在過去十年的大部分時間裡,雲端存取安全代理(CASB, Cloud Access Security Brokers) 已經在許多組織中根深蒂固,保護和管理 SaaS 應用程式。雖然零信任的概念已經存在了一段時間,但零信任網路存取 (ZTNA, Zero Trust Network Access) 是一個相對較新的概念,代表未來的新星,它未來的應用是透過將信任從簡單地存取應用程式到實施與這些應用程式相關聯的安全控制。
近年COVID-19的爆發使人們對 CASB 和 ZTNA 的興趣過度升溫——Gartner 預測 CASB 的複合年增長率將達到 40%,並在未來五年內加速採用 ZTNA。企業不僅被迫加快向雲的遷移,而且還被迫支援遍布全球的遠距勞動力,這些勞動力遠遠超出了他們多年來建立的安全的本地數據中心防禦工事的範圍。
在這次事件之後,CASB 和 ZTNA 已成為安全存取服務邊緣 (SASE) 框架的關鍵組件,該框架將資安工具與 SD-WAN 功能相結合,以便員工可以隨時隨地安全地工作。這將是正確的——因為一些員工回到辦公室,而另一些員工仍然處於遠距狀態,這迫使組織迅速重新考慮他們的應用程式安全策略,以保護不斷發展的混合工作環境。
雖然 CASB 和 ZTNA 將繼續攜手合作,作為整體應用程式安全策略的一部分,但以現階段而言兩者有不同的使用案例。
使用 CASB 來……
- 保護存儲在公有雲中的資源
若企業將應用程式全部託管在雲上——例如 SaaS (Software as a Service)——是 CASB 的主要戰場。這個領域是 CASB 擅長的地方,除已經被用戶熟悉,其價格也很具吸引力。 - 了解影子IT (shadow IT)
防守者無法保護他們看不到的東西。影子 IT ——員工未經授權使用雲服務,在底層——構成了組織中大部分 IT,使他們面臨更大的資安事件風險。CASB 可以提供對影子 IT 的可視性,並幫助組織對其進行控制。 - 確保合規性
一些行業不得不應對一系列嚴格的規定。CASB 監控雲服務的使用和創建策略控制的能力為組織提供了一個簡單的解決方案來遵守這些法規。 - 擴展傳統 VPN
曾經久經考驗的 VPN 在遠距工作環境中表現不佳。面對全體員工分散,VPN 根本無法擴展。CASB 提供了 VPN 無法提供的跨環境可視性,這有助於 IT 人員更好地了解應用程式的使用情況並更好地控制網路資產。
儘管 CASB 是一個強大的資安工具,但它並不能滿足所有情況。
使用 ZTNA 來……
- 保護私有應用程式或私有雲和公有雲應用程式的混合
僅靠 CASB 無法滿足現代組織的安全需求。就在 2019 年,98%的企業依賴於本地伺服器,CASB 幾乎看不到這些伺服器。目前形式的 CASB 也無法跟上 SaaS 應用程式的快速增長。不過,ZTNA 非常適合提供整個網路的可視性。 - 將安全控制與應用程式更緊密地聯繫起來
ZTNA 不僅僅是提供對應用程式的安全存取。它確保重要的安全控制(例如掃描 DLP 違規和惡意文件上傳和下載以及使應用程式唯讀)與私有應用程式相關聯。與 VPN 相比,此解決方案特別適合需要提供對內網存取的企業,因為 ZTNA 提供對 CASB 不提供的內部站點的存取。 - 限制存取
有時,甚至像 Salesforce 這樣的 SaaS 應用程式也必須來自特定的 IP 地址範圍才能控制訪問存取。換句話說,用戶基本上必須通過 VPN 連接到 SaaS 應用程式,以便應用程式知道有一個受限的 IP 空間可供使用。CASB 無法真正幫助解決這種級別的限制,但 ZTNA 解決方案可以做為定義的位置來連接到 SaaS 應用程式並提供額外的安全性。 - 了解內部應用使用情況
資安團隊必須了解內部應用程式的使用情況,而這正是 ZTNA 解決方案可以提供洞察力的地方。IT 安全可以獲取該訊息並圍繞應用程式和使用情況制定安全策略。 - 將私有應用程式保密
雖然一些 ZTNA 解決方案甚至要求私有應用程式具有公開網址,但其他解決方案使組織能夠使他們的私有應用程式遠離窺探。僅透過 ZTNA 基礎架構啟用對這些應用程式的存取,可以在最大化隱私的同時授予訪問權限。 - 快速檢測和調度威脅
ZTNA 提供跨網路及其系統的真正端到端可見性。防禦者不僅可以圍繞應用程式及其使用設置安全策略,還可以更快地發現可能表明威脅的活動和行為,然後將其取消。
兩全其美的
在現實世界中,許多企業已經部署了 CASB,並且他們的員工、第三方和承包商都熟悉如何使用。該解決方案今天仍有一項重要工作要做:保護 SaaS 應用程式。但未來正在轉向 ZTNA,或者至少是兩種技術的混合版本,可以保護和控制去中心化工作者需要的所有應用程式。
因此,今天的組織應該重新考慮其更廣泛的應用程式安全策略,以涵蓋 SaaS 和私有應用程式。該戰略的一個重要組成部分應包括優先管理。無論支持哪種類型的應用程式,圍繞它們創建策略都應該採用熟悉的格式,這樣管理員就不必學習兩組不同的工具。那些認真保護和監控其整個應用程式空間的人應該尋求能夠提供集中管理控制台可視性和通往 ZTNA 的演進路徑的解決方案。
資料來源:Menlo Security Blog
