找不一样 云访问安全代理与网络代理 防火墙
发布时间:2022-05-18 09:05:39 所属栏目:安全 来源:互联网
导读:对于那些已经开始考虑使用云访问安全代理(CASB)产品的IT团队来说,他们经常会提及的一个问题是:我们已经有了一个网络代理(Web Proxy)和/或防火墙,云访问安全代理的区别在于何处?或问:云访问安全代理会取代我们现有的网络代理和防火墙吗?这些的确是会被自
|
对于那些已经开始考虑使用云访问安全代理(CASB)产品的IT团队来说,他们经常会提及的一个问题是:“我们已经有了一个网络代理(Web Proxy)和/或防火墙,云访问安全代理的区别在于何处?”或问:“云访问安全代理会取代我们现有的网络代理和防火墙吗?“这些的确是会被自然问及的,因为网络代理和防火墙已经对企业网络与云服务之间的往来流量都具有了“可视性”。然而,云访问安全代理与现有的网络安全解决方案之间存在着显著差异。让我们首先来消除一个主要的误解:云访问安全代理并非现有网络安全工具的替代品,反之亦然。 云访问安全代理对于代理和防火墙来说是一个单独且不同的市场。云访问安全代理可被部署为正向或反向代理模式以实施带内控制。但是它与网络代理的相似之处仅限于此。不像那些专注于广泛的入站威胁并过滤非法网站网络安全解决方案,云访问安全代理所专注的是云服务使用的高可视性和细粒度控制。云访问安全代理可以应用程序接口(API)模式部署来扫描云服务里的数据并使之合规。下述几点是现有网络安全解决方案所不具备的,云访问安全代理独有的一些高级功能: · 对每个云服务提供一个详细的、独立的风险评估 (例如合规认证,近期数据泄露,安全控制,司法判定)。 · 实施风险相关策略(例如:屏蔽所有高风险的文件共享服务并显示实时的提示信息指导用户获取推送服务)。 · 基于上下文的用户行为访问控制 (例如:防止用户从远程网络的非托管设备上下载报告)。 · 实施以数据为中心的安全策略(例如:对上传到云端的数据进行加密或实施权限管理以保护敏感数据的下载)。 · 应用机器学习来检测威胁(例如:一个IT用户下载不寻常大小的敏感数据并上传到另一个云应用程序的个人账户里)。 · 实时响应来自云端的威胁(例如:在一个内部威胁发送时终止某个帐户的访问,或在账号可能被盗用时,增加额外的身份验证因素方能继续使用云服务)。 · 增强云端数据相关策略(例如:撤销共享给业务合作伙伴的文件的共享权限,或是追溯加密的敏感数据)。 我们传统的对IP声誉度的专注,并不直接适用于云服务方面。有时某个云服务的IP声誉度虽然很高,但由于其安全控制的缺乏,可能并不适合于企业数据的存储。例如,一个持有良好的IP的文件共享服务却允许匿名使用,并与第三方共享客户数据,或者其主机放置在隐私权保护不善的国家,且三个月前经历了密码泄漏事件等。没有IT领导层会愿意将企业敏感数据上传到此服务上。显然没有这些属性特征的注册记录,网络安全解决方案将无法实施风险相关策略的。此外,由于许多云服务不使用标准的HTTP内容处理头(content-disposition headers),网络安全解决方案无法通过执行数据泄漏防护(DLP)方法来防止敏感数据的上传。 云访问安全代理如何与网络代理和防火墙集成呢? 云访问安全代理其实是网络代理和防火墙的互补技术。通过与这些解决方案集成,云访问安全代理可以利用现有的网络架构来获得云服务使用的可视性。同时,云访问安全代理通过云认知(cloud-aware)来实现其自身的使用价值。我们可从日志收集、数据包捕获和代理串联这三个主要方法来进行云访问安全代理与网络安全方案的集成。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