Posted inDefend Against Threats Modern Security Operations Threat Protection with XDR

什么是 CASB?Defender for Cloud Apps如何助力企业云应用安全

Posted inDefend Against Threats, Modern Security Operations, Threat Protection with XDR

在当今数字化飞速发展的时代,企业越来越多地依赖于各种软件即服务(SaaS)应用程序来推动业务流程、提升效率。但随着这种依赖程度的加深,一系列安全与管理挑战也随之而来,这时候云访问安全代理(Cloud Access Security Broker,简称 CASB)就成为了保障企业数据安全与合规运营的关键技术。

云访问安全代理 (CASB) 的定义:是介于企业用户和云服务提供商之间的安全策略执行点。CASB 可以结合多种不同的安全策略(从身份验证和凭据映射到加密、恶意软件检测等等),提供灵活的企业解决方案,帮助确保云应用在授权和未授权应用程序以及托管和非托管设备上的安全性

SaaS 应用使用存在的问题

影子 IT 滋生:员工常常出于提升个人工作效率、满足临时项目需求等原因,自行在互联网上搜索并注册使用各类 SaaS 应用,完全绕过企业 IT 部门的正规采购、审批与管控流程。这些未经授权的 “影子 IT” 应用,使得企业对数据存储位置、数据访问权限、安全防护措施等关键环节失去掌控,一旦发生数据泄露,企业甚至可能毫不知情。例如,某员工为方便团队共享资料,私自使用一款免费的云存储服务,将包含客户敏感信息的文档上传,而这款应用可能存在脆弱的安全机制,极易被黑客攻破。

数据安全风险高:不同 SaaS 供应商的数据安全标准参差不齐,企业将大量业务数据托付给这些供应商时,面临数据泄露、篡改、丢失等多重风险。一方面,数据在传输过程中,若未采用强加密协议,可能被网络攻击者截获窃取;另一方面,存储在 SaaS 云端的数据,若供应商的存储架构存在漏洞或遭遇内部人员违规操作,数据完整性与保密性将受到严重威胁。而且,随着企业多部门使用多种 SaaS 应用,数据分散在各个孤立的 “云孤岛”,难以统一进行备份、归档与灾难恢复规划,进一步加剧了数据风险。

合规困境凸显:各行业受到不同法规政策的严格约束,如医疗行业的 HIPAA 法案、金融行业的 PCI DSS 标准等,要求企业确保数据全生命周期的合规处理。但由于 SaaS 应用的全球化特性,数据可能跨多个国家或地区存储与流转,不同地域的法规差异为企业合规带来巨大挑战。企业很难确保每个使用的 SaaS 应用都满足所在行业及业务涉及地区的合规要求,稍有不慎就可能面临巨额罚款与法律诉讼风险。

您的组织如何发现 SaaS 应用程序

如今,企业内 SaaS 应用的增长往往呈现出一种 “野蛮生长” 的态势。员工为了满足特定工作需求,常常自行寻找并开始使用一些 SaaS 工具,而这可能绕过了企业 IT 部门的正规采购与管控流程。一些简单的协作工具、文件存储应用等,员工只需通过搜索引擎、同行推荐,几分钟内就能注册并开始使用。

面对 SaaS 应用的无序蔓延,企业必须主动出击进行精准 “清查”。传统的问卷调查方式效率低下且准确性堪忧,如今更多借助智能化手段。网络流量分析工具成为首要 “侦察兵”,通过深度解析企业网络出口流量,识别出那些指向已知 SaaS 应用特征的数据包流向,依据域名、IP 段、端口号等信息,揪出隐藏在日常流量中的可疑 SaaS 连接。例如,若频繁检测到发往某新兴在线设计 SaaS 平台的流量高峰,而企业 IT 部门对此毫无备案,就需重点关注。

从 IT 管理视角,被动等待员工汇报显然不现实。一方面,借助网络流量分析工具,监测企业网络出口流量中的特定应用特征,识别那些频繁连接外部云服务的 IP 地址与端口,进而揪出未被授权的 SaaS 应用踪迹。例如,若发现大量不明流量流向某知名但企业未正式引入的项目管理 SaaS 平台,那就需要深入调查。另一方面,与企业财务部门紧密协作,分析每月的费用支出明细,那些新增的、周期性的、指向疑似 SaaS 服务的小额费用,极有可能是员工私自订阅产生的,通过这种方式往往能发现不少 “隐藏” 在角落里的 SaaS 应用。

