什麼是 CASB？一起認識雲端資安代理

CASB 崛起的背景

隨著網路時代的來臨，各式各樣的雲端服務也逐漸興起，提供使用者以及企業一套能夠隨時隨地存取並儲存大量資料的系統。雲端服務相較傳統地端系統而言除了整體成本更低之外，使用起來也更加的彈性、便利，也因此造就了一個 SaaS 軟體服務四起以及企業逐步上雲的時代。然而雲端軟體雖然方便，可是在「資訊安全」以及「檔案機密性」這塊卻非其強項。除此之外，公司其他部門也悄悄開始使用未經 IT 部門管理的雲端軟體，造成了影子 IT 的現象。如何在便利性以及安全性當中取得平衡便成了企業上雲後的一大課題，也是 CASB -- 雲端資安代理興起的背景。在愈來愈多企業選擇使用雲端系統的同時，「CASB」這個名詞除了也隨之更常出現在我們的生活當中外，它的重要性更是不容小覷。到底什麼是 CASB？就讓這篇文章帶您簡單快速的瞭解吧！

CASB 是什麼？

CASB（唸作 Cas-Bee）是 Cloud Access Security Broker 的縮寫，意即雲端存取資安代理。這個名詞最早是由資訊科技研究及顧問公司 Gartner 所提出的。根據 Gartner 的定義，CASB 是根據公司的資安政策，在雲端軟體使用方及供應方之間控管雲端存取的第三方資安代理政策工具。而根據 Gartner，其控管存取資安的方式有許多種，包含了身份驗證、單一登入、審核機制、裝置控管、資料加密等等。同時，Gartner 也建議公司能夠混合搭配多種 CASB 的配置模式進行全方位的資安控管。但不同的配置模式其實會大大地影響到其用法、效果以及複雜的程度，以下就來簡單介紹 CASB 不同配置模式的原理及特色。

CASB 的運作方式

根據 Gartner 以及 McAfee 的整理，CASB 的配置模式共有三種，分別為頻外配置（Out-of-Band）的 API 控制（API Control），以及內嵌配置（Inline）的反向代理（Reverse Proxy）以及前向代理（Forward Porxy）。在介紹這三者的不同之前，先讓我們簡單瞭解一下「頻外配置（Out-of-Band）」以及「內嵌配置（Inline）」的差別吧！

Out-of-Band 與 Inline 的差異簡單來說就是在於控管機制處在位置的不同。Out-of-Band 是在使用者至雲端（user-to-cloud）或雲端至雲端（cloud-to-cloud）的通路之外架設 API 來讀取並分析 log 紀錄、配置狀態報告等使用者資料，因此以這個方式進行 CASB 控管多被稱為 API Mode。反之，這邊指的 Inline 則是在使用者至雲端之間的通路上，以「代理（proxy）」的方式控管資訊安全的控管機制，以這個方式進行 CASB 控管則稱 Proxy Mode。換言之，Proxy Mode 是座落在使用者及雲端之間，在使用者存取雲端服務之前以代理的角色居中進行控管，為一道使用者與雲端之間的資安把關，而 API Mode 則是在不干預使用者至雲端通路的情況下，直接在雲端服務上以 API 的方式控管使用者資料。（延伸閱讀：Choosing between proxy vs. API CASB deployment modes）

API Mode
・API 控制（API Control）
以 Out-of-Band 的方式將 API 架設在雲端軟體上控管使用者活動，不干預使用者存取雲端的通路，維持使用的流暢度。這個配置模式能夠完整地檢視資料並且具備充分的可見性，但由於各個雲端軟體的 API 不盡相同，因此較不具備彈性也較無法和多種雲端軟體相容，另外根據 McAfee，這個模式也較缺乏即時控管的功能。

Proxy Mode
・前向代理（Forward Porxy）
前向代理是座落在使用者至雲端通路上較接近使用者的代理控管機制，因此也稱作 First Mile Technology。前向代理會被使用者的瀏覽器認定，而瀏覽器便會將該使用者的流量導向多個雲端服務。這個模式通常會搭配 VPN client 或終端防護軟體（endpoint protection）一起使用。

・反向代理（Reverse Proxy）
反向代理是座落在使用者至雲端通路上較接近雲端的代理控管機制，因此也稱作 Last Mile Technology。與前向代理相反，在使用者存取雲端服務的過程中，反向代理會被該雲端服務認定，而將欲存取該雲端的使用者自動導至反向代理的控管機制。由於在這樣的過程中，使用者方的瀏覽器並不會受到代理機制的干預，因此可以提供更加流暢的使用者體驗，相較於前向代理而言也比較安全。

CASB 的四大支柱

正如開頭所提到的，CASB 問世的使命就是希望能為雲端的資安把關，消彌影子 IT 所帶來的潛在危機，而為了確保 CASB 能夠達成這樣的任務，Gartner 也立定了 CASB 的四大支柱：

可見性 Visibility

由於影子 IT 的日漸猖獗，能夠協助企業看見並管理所有使用中的雲端軟體也成了 CASB 重要的一環。當員工在企業的認知之外使用不明的雲端軟體辦公，公司資料便不再受到企業規範的約束，此時會帶給公司機密資料極大的風險。而可見性就是在要求 CASB 提供並分析一切雲端的使用資訊給管理者，包括員工存取了哪些授權或未授權的應用程式、存取的時間及地點等數據，讓管理者在充分理解使用狀況後進行存取的控管。

合規性 Compliance

雲端軟體的便利性讓上傳資料至雲端辦公變得再容易也不過。然而，這些被上傳至雲端的機密資料的處理過程究竟是否合規又是另一項議題了。隨著資安意識的逐漸高漲，許多像 GDPR 的資安法規也相繼問世，呼籲各行各業謹慎處理被託付的客戶個資以及相關的機密資料。CASB 能夠確保企業在使用雲端軟體辦公的過程中的合規性，讓企業免於因觸法而需繳交巨額罰款的窘境。

資料安全 Data Security

在異地辦公盛行的今日，雲端協作軟體隨時隨地分享資料的功能成了公司同仁之間完成工作時不可或缺的工具，但同時因隨時隨地的分享造成的大量資訊流動更加提升了資料外洩的風險，因此如何保護機密資料的安全也是一大關鍵。CASB 可以透過資料加密（Encryption）、資料標計化（Tokenization）或是資料外洩防護（Data Leakage Prevention，DLP）來維護資料安全，降低機密文件流出的風險。

威脅防護 Threat Protection

無論是有心或是無意的操作，員工以及第三方都有可能不當竊取或外流雲端軟體上的機密資料，而若要有效維護資安，就必須能夠即時偵測並抵制類似的可疑存取行為。透過檢視公司內部經授權和公司外部未經授權的存取動作，CASB 必須監控這一切的行為是否接觸不該接觸的資料或者是否有可疑越界的舉動。

結語

在網路崛起、資訊爆炸、SaaS 普及的時代，不論是之前熟悉或不熟悉科技產品的使用者們，雲端軟體皆已成為大家生活中的一部份了。而對於每天處理並分享大量機密資料的企業們而言，能夠透視所有資料的處理過程並確保公司和客戶資料的安全及機密性成了整體社會共同努力的目標。雲端軟體固然方便，也正因它的快速崛起衍生了許多如影子 IT 等的潛在風險。CASB 的誕生除了是鞏固資訊安全的重要關鍵，同時也象徵著雲端時代的來臨。