En Cloud Access Security Broker (CASB, uttalas KAZ-bee) ?r en lokal eller molnbaserad policyhanteringspunkt som placeras mellan molntj?nstkonsumenter och molntj?nstleverant?rer (CSP) f?r att ?vervaka molnrelaterad aktivitet och till?mpa s?kerhets-, efterlevnads- och styrningsregler relaterade till anv?ndningen av molnbaserade resurser. En CASB g?r det m?jligt f?r en organisation att utvidga samma slags kontroller till molnet som den skulle till?mpa p? lokal infrastruktur och kan kombinera olika typer av policygenomf?rande, t.ex:
Syftet med en CASB ?r s?ledes att f?rb?ttra en organisations f?rm?ga att dra nytta av molntj?nster p? ett tryggt och s?kert s?tt. En CASB kan ses som en "s?kerhetsnod" genom vilken ?tkomsten till en organisations molntj?nster kontrolleras. Som en del av en organisations s?kerhetsinfrastruktur kompletterar den, snarare ?n ers?tter, tekniker som brandv?ggar f?r f?retag och webbapplikationer, IDaaS (IDentity as a Service) och s?kra webbgateways (SWG).
Den ?kande betydelsen av CASB:er g?r hand i hand med den bredare anv?ndningen av molntj?nster och BYOD-policyer ("Bring Your Own Device") som till?ter personliga b?rbara datorer, smartphones, surfplattor och andra ohanterade enheter i n?tverket. Anv?ndningen av CASB:er f?r att kontrollera vissa eller alla av en organisations molntj?nster ?kar och det f?rv?ntas att st?rre f?retags anv?ndning kommer att tredubblas, fr?n 20% 2018 till 60% 2022 (Gartner, 2018). Under en liknande period f?rv?ntas marknaden f?r molns?kerhet som helhet ?ka till cirka 112 miljarder USD 2023 (Forrester, 2017).
好色先生TV? Voltage? SecureData Sentry hj?lper till att minska riskerna f?r intr?ng genom att enkelt och transparent implementera datas?kerhet inom n?gra dagar; m?jligg?r efterlevnad av sekretess f?r uppdragskritiska hybrid-IT-applikationer
L?s mer om dettaCASBs fokuserade ursprungligen p? att uppt?cka ok?nda tj?nster som anv?ndes av individer eller aff?rsenheter utanf?r de som var till?tna av IT-avdelningen - men n?r organisationer ins?g att l?sningen p? detta problem pekade mer mot kontrollerad aktivering snarare ?n borttagning av dessa tj?nster, b?rjade CASBs erbjuda funktionsupps?ttningar ?ver fyra pelare: Datas?kerhet, efterlevnad, Threat skydd och k?rnfunktionen synlighet.
Synlighet
M?nga organisationer h?ller redan p? att p?skynda det formella inf?randet av cloud computing inom en rad olika aff?rsenheter. Detta kan leda till att allt fler anst?llda hanterar sina egna s?kerhetsuppgifter f?r IaaS-resurser (Infrastructure as a Service), PaaS-resurser (Platform as a Service), SaaS-resurser (Software as a Service) och nu ?ven FaaS-resurser (Functions as a Service). I den h?r milj?n kan CASB:er hj?lpa till att ?verbrygga de s?kerhetsluckor som skapats genom denna erosion av centraliserad identitets- och ?tkomsthantering (IAM) och f?rb?ttra kontrollen ?ver anv?ndningen av dessa tj?nster genom att utg?ra en l?mplig barri?r utan att hindra den naturliga aff?rsverksamheten f?r anst?llda b?de p? plats och ute p? f?ltet.
Denna konsolidering av ?tkomstkontrollerna f?r molntj?nster ?r till hj?lp n?r det ?r k?nt vilka molntj?nster som anv?nds, men den ?r inte till hj?lp n?r det g?ller skugg-IT. S?dana tj?nster kan anv?ndas f?r att kringg? upplevda eller faktiska brister i en organisations officiella IT-stack, eller s? kan de bara vara en enkel ?terspegling av anv?ndarnas preferenser. Snarare ?n att vara en aktivitet som m?ste stoppas kan anv?ndningen av dem faktiskt vara avg?rande f?r produktivitet, effektivitet, medarbetarn?jdhet och till och med som en k?lla till innovation, men det ?r osannolikt att den ligger i linje med organisationens s?kerhetspolicy eller andra IT-krav p? support, tillf?rlitlighet, tillg?nglighet etc. och kan ocks? vara en k?lla till skadlig kod som kan leda till ett katastrofalt .
En CASB kan hj?lpa till att lyfta fram en organisations skugg-IT i ljuset, vilket inte bara m?jligg?r st?d f?r n?dv?ndiga arbetsmetoder samtidigt som det s?kerst?lls att de inte ?ventyrar uppdraget, utan ocks? belyser verkliga molnutgifter som m?jligg?r f?rb?ttringar i kostnadskontrollen.
Datas?kerhet
M?nga organisationer h?ller redan p? att flytta IT-resurser fr?n sina egna datacenter till flera olika molntj?nster, bland annat de som erbjuds av Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) och det stora utbudet av onlineapplikationer som finns p? SaaS-marknaden. Anst?llda delar redan k?nsliga data via dessa tj?nster - Office 365, Salesforce, Amazon S3, Workday, m.fl. - varav m?nga till?mpar n?gon form av delat ansvarsmodell som inneb?r att ansvaret f?r datas?kerheten l?ggs p? kunden.
Oron f?r s?kerheten i sj?lva molnet ?r dock till stor del missriktad. Infrastrukturen hos de flesta CSP:er, s?rskilt de som erbjuder tj?nster som har blivit vanliga, ?r onekligen mycket s?ker. Ist?llet b?r man fokusera p? korrekt konfiguration av de s?kerhetskontroller som CSP:n erbjuder, samt p? att identifiera n?dv?ndiga kontroller som inte finns tillg?ngliga. En nyligen publicerad rapport visade att ?ver 1,5 miljarder filer exponerades i molntj?nster och molnrelaterade tj?nster som S3, rsync, SMB, FTP, NAS-enheter och webbservrar, enbart p? grund av s?dana felaktiga eller saknade konfigurationer (Digital Shadows, 2018). Fram till 2023 v?ntas minst 99% av s?kerhetsbristerna i molnet bero p? misstag som beg?s av molntj?nstkonsumenter snarare ?n av CSP:er (Gartner, 2018). ?ven om vissa CASB:er nu erbjuder CSPM-funktioner (Cloud Security Posture Management) f?r att bed?ma och minska konfigurationsrisken i IaaS-, PaaS- och SaaS-erbjudanden genom ytterligare kontroller som kryptering, kan en CASB ge en organisation ytterligare f?rs?kring s? att k?nsliga data inte kan ?ventyras, ?ven om det finns felkonfigurationer. En s?dan f?rs?kring visar sig vara s?rskilt n?dv?ndig n?r adekvat dataskydd inte erbjuds av en viss molntj?nst, eller n?r s?dant skydd kr?vs mot CSP:n sj?lv.
De flesta CASB:er utvecklades fr?n en av tv? utg?ngspositioner n?r det g?ller datas?kerhet: fokus p? f?rebyggande av dataf?rlust (DLP) och uppt?ckt av hot, eller kryptering eller tokenisering f?r att hantera integritet och datalagring. ?ven om dessa utg?ngsl?gen senare har ut?kats till att omfatta alla dessa funktioner, har det skett en f?rskjutning bort fr?n att erbjuda robust datacentrerad s?kerhet och nyckelhantering. F?r de flesta CASB:er inneb?r datas?kerhet idag fr?mst DLP, som anv?nder en m?ngd olika mekanismer f?r att uppt?cka k?nsliga data i sanktionerade molntj?nster eller n?r de laddas upp till molntj?nster - sanktionerade eller skuggade - och sedan blockera, radera, placera i juridisk v?ntan eller s?tta i karant?n inneh?ll som flaggas som ett potentiellt policybrott. Detta st?der vanligtvis b?de lokala anv?ndare och fj?rranv?ndare av molntj?nster, oavsett om det ?r fr?n mobila applikationer, webbl?sare eller synkroniseringsklienter f?r skrivbord. Men DLP kan bara g? s? l?ngt i milj?er som g?r datadelning inom och mellan molntj?nster allt enklare innan ett intr?ng intr?ffar. Alla organisationer som anv?nder molnet f?r att lagra data b?r inse att en CASB kanske inte kan uppt?cka hur eller med vem dessa data delas fr?n molnet, eller ens vem som delade dem.
Starka datacentrerade skyddsmekanismer kan hantera denna risk f?r intr?ng, men ?ven om m?nga CASB:er annonserar m?jligheten att kryptera eller tokenisera data som ska till molnet, tenderar dessa funktioner nu att vara begr?nsade till endast ett litet antal vanliga tj?nster, som Salesforce och ServiceNow. CASB:er som b?rjade l?gga till dessa funktioner - lika mycket f?r att tillfredsst?lla analytikernas betyg som f?r att uppn? eller bibeh?lla konkurrensparitet - uppt?ckte att kryptografi ?r en utmanande teknisk dom?n. Det kr?vs betydande ?mneskompetens f?r att implementera och underh?lla kryptografiska system, och denna expertis faller vanligtvis inte inom ramen f?r CASB: s k?rnkompetenser. Som ett resultat av detta har vissa CASB:er dragit tillbaka eller marknadsf?r inte l?ngre dessa funktioner aktivt, och vissa d?ljer deras bristande kapacitet eller begr?nsade till?mplighet genom allm?nna p?st?enden om "datas?kerhet" som endast behandlar DLP, adaptiv ?tkomstkontroll (AAC) och liknande.
?ven om antagandet av Clarifying Lawful Overseas Use of Data (CLOUD) Act i USA och den v?xande f?rst?elsen av EU:s allm?nna dataskyddsf?rordning (GDPR) starkt tyder p? att kryptering och nyckelhantering h?ller p? att bli kritiska funktioner (Gartner, 2019), har det funnits en viss tvekan n?r det g?ller att inf?ra dem, eftersom kryptering och tokenisering som till?mpas utanf?r en SaaS-applikation kan p?verka dess funktionalitet samt funktionaliteten hos integrerade tredjepartstj?nster. Fortsatta innovationer inom till?mpad kryptografi som ?r tillg?ngliga via vissa leverant?rer, t.ex. 好色先生TV Voltage , har dock minimerat dessa effekter p? funktionaliteten s? att det nu ?r v?rt att utv?rdera eventuella kvarvarande effekter i f?rh?llande till kostnaden och risken f?r att delegera dataskydd p? f?lt- och filniv? till CSP:n, eller att inte till?mpa det alls.
Efterlevnad
Str?ngare integritetslagar i m?nga branscher och regioner kan ocks? p?verka verksamheten. Regionala best?mmelser som GDPR, California Consumer Privacy Act (CCPA), ) och , samt branschbest?mmelser som de som inf?rs av PCI DSS, SOX, HIPAA, HITECH, FINRA och FFIEC skapar en rad efterlevnadskrav vars komplexitet driver m?nga organisationer mot den mest konservativa globala positionen: att s?kerst?lla att f?retagets och dess kunders k?nsliga data alltid skyddas, var de ?n befinner sig, och i h?gsta m?jliga grad.
En CASB med starka dataintegritetskontroller i flera applikationer kan hj?lpa till att uppn? detta; och genom policymedvetenhet och dataklassificeringsfunktioner kan CASB hj?lpa till att s?kerst?lla efterlevnad av lagar om dataresidens och att j?mf?ra s?kerhetskonfigurationer med st?ndigt uppdaterade lagkrav.
Threat uppt?ckt och f?rebyggande
En CASB kan f?rsvara organisationen mot den st?ndigt v?xande arsenalen av skadlig kod, inklusive introduktion och spridning via molnlagringstj?nster och deras tillh?rande synkroniseringsklienter och applikationer. En CASB kan anv?nda avancerade hotinformationsk?llor f?r att skanna och ?tg?rda hot i realtid ?ver interna och externa resurser; identifiera komprometterade anv?ndarkonton genom att uppt?cka och f?rhindra obeh?rig ?tkomst till molntj?nster och data; och kombinera statiska och dynamiska analyser med maskininl?rning och UEBA (User Entity Behavior Analytics) f?r att identifiera avvikande aktiviteter, ransomware, dataexfiltrering, etc.
CASB kan distribueras som proxy och/eller som API-broker. Eftersom vissa CASB-funktioner beror p? drifts?ttningsmodellen, ger "multimodala" CASB:er - de som st?der b?de proxy- och API-l?gen - ett bredare utbud av valm?jligheter f?r hur man kontrollerar molntj?nster.
CASB:er som anv?nds i proxyl?ge ?r vanligtvis inriktade p? s?kerhet och kan konfigureras som omv?nda eller fram?triktade proxyer i data?tkomstv?gen, mellan molntj?nstkonsumenten och CSP:n. CASB:er med omv?nd proxy kr?ver inte att agenter installeras p? slutpunkter och kan d?rf?r fungera b?ttre f?r ohanterade enheter (t.ex. BYOD) genom att undvika behovet av konfigurations?ndringar, certifikatinstallationer och s? vidare. De kontrollerar dock inte osanktionerad molnanv?ndning lika bra som forward-proxy CASB:er g?r, genom vilka all trafik fr?n hanterade slutpunkter dirigeras, inklusive trafik till osanktionerade molntj?nster: detta inneb?r att vissa ohanterade enheter kan slinka igenom n?tet. Forward-proxy CASB:er kr?ver d?rf?r ofta installation av agenter eller VPN-klienter p? slutpunkterna. Om agenter och VPN-klienter ?r felkonfigurerade eller av misstag avst?ngda kan det h?nda att k?nslig trafik inte vidarebefordras till CASB:n och d?rmed kringg?r inspektionen.
CASB:er som distribueras i API-l?ge fokuserar p? administration av SaaS-applikationer (och i allt h?gre grad IaaS- och PaaS-applikationer) via API:er som tillhandah?lls av dessa tj?nster, inklusive inspektion av data i vila, loggtelemetri, policykontroll och andra hanteringsfunktioner. De fungerar bra med oadministrerade enheter, men eftersom det bara ?r de vanliga molntj?nsterna som erbjuder API-st?d - och det i varierande grad - ?r det osannolikt att CASB:er som enbart anv?nder API:er t?cker alla n?dv?ndiga s?kerhetsfunktioner. Det ?r m?jligt att SaaS-leverant?rer och andra CSP:er kan f?rb?ttra sina API:er f?r att t?ppa till denna lucka, men under tiden ger CASB:er som endast har API:er inte tillr?ckligt robusta funktioner f?r att uppfylla kraven p? skalbarhet och tillg?nglighet. N?r CSP:er stryper svaren p? API-f?rfr?gningar p? grund av den ?kande volymen data som utbyts mellan anv?ndare och molntj?nster, upplever CASB:er i API-l?ge dessutom ohanterliga prestandaf?rs?mringar. Proxy-l?get f?rblir d?rf?r en kritisk kapacitet.
CASB:er kan k?ras i ett f?retags datacenter, i en hybriddistribution som omfattar b?de datacenter och molnet, eller uteslutande i molnet. Organisationer som fokuserar p? datacentrerat skydd, eller som ?r f?rem?l f?r sekretessbest?mmelser eller datasuver?nitets?verv?ganden, tenderar att kr?va lokala l?sningar f?r att beh?lla fullst?ndig kontroll ?ver s?kerhetsinfrastrukturen. Dessutom kan den delegering av ansvar och det krav p? tredjepartsf?rtroende som CASB:er som enbart anv?nder molnl?sningar inf?r genom BYOK-modellen (Bring Your Own Key) strida mot interna eller externa policyer, och denna problematiska position str?cker sig naturligtvis till s?kerhetstj?nster som erbjuds av CSP:erna sj?lva, som ocks? kan kr?va att CASB:ens IP-adresser vitlistas.
Voltage SecureData Sentry ?r en Security Broker som specialiserar sig p? dataskydd, inte bara f?r molntj?nster utan ?ven f?r lokala applikationer. Det ?r d?rf?r inte en traditionell CASB eftersom den inte f?rs?ker tillhandah?lla andra funktioner inom de fyra pelarna. Ist?llet samexisterar Sentry med CASB:er som specialiserar sig p? att tillhandah?lla dessa kompletterande funktioner, samtidigt som de g?r det kryptografiska grovjobbet f?r att l?gga till starka datacentrerade skyddsmekanismer som kan till?mpas p? SaaS och andra molntj?nster samt p? kommersiella och egenutvecklade applikationer i interna n?tverk.
Voltage SecureData ?r innovativt och standardbaserat och har varit f?rem?l f?r oberoende verifieringar av s?kerhetsstyrkan av internationellt erk?nda, oberoende kryptografiska organ. M?nga ledande globala organisationer inom den offentliga och privata sektorn och inom flera olika branscher litar p? SecureData f?r att skydda v?rldens mest k?nsliga data.
Formatbevarande kryptering (FPE), som s?kerst?ller att skyddet till?mpas p? f?ltniv? p? ett s?tt som inte bryter mot befintliga databasscheman eller SaaS-f?lttyp- eller storleksbegr?nsningar, kombineras med ett statsl?st nyckelhanteringssystem som undviker ytterligare b?rdor f?r s?kerhetsadministrat?rer. Secure Stateless Tokenization (SST) s?kerst?ller att numeriska f?lt som inneh?ller kreditkortsnummer eller SSN skyddas utan de administrativa kostnader eller prestandakostnader som en token-databas medf?r, samtidigt som utvalda delar av f?ltet kan f?rbli oskyddade, t.ex. de sex f?rsta eller fyra sista siffrorna, f?r att st?dja routing eller kundverifiering. Format-Preserving Hash (FPH) s?kerst?ller datareferensintegritet f?r analys och andra anv?ndningsfall samtidigt som det f?ljer regleringar som GDPR:s r?tt till radering. Genom ytterligare innovationer, t.ex. s?kra lokala index som st?der partiella s?ktermer och s?ktermer med jokertecken, och s?ker formatering av e-postadresser f?r SMTP-rel?er, bevarar Sentry dessutom applikationsfunktioner som p?verkas av konkurrerande l?sningar.
Organisationer kan distribuera Sentry lokalt och/eller i molnet. Sentry kommunicerar med ICAP (Internet Content Adaptation Protocol) -kompatibel n?tverksinfrastruktur, t.ex. HTTP-proxyer och lastbalanserare, f?r att till?mpa s?kerhetspolicyer p? data som skickas till och fr?n molnet, och det f?ngar upp JDBC (Java Database Connectivity) och ODBC (Open Database Connectivity) API-anrop f?r att till?mpa s?kerhetspolicyer p? data som skickas till och fr?n databasen. Oavsett var den distribueras beh?ller f?retaget fullst?ndig kontroll ?ver infrastrukturen, utan att beh?va dela krypteringsnycklar eller tokenvalv med n?gon annan part, och Sentrys inspektionsl?ge s?kerst?ller att s?kerhetspolicyer kan riktas mot de specifika dataf?lt och filbilagor som inneh?ller k?nslig information.
Kom ig?ng redan idag.
Skydda v?rdefull data samtidigt som den ?r anv?ndbar f?r hybrid-IT
F?rst? och s?kra data f?r att minska risker, st?dja efterlevnad och styra data?tkomst