更有效的雲端安全方法:內嵌式 CASB 的 NGFW
雲端應用程式改變了組織的業務方式,也在過程中帶來了新的安全風險。這些應用程式很容易設定並使用於協作,因此在這些雲端環境中傳輸、儲存和共用的資料數量和敏感度不斷地增加。同時,使用者會不斷移動到不同的實體地點,並使用多種裝置、作業系統和應用程式版本來存取所需的資料。
這些都是工作習慣和技術上的重大轉變,而傳統的安全工具卻無法跟上步伐。解決這些安全缺口的推動,引發了新的技術和描述方式,包括雲端存取安全代理 (CASB) 類別。
Gartner 指出:「CASB 是內部部署或雲端安全政策執行點,位於雲端服務消費者與雲端服務供應商之間,在存取雲端資源時結合並插入企業安全政策。CASB 合併了多種類型的安全政策執行」。
CASB 為組織提供 三項關鍵 SaaS 安全功能 ,並因此獲得快速發展和採用:(1) SaaS 使用情況的可視性;(2) SaaS 存取的細部控制,以及 (3) 雲端資料的合規性和安全性。CASB 可以透過不同的部署模式提供功能,包括內嵌模式和 API 模式。我們會在下文詳細探討,並強調一個更簡單、更有效的方法:內嵌 CASB 的 NGFW。
滿足 CASB 需求
CASB 在成立之初的定義中使用「中介」一詞,暗示 CASB 位於您的雲端流量路徑中。自此之後,CASB 技術不斷演進,現在包含兩個關鍵元件:內嵌與 API 模式。讓我們簡單看看這兩種模式。
內嵌式 CASB
Inline CASB 可進一步細分為兩種模式:正向代理和反向代理。透過前向代理,CASB 廠商需要將雲端流量轉送至可提供應用程式可視性與控制功能的裝置或服務。還要注意的是,前向代理功能並不僅限於 Proxy。也可使用 NGFW 裝置或服務強制執行強大的下一代應用程式控制功能。由於許多客戶已將 NGFW 部署為內部或遠端使用者的網際網路閘道,因此基於多種原因,這是非常理想的選擇。如果客戶偏好使用真正的 Proxy (由大多數 CASB 供應商提供),通常會引入額外的管理開銷和複雜性。重要的是,客戶必須考慮其現有的 NGFW 是否已解決其內嵌 CASB 需求,而無需額外成本。在反向代理的情況下,CASB 供應商使用 SSO(有時也使用 DNS)將使用者重新路由到內嵌 CASB 服務,以確保政策得以執行。
基於 API 的 CASB
以 API 為基礎的方法可讓 CASB 廠商在雲端應用程式中存取客戶的資料,而無需置身於雲端流量的「中間」。這是一種頻外方法,可執行數種功能,包括對雲端應用程式或服務中所有靜止資料進行細粒度資料安全檢查,以及持續監控使用者活動和管理組態。由於 API 是非侵入性的,不會干擾雲端應用程式的資料路徑,因此可保留雲端應用程式的使用者體驗。除了針對任何未來的違規行為套用政策之外,基於 API 的 CASB 也是爬取儲存在雲端中的現有資料,並修復任何 DLP 違規行為和威脅的唯一方法。這一點尤其重要,因為企業最終都會在想出如何保護應用程式之前就「認可」該應用程式,而且幾乎總是有現有的內容需要調查。在即將發表的部落格文章中,我們將更詳細地介紹基於 API 的 CASB。
我們有更簡單的方法:內嵌式 CASB 的 NGFW
下一代防火牆 在防火牆內結合使用者、內容和應用程式檢測功能,以啟用 CASB 功能。此檢查技術可將使用者映射至應用程式,以提供雲端應用程式使用的細部控制 - 不論位置或裝置為何。NGFW 內 CASB 的相關功能包括:細粒化應用程式控制 (包括 SaaS 與內部部署應用程式)、特定應用程式功能控制、URL 與內容過濾、基於應用程式風險的政策、DLP、基於使用者的政策,以及預防已知與未知的惡意軟體。
選擇基於 NGFW 方法的客戶應具備部署彈性,可使用下列其中一種或組合方案:
- NGFW作為裝置: 除了可能已經就位的實體裝置之外, 虛擬防火牆 可以作為雲端的閘道,確保為遠端使用者提供最大的全球涵蓋範圍,省去部署額外硬體的開銷。大多數客戶已為內部部署使用者部署此元件。
- NGFW作為雲端服務: 在此方案中,多租户、雲端安全基礎架構應由安全供應商管理和維護。例如,Palo Alto Networks Prisma™ Access (前身為 GlobalProtect™ 雲端服務) 可讓客戶利用 Palo Alto Networks Next-Generation Security Platform 的預防功能來保護遠端網路和行動使用者的安全。該服務可作為其現有 NGFW 部署的簡單延伸,以防止敏感資料在所有應用程式(無論是否基於 SaaS)中外流。客戶可以降低管理全球部署的複雜性和成本,並在雲端環境中獲得一致的保護。
更重要的是,當內嵌式 NGFW 方法作為整合式、威脅防護第一的下一代安全平台 (包括 NGFW、威脅情報雲端、以 API 為基礎的 SaaS 安全性服務和進階端點防護) 的一部分使用時,客戶可以阻止雲端應用程式的資料暴露;透過控制認可和未認可的應用程式使用來降低威脅暴露;在允許的流量中預防已知和未知的威脅,並確保雲端應用程式的採用仍然合規。
事實上,下一代安全平台能以比一般 CASB 更低的總擁有成本,提供完整的雲端保護。
要瞭解更多資訊,請查看以下資源:
