在向云應用程序和數字化轉型的大規(guī)模轉變中，云訪問安全代理 (CASB) 應運而生。當用戶從企業(yè)外圍內訪問這些資產時，CASB旨在減輕圍繞云資產的風險。

有時，我們很容易將CASB視為發(fā)現和保護數據訪問的技術或功能的集合。有趣的是，當推出CASB時，他們的重點是加密靜態(tài)和傳輸中的數據。相比之下，用戶仍然駐留在企業(yè)的外圍內。CASB為云外圍提供了與本地外圍類似的檢查和安全級別。

很多企業(yè)使用CASB日志分析功能來識別影子IT。隨后，CASB供應商不斷改進他們的產品，添加數據丟失防護(DLP)、安全 Web 網關 (SWG) 和其他功能。

云計算、遠程工作催生新的網絡模式

在過去十年，云轉型加速。在2020年，COVID-19疫情帶來結構性轉變，迫使最終用戶離開辦公環(huán)境中的傳統(tǒng)本地網絡外圍，轉而在家工作。這一現實帶來對更成熟的架構模型的需求。

當用戶訪問云服務和企業(yè)外圍內的資產時，這里需要新的模式來保護用戶，無論用戶的物理位置如何，同時提供相同的網絡安全服務和控制。Gartner將這種模式命名為安全訪問服務邊緣(SASE)，發(fā)音同sassy。

從這個角度來看，CASB和SASE不一定是相互對立的。相反，SASE是CASB的自然演進過程，與其他功能一起發(fā)展為架構框架。SASE安全模型是端到端安全的藍圖。它將外圍安全與云安全相結合，結合嚴格網絡訪問控制(遵循零信任概念)，并將CASB作為該模式的組件。

考慮到這個模式，并設想SASE架構圖，我們看到的關系不是CASB與SASE，而是SASE中的CASB。

云訪問安全代理功能

CASB和SASE的共同點是A代表Access(訪問)。讓我們看看訪問的定義，將其區(qū)分為公共可用資源和私有資源：

• 訪問企業(yè)的SaaS應用程序，例如Microsoft 365、Salesforce、代碼存儲庫或其他資產，這些應用程序可能運行在云端，作為即服務使用并需要用戶身份驗證;
• 訪問IaaS資源，以完成操作、維護和部署目的，這些資源位于云環(huán)境，例如AWS、Google Cloud Platform和Microsoft Azure。
• 訪問企業(yè)數據中心資產、HR系統(tǒng)和財務軟件，包括第三方或承包商遠程訪問。

CASB的主要目標之一是抵御對存儲在云端信息的未經授權訪問，以及降低此類數據泄露的風險。我們可以稱之為風險控制，而不只是純粹的安全控制。

在開發(fā)CASB時，它有三個目標：影子IT預防、加密，以及阻止將機密信息上傳到未經批準的云應用程序。另一方面，它也試圖控制非授權用戶對授權應用程序的訪問。CASB的另一個功能是識別敏感信息，并使用公司定義的策略來限制對這些數據的訪問，在某些情況下，使用用戶和實體行為分析。

安全訪問服務邊緣功能

在查看SASE的優(yōu)勢時，最關鍵的功能之一是零信任網絡訪問 (ZTNA)。遠程工作人員使用它來訪問公司資源。同時，它們已通過身份驗證并獲得應用程序級別的訪問權限，支持和推動NIST Special Publication 800-207的想法。

在SASE的早期階段，軟件定義WAN (SD-WAN) 設備與SWG緊密耦合。這為擁有多個辦事處的企業(yè)提供了快速入門，并以更直接的方式控制和優(yōu)化ISP鏈接。

隨著轉向在任何地方工作，很多SWG 供應商開發(fā)一種最終用戶客戶端，該客戶端在計算機上運行，使流量能夠以安全的方式路由到SWG供應商最近的存在點。在此配置中，最終用戶可以從相同的安全級別中受益，而不受位置限制。唯一的要求是互聯(lián)網連接。當用戶返回辦公室時，他們不必關閉客戶端，并保持相同的安全級別。

現在，SD-WAN設備的功能主要是連接公司位置;保護無法安裝客戶端的服務器和其他設備;并提供對無法遷移到云端的遺留系統(tǒng)的訪問。

同一個供應商提供SASE安全功能很有意義，這包括CASB、DLP、SWG和ZTNA等。這些供應商提供更好的流量路由、更少的排除、更好的監(jiān)控和故障排除，以及最重要的是，單一管理平臺用于安全策略創(chuàng)建。這種整合可以減少安裝在客戶設備上的客戶端數量。它還可以實現更輕松的策略創(chuàng)建、故障排除、安全計劃的整體更好的指標，以及高層管理人員的可見性。

因此，Gartner定義了一個新的市場，稱為安全服務邊緣 (SSE)。SSE將所有安全組件集中在一起，不包括與網絡相關的元素，例如SD-WAN。SSE和SD-WAN一起將構成SASE模型。