作者:崔旭东 杨传安 李国军
由Gartner在2012年提出的Cloud Access Security Broker(CASB云安全接入代理)概念在本届RSA大会上成为了云安全主题的关注焦点。云计算是整个IT领域的一场变革,计算资源规模化、集约化使生产工作效率均得到了极大提升,然而随之带来的是保护企业资产、敏感数据等的新挑战,CSA于2月底公布的2016年12大云计算威胁中,数据泄露,弱身份信息或访问管理造成的威胁独占鳌头。 造成这些威胁的背后主要因素是我们在使用云服务的时候,其对于租户来说是不透明的且租户缺少对于云服务的掌控力,与此同时传统安全解决方案又难以部署在云服务之前。因此能否解决这些安全难题,成为企业向云迁移的先决条件之一。在此背景下,Gartner于2012年提出了Cloud Access Security Broker概念,随后几年中,相关厂商雨后春笋般出现。
CASB 创新沙盒10中有2
RSA2016会议第一天,全球云安全联盟(CSA)峰会上讨论的热点之一就是CASB,而代表全球安全新技术方向的创新沙盒innosandbox环节,10个展示公司中就有2家是CASB方面的公司。
无论是从近期的资本市场表现,还是本次2016年RSA大会的各主体论坛来看,CASB(Cloud Access Security Broker)和SDS(software defined Security)都当仁不让的成为了安全技术热点。
什么是CASB
先看看Gartner的定义, CASBs function in a cloud computing environment and act as control points to make the cloud environment secure. CASBs are on-premise security policy enforcement points that are placed between cloud consumers and cloud providers, which are utilized when cloud-based platforms and assets are accessed.
作为部署在云服务使用者和提供商之间的“经纪人”, CASB能够嵌入企业安全策略,通过整合云服务发现&评级,单点登录,设备&行为识别,加密,凭证化等多种安全技术,在云上资源被连接访问的过程中并加以监控和防护。 借用一张Gartner提供的逻辑图可能比较容易理解。
CASB
如上逻辑图所示,CASB可以简单理解为部署在云服务使用者和提供商之间的安全控制点。这个控制点通过整合多种安全技术(如云服务发现&评级,单点登录,设备&行为识别,加密,凭证化等),并辅以企业的安全策略,帮助企业在云上资源被连接访问的过程中加以监控和防护。
想了解更多CASB概念,可以快速脑补几个文档:
Gartner: The Growing Importance of Cloud Access Security Brokers
https://www.gartner.com/doc/2032015/growing-importance-cloud-access-security
Gartner: Emerging Technology Analysis: Cloud Access Security Brokers
https://www.gartner.com/doc/2856117?srcId=1-2819006590&pcp=itg
https://www.skyhighnetworks.com/cloud-university/what-is-cloud-access-security-broker/
CASB功能点
Gartner在其报告 中描述了CASB的四大功能点,透明度(Visibility), 合规性(Compliance), 数据安全(Data Security)以及威胁防护(Threat Protection)。下面我们逐一介绍:
绿盟君
-
透明度,目前市面上大多数公有云服务均缺乏适用于企业的行为监控能力,大多数IT运维人员并不清楚企业内使用了什么云服务,使用了多少的云服务,何时何地谁使用了云服务,因此就产生了Shadow IT的存在。一如防火墙/IPS等对于Application的识别需要一个应用库,CASB厂商通常会维护一个云服务的库(主要是基于URLs)并相应的对于这些云服务进行信任评级(基于云服务商的安全能力、合规性等),通过对于企业内部与不同云服务的通讯,从而对于整个企业内云服务的使用情况,使用量,安全缺口等有了更加清晰的认知,同时避免了Shadow IT的存在。针对用户端,CASB基于Agent或网络扫描(如DHCP Fingerprinting)的设备识别能力、基于机器学习算法的用户行为识别能力也能够防止内部人员造成的信息泄露或恶意操作等,并对异常行为进行检测、响应、记录;
-
合规性,上文提到了对于云服务的信任评级以及从客户端到云端通信的内容监控,审计日志等均可以使企业通过部署CASB而更好的提高安全上的合规性;
-
数据安全,其主要通过三个方面,即DLP(数据防泄漏),加密,凭证化。加密和凭证化比较好理解,均是我们在传统安全解决方案中会用到的技术。对于DLP而言,相对于传统部署在边界上的方案来说,CASB的区别在于其结合了用户,设备,内容和应用这几个维度,来理解数据是如何在云环境中被共享或被使用的,从而做出相应的策略配置。诸如Skyhigh等CASB公司也通过与传统DLP厂商的合作,使其CASB能够通过ICAP与边界DLP设备进行集成,防护云端数据泄露;
-
威胁防护,企业向云迁移之后能够减少一定的安全威胁或者说将安全威胁的部分责任一并外包给了云服务商,然而服务商更多的焦点在于获得种种安全认证诸如ISO27001,CSA Star,国内的等级保护,换句话说云服务提供商的聚焦点在于基础设施的威胁防护,关乎用户自身的特定的威胁,诸如账户劫持此类问题是无法由云服务商来解决。更进一步讲,类似威胁情报的收集,针对不同的垂直市场乃至不同的企业也都会有不同的侧重和方法,云服务商无法也没有能力帮助用户统一解决这些问题。CASB能够帮助企业去检查进出云的内容,分析云上用户的行为,监视不同的访问行为等,从而帮助企业去发现威胁、防御威胁并具有恢复生产的能力。
CASB发展趋势
时至今日,CASB依然是一个处于发展阶段的技术,不同厂商在对该技术进行商业化、产品化的过程中也会有不同的侧重和解读,Gartner预测到2018年百分之51的企业应用服务会托管在云上,一如上文所提到,云服务商对于安全的侧重点在于其基础设施的安全性,然而对于企业来说,真正的去降低企业的安全风险,需要的还是企业自身的行动,一如RSA的主席Amit在昨天的RSA 2016开幕词Keynote上反复说的一句话,“You are how you behave”。当我们评价一项新技术,尤其是安全技术的时候,切勿仅仅着眼于其眼前价值。笔者相信,未来随着该技术的发展完善,CASB将成为推动企业向云上迁移的重要驱动力。 当前整体 IT架构发生了巨大的变革,整体上来看向2个方向进行分化。IT基础设施走向虚拟化、资源化,而IT业务则走向云化、SaaS化。传统的数据中心的形态正在逐渐消失,安全方案自然要随之发生变化。
在基础安全层面,传统的多硬件盒子方案自然向基础设施云融合,SDS伴随着SDN的形成而产生并快速发展。而在应用 SaaS化普及的当下,对云端与终端间的身份、权限及数据安全、完整性、以及事件回溯的要求也自然成为刚需。CASB作为终端和云端的安全桥梁自然随之发展壮大,用户的根本需求正随着新技术、新架构的发展而以新的形态呈现出来。
从CSA看CASB
随着产业以及企业IT环境evolution毫无悬念的云化进程, 抛开CASB在云eco-system生态链的dominance统治力建立后光明前景不表,这儿谈一下CSA这个session后的几个感受。
从IT管理的基本需求以及协议栈分析应用技术看, 在运维层面或者协议栈技术上也可以说并没有太大变化。
这也是在RSA这样的CSA峰会大阵仗场合,在现实中平均每个公司内部有超过上千种云服务API调用(skyHigh network公司演讲材料),以及在今日公有云和应用广泛应用下,主讲人面对一干企业CISO或者IT管理资深人员,还是选择从企业网络环境运维基础搞清who is calling who via who出发谈新的驱动架构。
这也许从侧面反映出,即便是美国企业在IT和安全管理碰到云相关的安全问题,技术与架构概念也不是被native接受并被高效传播,还得从运维实践出发。所以安全产品解决运维问题还是不变的王道。
绿盟君的看法
CASB本质上还是解决用户使用云,向云迁移的问题,而这个问题肯定不止CASB一个方案,简单讲CASB是一个打补丁的解决方案(CASB是一个盒子,又回到了老路,如果是XXaaS,又回到可信云问题),但目前看解决了一些问题,因此还是有市场的。往远看,SDS,CASB会各自发展,并不断演进。
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669