CASB云計算的安全驅(qū)動力

1、創(chuàng)新沙盒 CASB 云計算的安全驅(qū)動力由Gartner在2012年提出的Cloud Access Security Broker（CASB云安全接入代理）概念在本屆RSA大會上成為了云安全主題的關(guān)注焦點。云計算是整個IT領(lǐng)域的一場變革，計算資源規(guī)?；?、集約化使生產(chǎn)工作效率均得到了極大提升，然而隨之帶來的是保護企業(yè)資產(chǎn)、敏感數(shù)據(jù)等的新挑戰(zhàn)，CSA于2月底公布的2016年12大云計算威脅中，數(shù)據(jù)泄露，弱身份信息或訪問管理造成的威脅獨占鰲頭。 造成這些威脅的背后主要因素是我們在使用云服務(wù)的時候，其對于租戶來說是不透明的且租戶缺少對于云服務(wù)的掌控力，與此同時傳統(tǒng)安全解決方案又難以部署在云服務(wù)

2、之前。因此能否解決這些安全難題，成為企業(yè)向云遷移的先決條件之一。在此背景下，Gartner于2012年提出了Cloud Access Security Broker概念，隨后幾年中，相關(guān)廠商雨后春筍般出現(xiàn)。CASB 創(chuàng)新沙盒10中有2RSA2016會議第一天，全球云安全聯(lián)盟（CSA）峰會上討論的熱點之一就是CASB，而代表全球安全新技術(shù)方向的創(chuàng)新沙盒innosandbox環(huán)節(jié)，10個展示公司中就有2家是CASB方面的公司。無論是從近期的資本市場表現(xiàn)，還是本次2016年RSA大會的各主體論壇來看，CASB（Cloud Access Security Broker）和SDS（software de

3、fined Security）都當仁不讓的成為了安全技術(shù)熱點。什么是CASB先看看Gartner的定義， CASBs function in a cloud computing environment and act as control points to make the cloud environment secure. CASBs are on-premise security policy enforcement points that are placed between cloud consumers and cloud providers, which are utilized

4、 when cloud-based platforms and assets are accessed.作為部署在云服務(wù)使用者和提供商之間的“經(jīng)紀人”， CASB能夠嵌入企業(yè)安全策略，通過整合云服務(wù)發(fā)現(xiàn)&評級，單點登錄，設(shè)備&行為識別，加密，憑證化等多種安全技術(shù)，在云上資源被連接訪問的過程中并加以監(jiān)控和防護。 借用一張Gartner提供的邏輯圖可能比較容易理解。CASB如上邏輯圖所示，CASB可以簡單理解為部署在云服務(wù)使用者和提供商之間的安全控制點。這個控制點通過整合多種安全技術(shù)(如云服務(wù)發(fā)現(xiàn)&評級，單點登錄，設(shè)備&行為識別，加密，憑證化等)，并輔以企業(yè)的安全策

5、略，幫助企業(yè)在云上資源被連接訪問的過程中加以監(jiān)控和防護。想了解更多CASB概念，可以快速腦補幾個文檔：Gartner: The Growing Importance of Cloud Access Security BrokersGartner: Emerging Technology Analysis: Cloud Access Security BrokersCASB功能點Gartner在其報告 中描述了CASB的四大功能點，透明度(Visibility), 合規(guī)性(Compliance), 數(shù)據(jù)安全(Data Security)以及威脅防護(Threat Protection)。下面我們

6、逐一介紹：綠盟君透明度，目前市面上大多數(shù)公有云服務(wù)均缺乏適用于企業(yè)的行為監(jiān)控能力，大多數(shù)IT運維人員并不清楚企業(yè)內(nèi)使用了什么云服務(wù)，使用了多少的云服務(wù)，何時何地誰使用了云服務(wù)，因此就產(chǎn)生了Shadow IT的存在。一如防火墻/IPS等對于Application的識別需要一個應(yīng)用庫，CASB廠商通常會維護一個云服務(wù)的庫(主要是基于URLs)并相應(yīng)的對于這些云服務(wù)進行信任評級(基于云服務(wù)商的安全能力、合規(guī)性等)，通過對于企業(yè)內(nèi)部與不同云服務(wù)的通訊，從而對于整個企業(yè)內(nèi)云服務(wù)的使用情況，使用量，安全缺口等有了更加清晰的認知，同時避免了Shadow IT的存在。針對用戶端，CASB基于Agent或網(wǎng)絡(luò)掃

7、描(如DHCP Fingerprinting)的設(shè)備識別能力、基于機器學(xué)習算法的用戶行為識別能力也能夠防止內(nèi)部人員造成的信息泄露或惡意操作等，并對異常行為進行檢測、響應(yīng)、記錄；合規(guī)性，上文提到了對于云服務(wù)的信任評級以及從客戶端到云端通信的內(nèi)容監(jiān)控，審計日志等均可以使企業(yè)通過部署CASB而更好的提高安全上的合規(guī)性；數(shù)據(jù)安全，其主要通過三個方面，即DLP(數(shù)據(jù)防泄漏)，加密，憑證化。加密和憑證化比較好理解，均是我們在傳統(tǒng)安全解決方案中會用到的技術(shù)。對于DLP而言，相對于傳統(tǒng)部署在邊界上的方案來說，CASB的區(qū)別在于其結(jié)合了用戶，設(shè)備，內(nèi)容和應(yīng)用這幾個維度，來理解數(shù)據(jù)是如何在云環(huán)境中被共享或被使用的

