云訪問安全代理（CASB）是一種管理企業端點和云資源之間訪問的安全解決方案，可以部署在本地或云端，可以是硬件設備或純軟件，通過代理、反向代理或特定API實現。

CASB的應用場景

最初，CASB是為了解決影子IT問題。許多員工使用個人云存儲賬號存放公司數據，CASB工具幫助安全團隊發現和監控未經授權或未管理的云服務。如今，CASB涵蓋了更多的應用場景：

• 數據保護：在混合云環境中保護敏感數據。
• 合規性：確保遵守數據隱私法規。
• 遠程工作：為遠程員工提供安全的云資源訪問。
• 威脅檢測：檢測惡意活動、入侵嘗試、勒索軟件等。

CASB的主要趨勢

根據MordorResearch，獨立CASB市場在2023年估值為110億美元，預計到2029年將以每年17%的速度增長至242億美元。CASB也是業界主流安全策略的一部分，包括Gartner提出的安全服務邊緣（SSE）和IDC定義的網絡邊緣安全即服務（NESaaS），具體如下：

• CASB與SSE：Gartner的安全服務邊緣(SSE)是由CASB、SWG和零信任網絡訪問(ZTNA)集成的大安全框架。Gartner預測：“到2026年，85%尋求保護Web、SaaS和私有應用程序的組織將從安全服務邊緣(SSE)產品中獲得安全功能。”（Gartner的命名法已成為事實上的標準。）
• CASB與NESaaS：IDC的網絡邊緣安全即服務(NESaaS)包含三個核心組件：CASB、SWG和ZTNA。IDC表示：“網絡安全市場正處于急需的融合趨勢中。安全供應商已從專注于單點個性化安全服務轉向整合的云交付網絡安全平臺，將單個服務視為可選模塊。”

CASB工具的關鍵能力和部署方式

從功能角度看，CASB工具的四個關鍵能力包括：

• 可見性：CASB提供對云使用情況、用戶活動和數據流的全面可見性。
• 控制：CASB提供對用戶權限和數據訪問的細粒度控制。
• 數據保護：CASB解決方案提供數據保護功能，以保護跨多個云服務的敏感信息。
• 合規性：CASB工具有助于保持對數據隱私法規的合規性。

除了這些核心功能之外，組織還需要確保CASB工具能夠與現有的云服務、應用程序和安全基礎設施很好地集成。

CASB有兩種基本部署模式：基于代理和基于API。大多數專家表示，基于API的CASB提供更好的功能，但組織需要確保供應商的應用程序編程接口(API)連接列表與組織的云應用程序清單相匹配。

選擇CASB工具的16個關鍵問題

CASB工具選型工作較為復雜。廣義的CASB定義(DLP、SWG等)中可能包含的功能列表很長，CASB工具本身是SSE和SASE平臺大趨勢的一部分，這些平臺包括ZTNA或SD-WAN等功能。企業需要確定其痛點是什么（無論是合規還是影子IT）。

購買CASB工具時，企業應明確自身需求，確保選擇的供應商能滿足當前需求并支持未來發展。以下是CASB選型時用戶需要問自己的八個關鍵問題：

• 我對用戶訪問的云服務了解多少？
• 我是否有完善的數據分類系統？
• 我是否有跨本地和云環境的訪問控制政策？
• 我的主要需求是什么？
• CASB工具如何與現有安全基礎設施集成？
• CASB工具如何融入我的整體安全規劃？
• 是否有預算支持新工具？
• 是否有內部人員管理該工具，或者需要選擇云托管服務？

此外，用戶還需要向CASB供應商提出以下八個關鍵問題：

• CASB產品包含哪些功能？我是否將DLP和SWG作為CASB的一部分獲得，還是這些是附加模塊？
• 供應商的SSE和SASE路線圖是什么？
• 如果供應商的CASB產品是收購的，與其他產品組合的集成度如何？
• 當用戶將更多的安全功能遷移到云中時，這個工具現在和將來將如何融入用戶的安全基礎設施？
• 供應商的業務覆蓋哪些地區？
• 工具的API是否涵蓋我使用的所有云服務？
• 產品能否能隨著公司的發展而擴大規模？
• 初始成本以及長期總擁有成本是多少？