CASB为您的SaaS应用程序提供必备的保护

以前的 123.4 第4页

Netskope

Netskope平台使用Active Directory、单点登录或SSO代理机制引导流量通过客户的Netskope云网关设备。根据云应用程序的工作方式，Netskope CASB可以充当云应用程序目的地的正向代理、标记器和/或反向代理。某些云应用程序，如Office365，可能需要所有三种交互，具体取决于Netskope构建中选择的“子应用程序”类型。

为了账单的目的，该功能被划分为产品的渐进式梯度。您可以从简单的日志发现开始，了解哪些云应用程序正在被使用、被谁使用、何时使用，也许还有正在做什么。你可以将规则作为下一个渐变。您可以添加重要的DLP，然后添加加密功能和恶意软件过滤。或者你可以买全套套餐，这是我们测试过的。

与其他CASB产品一样，Netskope也深深地融入到您的基础架构中。Netskope CASB过程中使用了三个主要组件，包括本地网关设备、特定于组织的云管理门户以及可能的客户端代理。虽然不需要客户端代理，但它们在存在时将提供更大的访问权限。门户可与客户端代理和浏览器加载项一起使用，也可不使用它们。

SSO可以是一个Active Directory链接，也可以是另一个理解SAML2.0的SSO服务，几乎所有的SSO服务都理解SAML2.0。Netskope以“合作伙伴”的身份与多个SSO提供商建立了关系。SSO作为代理身份验证程序连接到Netskope，然后由SecureForwarder VM（本身基于Ubuntu服务器平台）管理对话。

CASB控制在我们通过转向交通机制描述的梯度中断言。流量通过SecureForwarder设备（或多个设备，取决于选择部署的体系结构）进行控制。我们使用一个网关进行测试，但其他网关可以在某种程度上自主工作，事实上，您可以对地理控制使用不同的加密。

访问可以通过支持浏览器的代理实现，也可以通过Netskope网关在移动设备上实现。我们发现，当移动设备处于控制之下(例如通过网关路由)时，可以使用最大的功能。当使用非托管设备进行访问时，由管理员根据云应用程序决定是否允许访问，如果可能(根据云资源的特性)可访问性意味着控制和访问。

网关交互通常通过SecureForwarder虚拟机/软件设备来实现，但由于它是基于Ubuntu Server的，所以它也可以作为一个离散服务器部署。我们在测试中安装了SecureForwarder设备。我们发现文档有些不足，但最终能够通过Active Directory Federation Services和Windows WSAdmin将SecureForwarder连接到我们的云测试资源。说到这里，Netskope似乎很想帮助我们。

许多支持的云应用可以有额外的DLP规则应用于它们，包括一个重要的规则:如果我们不能检查数据，调用一个规则来隔离/监禁由管理类型(其中有三个级别)处理的负载。这可能是在文件级，或者在字段级，或者我们发现设计使用FINREG或HIPAA数据字段检查，包括“类似这样的东西，类似那样的东西”逻辑。这种可能性是广泛的，将管理时间投入到精明的设计中可能会得到很好的回报。我们发现可以理解过滤器的设计和部署。

在执行过程中，Netskope内省是一个高度可编程的管理机器人式代理进程，它使用前面提到的DLP规则和特定于支持的云应用程序的触发器扫描支持的应用程序以查找数据。由于它没有CipherCloud那样强大的加密能力，因此它有非常灵活的规则，这是Unix/Linux程序员所熟悉的。

在将SecureForwarder VM安装到VMware基础上后，我们连接了Active Directory，还连接了Office365云服务的WSAdmin服务。这是一个简单的三步过程。客户端访问是透明的；我们通过一个代理Office365连接的浏览器代理实现了这一点。当我们安装了安全转发服务后，我们构建了一个基于Ubuntu的虚拟机平台，该虚拟机有三个端口：管理、输入/入口和输出/出口。DNS基础设施需要处于最佳状态，才能使方案正常工作。

一旦与Netskope门户进行通信，就可以让Netskope检查本地日志文件，从中提取关于应用程序通信、源和大多数目的地的信息。它现在是一个入侵者，目标应用需要的转发或反向代理。

可以对Box、谷歌Drive、One Drive、SharePoint、Dropbox、Salesforce、Egnyte和Service Now等应用程序进行“内省”。我们没有看到延迟，但我们也没有达到2000个并发的不同的超级用户，而且我们的网络连接很快。它们的基于云的代理是负载平衡的，并且可以基于速度或管辖归属到特定的GoSkope处理站点。

在线门户中一个名为Skope IT的功能包含平台的报告神经系统。在内部，我们可以查看应用程序和连接事件，以及审计和基础结构日志。需要管理操作的事件或条件很容易找到，并且可以按日期、用户、用户位置或活动进行排序。

事件、警报、隔离项目、法律封存、恶意软件查找和事件（及其严重性）可以通过排序或查询字段操作的结果轻松找到。这可能是Netskope最好的“秘密酱汁”——可快速使用且明显的行政行为。

在顶级“全餐交易”资源许可中，我们还可以访问Netskope正在进行的关于特定云应用评级的研究。作为其审计能力的一部分，Netskope对大量云应用程序（取自日志）进行了评级。还可以根据组织对所用价值的重新估计对该列表进行重新评级，以便根据新的评估得出评级。

这允许基于随后派生到资源的评级对访问故意施加管理阻塞和限制。这是Netskope引以为豪的地方，我们惊讶地看到一些知名云应用程序的评级是这样的——一些高度安全，另一些我们认为高度安全，但不是。您可以深入到这些值并决定更改它们。如果我们有一个法律部门，我们可能会和他们争论收视率，他们可能会赢。

总的来说，Netskope是一个越来越复杂的菜单，如果你选择了他们服务员提供的所有课程，考虑一下架构，然后对其进行编程以满足你的需要，这是一顿极好的CASB晚餐，最后的账单可能会很高。

总结

CipherCloud代表了加密机制的极端深度。Netskope具有很高的可编程性，并与Bitglass共享，非常好的管理控制。如果我们提供一个建议，说明哪一个是最灵活的，云应用保护的种类最多，Netskope几乎无法与竞争对手抗衡，但开箱即用，Bitglass可能是获得合理保护的最快途径。

每个产品还依赖于第三方平台，如SSO、外部DLP提供商和组织防火墙/IDS/IPS方案/威胁保护等，以相互协作。传统的防火墙和安全供应商是否会将CASB纳入其中，还是会反过来呢?在这一点上，我们不提供猜测。CASB很可能是一个类别，因为它必须快速发展才能跟上云应用，所以很可能会消化其他类别。

我们如何测试云访问安全代理

我们使用了印第安纳波利斯权宜之计NOC的服务器资源，包括HP、联想和Dell平台上的若干VMware和Hyper-V服务器，作为审查中所述网关虚拟机的主机。反过来，我们访问了Salesforce的帐户（包括AWS云中的一些产品赞助帐户），以及Office365和Box，以用作概念验证示例。

我们的电路包括NOC中的Windows虚拟机，通过我们的Extreme Summit系列10GB交换机，到达Expedient的网络核心。这些连接也作为我们的VPN的代理，以及运行在我们实验室的Windows和Mac客户端，通过Comcast宽带电路连接到NOC。

我们将配置设置为概念证明，以了解安装和管理应用程序所需的管理过程，并在所选应用程序中至少存储一条记录。在初始安装之后，我们在尽可能多的配置中检查和/或尝试了尽可能多的功能。

汤姆·亨德森经营着印第安纳州布卢明顿市的ExtremeLabs厨房-sink@extremelabs.com。