بهمن ۲, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

Cloud Access Security Broker (CASB) چیست ؟

Cloud Access Security Broker (CASB) چیست ؟

Cloud Access Security Broker – CASB چیست ؟

CASB کارگزار امنیت دسترسی به ابر نوعی راهکار امنیتی است که به محافظت از خدمات میزبانی‌شده در ابر کمک می‌کند. CASBها به ایمن نگه‌داشتن برنامه‌های نرم‌افزار به‌عنوان سرویس (SaaS)، زیرساخت به‌عنوان سرویس (IaaS) و پلتفرم به‌عنوان سرویس (PaaS) در برابر حملات سایبری و نشت داده کمک می‌کنند. معمولاً ارائه‌دهندگان CASB خدمات خود را به‌عنوان نرم‌افزار میزبانی‌شده در ابر ارائه می‌دهند، هرچند برخی از CASBها نرم‌افزار یا سخت‌افزارهای محلی (On-Premise) نیز ارائه می‌کنند.

تعداد زیادی از فناوری‌های امنیتی مختلف تحت چتر CASB قرار می‌گیرند و یک راهکار CASB معمولاً این فناوری‌ها را به‌صورت یک بسته‌ی ترکیبی ارائه می‌دهد. این فناوری‌ها شامل کشف فناوری اطلاعات سایه (Shadow IT Discovery)، کنترل دسترسی (Access Control) و جلوگیری از نشت داده (Data Loss Prevention – DLP)، در کنار چندین فناوری دیگر است.

به CASB مانند یک شرکت امنیتی فیزیکی فکر کنید که خدمات متعددی (مانند نظارت، گشت‌زنی، تأیید هویت و غیره) برای ایمن نگه‌داشتن یک مجموعه ارائه می‌دهد، نه مانند یک نگهبان امنیتی واحد. به‌طور مشابه، CASBها طیف وسیعی از خدمات را ارائه می‌دهند، نه فقط یک خدمت واحد، و این موضوع فرآیند حفاظت از داده‌های ابری را ساده‌تر می‌کند.

چهار ستون امنیت CASB چیست؟

casb

شرکت تحلیلگر معتبر صنعت Gartner، چهار ستون اصلی برای کارگزاران امنیت دسترسی به ابر (CASB) تعریف می‌کند:

  1. قابلیت مشاهده (Visibility):
    راهکارهای CASB به شناسایی فناوری اطلاعات سایه (Shadow IT) کمک می‌کنند؛ یعنی سیستم‌ها و فرآیندهایی (به‌ویژه سرویس‌های ابری) که به‌صورت رسمی ثبت نشده‌اند و ممکن است ریسک‌های امنیتی ناشناخته‌ای را به همراه داشته باشند.
  2. امنیت داده‌ها (Data Security):
    CASBها از خروج داده‌های محرمانه از سیستم‌های تحت کنترل شرکت جلوگیری می‌کنند و به حفظ یکپارچگی آن داده‌ها کمک می‌کنند. این قابلیت به‌ویژه با گسترش ابزارهای هوش مصنوعی (AI) که ممکن است کارکنان تلاش کنند داده‌های محافظت‌شده را در آن‌ها بارگذاری کنند، اهمیت زیادی دارد. فناوری‌های مهم در این حوزه شامل کنترل دسترسی (Access Control) و جلوگیری از نشت داده (DLP) می‌شود.
  3. محافظت در برابر تهدیدات (Threat Protection):
    CASBها علاوه بر جلوگیری از نشت داده، تهدیدات و حملات خارجی را نیز مسدود می‌کنند. فناوری‌هایی مانند شناسایی بدافزار (Anti-Malware Detection)، سندباکسینگ (Sandboxing)، بازرسی بسته‌ها (Packet Inspection)، فیلتر کردن URL و ایزوله‌سازی مرورگر (Browser Isolation) همگی به مسدود کردن حملات سایبری کمک می‌کنند.
  4. انطباق (Compliance):
    به دلیل ماهیت پراکنده و خارج از کنترل مستقیم ابر، برآورده کردن الزامات نظارتی سختگیرانه‌ای مانند SOC 2، HIPAA یا GDPR برای شرکت‌هایی که در فضای ابری فعالیت می‌کنند، دشوار است. در برخی صنایع و مناطق، عدم رعایت این استانداردها می‌تواند شرکت‌ها را در معرض جریمه‌های سنگین قرار دهد. با پیاده‌سازی کنترل‌های امنیتی قوی، CASB به شرکت‌هایی که داده‌های خود را در ابر ذخیره می‌کنند و فرآیندهای تجاری خود را در این فضا اجرا می‌کنند، کمک می‌کند تا به انطباق قانونی دست یابند.

