CASB的四大支柱和容易踩上的“坑”

云访问安全代理(CASB)技术是个快速成长的市场，该技术旨在帮助公司企业在云端应用各种安全策略。CASB是云端安全这个老大难问题的解决方案，但选择哪种CASB最适合自己?又如何规避一些常见的陷阱?

万里长城曾是抵御侵略的坚实基础，是以城墙为主体，同大量城、障、亭、标相结合的中国古代第一军事工程，赋予了中华先民莫大的安全感。如今，长城的防御作用消退，城墙也演变成了历史遗迹、旅游胜地。这种边界防御控制力消退的感觉，技术主管们应该不会陌生。

在云技术诞生前，公司企业以边界圈住自身资产加以控制和保护。边界之内皆我所有，边界之外非我族类。在边界内实施安全策略，确保没有任何恼人的东西翻墙而过，安全人员的工作就算完美搞定。

云技术落地开花的当下，公司数据和系统分布各地，往往技术主管自己都不知道他们的数据存放在哪儿，也不知道是跟谁共享自身关键系统所依托的服务器。

如此离散的系统，要怎么应用公司的安全原则呢?

答案之一，就是云访问安全代理(CASB)。

CASB是帮助公司企业在云端实现安全策略的系统，位于云服务提供商和消费云服务的公司企业之间。CASB概念近几年逐渐引人瞩目，很多咨询公司都预测，到2020年其市场将达75亿美元规模。

市面上的CASB提供商很多，迈克菲(2018年1月并购 SkyHigh Networks)和赛门铁克这种传统安全供应商、微软和Oracle这样的软件巨兽，以及Netskope和Okta之类新兴专业CASB提供商都在场中竞争。

何处着手?

技术主管实现CASB时要跨越的第一道障碍，就是理解从何处着手。

Gartner云安全研究总监 Steve Riley 建议公司企业从特定于客户具体需求的用例详单开始。

要考虑终端用户将会怎样与云服务交互，与何种设备交互：CASB能为托管设备和非托管设备提供不同的SaaS功能。

这有助于终端用户从个人设备访问公司敏感数据。CASB解决方案能将信息转换为更安全的只读格式，比完全禁止访问更利于公司业务开展。

可以多设想一些员工与数据互动的场景和对公司而言非常重要的云服务的种类。然后你就能理出一套概念验证，大幅减轻CASB实现的难度。

CASB的三种主要模式

CASB解决方案主要有三种：仅API、仅代理，或多模式(即有API也有代理)。

基于API的CASB为企业用户定义出可以访问的一些云应用。举例来讲的话，CASB会接管其客户 Office 365 (O365)用户的管理权限。用户登录后，该应用的流量会被转移到CASB提供商处，由CASB提供商负责在发往O365前检查所有数据。

Netskope欧洲、中东和非洲片区副总裁 André Stewart 说：“数据不在网上，而是发给应用，我们在那儿查看所有文件，扫描任何恶意软件迹象。”

仅代理CASB模式下，所有流量先流经该安全提供商的云，在其上经受企业策略合规检测，然后再发往互联网或本应发往的云应用。

这两种模式的区别在于，基于代理的CASB能处理经批准的和未经批准的应用，来自任意类型设备的所有流量都转发到提供商的云。

第三种模式——多模式，则根据用例为终端用户提供API和代理选项。

那么，有没有明确的“最佳”选择呢?

这就要看具体用例是什么了。最终选择要根据企业的云应用和连接来做出。因为能处理任意应用而不仅仅是IT部门单列出的那些，基于代理的架构更为全面一些。但是，特别注重安全的企业，或者监管超严的行业，会想要限制云流量仅发往他们认为合适的应用。于是，所选为何，还是要落实到具体用例上。

CASB是干什么的?

CASB主要做4件事：发现公司在用哪些云应用;保护数据;抵御威胁;确保合规。Gartner将这四点视作CASB的四大支柱。

CASB市场竞争激烈，供应商都想在这4个方面脱颖而出。有些供应商这4个方面均衡发展，有些则重点发展其中几个方面但仍保持全部4个方面的基本功能都有。最初，CASB要么专注可见性，要么重在加密。随着产品日渐成熟，可见性继续保持重要用例地位，但新增用例也达到了相同甚至有过之而无不及的重要程度。

虽然没有任何一种CASB产品能完美贴合每个用例，但专业独立CASB平台(未必总是来自独立CASB供应商)正推出更多功能，覆盖更多云服务，支持更多企业用例。

其敏捷性远胜云服务提供商交付服务的速度，也远远超出在已有安全技术上将部分CASB功能作为插件提供的其他厂商。而且，主流CASB供应商的平台根植于云，为云而生，对用户、设备、应用、交易和敏感数据的理解比传统网络安全产品及服务的CASB插件强的不是一点半点。

一些案例

于是，供应商选择再次归结到用例上。但是，到底该看哪些用例?公司企业决定部署CASB解决方案的最常见原因是什么呢?