Chinasec（安元）云访问安全代理系统，构建全方位的云端数据安全防护体 – 作者:Wondersoft

由于云技术具有弹性运算和便捷性的优点，因此被各领域的政企单位广泛应用。随着大数据时代的发展，当下越来越多的政企单位选择将数据存储在云端，但随之而来的安全事故层出不穷，云端数据安全风险正与日俱增。

在实际应用中，云服务产品所存储的数据和其系统分布在各地，政企单位的技术主管往往不能确定数据的具体存储地和关键系统依托的服务器都与谁共享，于是造成数据一旦上云政企单位便完全丧失了对上云数据的控制权，从而导致无法合理的管控员工日常办公时的上网行为，以及无法确保云端数据的安全性。

云时代为各行各业带来更多便捷的同时，也滋生出诸多安全问题，导致当前政企单位在使用云服务商提供的云技术时顾虑重重。

政企单位的关注点主要集中在以下方面：

☆ 云服务商自身存在安全隐患及行为风险无法得到安全保证，政企数据也随之面临风险。

☆ 云端数据存储使政企单位丧失了对数据的控制权，数据随时都可能被大数据引擎扫描分析。

☆ 云服务商可能无意间将信息流出或者恶意出售政企数据，造成数据泄露。

而对于选择私有云、自建云的政企单位来说，尽管云端数据存储在本单位的控制内，但云服务器的安全性仍旧是一个棘手问题。对此类政企单位来说，保护服务器内的数据安全和控制访问者的行为是政企数据安全工作的重中之重。

作为国内新一代信息安全技术企业的代表厂商，明朝万达基于政企单位云端数据安全保护的需求，结合政企单位开展业务的要求，推出自主知识产权的云访问安全代理（CASB）产品和服务，帮助政企单位构建全方位的云端数据安全防护体系。

Chinasec（安元）云访问安全代理系统

云访问安全代理(CASB)通过帮助政企单位在云端应用各种安全策略，进而实现政企单位云端数据安全。系统部署于云服务提供商和消费云服务的政企单位之间，或自建云私有云和访问者之间，其强大的分级权限控制、数据防泄漏体系以及可视化数据清单定义了在新的云计算时代，政企单位或用户掌控云上数据安全的解决方案模型。

CASB采用网络协议解析技术，分析拆解网络数据包后对数据包中的结构化数据和非结构化数据进行加密，并对行为数据进行统计分析，以图形列表结合的方式向用户展示。让用户以最直观的方式在获得各类数据的同时发现并防范威胁行为及数据，产品在毫不改变用户使用云服务习惯的同时，保证云端数据的安全及规范。

在管控方面，本产品可针对政企单位的组织架构自由生成树状权限体系，分级管控，自定义权限，在解决用户与服务商之间信任问题的同时让政企单位员工的上网行为更加规范及合法。

产品功能

上网代理 
丨透明正向代理模式全面接管路由器对外数据出口，自动识别不同外流数据类型并根据控制策略进行行为管控，避免政企单位内部对外数据泄漏的风险。

丨传统代理模式

以web代理形式控制上网行为，自动识别对外传输的数据及文件类型并根据控制策略进行管控，无需改变政企单位内部网络拓扑。

丨反向代理模式

将政企单位云服务的互联网入口隐藏，通过反向识别，自动转发的形式对外来访问的请求进行识别、管控及防护，从根本上降低甚至杜绝非法访问及攻击的风险，维护服务器的数据安全。

数据加解密 

采用网络协议解析技术，分析拆解网络数据包并对数据包中的结构化数据和非结构化数据进行加密，实现对网络数据的透明加密，在毫不改变用户使用云服务的同时，保证云端数据被加密存储。

DLP数据防泄漏 
通过身份认证和加密控制以及使用日志的统计对外发数据进行扫描控制并预警，降低外发数据泄密的风险。

分级控制 

可根据政企单位自身的组织结构自由定义不同级别的安全策略，真正做到分级策略控制，保证政企单位内部不同部门不同级别对外访问的不同需求。

产品特色

深度可视化 

CASB可提供从任何设备或位置访问云服务中数据的用户的详细信息以及行为日志。

l 可视化应用视图

以应用为中心，展示应用使用的汇总视图，能够对应用服务风险评估，提示潜在风险。

l 数据可视化追踪

对敏感数据的全生命周期追踪，提供数据流转轨迹直观展示。

l 用户可视化管理

以用户为中心相关数据展示，通过对用户账户风险评分，提示数据泄露、账户滥用风险。

l 威胁可视化防控

对当前保护中的所有应用的威胁级别、分类展示，以及相应的响应及阻断策略。

数据安全性 

CASB能够实施以数据为中心的安全策略，以防止基于数据分类、数据发现以及因监控敏感数据访问或提升权限等用户活动而进行有害活动。通过加密、审计、警报、阻止、隔离、删除和只读等控制措施来实施策略。如管理员可在产品管控控制台上方便快捷地进行安全策略配置，如设置IP的黑名单，用户行为权限划分，设置数据加密触发条件、指定加解密数据内容、选择加密算法等操作。

威胁防护 

CASB可通过嵌入式UEBA识别异常行为、威胁情报、网络沙箱以及恶意软件识别对可能具备威胁的数据访问行为进行有效防护。

合规性 
CASB提供了信息来确定云风险偏好并提高云风险承受能力，同时可帮助组织机构证明是自身在管理云服务的使用，有助于组织机构满足数据驻留和法律合规性要求。

场景案例

场景一

当政企单位将自己的服务部署在云端时，时常会遇到服务被非法入侵或数据被窥视的现象，使用CASB反向代理将服务真实地址隐藏，加上CASB内置的安全模块，可有效保障政企单位的服务及数据的安全。

场景二

当政企单位使用云存储服务时，存储的数据或文件被大数据引擎窥视分析，甚至被暴力入侵，此时CASB的正向代理服务内置的安全服务可对上云文件进行密级加密或DLP扫描，有效保障上云文件安全的同时确保政企单位敏感信息外泄。

场景三

当政企单位内部没有CASB部署条件但仍对上云数据文件或行为有管控需求时，CASB公有云传统代理模式可在公有云环境搭建相应的代理服务，确保政企单位的使用场景和管控需求得到满足。

来源：freebuf.com 2021-07-09 15:15:16 by: Wondersoft