راهکارهای CASB چه قابلیت‌های امنیتی‌ای ارائه می‌دهند؟

casb

بیشتر راهکارهای CASB برخی یا همه‌ی فناوری‌های امنیتی زیر را ارائه می‌دهند:

  1. تأیید هویت (Identity Verification):
    اطمینان حاصل می‌کند که کاربر همان کسی است که ادعا می‌کند، از طریق بررسی چندین عامل هویتی مانند رمز عبور یا در اختیار داشتن یک توکن فیزیکی.
  2. کنترل دسترسی (Access Control):
    کنترل می‌کند که کاربران چه چیزهایی را می‌توانند ببینند و در برنامه‌های تحت کنترل شرکت چه اقداماتی می‌توانند انجام دهند.
  3. کشف فناوری اطلاعات سایه (Shadow IT Discovery):
    سیستم‌ها و سرویس‌هایی را شناسایی می‌کند که کارکنان داخلی برای اهداف تجاری بدون مجوز مناسب استفاده می‌کنند.
  4. جلوگیری از نشت داده (Data Loss Prevention – DLP):
    از نشت داده‌ها جلوگیری می‌کند و مانع از خروج داده‌ها از پلتفرم‌های تحت مالکیت شرکت می‌شود.
  5. فیلتر کردن URL (URL Filtering):
    وب‌سایت‌هایی را که مهاجمان برای حملات فیشینگ یا بدافزار استفاده می‌کنند، مسدود می‌کند.
  6. بازرسی بسته‌ها (Packet Inspection):
    داده‌های ورودی و خروجی شبکه را برای فعالیت‌های مخرب بررسی می‌کند.
  7. سندباکسینگ (Sandboxing):
    برنامه‌ها و کدها را در یک محیط ایزوله اجرا می‌کند تا مشخص شود که آیا مخرب هستند یا خیر.
  8. ایزوله‌سازی مرورگر (Browser Isolation):
    مرورگر کاربران را روی یک سرور از راه دور اجرا می‌کند به‌جای اجرای آن بر روی دستگاه کاربر، تا از دستگاه در برابر کدهای مخربی که ممکن است در مرورگر اجرا شوند محافظت کند.
  9. شناسایی بدافزار (Anti-Malware Detection):
    نرم‌افزارهای مخرب را شناسایی می‌کند.

این فهرست جامع نیست، زیرا CASBها می‌توانند تعداد زیادی محصولات امنیتی دیگر را علاوه بر موارد ذکرشده ارائه دهند. برخی از این فناوری‌ها در محصولات امنیتی دیگر نیز یافت می‌شوند. به‌عنوان مثال، بسیاری از فایروال‌ها (Firewalls) قابلیت بازرسی بسته‌ها (Packet Inspection) را ارائه می‌دهند و بسیاری از محصولات امنیتی نقاط پایانی (Endpoint Security Products) دارای قابلیت شناسایی بدافزار (Anti-Malware) هستند. بااین‌حال، CASBها این فناوری‌ها را به‌طور خاص برای محاسبات ابری (Cloud Computing) بسته‌بندی می‌کنند.

