760
汽車大全
雲訪問安全代理的“真正”價值
在2016年RSA大會上,企業首席信息安全官探討了雲訪問安全代理(CASB)的價值,他們認為CASB模式是全麵雲安全的關鍵。
在Garter公司副總裁兼分析師Neil MacDonald主持下,由首席信息安全官和安全主管組成的專題小組探討了為什麼他們部署CASB以及他們如何使用CASB。該小組成員包括Sallie Mae公司高級副總裁兼首席安全官Jerry Archer;Morgan Stanley公司全球首席信息安全官Gerard Brady;Stryker公司首席信息安全官Alissa Johnson;以及通用電氣安全運營和網絡智能高級主管Richard Puckett。
在討論開始時,MacDonald介紹了最近幾年出現的CASB如何變成企業對其用戶使用的眾多雲應用及服務的控製點。他解釋了雲訪問安全代理如何利用各種不同的功能來保護企業,例如雲應用發現、用戶身份驗證、使用量監控以及數據保護--包括加密和數據丟失防護(DLP)功能。
MacDonald還表示,CASB市場已經擴大至包含18到20家供應商的市場,這些供應商的收入估計達到1.8億美元。
MacDonald表示:“在過去的四年中,這個市場從零發展成真正的市場。”
雲訪問安全代理的商業案例
MacDonald詢問小組成員,什麼在推動他們各自企業中CASB的部署?Archer表示,合規性是他們部署CASB的最大原因,“這裏的主要驅動力是合規性的需要,就我們而言,這是FFIEC信息安全手冊。”
Archer還說道,Sallie Mae的目標是加密所有財務數據,但仍然保持提供員工需要的企業雲服務。他表示,加密組件很關鍵,因為Sallie Mae想要確保企業外的人(包括雲提供商)無法查看或訪問這些數據。“當數據離開我們的環境並進入雲服務提供商環境時,我們可以加密所有數據,並且隻有我們有密鑰,”Archer表示,“該雲服務提供商不能以任何形式透露任何信息,因為數據被完全加密。”
Morgan Stanley公司的Brady表示,影子雲使用的問題非常緊迫,其公司正在同時開展多個CASB項目--與不同的供應商。“我們首先會查看可視性,這讓我們可圍繞事件相應構建流程,還可以管理雲使用,”他表示,“我們使用CASB也是因為早期的加密,我們可能還會在未來幾個月整合這些項目到單個CASB項目。”
Johnson表示,當她去年加入Stryker時,她被要求確定“容易被攻擊者得手的”安全問題,“我認為,在雲訪問安全代理後,唾手可得的安全問題是影子IT,”她稱,“我發現我們在使用超過2000雲服務,我甚至不知道存在2000個服務。”
Puckett表示,他的公司主要麵對的挑戰是防止數據從GE環境轉移到沒有任何控製的雲環境。
“如果你不采取任何形式的測量,你就無法了解風險情況,”Puckett表示,“當GE評估風險時,我們發現大規模跨雲提供商的眾包,從軟件即服務(SaaS)到平台即服務(PaaS)以及基礎設施即服務(IaaS),正是這些雲服務讓我們擔心數據泄露。”
Puckett還好指出,單靠雲安全政策來防止員工使用未經批準的服務或參與高風險活動簡直是“天方夜譚”。
處理影子雲服務
Puckett稱,自通用電氣開始使用CASB以來,該公司對於官方批準的雲計算服務“更加積極
”。該安全團隊可能會發現員工在使用IT部門尚未批準的影子雲服務,但Puckett表示,隻要雲服務使用可受到監控以及在GE安全政策控製範圍內,該公司就不會阻止這些服務。他說:“我們允許和容忍特定未經批準的雲計算提供商在商業環境中使用,隻要他們遵循正確的做法。”
Johnson表示,Stryker並沒有立即阻止對未經批準雲應用和服務的訪問;相反,該公司的CASB(Skyhigh Networks)會提醒員工這種使用可能違反Stryker的安全政策,MacDonald稱這是“軟控製”,而不是硬控製。他說道:“我們希望這會讓政策變得更容易接受以及同意,而不是讓人們感到生氣,因為你阻止了他們的服務使用。”
Brady稱,Morgan Stanley阻止很多雲計算應用和服務,但與GE一樣,該金融服務公司會對有意義的使用批準特例。但由於Morgan Stanley發現員工使用的未經授權雲服務“數以千計”,Brady稱該公司必須部署某種硬控製來防止企業數據通過這些服務被泄露。
Archer稱,Sallie Mae嚐試對雲服務進行白名單化,而不是阻止未經授權的服務,但他也表示其公司對待雲服務未經授權使用非常嚴格。“我們的政策規定,如果任何人在企業外部使用未經批準的服務導致敏感數據泄露,他們將受到紀律處分並可能被辭退,”他表示,“如果我們抓到他們在使用DLP,他們講接受嚴格的調查處理。”
但Archer表示他的安全團隊會通過其CASB的DLP功能查看所有離開企業環境轉移到雲的數據,這可以阻止員工誤操作,但並不能夠阻止外部威脅行為者滲出數據。Archer說:“大家都知道,DLP基本會阻止員工錯誤的行為,但並不能阻止真正的攻擊者,所以我們會盡可能抓出錯誤行為,而員工也將為此付出代價。”
Puckett稱,雲訪問安全代理生成的數據可以幫助企業審核潛在的雲服務。例如,雲服務可能不隻是缺乏安全控製(例如SSL或加密),它們還可能有對企業不利的使用條款。他表示:“某些多租戶供應商可能會說,‘如果你把數據放在我們提供商處,那就屬於我們。’”
但他也表示,管理雲服務的問題“並沒有隨著時間的推移而得到改善”,因為安全管理人員不僅需要監控企業到雲的連接。他看到越來越多的雲服務之間通信以及發送企業數據,例如從IaaS工作負載轉移到SaaS,然後到存儲服務。
“這些離網操作越來越難監控,因為它們正在以幾何速度擴展,”他表示,“我們需要開始談論這種CASB模式的下一個演進,因為這不是我們可以追逐的問題。”
最後,該小組成員表示雲訪問安全代理已經成為其公司安全態勢的不可或缺的組成部分,並為觀眾提供有關CASB的建議。Archer稱,企業在使用CASB時,需要保持靈活性。他說:“我認為最重要的事情是,不要完全承諾到一個供應商,因為一切都會變化--速度超過你的想象。”
Brady同意稱,雖然CASB提供重要的雲安全控製,企業應該記住,這個領域勢必會波動和轉變。Brady稱:“這個市場還不是一個成熟的市場。”
Puckett建議企業在部署CASB模式之前,需要製定戰略用於處理未經批準和經過批準的雲服務,退出雲服務,以及處理加密密鑰。他說:“如果你沒有這三樣東西,那麼祝你好運,因為每次文化都會勝過安全。”
Johnson鼓勵觀眾在與其他安全小組成員以及與高管人員的討論中,使用CASB提供的可視性和指標來說服他們。她說道:“這種對話的最佳方式是用數據說法,我從雲訪問安全代理獲取的數據幫助我說服了高級領導團隊。”
作者:Rob Wright
來源:51CTO
最後更新:2017-09-05 13:32:47