云安全面临的问题
3.6日,来自云安全公司MacKeeper的研究人员Chris Vickery发Twitter称在美国发生一起“14亿身份信息泄漏案”。据预测在国际上除了中国和印度外,其它受害者预测可能有:facebook、whatsapp、苹果、微软、雅虎、微信、qq、阿里巴巴、oracle、salesforce 等这类拥有庞大的个人和企业数据库的公司。
针对如此海量的数据泄漏,云端数据存储的安全性问题就不得不引起人们的重视,另外也突显出云端的安全性问题也越来越严重,并且不能完成寄安全问题于云提供商。
目前程序人员开发的应用程序、办公文档、笔记、企业文件共享等信息都以明文的方式存储在云端,这对企业来说已经完全失去了对其的控制权。
针对云安全的解决方案
2016年RSA大会上,企业首席信息安全官们探讨了云访问安全代理的价值,他们认为云访问安全代理模式是全面云安全的关键。
在Garter公司副总裁兼分析师Neil MacDonald主持下,由首席信息安全官和安全主管组成的专题小组探讨了为什么他们部署云访问安全代理以及他们如何使用云访问安全代理。
首席信息安全官们一致认为:加密组件是云访问安全代理中的核心功能,要确保企业外的人(包括云提供商)无法查看或访问这些数据,当数据离开企业的的安全环境进入云服务提供商环境时,企业可以加密所有数据,并且只有企业有密钥。
基于这些认识,我们也看到一些国际大型的云安全厂商及云服务供应商都提出以加密保护为基础的技术路线:
1、以敏感数据加密为基础,包括身份证号、姓名、住址、银行卡、信用卡、社会保险号、手机号等;
2、以安全可靠、体系完善的密钥管理系统为核心;
3、以三权分立、敏感数据访问控制为主要手段;
4、辅助数据库防火墙、数据脱敏、审计等边界系统,规范和监控数据的访问行为;
核心在于“密钥由谁控制、在哪里管理”,同时需要解决系统的运行效率、系统部署和应用改造的代价问题。
因此,我们建议的解决方案:
密钥的管理和存储都是在用户自己的手里,云服务供应商无法获取密钥对用户的数据进行加密及解密,这种方案针对企业用户来说安全性是最好的。
为了保障数据的安全性,大型企业一般会采用该种方案,以最大限度地在满足员工办公高效的同时,降低企业核心数据泄漏的风险,基于该方案的部署架构如下图所示:
企业采购云访问安全代理产品,部署在企业办公区域及云服务中间,并独立管理KMS系统及相应的安全策略,在不改变用户使用云应用的体验并保留全部原生功能的情况下通过云访问安全代理访问云端的应用,云访问安全代理对上送至云端的关键数据进行加密,对由云端进入企业的数据进行解密,保障存储在云端的关键数据都是密文存储,有效防止未授权人员、黑客、网络服务商、云服务商都无法获取用户数据。
根据Gartner预测到2018年51%的企业应用服务会托管到云上,2022年这个比例将达到85%。伴随着IT云化的浪潮,企业的IT架构也发生整体的转变,这种转变带来的结果是整个IT基础设施及服务逐渐迁移到云端,虚拟化、云化、Saas化。因此,整体的针对企业的安全解决方案也发生重大的改变,云服务商在对于云服务的安全方便比较偏重于基础设施的安全,如提供防火墙、防病毒、防DDos等基础的安全服务,而对于企业IT向SaaS全面迁移之后,对于云端与终端的身份认证、权限、数据安全(Cloud-DLP)、操作审计、安全事件审计等也成为必须要关注的问题。云访问安全代理作为云端迁移的安全入口,云访问安全代理将成为企业向云上迁移的重要驱动力。
CASB 产品功能范围介绍
云访问安全代理(CASB)是什么?
Gartner对CASB定义:
作为部署在云服务使用者和提供商之间的“经纪人”, CASB(云安全接入代理,cloud access security broker)能够嵌入企业安全策略,通过整合云服务发现&评级,单点登录,设备&行为识别,加密,凭证化等多种安全技术,在云上资源被连接访问的过程中并加以监控和防护。
明朝万达认为CASB产品的核心能力如下:
云服务可视化:应用程序和数据的可见性以及云计算的使用模式分析
云服务访问控制:通过基于角色的访问策略来控制对云服务和数据的访问是数据保护;
数据保护:通过加密机制对出入云端的数据进行加密、解密和标记化,防止数据在传送、存储过程中非常数据获取行为;
KMS:密钥管理,实现企业对密钥的统一管理,而非将管理权限交给云服务供应商,有效控制数据安全;
危胁保护:可以通过寻找异常行为和已知的命令控制签名来监控流量,寻找是否有恶意软件和网络攻击
仪表盘及报告:CASB平台都应该提供一个易于使用的拥有各种报告选项的仪表板。所有CASB的提供商都应该提供一整套“封装好的”用于详细描述用户活动,检测或受保护的数据,恶意流量检测并阻止,等等的报表。