8、，從而做出相應(yīng)的策略配置。諸如Skyhigh等CASB公司也通過與傳統(tǒng)DLP廠商的合作，使其CASB能夠通過ICAP與邊界DLP設(shè)備進行集成，防護云端數(shù)據(jù)泄露；威脅防護，企業(yè)向云遷移之后能夠減少一定的安全威脅或者說將安全威脅的部分責任一并外包給了云服務(wù)商，然而服務(wù)商更多的焦點在于獲得種種安全認證諸如ISO27001，CSA Star，國內(nèi)的等級保護，換句話說云服務(wù)提供商的聚焦點在于基礎(chǔ)設(shè)施的威脅防護，關(guān)乎用戶自身的特定的威脅，諸如賬戶劫持此類問題是無法由云服務(wù)商來解決。更進一步講，類似威脅情報的收集，針對不同的垂直市場乃至不同的企業(yè)也都會有不同的側(cè)重和方法，云服務(wù)商無法也沒有能力幫助用戶統(tǒng)一解

9、決這些問題。CASB能夠幫助企業(yè)去檢查進出云的內(nèi)容，分析云上用戶的行為，監(jiān)視不同的訪問行為等，從而幫助企業(yè)去發(fā)現(xiàn)威脅、防御威脅并具有恢復(fù)生產(chǎn)的能力。CASB發(fā)展趨勢時至今日，CASB依然是一個處于發(fā)展階段的技術(shù)，不同廠商在對該技術(shù)進行商業(yè)化、產(chǎn)品化的過程中也會有不同的側(cè)重和解讀，Gartner預(yù)測到2018年百分之51的企業(yè)應(yīng)用服務(wù)會托管在云上，一如上文所提到，云服務(wù)商對于安全的側(cè)重點在于其基礎(chǔ)設(shè)施的安全性，然而對于企業(yè)來說，真正的去降低企業(yè)的安全風險，需要的還是企業(yè)自身的行動，一如RSA的主席Amit在昨天的RSA 2016開幕詞Keynote上反復(fù)說的一句話，“You are how yo

10、u behave”。當我們評價一項新技術(shù)，尤其是安全技術(shù)的時候，切勿僅僅著眼于其眼前價值。筆者相信，未來隨著該技術(shù)的發(fā)展完善，CASB將成為推動企業(yè)向云上遷移的重要驅(qū)動力。 當前整體 IT架構(gòu)發(fā)生了巨大的變革，整體上來看向2個方向進行分化。IT基礎(chǔ)設(shè)施走向虛擬化、資源化，而IT業(yè)務(wù)則走向云化、SaaS化。傳統(tǒng)的數(shù)據(jù)中心的形態(tài)正在逐漸消失，安全方案自然要隨之發(fā)生變化。在基礎(chǔ)安全層面，傳統(tǒng)的多硬件盒子方案自然向基礎(chǔ)設(shè)施云融合，SDS伴隨著SDN的形成而產(chǎn)生并快速發(fā)展。而在應(yīng)用 SaaS化普及的當下，對云端與終端間的身份、權(quán)限及數(shù)據(jù)安全、完整性、以及事件回溯的要求也自然成為剛需。CASB作為終端和云

11、端的安全橋梁自然隨之發(fā)展壯大，用戶的根本需求正隨著新技術(shù)、新架構(gòu)的發(fā)展而以新的形態(tài)呈現(xiàn)出來。從CSA看CASB隨著產(chǎn)業(yè)以及企業(yè)IT環(huán)境evolution毫無懸念的云化進程, 拋開CASB在云eco-system生態(tài)鏈的dominance統(tǒng)治力建立后光明前景不表，這兒談一下CSA這個session后的幾個感受。從IT管理的基本需求以及協(xié)議棧分析應(yīng)用技術(shù)看, 在運維層面或者協(xié)議棧技術(shù)上也可以說并沒有太大變化。這也是在RSA這樣的CSA峰會大陣仗場合，在現(xiàn)實中平均每個公司內(nèi)部有超過上千種云服務(wù)API調(diào)用（skyHigh network公司演講材料），以及在今日公有云和應(yīng)用廣泛應(yīng)用下，主講人面對一干企業(yè)CISO或者IT管理資深人員，還是選擇從企業(yè)網(wǎng)絡(luò)環(huán)境運維基礎(chǔ)搞清who is calling who via who出發(fā)談新的驅(qū)動架構(gòu)。這也許從側(cè)面反映出，即便是美國企業(yè)在IT和安全管理碰到云相關(guān)的安全問題，技術(shù)與架構(gòu)概念也不是被native接受并被高效傳播