云安全专题报告：网络安全的未来在云端(4)

第三类则是基于云原生应运而生的“新安全”产品和服务，包括 CASB（云访问安全代理），CSPM（云安全配置管理），CWPP（云工作负载安全防护平台），SASE （安全访问服务边缘模型）等。其中，CASB 作为部署在客户和云服务商之间的安全 策略控制点，是在访问基于云的资源时企业实施的安全策略。而 CSPM 产品通常使用自动化方式来解决云配置和合规性问题。CWPP 作为一项以主机为中心的解决方案，主要是满足这些数据中心的工作负载保护需求，因此，主要适用于 IaaS 层。
根据 Gartner 最新发布的《2020 年云安全技术成熟度曲线》，与 2019 年对比， CASB（云访问安全代理），CSPM（云安全配置管理），CWPP（云工作负载安全防护平台），SASE（安全访问服务边缘模型）等新兴技术均实现了快速发展。
CASB（云访问安全代理）
Gartner 将云访问安全代理市场定义为解决云服务使用过程安全漏洞问题的产品和服务。CASB 为多云管理提供了一个中心位置，提升对用户活动和敏感数据的细 粒度可见性和控制。CASB 相当于一个超级网关，融合了多种类型的安全策略执行 点。在这个超级网关上，能够进行认证、单点登录、授权、凭据映射、设备建模、数 据安全（内容检测、加密、混淆）、日志管理、告警，甚至恶意代码检测和防护。
根据 McAfee 官网资料，CASB 核心价值是解决深度可视化、数据安全、威胁防护、合规性这四类问题：
(1) 深度可视化—CASB 提供了影子 IT 发现、组织机构云服务格局的统一视图以及从任何设备或位置访问云服务中数据的用户的详细信息。
(2) 数据安全性—CASB 能够实施以数据为中心的安全策略，以防止基于数据分类、数据发现以及因监控敏感数据访问或提升权限等用户活动而进行有害活动。通 常是通过审计、警报、阻止、隔离、删除和只读等控制措施来实施策略。DLP（数据 丢失防护）功能很普遍，并且是仅次于可视化的最常用的一项控制措施。
(3) 威胁防护—CASB 通过提供 AAC 来防止有害设备、用户和应用程序版本来 访问云服务。可以根据登录期间和登录之后观察到的信号来更改云应用程序功能。 CASB 此类功能的其他示例包括通过嵌入式 UEBA 识别异常行为、威胁情报、网络 沙箱以及恶意软件识别和缓解。