CASB和SASE:有什么区别?

日期: 2022-02-27 作者:Evgeniy KharamDimitry Raidman翻译:邹铮 来源:TechTarget中国 英文

在过去十年中,企业主要关注网络外围防御,以及保护外围内的用户。同时,在远程端,VPN是连接内部资产的关键方式,在大多数情况下,这会迫使远程用户通过公司的下一代防火墙发送所有流量。当企业试图加速数字化转型到云端时,VPN成为无法扩展的瓶颈。

在向云应用程序和数字化转型的大规模转变中,云访问安全代理 (CASB) 应运而生。当用户从企业外围内访问这些资产时,CASB旨在减轻围绕云资产的风险。

有时,我们很容易将CASB视为发现和保护数据访问的技术或功能的集合。有趣的是,当推出CASB时,他们的重点是加密静态和传输中的数据。相比之下,用户仍然驻留在企业的外围内。CASB为云外围提供了与本地外围类似的检查和安全级别。

很多企业使用CASB日志分析功能来识别影子IT。随后,CASB供应商不断改进他们的产品,添加数据丢失防护(DLP)、安全 Web 网关 (SWG) 和其他功能。

云计算、远程工作催生新的网络模式

在过去十年,云转型加速。在2020年,COVID-19疫情带来结构性转变,迫使最终用户离开办公环境中的传统本地网络外围,转而在家工作。这一现实带来对更成熟的架构模型的需求。

当用户访问云服务和企业外围内的资产时,这里需要新的模式来保护用户,无论用户的物理位置如何,同时提供相同的网络安全服务和控制。Gartner将这种模式命名为安全访问服务边缘(SASE),发音同sassy。

从这个角度来看,CASB和SASE不一定是相互对立的。相反,SASE是CASB的自然演进过程,与其他功能一起发展为架构框架。SASE安全模型是端到端安全的蓝图。它将外围安全与云安全相结合,结合严格网络访问控制(遵循零信任概念),并将CASB作为该模式的组件。

考虑到这个模式,并设想SASE架构图,我们看到的关系不是CASB与SASE,而是SASE中的CASB。

云访问安全代理功能

CASB和SASE的共同点是A代表Access(访问)。让我们看看访问的定义,将其区分为公共可用资源和私有资源:

  • 访问企业的SaaS应用程序,例如Microsoft 365、Salesforce、代码存储库或其他资产,这些应用程序可能运行在云端,作为即服务使用并需要用户身份验证;
  • 访问IaaS资源,以完成操作、维护和部署目的,这些资源位于云环境,例如AWS、Google Cloud Platform和Microsoft Azure。
  • 访问企业数据中心资产、HR系统和财务软件,包括第三方或承包商远程访问。

CASB的主要目标之一是抵御对存储在云端信息的未经授权访问,以及降低此类数据泄露的风险。我们可以称之为风险控制,而不只是纯粹的安全控制。

在开发CASB时,它有三个目标:影子IT预防、加密,以及阻止将机密信息上传到未经批准的云应用程序。另一方面,它也试图控制非授权用户对授权应用程序的访问。CASB的另一个功能是识别敏感信息,并使用公司定义的策略来限制对这些数据的访问,在某些情况下,使用用户和实体行为分析。

安全访问服务边缘功能

在查看SASE的优势时,最关键的功能之一是零信任网络访问 (ZTNA)。远程工作人员使用它来访问公司资源。同时,它们已通过身份验证并获得应用程序级别的访问权限,支持和推动NIST Special Publication 800-207的想法。

在SASE的早期阶段,软件定义WAN (SD-WAN) 设备与SWG紧密耦合。这为拥有多个办事处的企业提供了快速入门,并以更直接的方式控制和优化ISP链接。

随着转向在任何地方工作,很多SWG 供应商开发一种最终用户客户端,该客户端在计算机上运行,使流量能够以安全的方式路由到SWG供应商最近的存在点。在此配置中,最终用户可以从相同的安全级别中受益,而不受位置限制。唯一的要求是互联网连接。当用户返回办公室时,他们不必关闭客户端,并保持相同的安全级别。

现在,SD-WAN设备的功能主要是连接公司位置;保护无法安装客户端的服务器和其他设备;并提供对无法迁移到云端的遗留系统的访问。

同一个供应商提供SASE安全功能很有意义,这包括CASB、DLP、SWG和ZTNA等。这些供应商提供更好的流量路由、更少的排除、更好的监控和故障排除,以及最重要的是,单一管理平台用于安全策略创建。这种整合可以减少安装在客户设备上的客户端数量。它还可以实现更轻松的策略创建、故障排除、安全计划的整体更好的指标,以及高层管理人员的可见性。

因此,Gartner定义了一个新的市场,称为安全服务边缘 (SSE)。SSE将所有安全组件集中在一起,不包括与网络相关的元素,例如SD-WAN。SSE和SD-WAN一起将构成SASE模型。

 

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 思科为ThousandEyes添加自动化测试

    思科为其ThousandEyes互联网智能平台发布了两项更新,以提高视频会议连接质量并简化故障排除。 据思科称 […]

  • 6种企业网络拓扑

    没有两个网络的设计和构建是相同的。一家企业的网络部署目标可能与另一家企业截然不同。网络专业人员需要根据业务目标 […]

  • 7种类型的网络及其用例

    计算机网络是一个互连的设备系统,表示为网络节点,它们彼此共享信息、数据和资源。 根据网络类型,设备可以像计算机 […]

  • 思科将HCI、UCS、软件添加到混合云基础设施中

    思科发布了软件和两款新硬件,以帮助其客户过渡到混合云基础设施。但在与竞争对手的竞争时,这些中端市场产品面临障碍 […]