更有效的云安全方法:用于内联 CASB 的 NGFW
云应用程序改变了组织的业务方式,同时也带来了新的安全风险。这些应用程序易于设置和用于协作,因此,在这些云环境中传输、存储和共享的数据量和敏感性持续增加。与此同时,用户不断移动到不同的物理位置,使用多种设备、操作系统和应用程序版本来访问所需的数据。
这些都是工作习惯和技术的重大转变,传统的安全工具无法跟上步伐。为解决这些安全漏洞,推动了新技术和新方法的出现,包括云访问安全代理(CASB)类。
Gartner 指出:"CASB 是本地部署或基于云的安全策略执行点,位于云服务消费者和云服务提供商之间,在访问基于云的资源时将企业安全策略结合起来并插入其中。CASB 合并了多种类型的安全策略执行"。
CASB 为组织提供 三个关键的 SaaS 安全功能 ,并因此得到迅速发展和采用:(1) SaaS 使用情况的可视性;(2) SaaS 访问的细粒度控制,以及 (3) 云数据的合规性和安全性。CASB 可以通过不同的部署模式提供功能,包括内联模式和 API 模式。下面我们将详细探讨这些问题,并重点介绍一种更简单、更有效的方法:用于内联 CASB 的 NGFW。
满足 CASB 的需求
CASB 在诞生之初的定义中使用了 "代理 "一词,这意味着 CASB 处于云流量的路径中。从那时起,CASB 技术不断发展,现在包括两个关键组成部分:内联模式和 API 模式。让我们简单了解一下这两种模式。
内联 CASB
内联 CASB 可进一步细分为两种模式:正向代理和反向代理。通过前向代理,CASB 供应商需要将云流量转发给能够提供应用程序可见性和控制功能的设备或服务。还需要注意的是,前向代理功能不仅限于代理。还可以使用 NGFW 设备或服务执行强大的新一代应用程序控制功能。出于多种原因,这是理想的选择,因为许多客户已经将 NGFW 部署为本地或远程用户的互联网网关。如果客户倾向于使用真正的代理(由大多数 CASB 供应商提供),往往会带来额外的管理开销和复杂性。重要的是,客户要考虑其现有的 NGFW 是否已经在不增加成本的情况下解决了其内联 CASB 需求。在反向代理的情况下,CASB 供应商使用 SSO(有时也使用 DNS)将用户重新路由到内联 CASB 服务,以确保策略得到执行。
基于 API 的 CASB
基于 API 的方法允许 CASB 厂商在云应用程序中访问客户的数据,而无需 "介于 "云流量之间。它是一种带外方法,可执行多种功能,包括对云应用程序或服务中静止的所有数据进行细粒度数据安全检测,以及对用户活动和管理配置进行持续监控。由于应用程序接口是非侵入式的,不会干扰云应用程序的数据路径,因此云应用程序的用户体验得以保留。除了针对任何未来的违规行为应用策略外,基于 API 的 CASB 还是抓取存储在云中的现有数据并修复任何 DLP 违规行为和威胁的唯一方法。这一点尤为重要,因为企业最终会在弄清如何确保应用程序安全之前就 "批准 "该应用程序,而且几乎总是存在需要调查的现有内容。我们将在下一篇博文中更详细地介绍基于 API 的 CASB。
我们有一个更简单的方法:内联 CASB 的 NGFW
新一代防火墙 将防火墙内的用户、内容和应用检查功能结合起来,实现 CASB 功能。然后,检测技术能够将用户映射到应用程序,从而对云应用程序的使用进行细化控制,而不受地点或设备的限制。NGFW 中 CASB 的相关功能包括细粒度应用控制(包括 SaaS 和本地部署应用)、特定应用功能控制、URL 和内容过滤、基于应用风险的策略、DLP、基于用户的策略以及防范已知和未知恶意软件。
选择基于 NGFW 方法的客户应具有部署灵活性,可使用以下一种或多种方案:
· 作为设备的 NGFW: 除了可能已经到位的物理设备外, 虚拟防火墙 可以作为云中的网关,确保最大限度地覆盖远程用户的全球范围,消除了部署额外硬件的开销。大多数客户已经为本地用户部署了这一组件。
- NGFW作为云服务: 在这种情况下,基于云的多租户安全基础设施应由安全厂商管理和维护。例如,Palo Alto Networks Prisma™ Access(前身为 GlobalProtect™ 云服务) ,使客户能够利用 Palo Alto Networks 下一代安全平台 的预防功能,确保远程网络和移动用户的安全。该服务可以成为其现有 NGFW 部署的一个简单扩展,以防止敏感数据在所有应用程序(无论是否基于 SaaS)中外泄。客户可以降低管理全球部署的复杂性和成本,并获得跨云环境的一致保护。
更重要的是,当在线 NGFW 方法作为集成的、威胁预防优先的下一代安全平台(包括 NGFW、威胁情报云、基于 API 的 SaaS 安全服务和高级端点防护)的一部分使用时,客户可以阻止云应用程序的数据泄露;通过控制认可和不认可的应用程序使用来减少威胁泄露;在允许的流量内预防已知和未知的威胁,并确保其云应用程序的采用始终合规。
事实上,与典型的 CASB 相比,新一代安全平台能以更低的总体拥有成本提供完整的云保护。
要了解更多信息,请查看以下资源:
