金稚華 段 杰

1.2.內(nèi)蒙古自治區(qū)廣播電視監(jiān)測(cè)與發(fā)展中心 內(nèi)蒙古 呼和浩特市 010050

1 CASB的核心功能和相關(guān)功能

全球最具權(quán)威的IT 研究與顧問(wèn)咨詢公司Gartner 公司定義了CASB 核心功能（圖1）和相關(guān)附屬功能（圖2）。

圖1 CASB 核心功能主要集成選項(xiàng)圖

圖2 CASB 相關(guān)功能中與其他解決方案的集成和重疊示圖

1.1 CASB 的核心功能

1.1.1 可見(jiàn)性

檢測(cè)所有云服務(wù)、給每個(gè)人分配一個(gè)風(fēng)險(xiǎn)等級(jí)、識(shí)別所有能夠登錄的用戶和第三方應(yīng)用程序。

1.1.2 數(shù)據(jù)安全

識(shí)別和控制敏感信息（數(shù)據(jù)丟失預(yù)防［DLP］）、響應(yīng)內(nèi)容上的分類標(biāo)簽。

1.1.3 對(duì)威脅的保護(hù)

提供自適應(yīng)訪問(wèn)控制（AAC）、提供用戶和實(shí)體行為分析（UEBA）、減少惡意軟件。

1.1.4 遵從性

提供報(bào)告和儀表板來(lái)演示云治理、協(xié)助努力符合數(shù)據(jù)駐留和法規(guī)遵從性需求。

1.2 CASB 的相關(guān)附屬功能

提供威脅情報(bào)和事件響應(yīng)工作流程；為內(nèi)容分配分類標(biāo)簽；加密結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)、標(biāo)記結(jié)構(gòu)化數(shù)據(jù)；與企業(yè)DLP 產(chǎn)品集成；將CASB 功能與安全web網(wǎng)關(guān)（SWG）的典型功能結(jié)合起來(lái)，以提供混合產(chǎn)品；為laaS和PaaS 工作負(fù)載執(zhí)行云安全態(tài)勢(shì)管理（CSPM），為SaaS 應(yīng)用程序執(zhí)行SaaS 安全態(tài)勢(shì)管理（SSPM）。

2 CASB的最佳實(shí)踐框架

前期準(zhǔn)備工作中，在構(gòu)建了已批準(zhǔn)的云應(yīng)用清單、了解當(dāng)前狀態(tài)的安全解決方案并構(gòu)建了核心團(tuán)隊(duì)后，安全團(tuán)隊(duì)?wèi)?yīng)該注意以下幾項(xiàng)內(nèi)容。

2.1 應(yīng)用規(guī)劃實(shí)踐

構(gòu)建的CASB 框架應(yīng)與數(shù)據(jù)安全框架保持一致，同時(shí)開(kāi)發(fā)一個(gè)MVP 云應(yīng)用治理模型，并且開(kāi)發(fā)優(yōu)先級(jí)的使用示例。

2.2 應(yīng)用選擇實(shí)踐

選擇一個(gè)支持最多批準(zhǔn)的應(yīng)用程序的CASB 框架，并且要求集成達(dá)到最好效果，同時(shí)務(wù)必要具有前瞻性。

2.3 應(yīng)用部署和操作實(shí)踐

首先為優(yōu)先級(jí)應(yīng)用推出優(yōu)先級(jí)使用示例，收集性能測(cè)試指標(biāo)形成大數(shù)據(jù)分析體系以及完成快速監(jiān)控和恢復(fù)CASB 中斷實(shí)踐功能。

2.4 風(fēng)險(xiǎn)和陷阱

需要注意的是在構(gòu)建的CASB框架容易忽略概念驗(yàn)證（POC）測(cè)試，工作中缺乏與相關(guān)工作模塊的溝通，與此同時(shí)在關(guān)閉失敗后會(huì)導(dǎo)致業(yè)務(wù)中斷以及數(shù)據(jù)缺失。

3 MVP云應(yīng)用程序治理模型

3.1 MVP 云應(yīng)用定義

MVP 云應(yīng)用是一套流程，它管理云應(yīng)用程序使用的整個(gè)生命周期，包括入職、初始風(fēng)險(xiǎn)評(píng)估、實(shí)現(xiàn)、定期風(fēng)險(xiǎn)審查和下職。對(duì)云應(yīng)用程序治理的忽視會(huì)導(dǎo)致對(duì)云應(yīng)用程序使用的特殊控制和有限的可見(jiàn)性，這使得組織無(wú)法控制對(duì)安全性、遵從性和供應(yīng)商風(fēng)險(xiǎn)的暴露。

3.2 MVP 云應(yīng)用三大影響因素

3.2.1 業(yè)務(wù)臨界

決策點(diǎn)A：一個(gè)普遍的假設(shè)是，如果云應(yīng)用程序被認(rèn)為對(duì)業(yè)務(wù)實(shí)現(xiàn)至關(guān)重要，那么這樣的應(yīng)用程序?qū)⑹褂妹舾袛?shù)據(jù)。

3.2.2 數(shù)據(jù)的敏感性

只有在云應(yīng)用程序中處理或存儲(chǔ)了不敏感的數(shù)據(jù)時(shí)，才應(yīng)該允許使用非業(yè)務(wù)關(guān)鍵型云應(yīng)用程序。

3.2.3 批準(zhǔn)的應(yīng)用程序可用性

是否有企業(yè)批準(zhǔn)和管理的云應(yīng)用程序可以滿足業(yè)務(wù)需求?（見(jiàn)圖3）。

圖3 MVP 云應(yīng)用程序治理模型

4 零信任的價(jià)值主張

從公共互聯(lián)網(wǎng)上刪除直接可見(jiàn)的應(yīng)用程序和服務(wù)，提供網(wǎng)絡(luò)通信端到端加密。

允許獨(dú)立于用戶的物理位置或設(shè)備的IP 地址的訪問(wèn)，除非政策禁止（例如世界上的特定地區(qū)）。訪問(wèn)策略主要基于用戶、設(shè)備和應(yīng)用程序身份。僅將訪問(wèn)權(quán)限授予特定的應(yīng)用程序，而不是底層網(wǎng)絡(luò)。這限制了對(duì)所有端口、協(xié)議或所有應(yīng)用程序的過(guò)度訪問(wèn)，其中一些用戶可能沒(méi)有權(quán)限訪問(wèn)。

啟用可選的會(huì)話監(jiān)控以顯示異常行為，如用戶活動(dòng)、會(huì)話持續(xù)時(shí)間或帶寬消耗。為敏感數(shù)據(jù)處理和惡意軟件形式的過(guò)度風(fēng)險(xiǎn)提供可選的流量檢測(cè)。

4.1 終端啟動(dòng)模式零信任概念模型

終端啟動(dòng)模式零信任概念模型更嚴(yán)格地遵循最初的云安全聯(lián)盟（CSA） 軟件定義邊界（SDP）規(guī)范。

安裝在授權(quán)終端用戶設(shè)備上的代理將有關(guān)其安全上下文的信息發(fā)送給控制器?？刂破魈崾驹O(shè)備上的用戶進(jìn)行身份驗(yàn)證，并返回允許的應(yīng)用程序列表。用戶和設(shè)備通過(guò)認(rèn)證后，控制器通過(guò)網(wǎng)關(guān)提供來(lái)自設(shè)備的連接，網(wǎng)關(guān)可以屏蔽直接訪問(wèn)互聯(lián)網(wǎng)的服務(wù)。屏蔽保護(hù)應(yīng)用程序免受拒絕服務(wù)（DoS）攻擊和其他威脅，如果它們被放置在傳統(tǒng)的DMZ 中。一旦控制器建立連接，一些產(chǎn)品仍留在數(shù)據(jù)路徑中。由于需要安裝某種形式的代理或本地軟件，端點(diǎn)激活的ZTNA 很難（如果不是不可能的話）在非托管設(shè)備上實(shí)現(xiàn)。在某些情況下，第三方統(tǒng)一終端安全（UES）產(chǎn)品——用戶可能更愿意接受這種產(chǎn)品，而不是完全的設(shè)備管理——可以向信任代理提供姿態(tài)評(píng)估（見(jiàn)圖4）。

圖4 終端啟動(dòng)模式零信任概念模型示圖

4.2 服務(wù)器啟動(dòng)模式零信任的概念模型

服務(wù)器啟動(dòng)模式零信任的概念模型產(chǎn)品更符合谷歌Beyond-Corp 的愿景。

安裝在與應(yīng)用程序相同的網(wǎng)絡(luò)中的連接器建立并維護(hù)到提供者云的出站連接。用戶通過(guò)對(duì)提供者的身份驗(yàn)證來(lái)訪問(wèn)受保護(hù)的應(yīng)用程序。反過(guò)來(lái)，提供者使用企業(yè)身份管理產(chǎn)品驗(yàn)證用戶。只有驗(yàn)證成功后，通信才會(huì)通過(guò)提供者的云，這將應(yīng)用程序與通過(guò)代理直接訪問(wèn)隔離開(kāi)來(lái)。企業(yè)防火墻不需要為入站流量開(kāi)放。然而，供應(yīng)商的網(wǎng)絡(luò)成為必須評(píng)估的另一個(gè)網(wǎng)絡(luò)安全元素。

其優(yōu)點(diǎn)是在終端用戶的設(shè)備上不需要任何代理，這對(duì)于非托管設(shè)備來(lái)說(shuō)是一個(gè)很有吸引力的方法。缺點(diǎn)是應(yīng)用程序的協(xié)議必須基于HTTP/HTTPS，限制了web 應(yīng)用程序和協(xié)議，如通過(guò)HTTP的SSH或RDP（見(jiàn)圖5）。

圖5 服務(wù)器啟動(dòng)模式零信任概念模型示圖

4.3 零信任市場(chǎng)面臨的風(fēng)險(xiǎn)

第一，向協(xié)作的生態(tài)系統(tǒng)成員開(kāi)放應(yīng)用程序和服務(wù)——如分銷渠道、供應(yīng)商、承包商或零售網(wǎng)點(diǎn)， 而不需要 VPN 或DMZ。訪問(wèn)與用戶、應(yīng)用程序和服務(wù)的耦合更加緊密。

第二，規(guī)范應(yīng)用程序訪問(wèn)的用戶體驗(yàn)——ZTNA 消除了公司網(wǎng)絡(luò)上和外的區(qū)別。

第三，隱藏在敵對(duì)網(wǎng)絡(luò)上的系統(tǒng)，例如用于協(xié)作的系統(tǒng)，否則將面對(duì)公開(kāi)的互聯(lián)網(wǎng)。

第四，信托經(jīng)紀(jì)人可能成為任何一種失敗的單一點(diǎn)。通過(guò)ZTNA 服務(wù)的完全隔離的應(yīng)用程序?qū)⒃诜?wù)關(guān)閉時(shí)停止工作。設(shè)計(jì)良好的ZTNA 服務(wù)包括具有多個(gè)入口和出口點(diǎn)的物理和地理冗余，以最大限度地減少中斷影響整體可用性的可能性。

第五，在并購(gòu)活動(dòng)中擴(kuò)大對(duì)被收購(gòu)組織的訪問(wèn)，而無(wú)需合并網(wǎng)絡(luò)、合并目錄或配置站點(diǎn)到站點(diǎn)的VPN 和防火墻規(guī)則。

第六，為IT 承包商和遠(yuǎn)程或移動(dòng)員工提供特定于應(yīng)用程序的訪問(wèn)，作為基于VPN 的訪問(wèn)的替代方案。

第七，根據(jù)用戶的行為衍生人物，例如，如果一個(gè)用戶的手機(jī)在一個(gè)國(guó)家，但其個(gè)人電腦在另一個(gè)國(guó)家，并且兩者都試圖登錄到同一應(yīng)用程序，合法訪問(wèn)應(yīng)該被允許，而損壞的設(shè)備應(yīng)該被阻止。

第八，從終端到ZTNA 網(wǎng)關(guān)（可能和它保護(hù)的應(yīng)用程序運(yùn)行在同一臺(tái)服務(wù)器上），在用戶不信任本地?zé)o線熱點(diǎn)、運(yùn)營(yíng)商或云提供商的情況下，全程攜帶加密。

第九，控制對(duì)應(yīng)用程序（如基于云的應(yīng)用程序）的管理訪問(wèn)，作為完全特權(quán)訪問(wèn)管理（PAM）工具的低成本替代方案。

第十，在網(wǎng)絡(luò)或云中隔離高價(jià)值的企業(yè)應(yīng)用程序，以減少內(nèi)部威脅，并影響管理訪問(wèn)的職責(zé)分離。

第十一，在個(gè)人設(shè)備上認(rèn)證用戶——ZTNA 可以通過(guò)減少完全的管理需求和更安全的直接應(yīng)用訪問(wèn)來(lái)提高安全性和簡(jiǎn)化自帶設(shè)備（BYOD）程序。

4.4 Gartner 關(guān)于零信任的建議

第一，對(duì)于遺留的VPN 訪問(wèn)，尋找這樣的場(chǎng)景：目標(biāo)用戶集通過(guò)ZTNA 服務(wù)執(zhí)行他們的工作，可以在改善組織的整體安全狀況方面提供即時(shí)價(jià)值。在大多數(shù)情況下，這可能是一個(gè)面向合作伙伴或員工的應(yīng)用程序。ZTNA 項(xiàng)目是邁向更廣泛的零信任網(wǎng)絡(luò)（默認(rèn)拒絕）安全狀態(tài)的一步。

第二，確定哪些應(yīng)用程序和工作流不是ZTNA 的候選者，并將它們排除在范圍之外。這包括訪問(wèn)和下載非結(jié)構(gòu)化數(shù)據(jù)和面向消費(fèi)者的應(yīng)用程序。

第三，評(píng)估供應(yīng)商查詢其他類型設(shè)備代理（如UEM、EDR和移動(dòng)威脅防御（MTD））的能力的有效性，以獲得改進(jìn)的自適應(yīng)訪問(wèn)決策的額外上下文。

第四，如果VPN 替換是主要目標(biāo)，那么計(jì)劃保留VPN 一段時(shí)間，同時(shí)驗(yàn)證ZTNA 產(chǎn)品可以替換VPN 的所有用例。為遠(yuǎn)程工作人員測(cè)試ZTNA 產(chǎn)品的延遲，并設(shè)置現(xiàn)實(shí)的期望，要求ZTNA 交付的應(yīng)用程序延遲不會(huì)比現(xiàn)有的VPN 更糟。

第五，計(jì)劃用戶到應(yīng)用程序的映射。基于角色的訪問(wèn)控制（RBAC）可以幫助解決這個(gè)問(wèn)題。避免允許所有用戶訪問(wèn)所有應(yīng)用程序，除非在構(gòu)建策略的觀察階段。

第六，如果指定用戶使用非托管設(shè)備，建議部署基于反向代理的ZTNA 產(chǎn)品或服務(wù)，避免安裝代理。

結(jié) 語(yǔ)

作為領(lǐng)先的研究和咨詢公司，Gartner 已經(jīng)確定了一種稱為安全訪問(wèn)服務(wù)邊緣（SASE，發(fā)音為“sassy”） 的安全模型。該模型結(jié)合了網(wǎng)絡(luò)和網(wǎng)絡(luò)安全服務(wù)，例如ZTNA、云訪問(wèn)安全代理（CASB）、防火墻即服務(wù)（FWaaS）、數(shù)據(jù)丟失保護(hù)（DLP）等，整合為一個(gè)全面的集成解決方案，支持所有流量、應(yīng)用程序和用戶。該模型還允許公司快速驗(yàn)證用戶身份，識(shí)別和減輕潛在的安全威脅，并全面檢查內(nèi)容。SASE意味著組織不必像傳統(tǒng)的代理和軟件定義的外圍產(chǎn)品那樣建立單獨(dú)的基礎(chǔ)設(shè)施來(lái)處理互聯(lián)網(wǎng)和私有應(yīng)用程序。換句話說(shuō)，通過(guò)結(jié)合SASE 和零信任原則，可以使用單一解決方案實(shí)現(xiàn)ZTNA，從而在整個(gè)網(wǎng)絡(luò)中一致地應(yīng)用和實(shí)施安全策略。