在2016年RSA大會(huì)上,企業(yè)首席信息安全官探討了云訪問安全代理CASB的價(jià)值����,他們認(rèn)為CASB模式是全面云安全的關(guān)鍵。
在Garter公司副總裁兼分析師NeilMacDonald主持下�,由首席信息安全官和安全主管組成的專題小組探討了為什么他們部署CASB以及他們?nèi)绾问褂肅ASB。該小組成員包括SallieMae公司高級(jí)副總裁兼首席安全官JerryArcher;MorganStanley公司全球首席信息安全官GerardBrady;Stryker公司首席信息安全官AlissaJohnson;以及通用電氣安全運(yùn)營和網(wǎng)絡(luò)智能高級(jí)主管RichardPuckett���。
在討論開始時(shí)��,MacDonald介紹了最近幾年出現(xiàn)的CASB如何變成企業(yè)對(duì)其用戶使用的眾多云應(yīng)用及服務(wù)的控制點(diǎn)�。他解釋了云訪問安全代理如何利用各種不同的功能來保護(hù)企業(yè)���,例如云應(yīng)用發(fā)現(xiàn)��、用戶身份驗(yàn)證����、使用量監(jiān)控以及數(shù)據(jù)保護(hù)--包括加密和數(shù)據(jù)丟失防護(hù)DLP功能。
MacDonald還表示����,CASB市場(chǎng)已經(jīng)擴(kuò)大至包含18到20家供應(yīng)商的市場(chǎng),這些供應(yīng)商的收入估計(jì)達(dá)到1.8億美元����。
MacDonald表示:“在過去的四年中,這個(gè)市場(chǎng)從零發(fā)展成真正的市場(chǎng)����。”
云訪問安全代理的商業(yè)案例
MacDonald詢問小組成員����,什么在推動(dòng)他們各自企業(yè)中CASB的部署?Archer表示,合規(guī)性是他們部署CASB的最大原因��,“這里的主要驅(qū)動(dòng)力是合規(guī)性的需要���,就我們而言����,這是FFIEC信息安全手冊(cè)�?���!?/br>
Archer還說道����,SallieMae的目標(biāo)是加密所有財(cái)務(wù)數(shù)據(jù)�,但仍然保持提供員工需要的企業(yè)云服務(wù)。他表示�,加密組件很關(guān)鍵,因?yàn)镾allieMae想要確保企業(yè)外的人包括云提供商無法查看或訪問這些數(shù)據(jù)���?�!爱?dāng)數(shù)據(jù)離開我們的環(huán)境并進(jìn)入云服務(wù)提供商環(huán)境時(shí)�,我們可以加密所有數(shù)據(jù)����,并且只有我們有密鑰,”Archer表示�,“該云服務(wù)提供商不能以任何形式透露任何信息,因?yàn)閿?shù)據(jù)被完全加密����?�!?/br>
MorganStanley公司的Brady表示����,影子云使用的問題非常緊迫�,其公司正在同時(shí)開展多個(gè)CASB項(xiàng)目--與不同的供應(yīng)商?�!拔覀兪紫葧?huì)查看可視性��,這讓我們可圍繞事件相應(yīng)構(gòu)建流程�,還可以管理云使用,”他表示�,“我們使用CASB也是因?yàn)樵缙诘募用埽覀兛赡苓€會(huì)在未來幾個(gè)月整合這些項(xiàng)目到單個(gè)CASB項(xiàng)目�。”
Johnson表示�,當(dāng)她去年加入Stryker時(shí),她被要求確定“容易被攻擊者得手的”安全問題�,“我認(rèn)為,在云訪問安全代理后����,唾手可得的安全問題是影子IT,”她稱�,“我發(fā)現(xiàn)我們?cè)谑褂贸^2000云服務(wù)�,我甚至不知道存在2000個(gè)服務(wù)��?��!?/br>
Puckett表示���,他的公司主要面對(duì)的挑戰(zhàn)是防止數(shù)據(jù)從GE環(huán)境轉(zhuǎn)移到?jīng)]有任何控制的云環(huán)境���。
“如果你不采取任何形式的測(cè)量����,你就無法了解風(fēng)險(xiǎn)情況����,”Puckett表示,“當(dāng)GE評(píng)估風(fēng)險(xiǎn)時(shí)��,我們發(fā)現(xiàn)大規(guī)?��?缭铺峁┥痰谋姲?,從軟件即服務(wù)SaaS到平臺(tái)即服務(wù)PaaS以及基礎(chǔ)設(shè)施即服務(wù)IaaS��,正是這些云服務(wù)讓我們擔(dān)心數(shù)據(jù)泄露?���!?/br>
Puckett還好指出,單靠云安全政策來防止員工使用未經(jīng)批準(zhǔn)的服務(wù)或參與高風(fēng)險(xiǎn)活動(dòng)簡直是“天方夜譚”����。
處理影子云服務(wù)
Puckett稱,自通用電氣開始使用CASB以來����,該公司對(duì)于官方批準(zhǔn)的云計(jì)算服務(wù)“更加積極
”。該安全團(tuán)隊(duì)可能會(huì)發(fā)現(xiàn)員工在使用IT部門尚未批準(zhǔn)的影子云服務(wù)��,但Puckett表示���,只要云服務(wù)使用可受到監(jiān)控以及在GE安全政策控制范圍內(nèi)���,該公司就不會(huì)阻止這些服務(wù)。他說:“我們?cè)试S和容忍特定未經(jīng)批準(zhǔn)的云計(jì)算提供商在商業(yè)環(huán)境中使用�,只要他們遵循正確的做法?��!?/br>
