云访问安全代理（CASB）产品选型的16个关键问题

云访问安全代理（CASB）是一种管理企业端点和云资源之间访问的安全解决方案，可以部署在本地或云端，可以是硬件设备或纯软件，通过代理、反向代理或特定API实现。

最初，CASB是为了解决影子IT问题。许多员工使用个人云存储账号存放公司数据，CASB工具帮助安全团队发现和监控未经授权或未管理的云服务。如今，CASB涵盖了更多的应用场景：

• 数据保护：在混合云环境中保护敏感数据。

• 合规性：确保遵守数据隐私法规。

• 远程工作：为远程员工提供安全的云资源访问。

• 威胁检测：检测恶意活动、入侵尝试、勒索软件等。

根据MordorResearch，独立CASB市场在2023年估值为110亿美元，预计到2029年将以每年17%的速度增长至242亿美元。CASB也是业界主流安全策略的一部分，包括Gartner提出的安全服务边缘（SSE）和IDC定义的网络边缘安全即服务（NESaaS），具体如下：

• CASB与SSE：Gartner的安全服务边缘(SSE)是由CASB、SWG和零信任网络访问(ZTNA)集成的大安全框架。Gartner预测：“到2026年，85%寻求保护Web、SaaS和私有应用程序的组织将从安全服务边缘(SSE)产品中获得安全功能。”（Gartner的命名法已成为事实上的标准。）

• CASB与NESaaS：IDC的网络边缘安全即服务(NESaaS)包含三个核心组件：CASB、SWG和ZTNA。IDC表示：“网络安全市场正处于急需的融合趋势中。安全供应商已从专注于单点个性化安全服务转向整合的云交付网络安全平台，将单个服务视为可选模块。”

从功能角度看，CASB工具的四个关键能力包括：

• 可见性：CASB提供对云使用情况、用户活动和数据流的全面可见性。

• 控制：CASB提供对用户权限和数据访问的细粒度控制。

• 数据保护：CASB解决方案提供数据保护功能，以保护跨多个云服务的敏感信息。

• 合规性：CASB工具有助于保持对数据隐私法规的合规性。

除了这些核心功能之外，组织还需要确保CASB工具能够与现有的云服务、应用程序和安全基础设施很好地集成。

CASB有两种基本部署模式：基于代理和基于API。大多数专家表示，基于API的CASB提供更好的功能，但组织需要确保供应商的应用程序编程接口(API)连接列表与组织的云应用程序清单相匹配。

CASB工具选型工作较为复杂。广义的CASB定义(DLP、SWG等)中可能包含的功能列表很长，CASB工具本身是SSE和SASE平台大趋势的一部分，这些平台包括ZTNA或SD-WAN等功能。企业需要确定其痛点是什么（无论是合规还是影子IT）。

购买CASB工具时，企业应明确自身需求，确保选择的供应商能满足当前需求并支持未来发展。以下是CASB选型时用户需要问自己的八个关键问题：

• 我对用户访问的云服务了解多少？

• 我是否有完善的数据分类系统？

• 我是否有跨本地和云环境的访问控制政策？

• 我的主要需求是什么？

• CASB工具如何与现有安全基础设施集成？

• CASB工具如何融入我的整体安全规划？

• 是否有预算支持新工具？

• 是否有内部人员管理该工具，或者需要选择云托管服务？

此外，用户还需要向CASB供应商提出以下八个关键问题：

• CASB产品包含哪些功能？我是否将DLP和SWG作为CASB的一部分获得，还是这些是附加模块？

• 供应商的SSE和SASE路线图是什么？

• 如果供应商的CASB产品是收购的，与其他产品组合的集成度如何？

• 当用户将更多的安全功能迁移到云中时，这个工具现在和将来将如何融入用户的安全基础设施？

• 供应商的业务覆盖哪些地区？

• 工具的API是否涵盖我使用的所有云服务？

• 产品能否能随着公司的发展而扩大规模？

• 初始成本以及长期总拥有成本是多少？

参考链接：

https://www.csoonline.com/article/557365/cloud-access-security-broker-buyers-guide.html