搞懂云安全，看这篇文章就够了

老沈阅览 2017-04-19

展开全文

来源： Benny Guo 甲骨文云技术

这可能是很多人第一次听到“CASB”的表情。

在揭晓CASB是什么之前，不妨让我问你们几个问题：

1、云服务深入人心，你们使用了哪些云服务呢？

2、你们使用的云服务是否有过云主机被删除、云存储被篡改的异常情况？

3、如果发生了云服务的安全事件，你们可以在多长时间内发现并处理？

4、你们使用了多种云服务，日常是手工监控云服务的安全状态，还是自动呢？

5、你们及时掌握企业内部存在的Shadow IT吗？

Shadow IT:
CSA（Cloud Security Alliance）将Shadow IT定义为“为企业IT部门以外所发生的技术投入和部署，包括个别员工、团队和业务部门所才采用的云应用程序”。

上述大部分都是云安全相关的问题。那么，云安全本质是什么？云安全产生的根源是什么？

云计算是IT领域的一场伟大变革。经过近年来的云技术的探索和普及，越来越多的企业开始接受并向云计算转型，各种业务系统从本地数据中心迁移到云上，企业也随之部分地失去了对应用及数据的安全控制权。为什么这么说呢？因为从使用本地部署到使用云服务的转变中，安全责任模式发生了深刻的变化：过去使用本地部署的时，企业对应用及数据具有完全的控制权，并完全承担安全责任；现在使用云服务的时候，安全责任演变为“责任分担模式”；在这种模式下，云服务提供商和云服务使用者共同分担云安全责任，请参考下图：

在安全责任模式的转变中，无论是对于云服务提供商，还是对于云服务使用者来说，主要的挑战在于：

1、过去采用传统的安全防护措施在现在的云服务范围内已经失效，或者无法充分发挥作用，亟待需要创新的安全防护手段；

2、在云服务提供商和云服务使用者的“责任分担模式“下，云服务使用者与云服务供应商之间的”构建互信“是很重要的一环。在云使用者亟待需要创新的安全防护手段的同时，作为云服务提供商，如何向云服务使用者提升云服务的可见性，如何助力云服务使用者加强对云中的应用及数据的安全控制，这也是云服务提供商亟待解决的问题。

从上面的分析中，不难总结到：

云安全最基础和最重要的能力是云服务的可见性和集中管控。云服务的可见性表明云服务提供商更好地帮助云服务使用者加强对云中的应用和数据的安全控制，增进互信；集中管控体现出在“去中心化”前提下，使用多种云、混合云的情况下的“服务分散化，管控集中化”的创新要求。

如何迎接挑战？如何破解难题？找准“抓手“很关键。在“责任分担模式”下，安全责任被分为了两个主体：云服务使用者和云服务提供商。如果我们能将这两个主体之间的通道“打通“，增进两个主体之间的”彼此互信“，挑战和难题将迎刃而解。

CASB正是在这样的思路上的应运而生。通过提升云服务的可见性和加强集中管控，“打通“云服务提供商和使用者两个主体之间的通道，破解了“责任分担模式”下云安全的挑战和难题。

那让我们看看CASB是什么？

CASB（Cloud Access Security Broker）云访问安全代理作为部署在云服务提供商和使用者之间的“经纪人”， 当云服务的资源被连接访问使用时，能够实现集中的可嵌入式的企业安全策略。这些安全策略包括：认证、单点登录、授权、证书映射、设备分析、加密、凭证化、日志、告警、恶意软件侦测/阻断等。

CASB是Gartner在2012年推出云安全的概念，近年来以CASB为核心的云安全技术快速发展，CASB已经被Gartner认定为2016年十大信息安全技术之首。同时，我们也看到，更多的云服务拥抱CASB来迎接云安全的挑战；Gartner预测到2020年会有85%的大型企业客户将会使用CASB来加强云安全。由此可见CASB将会成为云计算发展趋势下的刚需。

Oracle CASB 一马当先

任何一家科技领域的领先企业，都离不开持续不断的技术创新。甲骨文公司正是这样的一家。在过去的2016年财年，甲骨文的研发投入高达58亿美金，平均每周多达一亿美金，这也彰显了甲骨文在云时代延续了强大的创新基因。同时更值得称道的是，甲骨文发力以资本的力量撬动科技的深度融合，通过收购和整合快速地突破市场，服务客户。

Palerra是一家CASB领域的领导厂商，Palerra通过其自动化平台，帮助客户保护承载关键业务的云服务和数据安全。Palerra的产品提供了可见性、监控、访问控制、威胁侦测和敏感数据保护等功能。Palerra成立于2013年，提供了覆盖IaaS/PaaS以及SaaS和客户软件的CASB综合解决方案。2016年9月，Oracle在全球大会上宣布收购Palerra；Oracle通过收购Palerra拓展进入云安全领域，并迅速成为CASB的领导厂商之一。

如下图所示，Oracle CASB不仅提供了对IaaS/PaaS/SaaS各个层面的云安全服务，还提供了客户在云中自建应用的云安全服务。Oracle CASB全程保护你正在使用的云服务，提供可见性、集中管控和深入安全分析、快速侦测异常访问、实现安全事件流转和威胁分析等，并解决Shadow IT的业界难题。

Oracle CASB云服务在全球拥有众多的客户群体，这些客户都正从Oracle CASB云服务中受益。近期在微信朋友圈中流传着透过享用火锅、购买手袋来认识云服务的“热文“；那不妨我们也透过认识Oracle CASB的客户，开始了解Oracle CASB。Levi’s的牛仔裤很多朋友或多或少都会有一条放在衣柜里面；Disney的上海乐园或许放在了很多朋友的家庭旅游清单里面；而Vmware的虚拟机的镜像存在过不少朋友的电脑硬盘上；同时，还有更多这样的家喻户晓的客户都正在使用Oracle CASB来保护其云安全。

Oracle CASB 卓尔不群

一、基于API，快速部署/非侵入式安装

过去几年时间里，在CASB实现上，存在着基于API技术和基于Proxy的竞争。两种技术有一些共同的优点，但从现在的情况来看，基于API的CASB具有更多优势。为什么这样说呢？云计算的发展初期，云服务提供商没有意识到云服务可见性对用户的重要性，大部分没有对外提供API，所以早期的CASB不得不采取在用户的云服务上安装代理的方式来实现；随着云服务的可见性的呼声高涨，云服务提供商逐渐对外提供API，并成为业界标准，从而CASB可以基于API技术来实现。Oracle CASB正是一种基于API的创新型云访问安全代理。Oracle CASB基于API技术带来的独有的优势在于：

1、无需硬件，无需安装软件，无需启用代理，在5分钟内完成部署；

2、对用户的云服务没有性能的负面影响，不存在代理技术中可能的兼容性问题。

基于API技术的优势也不难理解，如果是基于Proxy代理技术，需要为云服务安全代理，安装的代理很可能带来潜在的隐患；另外，如果是在多云体系环境中，需要为多种云服务安装代理，部署的过程更为复杂和耗时。