找不同：云访问安全代理与网络代理/防火墙

【.com 快译】对于那些已经开始考虑使用云访问安全代理(CASB)产品的IT团队来说，他们经常会提及的一个问题是：“我们已经有了一个网络代理(Web Proxy)和/或防火墙，云访问安全代理的区别在于何处?”或问：“云访问安全代理会取代我们现有的网络代理和防火墙吗?“这些的确是会被自然问及的，因为网络代理和防火墙已经对企业网络与云服务之间的往来流量都具有了“可视性”。然而，云访问安全代理与现有的网络安全解决方案之间存在着显著差异。让我们首先来消除一个主要的误解：云访问安全代理并非现有网络安全工具的替代品，反之亦然。

让客户满意是我们工作的目标，不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户，将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴，公司提供的服务项目有：主机域名、虚拟空间、营销软件、网站建设、邕宁网站维护、网站推广。

云访问安全代理对于代理和防火墙来说是一个单独且不同的市场。云访问安全代理可被部署为正向或反向代理模式以实施带内控制。但是它与网络代理的相似之处仅限于此。不像那些专注于广泛的入站威胁并过滤非法网站网络安全解决方案，云访问安全代理所专注的是云服务使用的高可视性和细粒度控制。云访问安全代理可以应用程序接口(API)模式部署来扫描云服务里的数据并使之合规。下述几点是现有网络安全解决方案所不具备的，云访问安全代理独有的一些高级功能：

· 对每个云服务提供一个详细的、独立的风险评估 (例如合规认证，近期数据泄露，安全控制，司法判定)。

· 实施风险相关策略(例如：屏蔽所有高风险的文件共享服务并显示实时的提示信息指导用户获取推送服务)。

· 基于上下文的用户行为访问控制 (例如：防止用户从远程网络的非托管设备上下载报告)。

· 实施以数据为中心的安全策略(例如：对上传到云端的数据进行加密或实施权限管理以保护敏感数据的下载)。

· 应用机器学习来检测威胁(例如：一个IT用户下载不寻常大小的敏感数据并上传到另一个云应用程序的个人账户里)。

· 实时响应来自云端的威胁(例如：在一个内部威胁发送时终止某个帐户的访问，或在账号可能被盗用时，增加额外的身份验证因素方能继续使用云服务)。

· 增强云端数据相关策略(例如：撤销共享给业务合作伙伴的文件的共享权限，或是追溯加密的敏感数据)。

网络代理/防火墙的云相关功能

网络代理和防火墙提供广泛的网络威胁防护。作为该保护的一部分，在没有云访问安全代理集成的情况下，他们提供有限的云使用可视性。例如：尽管这些解决方案无法映射用户访问云服务的地址(URLs)，它们在公司网络里跟踪各种云服务的访问。一些客户使用他们的网络安全解决方案来终止SSL连接并检查到恶意软件内容。代理和防火墙也会对云服务进行高级分类(例如：技术与互联网、商务与经济、是否可疑等)。然而这些类别一般并不能反映服务的潜在功能类型，例如：文件共享、客户关系管理(CRM)或是社交媒体。

网络安全解决方案的主要用例之一是对成千上万个包含色情、毒品、赌博等类型的非法网站进行分类和访问控制。网络代理可以将那些向特定URLs的访问尝试重定向到一个标明该URL被阻止掉了的网页上。同样，防火墙可以被配置来屏蔽特定的IP地址。这两种方案缺少详细的且与时俱进的云服务URL和IP地址注册列表，用以扩展其云服务访问控制的功能。一些企业经常会发现,尽管他们可能最初阻止了一些云服务，但是恶意云提供商仍定期引入新的不被屏蔽掉的URL和IP地址。这导致了员工隔一段时间后仍能访问到一些本该阻止的云服务。这是一种“代理泄漏”的普遍现象。