برای ارائه مجموعه‌ای کامل از خدمات CASB، بسیاری از ارائه‌دهندگان اصلی در مقطعی از زمان یک محصول یا شرکت را خریداری کرده‌اند و آن را با محصولات موجود خود ترکیب کرده‌اند. آن‌ها همچنین ممکن است با شرکت‌های خارجی برای ارائه خدمات اضافی همکاری کنند.

CASB و DLP

با افزایش اهمیت جلوگیری از نشت داده (DLP) و فشار چارچوب‌های مقررات داده (مانند GDPR) بر سازمان‌ها برای حفظ حریم خصوصی و جلوگیری از نشت داده‌ها، نقاط ضعف محصولات سنتی DLP در حفاظت از چشم‌انداز مدرن داده‌ها آشکار شده است. پیاده‌سازی خدمات DLP به‌عنوان یک لایه‌ی اضافی برای خدمات ابری به‌صورت مستقل دشوار است.
ترکیب DLP در راهکارهای CASB به حل این چالش‌ها کمک می‌کند و به سازمان‌ها این امکان را می‌دهد که از داده‌های خود محافظت کرده و انطباق مقرراتی خود را حفظ کنند.

مزایای CASB چیست؟

casb

در رایانش ابری (Cloud Computing)، داده‌ها به‌صورت از راه دور ذخیره می‌شوند و از طریق اینترنت قابل دسترسی هستند. درنتیجه، شرکت‌هایی که از ابر استفاده می‌کنند، کنترل محدودی بر مکان ذخیره‌سازی داده‌ها و نحوه دسترسی کاربران به آن‌ها دارند. کاربران می‌توانند داده‌ها و برنامه‌های ابری را از هر دستگاه متصل به اینترنت و از هر شبکه‌ای، نه فقط شبکه‌ی داخلی تحت مدیریت شرکت، دسترسی داشته باشند.

به‌عنوان مثال، یک کاربر می‌تواند از طریق شبکه‌ای ناامن و با دستگاه شخصی خود به یک برنامه SaaS تحت مدیریت شرکت وارد شود؛ کاری که معمولاً برای برنامه‌هایی که روی سرورها و رایانه‌های محلی (On-Premise) اجرا می‌شوند، امکان‌پذیر نیست (مگر اینکه از Remote Desktop استفاده شود).

استفاده از ابر همچنین حفظ حریم خصوصی و امنیت داده‌ها را دشوارتر می‌کند، همان‌طور که مکالمه در یک مکان عمومی نسبت به یک اتاق خصوصی بیشتر در معرض شنود قرار دارد.

برای محافظت کامل از داده‌ها در فضای ابری، سازمان‌ها معمولاً از خدمات امنیتی مبتنی بر ابر نیز استفاده می‌کنند. گاهی اوقات، آن‌ها این خدمات را از فروشندگان مختلف دریافت می‌کنند: استفاده از یک پلتفرم برای DLP، یک پلتفرم برای تأیید هویت (Identity)، یک پلتفرم برای شناسایی بدافزار (Anti-Malware) و غیره.

اما این رویکرد امنیت ابری چالش‌هایی ایجاد می‌کند:

  • باید چندین قرارداد جداگانه مذاکره شود.
  • سیاست‌های امنیتی باید بارها پیکربندی شوند.
  • پیاده‌سازی و مدیریت چندین پلتفرم، پیچیدگی زیادی برای تیم IT ایجاد می‌کند.

CASB یک راهکار امنیت شبکه برای این چالش‌ها است. خرید این تدابیر امنیتی از یک کارگزار امنیت ابری (CASB) به‌جای چندین فروشنده مختلف به این معناست که:

  1. همه فناوری‌های درگیر به‌خوبی با یکدیگر کار می‌کنند.
  2. مدیریت ابزارهای امنیت ابری ساده‌تر می‌شود؛ تیم‌های IT می‌توانند با یک فروشنده کار کنند، نه با چندین فروشنده مختلف. علاوه بر این، بسیاری از CASBها به مشتریان خود اجازه می‌دهند تا همه خدمات امنیت ابری را از طریق یک داشبورد واحد (Single Dashboard) مدیریت کنند.

چالش‌های استفاده از CASB چیست؟

  مقیاس‌پذیری (Scalability):
CASBها باید حجم زیادی از داده‌ها و چندین پلتفرم و برنامه ابری را مدیریت کنند. شرکت‌ها باید اطمینان حاصل کنند که ارائه‌دهنده CASB قادر به مقیاس‌پذیری و رشد همزمان با سازمان آن‌ها است.

  کاهش تهدیدات (Mitigation):
همه CASBها قابلیت متوقف کردن تهدیدات امنیتی پس از شناسایی را ندارند. بسته به شرایط، یک CASB بدون قابلیت کاهش تهدید ممکن است برای یک شرکت کاربرد محدودی داشته باشد.

  یکپارچه‌سازی (Integration):
شرکت‌ها باید اطمینان حاصل کنند که CASB آن‌ها با همه سیستم‌ها و زیرساخت‌هایشان یکپارچه می‌شود. بدون یکپارچه‌سازی کامل، CASB دید کاملی نسبت به فناوری اطلاعات سایه (Shadow IT) و تهدیدات امنیتی احتمالی نخواهد داشت.

  حریم خصوصی داده‌ها (Data Privacy):
آیا ارائه‌دهنده CASB داده‌ها را خصوصی نگه می‌دارد، یا فقط یک نهاد خارجی دیگر است که به داده‌های حساس دسترسی دارد؟ اگر CASB داده‌های مشتریان خود را به ابر منتقل کند، این داده‌ها چقدر امن و خصوصی خواهند بود؟ این پرسش‌ها به‌ویژه برای سازمان‌هایی که تحت مقررات سختگیرانه حریم خصوصی داده فعالیت می‌کنند، بسیار مهم هستند.

چه کسانی به CASB نیاز دارند؟

بیشتر شرکت‌هایی که به‌صورت جزئی یا کامل به ابر وابسته هستند می‌توانند از همکاری با یک ارائه‌دهنده CASB بهره‌مند شوند. شرکت‌هایی که در کنترل رشد فناوری اطلاعات سایه (Shadow IT) دچار مشکل هستند — که امروزه یک نگرانی عمده برای بسیاری از کسب‌وکارهاست — می‌توانند به‌طور ویژه از خدمات CASB بهره ببرند.

CASB چگونه با SASE یکپارچه می‌شود؟

SASE (Secure Access Service Edge) یک مدل زیرساخت شبکه مبتنی بر ابر است که خدمات شبکه و امنیت را در یک ارائه‌دهنده واحد تجمیع می‌کند و مدیریت و ایمن‌سازی دسترسی به شبکه را برای شرکت‌ها ساده‌تر می‌کند.

همان‌طور که CASBها مجموعه‌ای از خدمات امنیتی را در یک بسته ارائه می‌دهند، SASE نیز SD-WAN (در کنار سایر قابلیت‌های شبکه)، CASB، درگاه وب ایمن (SWG)، دسترسی به شبکه صفر اعتماد (ZTNA)، فایروال به‌عنوان سرویس (FWaaS) و سایر عملکردهای امنیت شبکه را یکپارچه می‌کند. راهکارهای SASE بر روی یک شبکه جهانی یکپارچه ساخته شده‌اند.

آیا Cloudflare یک راهکار CASB ارائه می‌دهد؟

Cloudflare One قابلیت‌های CASB، DLP، Zero Trust، SWG و ایزوله‌سازی مرورگر (Browser Isolation) را در یک پلتفرم واحد ادغام می‌کند. این خدمات از طریق شبکه Cloudflare، در نزدیک‌ترین مکان به کاربران نهایی ارائه می‌شوند و می‌توانند در مقابل شبکه‌های محلی (On-Premise)، ابری (Cloud) و ترکیبی (Hybrid) قرار گیرند.

 

https://www.netskope.com/security-defined/what-is-casb

 

 

 

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب