CASB架构:了解正向代理、反向代理和API扫描
云访问安全代理(CASB)是一种位于企业用户与云服务提供商之间的安全策略执行点,用于监控、控制和保护云环境中的数据与应用。随着企业加速上云和移动办公的普及,CASB成为解决云安全风险的关键工具。
云访问安全代理(CASB)可通过三种方式实现:正向代理、反向代理和API扫描。这三种架构各有不同,适用于不同场景,但可相互补充以全面提升云环境安全性。
本指南将深入解析正向代理、反向代理和API扫描的部署机制,并探讨CASB架构的核心组件与工作原理。
正向代理架构
正向代理部署的架构核心是拦截出站流量、执行深度包检测、管理SSL/TLS证书,以及应用过滤或阻断机制,以此执行安全策略并保护敏感数据。正向代理CASB架构的核心组件是网关服务器,它配置在客户端的本地环境中。作为代理服务器,它位于企业内部网络和互联网之间,所有出站流量都要经过它。主要执行以下功能:
- 深度包检测(DPI):正向代理CASB通过深度包检测,检查经过它的HTTPS网络数据包内容。这使CASB能够对流量进行精细化分析,并检查数据负载中是否存在敏感信息或违反策略的迹象。
- 证书管理:CASB管理SSL/TLS证书,以支持对加密流量(HTTPS)的深度包检测。充当中间人(MITM),先解密来自用户的入站流量并进行检查,然后在转发到目的地之前重新加密。这就要求CASB为每个用户会话生成并管理SSL/TLS证书。
- 过滤/阻断:在正向代理CASB中,会基于CASB解决方案中预定义的安全策略应用过滤和阻断机制。这些策略可能包括URL过滤(用于阻断对恶意或未授权网站的访问)、应用控制(用于规范特定云服务的使用),或数据丢失防护(DLP)策略(用于防止敏感信息的传输)。
配置与管理:
- 网关服务器通过CASB控制台统一配置,定期同步策略并收集审计数据。
- 服务器的代理设置可以在单个终端上手动配置,也可以通过组策略对象(GPOs)批量配置。
适用场景:
正向代理CASB实现有助于监控所有被访问的云应用,以及从受管理的企业网络传出的下载和上传活动。正向代理适合以下场景:
- 发现和监控影子应用、已授权应用、未授权但安全的应用,以及未授权且不安全的应用。
- 监控企业网络内所有云应用的访问、上传/下载活动。
- 分析传输中的数据(Data-in-Transit)。
- 受管理设备。
正向代理适合需要深度内容检查、动态访问控制的场景。但需结合反向代理或API模式(即多模CASB),才能实现对非托管设备、静态数据及云配置的全方位防护。
反向代理架构
反向代理是一种部署在云服务提供商前方的安全策略执行点,通过拦截并分析用户与云服务之间的流量,实现对云访问的实时监控、威胁防护和数据安全控制。反向代理按应用逐个配置,需与身份提供商(IdP)的单点登录(SSO)服务集成。所有访问官方云应用的流量均被重定向至CASB反向代理服务器(CRPS),适用于企业账户(无论设备或网络来源)。
核心组件:
构成反向代理架构的主要组件是CRPS和通过身份提供商实现的SSO集成。
- 代理服务器(CRPS):位于用户与云服务之间,拦截所有请求并执行安全策略(如DLP、访问控制、威胁检测)。
- 身份集成:通常与单点登录(SSO)或身份即服务(IDaaS)集成,强制用户通过统一认证后才允许访问云资源,增强身份验证安全性。
工作流程:
- 请求路由:当客户端尝试访问云应用时,其请求会被架构中部署的反向代理服务器(CRPS)拦截。这些请求不会直接到达云服务提供商,而是通过CRPS重新路由。
- 认证与访问控制:CRPS收到请求后,会采用SSO机制对用户进行认证。认证通过后,会执行企业定义的访问控制策略。这确保只有具备适当凭据和权限的授权用户才能访问云应用。
- 策略执行与审计:CRPS实时实施策略(如阻断数据泄露),并记录审计日志。
适用场景:
- 监控企业账户的云活动。
- 分析传输中的数据。
- 支持托管/非托管设备(企业内网或远程网络)。
反向代理通过前置流量控制、深度内容检查及动态策略执行,有效解决了云服务的数据泄露与合规风险。其无客户端部署特性尤其适合需覆盖多样化终端的企业,但需注意性能优化与影子IT覆盖的补充方案(如结合API模式)。
API扫描架构
API扫描架构是云访问安全代理(CASB)的一种核心部署模式,主要通过调用云服务商提供的API接口实现安全管控,与基于代理的CASB解决方案(通过网络代理拦截和重定向流量)不同,基于API的CASB直接与云应用的API集成。这种集成使CASB能够监控和控制企业用户与云应用之间的数据交互,无需重定向网络流量。
核心组件:
- CASB平台:通过API连接云服务(如AWS、Office 365)。
- 云服务API:提供数据访问与操作接口。
工作原理:
API扫描模式不直接拦截用户流量,而是通过云服务商(如AWS、Office 365、Salesforce)开放的API接口异步获取日志、配置信息及数据内容。
- 数据发现与分类:扫描云存储中的结构化/非结构化数据,利用机器学习识别敏感信息(如DLP策略)。
- 配置审计:检查SaaS应用的安全设置(如权限分配、共享策略),识别配置错误(如公开存储桶、过度授权)。
- 合规性检查:生成审计报告,验证是否符合GDPR、HIPAA等法规要求。
工作流程:
- 持续监控API调用:分析用户对云应用的数据操作请求。
- 静态数据扫描:定期检测云端存储文件,识别敏感信息(如PII、专利数据)。
- 安全策略执行:动态限制数据访问权限;自动加密敏感文件;通过DLP策略阻止数据外泄。
适用场景:
- 分析云账户中的静态数据。
- 控制云应用内的数据访问和共享。
- 检测云环境中的敏感数据(个人身份信息、客户数据和专利等),并通过加密防止数据渗出和泄露。
API扫描架构适合合规审计、数据静态保护及配置管理,但需结合代理模式或EDR等实时防护技术构建纵深防御。
三种架构对比
| 正向代理 | 反向代理 | API扫描 | |
|---|---|---|---|
| 监控范围 | 出站流量 | 入站流量 | 云端静态数据 |
| 设备支持 | 仅托管设备 | 所有设备 | 所有设备 |
| 数据检测类型 | 传输中(Data-in-Transit) | 传输中 | 静态(Data-at-Rest) |
| 典型用例 | 阻断个人云数据泄露 | 控制企业账户活动 | 扫描敏感文件 |