在2016年RSA大會(huì)上,企業(yè)首席信息安全官探討了云訪(fǎng)問(wèn)安全代理(CASB)的價(jià)值,他們認(rèn)為CASB模式是全面云安全的關(guān)鍵。
在Garter公司副總裁兼分析師Neil MacDonald主持下,由首席信息安全官和安全主管組成的專(zhuān)題小組探討了為什么他們部署CASB以及他們?nèi)绾问褂肅ASB。該小組成員包括Sallie Mae公司高級(jí)副總裁兼首席安全官Jerry Archer;Morgan Stanley公司全球首席信息安全官Gerard Brady;Stryker公司首席信息安全官Alissa Johnson;以及通用電氣安全運(yùn)營(yíng)和網(wǎng)絡(luò)智能高級(jí)主管Richard Puckett。
在討論開(kāi)始時(shí),MacDonald介紹了最近幾年出現(xiàn)的CASB如何變成企業(yè)對(duì)其用戶(hù)使用的眾多云應(yīng)用及服務(wù)的控制點(diǎn)。他解釋了云訪(fǎng)問(wèn)安全代理如何利用各種不同的功能來(lái)保護(hù)企業(yè),例如云應(yīng)用發(fā)現(xiàn)、用戶(hù)身份驗(yàn)證、使用量監(jiān)控以及數(shù)據(jù)保護(hù)--包括加密和數(shù)據(jù)丟失防護(hù)(DLP)功能。
MacDonald還表示,CASB市場(chǎng)已經(jīng)擴(kuò)大至包含18到20家供應(yīng)商的市場(chǎng),這些供應(yīng)商的收入估計(jì)達(dá)到1.8億美元。
MacDonald表示:“在過(guò)去的四年中,這個(gè)市場(chǎng)從零發(fā)展成真正的市場(chǎng)。”
云訪(fǎng)問(wèn)安全代理的商業(yè)案例
MacDonald詢(xún)問(wèn)小組成員,什么在推動(dòng)他們各自企業(yè)中CASB的部署?Archer表示,合規(guī)性是他們部署CASB的最大原因,“這里的主要驅(qū)動(dòng)力是合規(guī)性的需要,就我們而言,這是FFIEC信息安全手冊(cè)。”
Archer還說(shuō)道,Sallie Mae的目標(biāo)是加密所有財(cái)務(wù)數(shù)據(jù),但仍然保持提供員工需要的企業(yè)云服務(wù)。他表示,加密組件很關(guān)鍵,因?yàn)镾allie Mae想要確保企業(yè)外的人(包括云提供商)無(wú)法查看或訪(fǎng)問(wèn)這些數(shù)據(jù)。“當(dāng)數(shù)據(jù)離開(kāi)我們的環(huán)境并進(jìn)入云服務(wù)提供商環(huán)境時(shí),我們可以加密所有數(shù)據(jù),并且只有我們有密鑰,”Archer表示,“該云服務(wù)提供商不能以任何形式透露任何信息,因?yàn)閿?shù)據(jù)被完全加密。”
Morgan Stanley公司的Brady表示,影子云使用的問(wèn)題非常緊迫,其公司正在同時(shí)開(kāi)展多個(gè)CASB項(xiàng)目--與不同的供應(yīng)商。“我們首先會(huì)查看可視性,這讓我們可圍繞事件相應(yīng)構(gòu)建流程,還可以管理云使用,”他表示,“我們使用CASB也是因?yàn)樵缙诘募用埽覀兛赡苓€會(huì)在未來(lái)幾個(gè)月整合這些項(xiàng)目到單個(gè)CASB項(xiàng)目。”
Johnson表示,當(dāng)她去年加入Stryker時(shí),她被要求確定“容易被攻擊者得手的”安全問(wèn)題,“我認(rèn)為,在云訪(fǎng)問(wèn)安全代理后,唾手可得的安全問(wèn)題是影子IT,”她稱(chēng),“我發(fā)現(xiàn)我們?cè)谑褂贸^(guò)2000云服務(wù),我甚至不知道存在2000個(gè)服務(wù)。”
Puckett表示,他的公司主要面對(duì)的挑戰(zhàn)是防止數(shù)據(jù)從GE環(huán)境轉(zhuǎn)移到?jīng)]有任何控制的云環(huán)境。
“如果你不采取任何形式的測(cè)量,你就無(wú)法了解風(fēng)險(xiǎn)情況,”Puckett表示,“當(dāng)GE評(píng)估風(fēng)險(xiǎn)時(shí),我們發(fā)現(xiàn)大規(guī)??缭铺峁┥痰谋姲?,從軟件即服務(wù)(SaaS)到平臺(tái)即服務(wù)(PaaS)以及基礎(chǔ)設(shè)施即服務(wù)(IaaS),正是這些云服務(wù)讓我們擔(dān)心數(shù)據(jù)泄露。”
Puckett還好指出,單靠云安全政策來(lái)防止員工使用未經(jīng)批準(zhǔn)的服務(wù)或參與高風(fēng)險(xiǎn)活動(dòng)簡(jiǎn)直是“天方夜譚”。
處理影子云服務(wù)
Puckett稱(chēng),自通用電氣開(kāi)始使用CASB以來(lái),該公司對(duì)于官方批準(zhǔn)的云計(jì)算服務(wù)“更加積極
”。該安全團(tuán)隊(duì)可能會(huì)發(fā)現(xiàn)員工在使用IT部門(mén)尚未批準(zhǔn)的影子云服務(wù),但Puckett表示,只要云服務(wù)使用可受到監(jiān)控以及在GE安全政策控制范圍內(nèi),該公司就不會(huì)阻止這些服務(wù)。他說(shuō):“我們?cè)试S和容忍特定未經(jīng)批準(zhǔn)的云計(jì)算提供商在商業(yè)環(huán)境中使用,只要他們遵循正確的做法。”
Johnson表示,Stryker并沒(méi)有立即阻止對(duì)未經(jīng)批準(zhǔn)云應(yīng)用和服務(wù)的訪(fǎng)問(wèn);相反,該公司的CASB(Skyhigh Networks)會(huì)提醒員工這種使用可能違反Stryker的安全政策,MacDonald稱(chēng)這是“軟控制”,而不是硬控制。他說(shuō)道:“我們希望這會(huì)讓政策變得更容易接受以及同意,而不是讓人們感到生氣,因?yàn)槟阕柚沽怂麄兊姆?wù)使用。”
Brady稱(chēng),Morgan Stanley阻止很多云計(jì)算應(yīng)用和服務(wù),但與GE一樣,該金融服務(wù)公司會(huì)對(duì)有意義的使用批準(zhǔn)特例。但由于Morgan Stanley發(fā)現(xiàn)員工使用的未經(jīng)授權(quán)云服務(wù)“數(shù)以千計(jì)”,Brady稱(chēng)該公司必須部署某種硬控制來(lái)防止企業(yè)數(shù)據(jù)通過(guò)這些服務(wù)被泄露。
Archer稱(chēng),Sallie Mae嘗試對(duì)云服務(wù)進(jìn)行白名單化,而不是阻止未經(jīng)授權(quán)的服務(wù),但他也表示其公司對(duì)待云服務(wù)未經(jīng)授權(quán)使用非常嚴(yán)格。“我們的政策規(guī)定,如果任何人在企業(yè)外部使用未經(jīng)批準(zhǔn)的服務(wù)導(dǎo)致敏感數(shù)據(jù)泄露,他們將受到紀(jì)律處分并可能被辭退,”他表示,“如果我們抓到他們?cè)谑褂肈LP,他們講接受?chē)?yán)格的調(diào)查處理。”
但Archer表示他的安全團(tuán)隊(duì)會(huì)通過(guò)其CASB的DLP功能查看所有離開(kāi)企業(yè)環(huán)境轉(zhuǎn)移到云的數(shù)據(jù),這可以阻止員工誤操作,但并不能夠阻止外部威脅行為者滲出數(shù)據(jù)。Archer說(shuō):“大家都知道,DLP基本會(huì)阻止員工錯(cuò)誤的行為,但并不能阻止真正的攻擊者,所以我們會(huì)盡可能抓出錯(cuò)誤行為,而員工也將為此付出代價(jià)。”
Puckett稱(chēng),云訪(fǎng)問(wèn)安全代理生成的數(shù)據(jù)可以幫助企業(yè)審核潛在的云服務(wù)。例如,云服務(wù)可能不只是缺乏安全控制(例如SSL或加密),它們還可能有對(duì)企業(yè)不利的使用條款。他表示:“某些多租戶(hù)供應(yīng)商可能會(huì)說(shuō),‘如果你把數(shù)據(jù)放在我們提供商處,那就屬于我們。’”
但他也表示,管理云服務(wù)的問(wèn)題“并沒(méi)有隨著時(shí)間的推移而得到改善”,因?yàn)榘踩芾砣藛T不僅需要監(jiān)控企業(yè)到云的連接。他看到越來(lái)越多的云服務(wù)之間通信以及發(fā)送企業(yè)數(shù)據(jù),例如從IaaS工作負(fù)載轉(zhuǎn)移到SaaS,然后到存儲(chǔ)服務(wù)。
“這些離網(wǎng)操作越來(lái)越難監(jiān)控,因?yàn)樗鼈冋谝詭缀嗡俣葦U(kuò)展,”他表示,“我們需要開(kāi)始談?wù)撨@種CASB模式的下一個(gè)演進(jìn),因?yàn)檫@不是我們可以追逐的問(wèn)題。”
最后,該小組成員表示云訪(fǎng)問(wèn)安全代理已經(jīng)成為其公司安全態(tài)勢(shì)的不可或缺的組成部分,并為觀眾提供有關(guān)CASB的建議。Archer稱(chēng),企業(yè)在使用CASB時(shí),需要保持靈活性。他說(shuō):“我認(rèn)為最重要的事情是,不要完全承諾到一個(gè)供應(yīng)商,因?yàn)橐磺卸紩?huì)變化--速度超過(guò)你的想象。”
Brady同意稱(chēng),雖然CASB提供重要的云安全控制,企業(yè)應(yīng)該記住,這個(gè)領(lǐng)域勢(shì)必會(huì)波動(dòng)和轉(zhuǎn)變。Brady稱(chēng):“這個(gè)市場(chǎng)還不是一個(gè)成熟的市場(chǎng)。”
Puckett建議企業(yè)在部署CASB模式之前,需要制定戰(zhàn)略用于處理未經(jīng)批準(zhǔn)和經(jīng)過(guò)批準(zhǔn)的云服務(wù),退出云服務(wù),以及處理加密密鑰。他說(shuō):“如果你沒(méi)有這三樣?xùn)|西,那么祝你好運(yùn),因?yàn)槊看挝幕紩?huì)勝過(guò)安全。”
Johnson鼓勵(lì)觀眾在與其他安全小組成員以及與高管人員的討論中,使用CASB提供的可視性和指標(biāo)來(lái)說(shuō)服他們。她說(shuō)道:“這種對(duì)話(huà)的最佳方式是用數(shù)據(jù)說(shuō)法,我從云訪(fǎng)問(wèn)安全代理獲取的數(shù)據(jù)幫助我說(shuō)服了高級(jí)領(lǐng)導(dǎo)團(tuán)隊(duì)。”