雲安全面臨的問題
針對如此海量的資料洩漏, 雲端資料存儲的安全性問題就不得不引起人們的重視, 另外也突顯出雲端的安全性問題也越來越嚴重,
目前程式人員開發的應用程式、辦公文檔、筆記、企業檔共用等資訊都以明文的方式存儲在雲端, 這對企業來說已經完全失去了對其的控制權。
針對雲安全解決方案
2016年RSA大會上, 企業首席資訊安全官們探討了雲訪問安全代理的價值, 他們認為雲訪問安全代理模式是全面雲安全的關鍵。
在Garter公司副總裁兼分析師Neil MacDonald主持下, 由首席資訊安全官和安全主管組成的專題小組探討了為什麼他們部署雲訪問安全代理以及他們如何使用雲訪問安全代理。
首席資訊安全官們一致認為:加密元件是雲訪問安全代理中的核心功能, 要確保企業外的人(包括雲提供商)無法查看或訪問這些資料,
基於這些認識, 我們也看到一些國際大型的雲安全廠商及雲服務供應商都提出以加密保護為基礎的技術路線:
1、以敏感性資料加密為基礎, 包括身份證號、姓名、住址、銀行卡、信用卡、社會保險號、手機號等;
2、以安全可靠、體系完善的金鑰管理系統為核心;
3、以三權分立、敏感性資料存取控制為主要手段;
4、次要資料庫防火牆、資料脫敏、審計等邊界系統, 規範和監控資料的訪問行為;
核心在於“金鑰由誰控制、在哪裡管理”, 同時需要解決系統的運行效率、系統部署和應用改造的代價問題。
明朝萬達建議的解決方案
金鑰的管理和存儲都是在使用者自己的手裡, 雲服務供應商無法獲取金鑰對使用者的資料進行加密及解密, 這種方案針對企業用戶來說安全性是最好的。
為了保障資料的安全性, 大型企業一般會採用該種方案, 以最大限度地在滿足員工辦公高效的同時, 降低企業核心資料洩漏的風險, 基於該方案的部署架構如下圖所示:
企業採購雲訪問安全代理產品, 部署在企業辦公區域及雲服務中間, 並獨立管理KMS系統及相應的安全性原則, 在不改變用戶使用雲應用的體驗並保留全部原生功能的情況下通過雲訪問安全代理訪問雲端的應用, 雲訪問安全代理對上送至雲端的關鍵資料進行加密,
根據Gartner預測到2018年51%的企業應用服務會託管到雲上, 2022年這個比例將達到85%。 伴隨著IT雲化的浪潮, 企業的IT架構也發生整體的轉變, 這種轉變帶來的結果是整個IT基礎設施及服務逐漸遷移到雲端, 虛擬化、雲化、Saas化。 因此, 整體的針對企業的安全解決方案也發生重大的改變, 雲服務商在對於雲服務的安全方便比較偏重於基礎設施的安全, 如提供防火牆、防病毒、防DDos等基礎的安全服務, 而對於企業IT向SaaS全面遷移之後, 對於雲端與終端的身份認證、許可權、資料安全(Cloud-DLP)、操作審計、安全事件審計等也成為必須要關注的問題。
CASB 產品功能介紹
雲訪問安全代理(CASB)是什麼?
Gartner對CASB定義:
作為部署在雲服務使用者和提供商之間的“經紀人”, CASB(雲安全接入代理, cloud access security broker)能夠嵌入企業安全性原則, 通過整合雲服務發現&評級, 單點登錄, 設備&行為識別, 加密, 憑證化等多種安全技術, 在雲上資源被連接訪問的過程中並加以監控和防護。
明朝萬達認為CASB產品的核心能力
雲服務視覺化:應用程式和資料的可見性以及雲計算的使用模式分析
雲服務存取控制:通過基於角色的訪問策略來控制對雲服務和資料的訪問是資料保護;
資料保護:通過加密機制對出入雲端的資料進行加密、解密和標記化,防止資料在傳送、存儲過程中非常資料獲取行為;
KMS:金鑰管理,實現企業對金鑰的統一管理,而非將管理許可權交給雲服務供應商,有效控制資料安全;
危脅保護:可以通過尋找異常行為和已知的命令控制簽名來監控流量,尋找是否有惡意軟體和網路攻擊
儀錶盤及報告:CASB平臺都應該提供一個易於使用的擁有各種報告選項的儀錶板。所有CASB的提供商都應該提供一整套“封裝好的”用於詳細描述用戶活動,檢測或受保護的資料,惡意流量檢測並阻止,等等的報表。
資料保護:通過加密機制對出入雲端的資料進行加密、解密和標記化,防止資料在傳送、存儲過程中非常資料獲取行為;
KMS:金鑰管理,實現企業對金鑰的統一管理,而非將管理許可權交給雲服務供應商,有效控制資料安全;
危脅保護:可以通過尋找異常行為和已知的命令控制簽名來監控流量,尋找是否有惡意軟體和網路攻擊
儀錶盤及報告:CASB平臺都應該提供一個易於使用的擁有各種報告選項的儀錶板。所有CASB的提供商都應該提供一整套“封裝好的”用於詳細描述用戶活動,檢測或受保護的資料,惡意流量檢測並阻止,等等的報表。