云访问安全代理（Cloud Access Security Broker，CASB），是一款面向应用的数据防护服务，基于免应用开发改造的配置方式，提供数据加密、数据脱敏功能。数据加密支持国密算法，提供面向服务侧的字段级数据存储加密防护，有效防护内外部数据安全威胁。

云访问安全代理（CASB）的重要性

CASB一词由Gartner于2011年创造，此后发生了革命性的变化。云保护软件在勒索软件和网络攻击的变种迅速增加的情况下，仅依靠加密来确保数据安全是不够的。使用 CASB 主动评估数据风险并监控用户活动以保护互联网上共享的数据变得至关重要。

Gartner的云访问安全代理定义（CASB）指出，“CASB是本地或基于云的安全策略实施点，放置在云服务消费者和云服务提供商之间，用于在访问基于云的资源时组合和插入企业安全策略。

云访问安全代理（CASB）可以做什么

CASB可用于满足组织中的特定要求或执行广泛的活动，Gartner的CASB的四大支柱来自其云访问安全代理市场指南提供详细的市场解释和为企业识别和选择 CASB 所需的其他信息。下面列出了从数据检测和安全角度来看的 CASB 的通用功能。

• 分析云数据和用户活动
• 遵守数据法规
• 检测安全风险
• 实施安全控制

分析云数据和用户活动

CASB 发现影子应用程序、用户 Web 请求和通过云平台共享的文件。深度数据包分析是用于仔细检查传输中的每个数据包的技术之一，无论是 HTTP 还是 HTTPS。及时的报告和分析有助于分析和阻止有风险的 Web 应用程序，以防范潜在的数据威胁。

遵守数据法规

CASB 还可以帮助识别云中的个人数据实例，这是 PCI DSS 和 HIPAA 等数据隐私法的要求。监控云中的敏感数据访问对于审查和加强数据安全策略以满足数据监管要求也是必要的。

检测安全风险

本地和基于云的 CASB 均可检测未经授权的用户活动、来自 Web 的恶意软件攻击以及其他云安全风险。通过及时识别和快速事件响应，管理员可以确保可以使用基于云的资源，而不会使整个组织的网络面临风险。

实施安全控制

CASB 可以实施云安全策略和控制，以防止未经授权的数据通过互联网传输。与数据泄漏预防措施集成，CASB 可以通过监控和阻止文件上传到有风险的互联网应用程序来保护敏感数据。

CASB 实施的类型

• 转发代理：转发代理是监控从端点发起的流量的网关服务器，代理服务器可以实时跟踪和控制Web访问，并根据应用程序的风险状况报告用户访问的网站类型。
• 反向代理：反向代理是位于端点和云应用程序之间的网关服务器;在这里，流量从访问的云应用程序转发到代理服务器，反向代理还有助于实时威胁检测和用户活动管理。
• 基于 API 的 CASB：这种类型的CASB解决方案在应用程序接口级别直接与云应用程序通信，避免了数据包分析造成的网络速度下降，但是，此 CASB 模式不能实时工作，用户可以不受限制地访问云平台。

这些模式可以单独部署，也可以组合部署，具体取决于组织的需要，评估部署模式不仅基于就业便利性，还基于云平台上共享的敏感数据的程度、对用户活动的现有控制级别以及数据泄漏防护已经到位的系统。

云数据防护工具

DataSecurity Plus 是一个统一的数据可见性和安全平台，提供实时 Web 审计和基于计划的报告，以跟踪、分析和管理用户或数据活动，云保护模块来密切监视用户访问的 Web 应用程序。其他功能包括：

• 云应用程序发现，用于监控对云的所有 Web 访问。
• 在控制台中使用风险分析评估网站，以识别影子 IT 和有风险的应用程序。
• 通过识别恶性域来允许或阻止有风险网站的控制。
• 深度数据包检测，用于分析通过互联网的 HTTPS 流量。
• 查看文件上传到 Dropbox 或 SharePoint 等云应用程序。
• 分析云中的用户活动，包括跟踪访问的电子商务或游戏网站。

云应用程序安全最佳实践

云计算几乎用于从数据存储到工作通信的所有业务运营，但与大多数事情一样，它确实存在一些安全风险，不受限制地使用云应用程序可能会使组织的网络面临多个安全漏洞，从而导致毁灭性的数据泄露。实施下面列出的最佳做法，以确保在组织中安全使用云应用程序。

• 强制实施多重身份验证
• 监视访问的 Web 应用程序
• 阻止未经批准的云应用程序
• 实施 API 安全措施
• 确保云数据加密
• 更新云应用和服务器
• 管理用户浏览器会话
• 执行定期漏洞测试

强制实施多重身份验证

必须在最终用户级别实施云安全，以排除因用户帐户受损而产生的安全风险，多重身份验证（MFA）需要多个凭据来验证用户身份，通常可以成功阻止用户帐户的暴露。

监视访问的 Web 应用程序

不受管控的网络流量通常允许使用涉及敏感数据、电子商务、娱乐、游戏内容或其他不用于商业目的的网站的恶意网站或 Web 应用程序，使用云应用发现深入了解组织中访问的不同类别的 Web 应用程序。

阻止未经批准的云应用程序

代理和 Web 应用程序防火墙可以过滤通过互联网访问的 Web 应用程序，通过云保护，通过计算云应用程序的风险评分来评估云应用程序，并阻止所有高风险 Web 应用请求。

实施 API 安全措施

应用程序编程接口（API）包含有关 Web 应用程序如何交互的关键信息。如果暴露，黑客可以使用 API 创建后门并访问组织的数据，实施 API 安全工具和网关，保护您的云环境免受黑客攻击。

确保云数据加密

云应用程序每天都在上传、存储和处理大量数据，加密动态数据和静态数据，为云数据提供全方位的安全性，确保所有 Web 流量仅通过安全套接字层（SSL）传输。

更新云应用和服务器

修补云应用程序中的漏洞，以防止黑客利用并保护对数据的访问，定期注意并执行云应用程序更新，以防止安全漏洞成为黑客的后门。

管理用户浏览器会话

通过会话劫持，黑客可以冒充用户会话来访问数据，通过安全的 Cookie 和基于 HTTPS 的数据传输确保安全的浏览器会话。

执行定期漏洞测试

掌握云安全的最佳方法是及时主动预测和避免威胁，在云环境中定期和连续地进行漏洞测试和修复。