Johnson表示�,Stryker并沒有立即阻止對(duì)未經(jīng)批準(zhǔn)云應(yīng)用和服務(wù)的訪問;相反,該公司的CASBSkyhighNetworks會(huì)提醒員工這種使用可能違反Stryker的安全政策��,MacDonald稱這是“軟控制”���,而不是硬控制�。他說道:“我們希望這會(huì)讓政策變得更容易接受以及同意�,而不是讓人們感到生氣,因?yàn)槟阕柚沽怂麄兊姆?wù)使用�。”
Brady稱���,MorganStanley阻止很多云計(jì)算應(yīng)用和服務(wù),但與GE一樣���,該金融服務(wù)公司會(huì)對(duì)有意義的使用批準(zhǔn)特例��。但由于MorganStanley發(fā)現(xiàn)員工使用的未經(jīng)授權(quán)云服務(wù)“數(shù)以千計(jì)”�,Brady稱該公司必須部署某種硬控制來防止企業(yè)數(shù)據(jù)通過這些服務(wù)被泄露���。
Archer稱��,SallieMae嘗試對(duì)云服務(wù)進(jìn)行白名單化���,而不是阻止未經(jīng)授權(quán)的服務(wù)�,但他也表示其公司對(duì)待云服務(wù)未經(jīng)授權(quán)使用非常嚴(yán)格����。“我們的政策規(guī)定��,如果任何人在企業(yè)外部使用未經(jīng)批準(zhǔn)的服務(wù)導(dǎo)致敏感數(shù)據(jù)泄露����,他們將受到紀(jì)律處分并可能被辭退,”他表示��,“如果我們抓到他們?cè)谑褂肈LP��,他們講接受嚴(yán)格的調(diào)查處理��?��!?/br>
但Archer表示他的安全團(tuán)隊(duì)會(huì)通過其CASB的DLP功能查看所有離開企業(yè)環(huán)境轉(zhuǎn)移到云的數(shù)據(jù)���,這可以阻止員工誤操作����,但并不能夠阻止外部威脅行為者滲出數(shù)據(jù)����。Archer說:“大家都知道,DLP基本會(huì)阻止員工錯(cuò)誤的行為��,但并不能阻止真正的攻擊者�,所以我們會(huì)盡可能抓出錯(cuò)誤行為,而員工也將為此付出代價(jià)��?���!?/br>
Puckett稱,云訪問安全代理生成的數(shù)據(jù)可以幫助企業(yè)審核潛在的云服務(wù)��。例如����,云服務(wù)可能不只是缺乏安全控制例如SSL或加密���,它們還可能有對(duì)企業(yè)不利的使用條款����。他表示:“某些多租戶供應(yīng)商可能會(huì)說,‘如果你把數(shù)據(jù)放在我們提供商處�,那就屬于我們?!?/br>
但他也表示,管理云服務(wù)的問題“并沒有隨著時(shí)間的推移而得到改善”�,因?yàn)榘踩芾砣藛T不僅需要監(jiān)控企業(yè)到云的連接。他看到越來越多的云服務(wù)之間通信以及發(fā)送企業(yè)數(shù)據(jù)��,例如從IaaS工作負(fù)載轉(zhuǎn)移到SaaS���,然后到存儲(chǔ)服務(wù)��。
“這些離網(wǎng)操作越來越難監(jiān)控��,因?yàn)樗鼈冋谝詭缀嗡俣葦U(kuò)展���,”他表示,“我們需要開始談?wù)撨@種CASB模式的下一個(gè)演進(jìn)���,因?yàn)檫@不是我們可以追逐的問題���?���!?/br>
最后���,該小組成員表示云訪問安全代理已經(jīng)成為其公司安全態(tài)勢(shì)的不可或缺的組成部分�,并為觀眾提供有關(guān)CASB的建議��。Archer稱����,企業(yè)在使用CASB時(shí),需要保持靈活性��。他說:“我認(rèn)為最重要的事情是�,不要完全承諾到一個(gè)供應(yīng)商,因?yàn)橐磺卸紩?huì)變化--速度超過你的想象�。”
Brady同意稱��,雖然CASB提供重要的云安全控制��,企業(yè)應(yīng)該記住����,這個(gè)領(lǐng)域勢(shì)必會(huì)波動(dòng)和轉(zhuǎn)變。Brady稱:“這個(gè)市場(chǎng)還不是一個(gè)成熟的市場(chǎng)���?���!?/br>
Puckett建議企業(yè)在部署CASB模式之前�,需要制定戰(zhàn)略用于處理未經(jīng)批準(zhǔn)和經(jīng)過批準(zhǔn)的云服務(wù),退出云服務(wù)���,以及處理加密密鑰���。他說:“如果你沒有這三樣?xùn)|西,那么祝你好運(yùn)��,因?yàn)槊看挝幕紩?huì)勝過安全�。”
Johnson鼓勵(lì)觀眾在與其他安全小組成員以及與高管人員的討論中���,使用CASB提供的可視性和指標(biāo)來說服他們�。她說道:“這種對(duì)話的最佳方式是用數(shù)據(jù)說法�,我從云訪問安全代理獲取的數(shù)據(jù)幫助我說服了高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)?�!?/br>
來源:TechTarget
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)���。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
