下一代 CASB 重新定義 SaaS 的安全性
在 SaaS 模式中,公司的應用程式和資料駐留在公司控制範圍以外的第三方基礎架構上,僅採用傳統的安全方法是不夠的。
軟體即服務 (SaaS) 是一種模式,由供應商透過網際網路遠端託管並提供軟體應用程式即服務給客戶。過去十年來,這種軟體交付形式越來越受歡迎,因為它讓企業可以以「隨選隨付」的方式存取和使用各式各樣的應用程式,而不必在公司內部建立和維護自己的技術基礎架構。
對 SaaS 應用程式的需求不斷成長,也是知名研究與諮詢公司 Gartner 預估 2021 年公共雲端服務總額將 從 2020 年的 2,575 億美元, 成長 18.4% ,達到 3,049 億美元的原因。該報告進一步預測,到 2021 年,僅雲端應用服務 (SaaS) 的全球收入就將躍升超過 1.17 億美元。 最近,Slack、Zoom、Confluence 和 Jira 等協作應用程式的使用對於現代分散式企業的業務持續發展非常重要,因為他們的使用者可以在任何地點工作。
但就像傳統的技術基礎架構一樣,採用和使用 SaaS 應用程式可能會為公司帶來重大風險,包括
- 敏感性資料不慎外洩或遺失,或被過度分享,尤其是混合及遠端員工使用協作應用程式的情況日益增加。
- 資料外洩和重大資料外洩。
- 引入已知和未知的威脅,例如漏洞和傳播惡意軟體。
- 由於員工使用未經公司 IT 部門核准的應用程式,導致影子 IT 盛行。
- 不合規性和資料隱私權法律的風險,例如歐盟一般資料保護規範 (GDPR)、支付卡產業資料安全標準 ([PCI-DSS]、ISO-27001、沙賓法案 (Sarbanes-Oxley Act) [SOX]、健康保險可攜性與責任法案 (Health Insurance Portability and Accountability Act) [HIPAA] 等。
- 因安全漏洞導致的應用程式停機。因此,公司必須瞭解這些風險,並採取措施將風險降至最低。
下一代 CASB 重新定義 SaaS 安全性
多年前,當一家公司想要保護其技術基礎架構的資料和使用者時,方法是在整個網路處所部署各種安全性工具。但是,隨著雲端應用的採用,在 SaaS 模式中 - 公司的應用程式和資料存放在第三方基礎架構上,而公司員工可以隨時隨地從任何裝置存取這些應用程式 - 僅採用傳統的安全方法是不夠的。
這是因為在 SaaS 環境中:
- SaaS 混沌:公司無法監控哪些應用程式被存取和使用,以及由誰存取和使用。SaaS 應用程式的數量正以指數級的速度成長,其中許多都是在 IT 人員不知情的情況下進入使用者手中。
- 資料無處不在:公司沒有辦法監控哪些資料正在上傳和下載,以及在哪裡上傳和下載。如今,大量的敏感資料都是在雲端建立,或是在越來越多的應用程式中儲存和共用,而不是像最初那樣只透過幾個應用程式。
缺乏可見性:你無法保護你看不到的東西。公司的網路管理員無法瞭解 SaaS 供應商的技術基礎架構,或 SaaS 供應商如何儲存及保護資料。這意味著 IT 專業人員用於保護公司內部部署技術的許多工具,都無法擴展至 SaaS 應用程式,或對 SaaS 應用程式無效。此外,即使它們可以擴展,但無論如何,公司幾乎不可能透過分層的點產品來確保有效的 SaaS 安全。
為了彌補不足,企業已轉向雲端存取安全中介 (CASB) 或 安全政策執行點,這些執行點位處於雲端服務供應商與使用者之間,可為 SaaS 應用程式交付安全政策控制,並跨不同環境執行治理與資料保護政策。
但標準的 CASB 解決方案操作複雜,總擁有成本高。由於是以 Proxy 為基礎,它們是獨立的,與現有的安全基礎架構脫節。而且需要從網路防火牆和 PAC 代理進行複雜的流量重定向,因此部署和管理起來相當困難。最重要的是,這些解決方案無法提供統一的資料保護政策方法,以持續涵蓋雲端應用程式、實體網路、遠端使用者和所有端點,而且只能解決部分問題,這就需要組織增加其他工具以獲得更全面的安全性,例如與內部 DLP 解決方案的複雜連結。 除此之外,普遍化後的混合型員工的使用者行為也為安全性團隊帶來另一個疑慮。由於他們的疏忽或惡意行為,任何未經核准的資料分享或洩漏,不僅會造成資料外洩,還會嚴重違反資料隱私權,以及不符合 GDPR 等合規性。
使用傳統、過時的方法來保護 SaaS 應用程式、敏感資料和不斷成長的混合型員工,是令人望而生畏且充滿風險的。組織目前需要的是「下一代 CASB」,作為其 SASE 策略的一部分。一個
- 保護企業辦公地點以外和雲端中的應用程式和資料,以及跨越遠端地點、不斷增長的混合型員工。
- 偵測、監控並保護在公司網路、使用者與 SaaS 供應商之間傳輸的敏感資料,以及儲存於各種 SaaS 應用程式的靜態資料。現今的遠端使用者需要仰賴協同應用程式來完成工作,下一代 CASB 必須保護這些受到認可的應用程式,避免它們成為資料外洩的管道。
- 促進監管合規性,在其受監管資料移動和存放的任何地方防止資料外洩和過度資料暴露防護。
- 監控和管理使用者行為,並將任何潛在的安全或「影子 IT」風險降到最低。
- 不需要經紀人,因為它與現有安全性堆疊無縫整合,因此很容易部署,也不會有很高的 TCO 需求。
選擇正確的安全供應商
尋找合適的供應商,以協助您的公司在所有地點保護其 SaaS 應用程式、資料和使用者的安全,應該不是一件難事。當涉及到公司的安全時,您需要最好的安全專家、專業指導和解決方案。
如需更多關於如何利用下一代 CASB 方法有效彌補混合型工作團隊中的 SaaS 安全缺口的資訊,請造訪: https://www.paloaltonetworks.tw/sase/saas-security
更多 SaaS 安全文章:
