云计算威胁防护如何应对影子IT

云计算是一个令人愉悦的选择，但安全性通常没有得到改善。随着软件即服务领域的扩展，数据和连接到它的用户也在扩展。

云应用程序和基于Web的安全性正在碰撞。查找安全性组件的位置和方式是安全性的工作。云是安全的痛处，但是云访问安全代理（CASB）功能（发现、数据丢失预防、威胁保护，加密和日志记录）应位于企业所拥有的每种应用之间。

Gartner公司副总裁Ramon Krikken在周三举行的虚拟Gartner2020安全与风险管理峰会上发言时表示，企业应考虑混合和匹配CASB功能，因为不需要在所有应用程序中使用单一供应商或解决方案。

如果公司已经与供应商拼凑在一起，则安全性需要注意细节。例如，也许公司仅需要CASB来提供防火墙日志。

Krikken说，“许多CASB购买决定都是围绕发现能力而做出的，它可能是影子IT，云应用程序使用情况或数据的发现。”

CASB还应用于自适应访问控制，其中只有经过批准的个人才能访问某些应用程序，还具有数据丢失防护（DLP）来控制数据流。

 代理中的空白

对于许多应用程序，端点管理访问点。克里肯说：“重要的是要讨论什么。”IT和安全性具有不受管和受管的端点，未经管控/未经批准的云应用程序以及受管/经批准的云应用程序。

CASB集成对组织的云和IT体系结构很敏感。组织可以通过两种方式部署CASB：

•Krikken说，最终用户与云应用程序交互时，可以说，'让我们连接到可用于执行监视，数据检查、日志记录等操作的云API”， CASB可以使用API检测活动，并且可以在端点上进行操作或监视其活动。

•组织可以“将CASB作为代理部署”，以执行更实时的策略执行。

Krikken说，选择“取决于用户可以使用的功能的种类”，以及最适合企业的用例。

例如，尽管IT人员可以在技术上随意配置API，但创建的API并不相同。Krikken说：“如果想阻止从云应用程序下载某些数据，那么通过API集成是非常困难的，甚至是不可能的。但是，代理服务器可以弥补流量检查API离开的空白。”

Krikken表示，当存在一些托管终结点，并且我们希望查看它们在做什么，无论它们在说什么，或者托管/非托管应用程序时，将使用前向代理。但是正向代理不会捕获来自非托管端点的流量，请输入反向代理。

传统的代理服务器（例如防火墙）的行为类似于CASB代理，但也无法解决所有类型的应用程序或端点。

Krikken说：“重要的是，其中一种用例永远不会被任何CASB体系结构所涵盖。”“您有一个不受管的端点，正在与未经管理或未经批准的云应用程序通信，因为流量之间没有任何联系。”

但是Krikken建议安全性不只是抓住和部署某些CASB功能。从本质上讲，企业从所需的功能开始时，便可以回到所需的集成选项。