来源:企业网 更新时间:2014-08-05
云应用网关可以自动识别和减轻风险,并消除基于云计算的服务经常创造的盲点。云应用网关能够实现这一点首先是通过自动的发现企业员工所使用的批准和未经批准的云应用——这一步为IT安全和合规性管理团队提供了关键的360度全方位的了解哪些员工使用了什么软件,以及何种程度的视觉。
网络攻击者可以用他们盗来的用户名和密码访问基于云的服务,诸如Salesforce,Dropbox,谷歌App,NetSuite和Workday来访问企业敏感数据,而无需专业的IT知识。
而企业对于这类问题的解决方案越来越多是通过采用云应用网关,可以自动识别和减轻风险,并消除基于云计算的服务经常创造的盲点。云应用网关能够实现这一点首先是通过自动的发现企业员工所使用的批准和未经批准的云应用——这一步为IT安全和合规性管理团队提供了关键的360度全方位的了解哪些员工使用了什么软件,以及何种程度的视觉。一旦获得了对员工所使用应用程序的可视化,一些云应用网关可以通过三个相关的功能添加更多的防控保护措施:应用程序感知的数据和活动的服务监控;自动保护免受网络安全威胁和恶意攻击;合规管理和分析提供审计线索。
获得对影子IT的直观可视化
对于最终用户来说,基于云的服务的一个主要的吸引力在于他们可以根据业务需求配置资源,而不涉及繁杂的IT资源配置管理,甚至企业复杂的官僚作风导致所谓的影子IT。因此,调节云应用程序的使用通常是亏本的,而IT部门必须采取措施,发现,监控员工所使用的应用程序,促使他们在使用中能够提升生产率。
云网关可以以一种一致且和可靠的方式监视和审查用户使用每款应用程序的相关行为,包括任何应用程序在何时、为谁、提供了什么信息;为何提供及如何提供相关信息的。他们可以进行风险分析来确定应用程序是否遵守了企业的安全管理政策。
例如,云网关可以评估服务供应商的用户的数量,流量和风险组合,他们的位置以及他们所使用的安全措施。这使企业能够决定他们是否要阻止或允许员工在企业使用某款应用程序,或执行其他特定的安全措施,以确保安全,合规的使用。
在理论上,这种监控可以通过一个单独的服务日志工具来完成,一旦其使用就会被发现。但在实践中,可用信息的水平,其格式,会因为云应用的不同而变化很大。随着云服务数量的不断增加,IT部门显然不可能仅仅通过实现一个独特的机制或程序,就能够从每款不同的云服务收集和分析日志了。事实上,每个服务都有自己的学习曲线。相反,企业需要一个简单且一致的方式自动监测每款新的服务,以及在一个异构的云应用环境采用一套一致的方式来规范安全和遵守标准。
此外,为了调查可疑活动或进行预测分析,IT部门必须有详细的活动记录,细化到具体的数据对象,掌握该级别用户的行为,位置和其他变量信息。个人云应用不可能提供统一的数据类型。
云应用网关将包括发现工具,以清楚地识别在使用的云应用和谁在使用。集成仪表板提供了一个中心点,方便可视化的掌握和监控风险和程序运行。网关可以提供谁查看或修改了数据的可视化信息。他们可以提供管理员活动的可视化,包括设置,权限和数据访问。网关也可以进行风险评分云,被创建可操作的警报发送到企业的安全信息和事件管理(SIEM),IT治理,风险管理及合规(GRC)系统。
管理云应用程序的风险
虽然SaaS应用程序在云中运行,但其是与企业的终端、用户和数据整合的。为了管理和降低风险,云网关应该具备区别托管和非托管(如BYOD)的终端,并实施相应政策的能力。例如,一个云应用网关可以执行企业的要求,只有在托管终端的移动设备管理(MDM)的控制下才可以下载敏感信息或访问特定的应用。
通过了解每款应用程序的使用范围和使用情境,云网关针对每款应用程序或在用户的基础上执行细化的政策。例如,财务部门可以在制定财务报告期间禁止使用谷歌应用程序与外部各方共享文件或文件夹,而销售部门的管理挑战可能是以加强认证,以改变Salesforce.com的安全设置。
云应用网关还应具备数据感知的功能,这意味着其可以对个人身份信息(PII)或支付卡行业(PCI)数据进行分类,进而执行相应的政策。针对这些类型的应用程序,它们可产生一个基于特定的云服务的针对所有用户访问的审计跟踪,包括相关的权限和活动范围,从登录到登录之后的完整行为记录。这些网关可以产生适合于企业内部和外部的审计报告,以及风险分析报告。
如果网关已深入监测了所有管理员的数据访问对象和行动跟踪,以及由管理员设置的变化,其就可以管理特权用户可能带来的相关风险。这也有利于SaaS管理员和安全管理员的职责分离,其也是一些法规所要求的。
阻断以云数据为目标的攻击
虽然加密对于保护云安全当然有帮助,但如果攻击者窃取了企业员工的登录密码,他们将能够访问企业的加密数据。此外,就算不是员工的访问密码被窃取,企业内部人士的恶意行为也都始终是一个问题,而且更难检测到。基于云的威胁始终存在的本质就是这样的,必须立即实现自动化的保护。
云应用网关可以包括分析应用程序和使用环境的功能,以便能够为每个用户和每个部门的正常活动创建一个配置文件或基准。异常将触发报警,并且在许多情况下,可以立即采取相关策略,诸如拒绝使用或要求用户重新进行身份验证。例如,如果一个用户从一个未知的终端或一个非典型的位置访问一款应用程序,并要求从salesforce.com下载大量的记录,企业可能要立即阻止此行为或通过将一次性密码发送到他们的手机上以验证用户。能够检测异常行为使云应用网关得以能够防止人为攻击,破坏终端和帐户接管的攻击。
云应用网关还提供了一个可靠的方法来检测企业内部的恶意人员。由于这些用户有合法的方式使用终端,只有通过智能化的持续分析活动才能在内部违规行为发生之前加以识别和防范。鉴于企业有着数百个员工在使用着数千款应用,而且新的应用一直在不断增加,要求企业的IT人员采用必要的应用程序和特定的知识来防止恶意的内部人员的破坏行为几乎是不可能的。
随着企业开始更多的采用云,云应用网关也帮助企业解决了SaaS风险管理所需要的可视化。