云访问安全代理(CASB)通过提供可见性和访问控制,在企业和它们的云服务之间插入安全性,但是IPv6可能会导致一个危险的盲点。
这是因为casb可能不支持IPv6,即使在选择IPv4作为首选协议的企业中,IPv6也可能被广泛使用。
例如,远程工作的终端用户通过IPv6进行连接的几率比在办公室工作时要大得多。移动供应商集体拥有一个高百分比的IPv6连接用户和宽带住宅互联网用户经常有IPv6连接没有意识到。互联网服务供应商和软件即服务(SaaS)供应商都广泛支持IPv6,所以一个移动工作者通过Verizon 4G无线服务访问DropBox可能很好地通过IPv6连接。
此外,企业可能会与SaaS供应商和基于internet的应用程序服务签订合同,这些应用程序服务同时使用IPv4和IPv6 internet连接。IPv6现在得到了主要云提供商的支持,使得企业比以往任何时候都更容易实现支持IPv6的面向internet的web应用程序。
某些casb可能看不到IPv6流量
因此,有意无意地,企业可能会为许多用于公共业务功能的internet连接使用IPv6。如果企业选择的CASB(发音为caz-bee)只检查和控制IPv4流量,那么这些直接的IPv6连接可以绕过企业的政策,CASB应该执行。如果您的组织选择的CASB只查看IPv4连接,那么盲点中可能潜伏着危险。
企业并不是唯一可能忽视这一危险的企业。Gartner的轮廓四大支柱的功能,CASBs应具备适合企业部署的条件:
- casb必须为最终用户行为和使用的云服务提供可见性。
- casb应认识到数据分类、数据标记和机密性。
- casb应该帮助组织抵御Internet/云威胁和恶意行为。
- casb应该基于企业策略提供云服务使用的治理。
这些都是很好的目标,但他们应该扩展明确包括IPv6:
- casb必须为使用IPv4、IPv6或两者的组合可能发生的连接提供可见性。
- casb应该认识到数据分类、标记和机密性,而不管客户端IP地址家族。
- casb应该防止基于internet的威胁,这些威胁可以通过IPv4或IPv6传输,并对通过任何协议发生的恶意行为发出警报。
- casb应该根据最终用户或云服务的物理位置所指示的公司策略提供控制和治理,还应该注意这一点地理位置信息基于IPv4或IPv6地址。
企业可能不会立即在产品或服务中启用IPv6特性。但是,通过购买已经支持IPv6的产品和服务,他们可以按照自己的计划启用IPv6。