同时,财务审计线索也不容小觑。与财务部门紧密合作,逐月梳理企业费用报销明细与对公账户支付记录,排查那些疑似 SaaS 订阅费用的支出项,往往一些小额度、周期性的陌生收款方,就是员工私自订阅 SaaS 应用的 “铁证”。此外,利用终端设备管理软件,对企业内部电脑、移动设备进行应用清单扫描,实时监控新安装应用程序,特别是具备云连接功能的软件,从终端源头把控 SaaS 应用的 “入口”。

CASB的第一项功能是发现。通过对网络流量的监控,CASB能够自动识别企业员工正在使用的SaaS应用,无论是经批准的应用还是未授权的“影子IT”应用。

  • 发现软件即服务 (SaaS)、基础结构即服务(IaaS) 和平台即服务 (PaaS) 中的影子 IT :利用适用于终结点和领先的安全 Web 网关 (SWG) 和代理的与 Microsoft Defender 的原生和编程集成,发现所有位置(总部、分支机构、远程位置)的云使用情况
  • 了解 SaaS 应用的风险:基于 90 多个安全和合规风险因素,对超过 16,500 个云应用进行风险评估
  • 分析使用模式:了解使用模式并通过了解流量数据、主要用户、IP 地址和应用类别来识别高风险用户。
  • 阻止有风险且未经批准的应用:利用与领先的 SWG 和代理的原生和编程集成
  • 持续监控:当发现新的、有风险的或高容量应用时接收警报

 

您的组织如何阻止 SaaS 应用程序

传统上,当发现未经授权的 SaaS 应用后,及时阻止其访问是保障企业安全的必要举措。在网络层面,利用下一代防火墙(NGFW)规则配置,基于应用的域名、IP 范围等信息,直接阻断企业内网对非法 SaaS 应用的出站连接请求,让员工无法从企业网络环境内使用这些未经许可的工具。

CASB还提供了阻止不符合企业政策或不安全的应用的功能。比如,如果某个SaaS应用存在安全漏洞或不符合行业合规要求,CASB可以根据策略自动阻止访问。

  • 自动化策略:CASB可以基于设备类型、用户角色或其他条件,自动阻止不安全的应用。
  • 黑名单/白名单:组织可以根据需求,创建SaaS应用的黑名单(阻止访问)和白名单(允许访问)。

对于移动办公场景,通过企业移动管理(EMM)解决方案发挥作用。例如,对企业配发的移动设备进行设备合规管理和应用白名单管理,只有在企业批准列表内的应用才能正常安装与运行以及访问公司资源,一旦检测到员工试图安装未授权 SaaS 应用,立即阻止安装并向 IT 管理员发出警报;同时,针对员工自带设备(BYOD)接入企业资源场景,利用容器化技术,将企业数据与个人数据隔离开,若员工尝试通过非合规 SaaS 应用访问企业数据,限制其访问权限,确保数据安全。

Policy Controls Enforced
设备混合加域 可选择部分用户/组必须设备加入混合域才能访问公司某些数据/应用 ON
设备加本地域 不可访问某些应用/资源 ON
设备加入Microsoft Entra ID 不可访问某些应用/资源 ON

您的组织如何批准和配置对 SaaS 应用程序的访问权限

审批流程应始于业务部门需求提出。当业务团队有使用新 SaaS 应用的需求时,需向 IT 部门提交详细的申请表,涵盖应用用途、预期使用人数、数据处理流程等关键信息。IT 部门联合安全团队进行评估,考量供应商安全资质,像数据存储地理位置是否合规、是否具备完善的加密机制等;还要分析该应用引入对现有架构兼容性、潜在安全风险等多方面因素。

一旦审批通过,配置访问权限环节就需精细操作。利用身份与访问管理(IAM)系统,基于员工角色与职责分配最小化必要权限。例如,对于一个市场营销团队使用的社交媒体监测 SaaS 应用,市场专员只赋予其数据读取、基础分析功能权限,而管理员权限仅开放给少数负责系统维护与策略配置的人员;并且,定期审查与更新这些权限,确保随着员工岗位变动、项目结束,权限能及时调整,避免过度授权带来的数据泄露风险。

