在2016年RSA大會上��,企業(yè)首席信息安全官探討了云訪問安全代理CASB的價值���,他們認為CASB模式是全面云安全的關鍵。
在Garter公司副總裁兼分析師NeilMacDonald主持下����,由首席信息安全官和安全主管組成的專題小組探討了為什么他們部署CASB以及他們?nèi)绾问褂肅ASB。該小組成員包括SallieMae公司高級副總裁兼首席安全官JerryArcher;MorganStanley公司全球首席信息安全官GerardBrady;Stryker公司首席信息安全官AlissaJohnson;以及通用電氣安全運營和網(wǎng)絡智能高級主管RichardPuckett��。
在討論開始時���,MacDonald介紹了最近幾年出現(xiàn)的CASB如何變成企業(yè)對其用戶使用的眾多云應用及服務的控制點�����。他解釋了云訪問安全代理如何利用各種不同的功能來保護企業(yè)����,例如云應用發(fā)現(xiàn)����、用戶身份驗證、使用量監(jiān)控以及數(shù)據(jù)保護--包括加密和數(shù)據(jù)丟失防護DLP功能�。
MacDonald還表示,CASB市場已經(jīng)擴大至包含18到20家供應商的市場����,這些供應商的收入估計達到1.8億美元。
MacDonald表示:“在過去的四年中�����,這個市場從零發(fā)展成真正的市場�����?����!?/br>
云訪問安全代理的商業(yè)案例
MacDonald詢問小組成員����,什么在推動他們各自企業(yè)中CASB的部署?Archer表示,合規(guī)性是他們部署CASB的最大原因���,“這里的主要驅(qū)動力是合規(guī)性的需要���,就我們而言���,這是FFIEC信息安全手冊?��!?/br>
Archer還說道���,SallieMae的目標是加密所有財務數(shù)據(jù),但仍然保持提供員工需要的企業(yè)云服務��。他表示���,加密組件很關鍵���,因為SallieMae想要確保企業(yè)外的人包括云提供商無法查看或訪問這些數(shù)據(jù)?��!爱敂?shù)據(jù)離開我們的環(huán)境并進入云服務提供商環(huán)境時����,我們可以加密所有數(shù)據(jù),并且只有我們有密鑰���,”Archer表示��,“該云服務提供商不能以任何形式透露任何信息,因為數(shù)據(jù)被完全加密�。”
MorganStanley公司的Brady表示�,影子云使用的問題非常緊迫,其公司正在同時開展多個CASB項目--與不同的供應商���?��!拔覀兪紫葧榭纯梢曅裕@讓我們可圍繞事件相應構建流程���,還可以管理云使用�����,”他表示�����,“我們使用CASB也是因為早期的加密�����,我們可能還會在未來幾個月整合這些項目到單個CASB項目���?�!?/br>
Johnson表示���,當她去年加入Stryker時,她被要求確定“容易被攻擊者得手的”安全問題�,“我認為,在云訪問安全代理后��,唾手可得的安全問題是影子IT���,”她稱�,“我發(fā)現(xiàn)我們在使用超過2000云服務�����,我甚至不知道存在2000個服務���?��!?/br>
Puckett表示�,他的公司主要面對的挑戰(zhàn)是防止數(shù)據(jù)從GE環(huán)境轉(zhuǎn)移到?jīng)]有任何控制的云環(huán)境���。
“如果你不采取任何形式的測量���,你就無法了解風險情況���,”Puckett表示�,“當GE評估風險時�,我們發(fā)現(xiàn)大規(guī)模跨云提供商的眾包��,從軟件即服務SaaS到平臺即服務PaaS以及基礎設施即服務IaaS��,正是這些云服務讓我們擔心數(shù)據(jù)泄露�。”
Puckett還好指出����,單靠云安全政策來防止員工使用未經(jīng)批準的服務或參與高風險活動簡直是“天方夜譚”����。
處理影子云服務
Puckett稱����,自通用電氣開始使用CASB以來,該公司對于官方批準的云計算服務“更加積極
”�����。該安全團隊可能會發(fā)現(xiàn)員工在使用IT部門尚未批準的影子云服務��,但Puckett表示����,只要云服務使用可受到監(jiān)控以及在GE安全政策控制范圍內(nèi),該公司就不會阻止這些服務���。他說:“我們允許和容忍特定未經(jīng)批準的云計算提供商在商業(yè)環(huán)境中使用���,只要他們遵循正確的做法?!?/br>
Johnson表示,Stryker并沒有立即阻止對未經(jīng)批準云應用和服務的訪問;相反,該公司的CASBSkyhighNetworks會提醒員工這種使用可能違反Stryker的安全政策�,MacDonald稱這是“軟控制”,而不是硬控制��。他說道:“我們希望這會讓政策變得更容易接受以及同意��,而不是讓人們感到生氣����,因為你阻止了他們的服務使用?�!?/br>
Brady稱�,MorganStanley阻止很多云計算應用和服務,但與GE一樣��,該金融服務公司會對有意義的使用批準特例�。但由于MorganStanley發(fā)現(xiàn)員工使用的未經(jīng)授權云服務“數(shù)以千計”�,Brady稱該公司必須部署某種硬控制來防止企業(yè)數(shù)據(jù)通過這些服務被泄露。
Archer稱��,SallieMae嘗試對云服務進行白名單化�,而不是阻止未經(jīng)授權的服務,但他也表示其公司對待云服務未經(jīng)授權使用非常嚴格��。“我們的政策規(guī)定��,如果任何人在企業(yè)外部使用未經(jīng)批準的服務導致敏感數(shù)據(jù)泄露���,他們將受到紀律處分并可能被辭退��,”他表示�����,“如果我們抓到他們在使用DLP�����,他們講接受嚴格的調(diào)查處理���。”
但Archer表示他的安全團隊會通過其CASB的DLP功能查看所有離開企業(yè)環(huán)境轉(zhuǎn)移到云的數(shù)據(jù)����,這可以阻止員工誤操作,但并不能夠阻止外部威脅行為者滲出數(shù)據(jù)�。Archer說:“大家都知道,DLP基本會阻止員工錯誤的行為����,但并不能阻止真正的攻擊者����,所以我們會盡可能抓出錯誤行為����,而員工也將為此付出代價?���!?/br>
Puckett稱,云訪問安全代理生成的數(shù)據(jù)可以幫助企業(yè)審核潛在的云服務��。例如����,云服務可能不只是缺乏安全控制例如SSL或加密,它們還可能有對企業(yè)不利的使用條款����。他表示:“某些多租戶供應商可能會說�����,‘如果你把數(shù)據(jù)放在我們提供商處,那就屬于我們����。’”
但他也表示��,管理云服務的問題“并沒有隨著時間的推移而得到改善”���,因為安全管理人員不僅需要監(jiān)控企業(yè)到云的連接����。他看到越來越多的云服務之間通信以及發(fā)送企業(yè)數(shù)據(jù)����,例如從IaaS工作負載轉(zhuǎn)移到SaaS,然后到存儲服務�����。
“這些離網(wǎng)操作越來越難監(jiān)控���,因為它們正在以幾何速度擴展��,”他表示�����,“我們需要開始談論這種CASB模式的下一個演進�,因為這不是我們可以追逐的問題?����!?/br>
最后�����,該小組成員表示云訪問安全代理已經(jīng)成為其公司安全態(tài)勢的不可或缺的組成部分���,并為觀眾提供有關CASB的建議���。Archer稱,企業(yè)在使用CASB時���,需要保持靈活性����。他說:“我認為最重要的事情是�����,不要完全承諾到一個供應商����,因為一切都會變化--速度超過你的想象?��!?/br>
Brady同意稱�����,雖然CASB提供重要的云安全控制�����,企業(yè)應該記住���,這個領域勢必會波動和轉(zhuǎn)變。Brady稱:“這個市場還不是一個成熟的市場���?!?/br>
Puckett建議企業(yè)在部署CASB模式之前,需要制定戰(zhàn)略用于處理未經(jīng)批準和經(jīng)過批準的云服務����,退出云服務,以及處理加密密鑰��。他說:“如果你沒有這三樣東西�,那么祝你好運,因為每次文化都會勝過安全�。”
Johnson鼓勵觀眾在與其他安全小組成員以及與高管人員的討論中��,使用CASB提供的可視性和指標來說服他們�����。她說道:“這種對話的最佳方式是用數(shù)據(jù)說法��,我從云訪問安全代理獲取的數(shù)據(jù)幫助我說服了高級領導團隊����。”
來源:TechTarget
版權及免責聲明:凡本網(wǎng)所屬版權作品�����,轉(zhuǎn)載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關法律責任的權力����。凡轉(zhuǎn)載文章����,不代表本網(wǎng)觀點和立場。版權事宜請聯(lián)系:010-65363056��。
延伸閱讀
