。這導致了員工隔一段時間后仍能訪問到一些本該阻止的云服務。這是一種“代理泄漏”的普遍現象。
我們傳統的對IP聲譽度的專注,并不直接適用于云服務方面。有時某個云服務的IP聲譽度雖然很高,但由于其安全控制的缺乏,可能并不適合于企業數據的存儲。例如,一個持有良好的IP的文件共享服務卻允許匿名使用,并與第三方共享客戶數據,或者其主機放置在隱私權保護不善的國家,且三個月前經歷了密碼泄漏事件等。沒有IT領導層會愿意將企業敏感數據上傳到此服務上。顯然沒有這些屬性特征的注冊記錄,網絡安全解決方案將無法實施風險相關策略的。此外,由于許多云服務不使用標準的HTTP內容處理頭(content-disposition headers),網絡安全解決方案無法通過執行數據泄漏防護(DLP)方法來防止敏感數據的上傳。
云訪問安全代理如何與網絡代理和防火墻集成呢?
云訪問安全代理其實是網絡代理和防火墻的互補技術。通過與這些解決方案集成,云訪問安全代理可以利用現有的網絡架構來獲得云服務使用的可視性。同時,云訪問安全代理通過云認知(cloud-aware)來實現其自身的使用價值。我們可從日志收集、數據包捕獲和代理串聯這三個主要方法來進行云訪問安全代理與網絡安全方案的集成。
日志收集
網絡代理和防火墻能捕獲網絡中云服務使用的數據,但它們可能并不區分云服務使用過程中的具體網站的使用。云訪問安全代理則可以通過分析這些解決方案的日志,來解析出具體是誰使用了什么樣的云服務,從云端上傳和下載的數據量,和每種云服務的風險及類別。實際上,云訪問安全代理通過現有的基礎架構實現云認知(cloud-aware)。云訪問安全代理檢測到基礎架構的邏輯“出口”處的策略缺口,向他們推送具有最新云服務的URLs的訪問政策來彌補此缺口。云訪問安全代理還可以通過收集具有用戶使用云服務的行為細節的日志,達到終止某些客戶使用SSL的效果。使用機器學習,云訪問安全代理還可作為一個數據泄漏的參考源來檢測那些使用云端傳播的檢測惡意軟件或僵尸網絡。
數據包捕獲
在數據包捕獲的部署模式下,云訪問安全代理通過現有網絡安全解決方案的反饋數據流來獲得數據內容的可視性。例如,云訪問安全代理可以通過ICAP協議與網絡代理集成。在被配置為僅監控(monitor-only)的模式下,網絡代理被配置為復制并轉發云端流量至云訪問安全代理,來對數據泄漏防護(DLP)進行評估。許多云服務通過定制HTTP內容處理頭(content-disposition headers)來提高其應用程序的性能。這些定制HTTP內容處理頭對防止網絡安全解決方案(和與之運用ICAP協議集成的本地數據泄漏防護方案)檢測數據內容的泄漏反而帶來了意想不到的副作用。云訪問安全代理使用詳細的云服務簽名來檢查云流量,評估數據泄漏防護策略,并生成DLP策略違規的報警。
代理串聯
云訪問安全代理可以被部署為轉發代理模式。許多組織已經有了一個網絡代理,他們也不希望再部署另一個代理節點。在代理串聯模式下,下游的網絡代理被配置為轉發所有云服務流量至云訪問安全代理。該部署模式中,云訪問安全代理能實時執行管控和安全策略。例如,云訪問安全代理能通過執行訪問控制策略來阻止特定受限的云服務功能。同時它還能在用戶試圖訪問允許以外的服務時以顯示規勸式信息的方式通知用戶,或者重定向用戶到被允許的云服務。不同于數據包捕獲,該部署方式允許云訪問安全代理實施帶內的DLP策略以防止被違反。
綜上所述,云訪問安全代理增強了企業對網絡安全解決方案的投資價值。并非以一個破壞性的方式替代現有方案,云訪問安全代理集成并擴展了它們對云服務的處理能力。網絡代理/防火墻和云訪問安全代理在功能上有明顯不同。不再是誰替代誰,他們一起為保護企業數據轉移到云端提供了更好云服務使用的可視性和執行合規以及管控的能力。
原文標題:How CASB Is Different from Web Proxy / Firewall
深入閱讀
API和代理,哪種云訪問安全代理方式能提供最好的保護
云訪問安全代理(CASB)軟件的出現旨在幫助IT人員獲知整個云環境的安全狀況。云訪問安全代理是置于云服務用戶和一個或多個云服務提供商之間的安全實施策略。他們可以駐留于企業系統環境內,或是由云提供商所掌管。無論哪種方式,一個在使用多個云提供商的云服務時,云訪問安全代理為信息安全專業人員提供在安全與合規性的關鍵控制點。他們加強了企業諸如在用戶、設備以及云資源之間相互訪問等許多層面上的安全策略。
究竟如何將云訪問安全代理集成到您云接入安全策略,從而對您的安全方案的維度以及網絡性能帶來改變呢?這里有兩個主要的云訪問安全代理部署方式:應用程序接口(API)和代理。
◆基于代理的解決方案
帶內的基于代理的解決方案是通過一個網關來檢查和過濾已知的用戶和設備。因為所有流量都經過一個單獨的節點,代理便可實時采取安全措施。不過可惜的是:一個單獨的節點也就意味著它降低了網絡性能,且僅已知用戶提供保護。此外, 基于代理的解決方案僅對SaaS(Software as a Service)云服務的提供安全保護,對IaaS(Infrastructure as a Service)和PaaS(Platform as a Service))云卻愛莫能助。
◆基于API的解決方案
基于API的云訪問安全代理是一個帶外的解決方案,它并不占用數據流量的相同網絡路徑。由于直接與云服務相集成,基于API的解決方案無性能下降的弊端,他們能同時對SaaS、IaaS和PaaS三種云服務的托管和非托管流量提供安全保護。
一些業內專家建議使用多模的方法,即同時支持API和代理的方法的云訪問安全代理架構。在現實中,盡管其實現方式不同,API和代理這兩種方法的確被聯合使用并實現了多模的效果。
隨著企業將更多的關鍵業務功能轉移到云端環境上,實施云訪問安全代理已經成為一種必要的控制手段。在決定實施云訪問安全代理之前,了解兩個備選方案并做出正確的選擇是非常重要的。
原文標題:API vs. Proxy: How to Get the Best Protection from Your CASB
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
