云访问安全代理的“真正”价值

在2016年RSA大会上，企业首席信息安全官探讨了云访问安全代理(CASB)的价值，他们认为CASB模式是全面云安全的关键。

在Garter公司副总裁兼分析师Neil MacDonald主持下，由首席信息安全官和安全主管组成的专题小组探讨了为什么他们部署CASB以及他们如何使用CASB。该小组成员包括Sallie Mae公司高级副总裁兼首席安全官Jerry Archer;Morgan Stanley公司全球首席信息安全官Gerard Brady;Stryker公司首席信息安全官Alissa Johnson;以及通用电气安全运营和网络智能高级主管Richard Puckett。

在讨论开始时，MacDonald介绍了最近几年出现的CASB如何变成企业对其用户使用的众多云应用及服务的控制点。他解释了云访问安全代理如何利用各种不同的功能来保护企业，例如云应用发现、用户身份验证、使用量监控以及数据保护--包括加密和数据丢失防护(DLP)功能。

MacDonald还表示，CASB市场已经扩大至包含18到20家供应商的市场，这些供应商的收入估计达到1.8亿美元。

MacDonald表示：“在过去的四年中，这个市场从零发展成真正的市场。”

云访问安全代理的商业案例

MacDonald询问小组成员，什么在推动他们各自企业中CASB的部署?Archer表示，合规性是他们部署CASB的最大原因，“这里的主要驱动力是合规性的需要，就我们而言，这是FFIEC信息安全手册。”

Archer还说道，Sallie Mae的目标是加密所有财务数据，但仍然保持提供员工需要的企业云服务。他表示，加密组件很关键，因为Sallie Mae想要确保企业外的人(包括云提供商)无法查看或访问这些数据。“当数据离开我们的环境并进入云服务提供商环境时，我们可以加密所有数据，并且只有我们有密钥，”Archer表示，“该云服务提供商不能以任何形式透露任何信息，因为数据被完全加密。”

Morgan Stanley公司的Brady表示，影子云使用的问题非常紧迫，其公司正在同时开展多个CASB项目--与不同的供应商。“我们首先会查看可视性，这让我们可围绕事件相应构建流程，还可以管理云使用，”他表示，“我们使用CASB也是因为早期的加密，我们可能还会在未来几个月整合这些项目到单个CASB项目。”

Johnson表示，当她去年加入Stryker时，她被要求确定“容易被攻击者得手的”安全问题，“我认为，在云访问安全代理后，唾手可得的安全问题是影子IT，”她称，“我发现我们在使用超过2000云服务，我甚至不知道存在2000个服务。”

Puckett表示，他的公司主要面对的挑战是防止数据从GE环境转移到没有任何控制的云环境。

“如果你不采取任何形式的测量，你就无法了解风险情况，”Puckett表示，“当GE评估风险时，我们发现大规模跨云提供商的众包，从软件即服务(SaaS)到平台即服务(PaaS)以及基础设施即服务(IaaS)，正是这些云服务让我们担心数据泄露。”

Puckett还好指出，单靠云安全政策来防止员工使用未经批准的服务或参与高风险活动简直是“天方夜谭”。

处理影子云服务

Puckett称，自通用电气开始使用CASB以来，该公司对于官方批准的云计算服务“更加积极

”。该安全团队可能会发现员工在使用IT部门尚未批准的影子云服务，但Puckett表示，只要云服务使用可受到监控以及在GE安全政策控制范围内，该公司就不会阻止这些服务。他说：“我们允许和容忍特定未经批准的云计算提供商在商业环境中使用，只要他们遵循正确的做法。”

Johnson表示，Stryker并没有立即阻止对未经批准云应用和服务的访问;相反，该公司的CASB(Skyhigh Networks)会提醒员工这种使用可能违反Stryker的安全政策，MacDonald称这是“软控制”，而不是硬控制。他说道：“我们希望这会让政策变得更容易接受以及同意，而不是让人们感到生气，因为你阻止了他们的服务使用。”

Brady称，Morgan Stanley阻止很多云计算应用和服务，但与GE一样，该金融服务公司会对有意义的使用批准特例。但由于Morgan Stanley发现员工使用的未经授权云服务“数以千计”，Brady称该公司必须部署某种硬控制来防止企业数据通过这些服务被泄露。

Archer称，Sallie Mae尝试对云服务进行白名单化，而不是阻止未经授权的服务，但他也表示其公司对待云服务未经授权使用非常严格。“我们的政策规定，如果任何人在企业外部使用未经批准的服务导致敏感数据泄露，他们将受到纪律处分并可能被辞退，”他表示，“如果我们抓到他们在使用DLP，他们讲接受严格的调查处理。”

但Archer表示他的安全团队会通过其CASB的DLP功能查看所有离开企业环境转移到云的数据，这可以阻止员工误操作，但并不能够阻止外部威胁行为者渗出数据。Archer说：“大家都知道，DLP基本会阻止员工错误的行为，但并不能阻止真正的攻击者，所以我们会尽可能抓出错误行为，而员工也将为此付出代价。”

Puckett称，云访问安全代理生成的数据可以帮助企业审核潜在的云服务。例如，云服务可能不只是缺乏安全控制(例如SSL或加密)，它们还可能有对企业不利的使用条款。他表示：“某些多租户供应商可能会说，‘如果你把数据放在我们提供商处，那就属于我们。’”

但他也表示，管理云服务的问题“并没有随着时间的推移而得到改善”，因为安全管理人员不仅需要监控企业到云的连接。他看到越来越多的云服务之间通信以及发送企业数据，例如从IaaS工作负载转移到SaaS，然后到存储服务。

“这些离网操作越来越难监控，因为它们正在以几何速度扩展，”他表示，“我们需要开始谈论这种CASB模式的下一个演进，因为这不是我们可以追逐的问题。”

最后，该小组成员表示云访问安全代理已经成为其公司安全态势的不可或缺的组成部分，并为观众提供有关CASB的建议。Archer称，企业在使用CASB时，需要保持灵活性。他说：“我认为最重要的事情是，不要完全承诺到一个供应商，因为一切都会变化--速度超过你的想象。”

Brady同意称，虽然CASB提供重要的云安全控制，企业应该记住，这个领域势必会波动和转变。Brady称：“这个市场还不是一个成熟的市场。”

Puckett建议企业在部署CASB模式之前，需要制定战略用于处理未经批准和经过批准的云服务，退出云服务，以及处理加密密钥。他说：“如果你没有这三样东西，那么祝你好运，因为每次文化都会胜过安全。”

Johnson鼓励观众在与其他安全小组成员以及与高管人员的讨论中，使用CASB提供的可视性和指标来说服他们。她说道：“这种对话的最佳方式是用数据说法，我从云访问安全代理获取的数据帮助我说服了高级领导团队。”

作者：Rob Wright

来源：51CTO