我们传统的对IP声誉度的专注，并不直接适用于云服务方面。有时某个云服务的IP声誉度虽然很高，但由于其安全控制的缺乏，可能并不适合于企业数据的存储。例如，一个持有良好的IP的文件共享服务却允许匿名使用，并与第三方共享客户数据，或者其主机放置在隐私权保护不善的国家，且三个月前经历了密码泄漏事件等。没有IT领导层会愿意将企业敏感数据上传到此服务上。显然没有这些属性特征的注册记录，网络安全解决方案将无法实施风险相关策略的。此外，由于许多云服务不使用标准的HTTP内容处理头(content-disposition headers)，网络安全解决方案无法通过执行数据泄漏防护(DLP)方法来防止敏感数据的上传。

云访问安全代理如何与网络代理和防火墙集成呢?

云访问安全代理其实是网络代理和防火墙的互补技术。通过与这些解决方案集成，云访问安全代理可以利用现有的网络架构来获得云服务使用的可视性。同时，云访问安全代理通过云认知(cloud-aware)来实现其自身的使用价值。我们可从日志收集、数据包捕获和代理串联这三个主要方法来进行云访问安全代理与网络安全方案的集成。

日志收集

网络代理和防火墙能捕获网络中云服务使用的数据，但它们可能并不区分云服务使用过程中的具体网站的使用。云访问安全代理则可以通过分析这些解决方案的日志，来解析出具体是谁使用了什么样的云服务，从云端上传和下载的数据量，和每种云服务的风险及类别。实际上，云访问安全代理通过现有的基础架构实现云认知(cloud-aware)。云访问安全代理检测到基础架构的逻辑“出口”处的策略缺口，向他们推送具有最新云服务的URLs的访问政策来弥补此缺口。云访问安全代理还可以通过收集具有用户使用云服务的行为细节的日志，达到终止某些客户使用SSL的效果。使用机器学习，云访问安全代理还可作为一个数据泄漏的参考源来检测那些使用云端传播的检测恶意软件或僵尸网络。

数据包捕获

在数据包捕获的部署模式下，云访问安全代理通过现有网络安全解决方案的反馈数据流来获得数据内容的可视性。例如，云访问安全代理可以通过ICAP协议与网络代理集成。在被配置为仅监控(monitor-only)的模式下，网络代理被配置为复制并转发云端流量至云访问安全代理，来对数据泄漏防护(DLP)进行评估。许多云服务通过定制HTTP内容处理头(content-disposition headers)来提高其应用程序的性能。这些定制HTTP内容处理头对防止网络安全解决方案(和与之运用ICAP协议集成的本地数据泄漏防护方案)检测数据内容的泄漏反而带来了意想不到的副作用。云访问安全代理使用详细的云服务签名来检查云流量，评估数据泄漏防护策略，并生成DLP策略违规的报警。

代理串联

云访问安全代理可以被部署为转发代理模式。许多组织已经有了一个网络代理，他们也不希望再部署另一个代理节点。在代理串联模式下，下游的网络代理被配置为转发所有云服务流量至云访问安全代理。该部署模式中，云访问安全代理能实时执行管控和安全策略。例如，云访问安全代理能通过执行访问控制策略来阻止特定受限的云服务功能。同时它还能在用户试图访问允许以外的服务时以显示规劝式信息的方式通知用户，或者重定向用户到被允许的云服务。不同于数据包捕获，该部署方式允许云访问安全代理实施带内的DLP策略以防止被违反。

综上所述，云访问安全代理增强了企业对网络安全解决方案的投资价值。并非以一个破坏性的方式替代现有方案，云访问安全代理集成并扩展了它们对云服务的处理能力。网络代理/防火墙和云访问安全代理在功能上有明显不同。不再是谁替代谁，他们一起为保护企业数据转移到云端提供了更好云服务使用的可视性和执行合规以及管控的能力。

分享文章：找不同：云访问安全代理与网络代理/防火墙
本文链接：http://www.stwzsj.com/qtweb/news38/12088.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联