云访问安全代理 (CASB) 出现在历史时刻。当用户从企业外这些资产时,CASB旨在降低云资产周边风险。
有时候,我们很容易做到CASB将数据访问的技术或功能视为发现和保护的集合。有趣的是,当推出时CASB他们的重点是加密静态和传输中的数据。相比之下,用户仍然停留在企业的外围。CASB为云外围提供与当地外围相似的检查和安全水平。
许多企业使用CASB日志分析功能识别影子IT。随后,CASB供应商不断改进产品,增加数据丢失保护(DLP)、安全 Web 网关 (SWG) 等功能。
云计算和远程工作催生了新的网络模式
过去十年,云转型加速。2020年,COVID-19疫情带来结构性变化,迫使最终用户在办公环境中离开传统本地网络,在家工作。这一现实带来了对更成熟架构模型的需求。
当用户访问云服务和企业外围内的资产时,这里需要新的模式来保护用户,无论用户的物理位置如何,同时提供相同的网络安全服务和控制。Gartner将该模型命名为安全访问服务边缘(SASE),发音同sassy。
从这个角度来看,CASB和SASE不一定是相反的。SASE是CASB与其它功能一起发展成框架的自然演变过程。SASE安全模型是端到端安全的蓝图。它将外围安全与云安全相结合,结合严格的网络访问控制(遵循零信任概念),并将CASB作为该模式的组件。
考虑到这种模式,并设想它SASE框架构图,我们看到的关系不是CASB与SASE,而是SASE中的CASB。
云访问安全代理功能
CASB和SASE的共同点是A代表Access(访问)。让我们来看看访问的定义,分为公共可用资源和私人资源:
- 访问企业的SaaS例如,应用程序Microsoft 365、Salesforce、这些应用程序可以在云中运行,作为服务,需要用户身份验证;
- 访问IaaS这些资源位于云环境中,以完成操作、维护和部署,如AWS、Google Cloud Platform和Microsoft Azure。
- 访问企业数据中心资产HR包括第三方或承包商远程访问在内的系统和财务软件。
CASB的主要目标之一是抵御对存储在云端信息的未经授权访问,以及降低此类数据泄露的风险。我们可以称之为风险控制,而不只是纯粹的安全控制。
在开发CASB有三个目标:影子IT防止机密信息上传到未经批准的云应用程序。另一方面,它还试图控制非授权用户访问授权应用程序。CASB另一个功能是识别敏感信息,并使用公司定义的策略来限制这些数据的访问,并在某些情况下分析用户和实体行为。
安全访问服务边缘功能
在查看SASE最关键的功能之一是零信任网络访问 (ZTNA)。远程员工使用它来访问公司资源。同时,他们通过身份验证,获得应用程序级别的访问权限,支持和促进NIST Special Publication 800-207的想法。
在SASE软件定义的早期阶段WAN (SD-WAN) 设备与SWG紧密耦合。这为有多个办事处的企业提供了快速入门,并以更直接的方式进行控制和优化ISP链接。
很多人转向任何地方工作SWG 供应商开发了一种在计算机上运行的最终用户客户端,使流量以安全的方式通过SWG供应商最近的存在点。在此配置中,用户可以在不受位置限制的情况下从相同的安全级别中受益。唯一的要求是互联网连接。当用户返回办公室时,他们不必关闭客户端,并保持相同的安全级别。
现在,SD-WAN设备的功能主要是连接公司位置;保护无法安装客户端的服务器和其他设备;并提供对无法迁移到云端的遗留系统的访问。
同一供应商提供SASE包括CASB、DLP、SWG和ZTNA等等。这些供应商提供更好的流量路由,更少的排除,更好的监控和故障排除,最重要的是创建一个安全战略的单一管理平台。这种集成可以减少安装在客户设备上的客户数量。它还可以实现更容易的战略创建、故障排除、整体更好的安全计划指标,以及高级管理人员的可见性。
因此,Gartner定义了一个叫做安全服务边缘的新市场(SSE)。SSE将所有安全组件集中在一起,不包括与网络相关的元素,如SD-WAN。SSE和SD-WAN一起将构成SASE模型。