A
Cloud Access Security Broker، أو CASB، هي برامج مستضافة على السحابة أو برامج أو أجهزة محلية تعمل كوسيط بين المستخدمين وموفري الخدمات السحابية. تمتد قدرة CASB على معالجة الثغرات في الأمان عبر بيئات البرامج كخدمة (SaaS) والنظام الأساسي كخدمة (PaaS) والبنية التحتية كخدمة (IaaS). بالإضافة إلى توفير الرؤية، يسمح CASB أيضا للمؤسسات بتوسيع نطاق سياسات الأمان الخاصة بها من بنيتها التحتية المحلية الحالية إلى السحابة وإنشاء سياسات جديدة للسياق الخاص بالسحابة.
أصبحت CASBs جزءا حيويا من أمان المؤسسة ، مما يسمح للشركات باستخدام السحابة بأمان مع حماية بيانات الشركة الحساسة.
يعمل CASB كمركز لإنفاذ السياسة ، حيث يقوم بدمج أنواع متعددة من إنفاذ سياسة الأمان وتطبيقها على كل ما يستخدمه عملك في السحابة - بغض النظر عن نوع الجهاز الذي يحاول الوصول إليه ، بما في ذلك الهواتف الذكية غير المدارة أو أجهزة إنترنت الأشياء أو أجهزة الكمبيوتر المحمولة الشخصية.
مع زيادة تنقل القوى العاملة والنمو في BYOD ووجود استخدام سحابي غير مصرح به للموظفين أو Shadow IT ، أصبحت القدرة على مراقبة استخدام التطبيقات السحابية والتحكم فيها مثل Microsoft 365 ضرورية لتحقيق هدف أمان المؤسسة. بدلا من حظر الخدمات السحابية بشكل مباشر ومن المحتمل أن تؤثر على إنتاجية الموظفين، يمكن CASB الشركات من اتباع نهج دقيق لحماية البيانات وإنفاذ السياسات - مما يجعل من الممكن الاستفادة بأمان من الخدمات السحابية الموفرة للوقت والمعززة للإنتاجية والفعالة من حيث التكلفة.
تطور CASB
قبل ظهور الحوسبة السحابية وسياسات BYOD ، كان أمان المؤسسة موجودا في نفس نموذج "الحديقة المسورة" الذي كان عليه لأكثر من عقد من الزمان. ولكن مع بدء نشوء الخدمات والتحول إلى السحابة - وبدأ الموظفون في استخدام هذه الخدمات السحابية ، بمعرفة أو موافقة مسبقة من تكنولوجيا المعلومات أو بدونها - بدأت الشركات في البحث عن طريقة لفرض سياسات أمان متسقة عبر سحابات متعددة وحماية كل من المستخدمين وبيانات الشركة.
سمح تطوير CASB لمتخصصي أمن المؤسسات بالحصول على رؤية في السحابة ، لا سيما استخدام البرامج كخدمة (SaaS) غير المصرح به ، أو Shadow IT. كانت الرؤى التي قدمها CASB صادمة للعديد من مديري تكنولوجيا المعلومات ، الذين سرعان ما اكتشفوا أن استخدام السحابة في مؤسستهم كان أعمق بكثير وأكثر انتشارا مما كانوا يتخيلون.
في حين أن وقف التهديدات الناتجة عن Shadow IT كان حالة استخدام أساسية ، إلا أنه لم يكن الشيء الوحيد الذي دفع إلى اعتماد CASBs على نطاق واسع. خلال هذا الوقت، كانت العديد من الشركات تنقل إمكانات تخزين البيانات الخاصة بها من مراكز البيانات المحلية إلى السحابة. هذا جعل CASB ، الذي يحمي كل من حركة البيانات (عن طريق تقييد أشياء مثل امتيازات الوصول والمشاركة) ومحتويات البيانات (من خلال التشفير) أكثر أهمية.
أثناء حدوث هذا التغيير ، تم تغيير مشهد التهديد أيضا. اليوم، أصبحت البرامج الضارة أكثر انتشارا، والتصيد الاحتيالي أكثر أناقة وأفضل استهدافا، والأخطاء الصغيرة - على سبيل المثال، فتح حاوية AWS S3 للجمهور - يمكن أن تخلق ثغرة أمنية قد تكلف الملايين.
نظرا لأن تدابير أمان CASB تتضمن ميزات مصممة خصيصا لمعالجة هذه المشكلات ، فإن استخدام CASB يعتبر الآن عناصر أساسية لأمن المؤسسة.
ما تقدمه CASBs
تعد العديد من ميزات أمان CASB فريدة مقارنة بتلك التي توفرها عناصر التحكم الأمنية الأخرى مثل جدران حماية تطبيقات الويب الخاصة بالمؤسسة / الويب وبوابات الويب الآمنة ، وقد تشمل:
- حوكمة السحابة وتقييم المخاطر
- Data loss prevention
- التحكم في الميزات الأصلية للخدمات السحابية، مثل التعاون والمشاركة
- منع التهديدات ، غالبا تحليلات سلوك المستخدم والكيان (UEBA)
- تدقيق التكوين
- الكشف عن البرامج الضارة
- تشفير البيانات وإدارة المفاتيح
- تكامل الدخول الموحد (SSO) وIAM
- التحكم في الوصول السياقي
الركائز الأربع ل CASB
منذ بداياتها كإجابة على Shadow IT ، نمت CASB لتشمل وظائف يمكن وصفها من حيث أربع ركائز:
- رؤية
قد يكون لدى الشركات الكبيرة أي عدد من الموظفين الذين يصلون إلى العديد من التطبيقات في العديد من البيئات السحابية المختلفة. عندما يكون استخدام السحابة خارج نطاق رؤية تكنولوجيا المعلومات ، لم تعد بيانات المؤسسة ملزمة بسياسات الحوكمة أو المخاطر أو الامتثال الخاصة بالشركة. لحماية المستخدمين والبيانات السرية والملكية الفكرية، يوفر حل CASB رؤية شاملة لاستخدام التطبيقات السحابية، بما في ذلك معلومات المستخدم مثل معلومات الجهاز والموقع. يوفر تحليل اكتشاف السحابة تقييما للمخاطر لكل خدمة سحابية قيد الاستخدام، مما يسمح لمتخصصي أمان المؤسسات بتحديد ما إذا كانوا سيستمرون في السماح بالوصول أو ما إذا كانوا سيحظرون التطبيق. هذه المعلومات مفيدة أيضا في المساعدة في تشكيل عناصر تحكم أكثر دقة، مثل منح مستويات مختلفة من الوصول إلى التطبيقات والبيانات استنادا إلى جهاز الفرد وموقعه ووظيفة وظيفته.
- امتثال
بينما يمكن للشركات الاستعانة بمصادر خارجية لأي وجميع أنظمتها وتخزين البيانات إلى السحابة ، فإنها تتحمل مسؤولية الامتثال للوائح التي تحكم خصوصية وسلامة بيانات المؤسسة. يمكن لوسطاء أمان الوصول إلى السحابة المساعدة في الحفاظ على الامتثال في السحابة من خلال معالجة مجموعة متنوعة من لوائح الامتثال مثل HIPAA ، بالإضافة إلى المتطلبات التنظيمية مثل ISO 27001 و PCI DSS والمزيد. يمكن لحل CASB تحديد المناطق الأكثر خطورة من حيث الامتثال وتوفير التوجيه بشأن ما يجب أن يركز عليه فريق الأمان لحلها.
- أمن البيانات
أدى اعتماد السحابة إلى إزالة العديد من الحواجز التي تمنع التعاون الفعال عن بعد. ولكن بقدر ما يمكن أن تكون الحركة السلسة للبيانات مفيدة ، يمكن أن تأتي أيضا بتكلفة هائلة للشركات المهتمة بحماية المعلومات الحساسة والسرية. بينما تم تصميم حلول DLP المحلية لحماية البيانات، فإن قدرتها على القيام بذلك في كثير من الأحيان لا تمتد إلى الخدمات السحابية وتفتقر إلى السياق السحابي. يتيح الجمع بين CASB و DLP المتطور لتكنولوجيا المعلومات القدرة على معرفة متى ينتقل المحتوى الحساس من أو إلى السحابة ، داخل السحابة ، ومن السحابة إلى السحابة. من خلال نشر ميزات الأمان مثل data loss prevention، والتحكم في التعاون ، والتحكم في الوصول ، وإدارة حقوق المعلومات ، والتشفير ، والترميز ، يمكن تقليل تسرب بيانات المؤسسة.
- الحماية من التهديدات
سواء من خلال الإهمال أو النية الخبيثة ، يمكن للموظفين والأطراف الثالثة التي لديها بيانات اعتماد مسروقة تسريب أو سرقة البيانات الحساسة من الخدمات السحابية. للمساعدة في تحديد سلوك المستخدم الشاذ ، يمكن ل CASBs تجميع عرض شامل لأنماط الاستخدام المنتظم واستخدامه كأساس للمقارنة. باستخدام تقنية UEBA القائمة على التعلم الآلي ، يمكن ل CASBs اكتشاف التهديدات ومعالجتها بمجرد أن يحاول شخص ما سرقة البيانات أو الوصول إليها بشكل غير صحيح. للحماية من التهديدات القادمة من الخدمات السحابية، يمكن ل CASB استخدام إمكانات مثل التحكم التكيفي في الوصول، وتحليل البرامج الضارة الثابتة والديناميكية، والتحليل ذي الأولوية، وذكاء التهديدات لحظر البرامج الضارة.
لماذا أحتاج إلى CASB؟
مع استمرار ترحيل الخدمات التي تم تقديمها سابقا في أماكن العمل إلى السحابة، يعد الحفاظ على الرؤية والتحكم في هذه البيئات أمرا ضروريا لتلبية متطلبات الامتثال، وحماية مؤسستك من الهجوم، والسماح لموظفيك باستخدام الخدمات السحابية بأمان دون إدخال مخاطر إضافية عالية على مؤسستك.
ولكن في حين أن استخدام CASB أمر بالغ الأهمية للشركات التي ترغب في تأمين استخدام السحابة في مؤسساتها ، إلا أنه مجرد جزء من استراتيجية الأمان الشاملة التي يجب على الشركات استخدامها لضمان الدفاع من الجهاز إلى السحابة. للحصول على خطة حماية شاملة ، يجب على الشركات أيضا التفكير في توسيع قدرات CASB الخاصة بها من خلال نشر secure web gateway (SWG) للمساعدة في حماية استخدام الإنترنت والجهاز data loss prevention للمساعدة في حماية الملكية الفكرية وحماية بيانات الشركة الحساسة عبر الشبكة.
كيف يعمل CASB؟
وظيفة أ cloud access security broker هو توفير الرؤية والتحكم في البيانات والتهديدات في السحابة لتلبية متطلبات أمان المؤسسة. يتم ذلك من خلال عملية من ثلاث خطوات:
- اكتشاف: يستخدم حل CASB الاكتشاف التلقائي لتجميع قائمة بجميع الخدمات السحابية الثالثة ، بالإضافة إلى من يستخدمها.
- تصنيف: بمجرد الكشف عن المدى الكامل لاستخدام السحابة ، يحدد CASB بعد ذلك مستوى المخاطر المرتبط بكل منها من خلال تحديد ماهية التطبيق ، ونوع البيانات الموجودة داخل التطبيق ، وكيفية مشاركتها.
- الاصلاح: بعد معرفة المخاطر النسبية لكل تطبيق، يمكن ل CASB استخدام هذه المعلومات لتعيين سياسة لبيانات المؤسسة ووصول المستخدم لتلبية متطلبات الأمان الخاصة بهم، واتخاذ إجراء تلقائيا عند حدوث انتهاك.
توفر CASBs أيضا طبقات إضافية من الحماية من خلال منع البرامج الضارة وتشفير البيانات.
كيف يمكنني نشر CASB؟
البساطة هي نقطة بيع رئيسية لتقنية CASB. إلى جانب سهولة الاستخدام ، تتمثل إحدى الفوائد الرئيسية ل CASB في سهولة النشر. ومع ذلك ، هناك بعض الأشياء التي يجب مراعاتها:
موقع النشر
يمكن نشر CASB إما محليا أو في السحابة. حاليا ، يعد إصدار SaaS هو الأكثر شيوعا ، وغالبية عمليات نشر CASB تعتمد على SaaS.
نموذج النشر
هناك ثلاثة نماذج نشر CASB مختلفة يجب مراعاتها: التحكم في واجهة برمجة التطبيقات والوكيل العكسي والوكيل الأمامي.
- التحكم في واجهة برمجة التطبيقات: يوفر رؤية للبيانات والتهديدات في السحابة ، بالإضافة إلى نشر أسرع وتغطية شاملة.
- الوكيل العكسي: مثالي للأجهزة التي تقع بشكل عام خارج نطاق أمان الشبكة.
- الوكيل الأمامي: يعمل عادة مع عملاء VPN أو حماية نقطة النهاية.
غالبا ما تستخدم عمليات نشر الوكيل لفرض عناصر التحكم المضمنة في الوقت الفعلي والامتثال لمتطلبات موقع البيانات.
تقترح Gartner على الشركات النظر في منتجات CASB التي تقدم مجموعة متنوعة من خيارات البنية لتغطية جميع سيناريوهات الوصول إلى السحابة. تضمن المرونة التي يوفرها CASB متعدد الأوضاع أن الشركات يمكنها توسيع أمان السحابة مع استمرار تطور احتياجاتها.
ثلاثة اعتبارات لاختيار CASB
- هل هو مناسب؟ قبل اختيار CASB ، يجب على الشركات تحديد حالات استخدام CASB الفردية الخاصة بها والبحث على وجه التحديد عن الحل الذي يعالج أهدافها على أفضل وجه. لضمان الملاءمة بشكل أفضل ، يجب على الشركات إما إجراء POCs مفصلة ، أو تجميع الأبحاث من محللي الأمن السيبراني ، أو إجراء مكالمات مرجعية متعمقة مع شركات أخرى ذات حجم مماثل واحتياجات مماثلة.
- هل ستنمو وتتغير لتناسب احتياجاتك؟ مع استمرار نمو استخدام السحابة المؤسسية ، سينمو مشهد التهديدات معها. من خلال الشراكة مع مورد CASB المناسب، ستتمكن من الحفاظ على تحديث سياسات الامتثال السحابي وأمان السحابة - وستتمكن بشكل عام من الوصول إلى الإمكانات الجديدة في وقت أقرب.
- هل يحمي IaaS؟ من الواضح أن حماية SaaS أمر مهم ، ولكن من أجل أمان المؤسسة الشامل ، يجب حماية بيئات IaaS أيضا. بالنسبة للمؤسسات التي تتطلب هذه القدرة، يجب على CASB ليس فقط حماية النشاط والتكوينات في IaaS، ولكن أيضا الدفاع عن عملائها من خلال الحماية من التهديدات ومراقبة النشاط وضوابط DLP.