通过CASB,IT部门可以精细化地管理SaaS应用程序的访问权限,以确保只有授权用户可以使用特定的云应用。

  • 基于角色的访问控制(RBAC):CASB支持基于用户的角色或职位,配置相应的访问权限。例如,销售团队成员可能只能访问CRM系统,而开发团队则可以访问代码托管平台。
  • 多因素认证(MFA)集成:为了增强安全性,CASB通常集成多因素认证,确保只有经过身份验证的用户才能访问敏感应用。
  • 细粒度的访问控制:CASB还支持对应用内具体资源(如文件、数据表等)的访问进行细粒度控制,防止数据滥用。

管理应用访问

日常管理应用访问涉及多方面持续运维工作。从单点登录(SSO)集成角度,通过将企业内部身份认证源与各类 SaaS 应用打通,员工只需使用企业统一账号密码登录一次,就能无缝访问已授权的多个 SaaS 平台,既提升用户体验,又方便 IT 集中管理认证策略。如使用 Okta、Microsoft Entra ID 等身份平台与常用 SaaS 进行深度 SSO 集成。

实时监控访问行为异常同样关键,借助用户行为分析(UBA)技术,构建员工正常使用 SaaS 应用的行为基线。一旦发现某个账号在非常规时段、从陌生地理位置批量下载敏感数据,或者频繁登录失败后突然成功登录并执行敏感操作等异常行为,立即触发多因素认证(MFA)二次验证或临时冻结账号,防范潜在的数据失窃风险,保障企业数据资产安全。

数据丢失预防

数据作为企业核心资产,在 SaaS 应用环境下防护难度陡增。首要任务是对企业数据进行全面分类分级,依据数据敏感度、业务重要性等指标,将数据划分为机密、内部公开、普通等不同级别。针对机密级数据,在传输环节,强制启用 SSL/TLS 加密协议,确保数据从企业内网流向 SaaS 云端过程中全程加密,防止中间人嗅探窃取;存储阶段,推动 SaaS 供应商采用强加密算法,如基于 AES – 256 位加密对数据进行静态存储,确保数据保密性。

部署数据丢失防护(DLP)工具则是数据防护的 “最后一道防线”。DLP 系统实时监控企业数据流向,无论是通过邮件、即时通讯工具、文件传输协议等任何途径,一旦发现包含敏感信息的文件试图突破企业边界,流向未经授权的外部目的地,立即阻断传输并向数据所有者与安全团队发出紧急告警,确保数据 “只进不出”,全方位守护企业数据资产安全。

Microsoft Defender for Cloud Apps 在这场 SaaS 安全保卫战中堪称 “全能卫士”。在应用发现领域,它依托微软庞大的全球应用情报网络与机器学习算法,不仅能精准识别主流 SaaS 应用,对于那些小众、隐匿的 “影子 SaaS” 同样明察秋毫,通过持续分析企业网络流量、用户行为日志以及与第三方数据源交叉验证,为企业绘制详尽的 SaaS 应用全景图,让所有潜在风险无所遁形。

  • 发现和评估风险:Defender for Cloud Apps可以自动发现和评估组织中正在使用的SaaS应用,并根据安全性和合规性评估应用的风险。
  • 增强的访问控制:它与Microsoft 365和Microsoft Entra ID集成,可以实现多因素认证、条件访问控制等功能,确保访问安全。
  • 数据保护与合规性:Defender for Cloud Apps提供强大的DLP功能,能够检测和防止敏感数据泄露,同时提供审计日志和合规性报告,帮助企业满足法规要求。
  • 集成安全工具:Defender for Cloud Apps可以与Microsoft Defender、Microsoft Sentinel等其他Microsoft安全工具集成,共同提升整体安全防护能力。

随着企业越来越多地依赖SaaS应用程序,传统的安全工具已无法满足现代安全需求。CASB为企业提供了可见性、控制和保护,帮助组织管理SaaS应用程序的使用、阻止不安全应用、配置访问权限、防止数据泄露,并且能满足合规性要求。使用像Microsoft Defender for Cloud Apps这样的CASB解决方案,可以帮助企业更好地应对云环境中的安全挑战,确保业务的顺利开展与数据的安全性。助力企业在拥抱数字化变革的同时,牢牢守住数据安全与合规底线,向着未来全速前进。

Post Views: 1,967

了解 365vCloud's Journey to the Cloud 的更多信息

订阅后即可通过电子邮件收到最新文章。

Tags: