隨著企業大規模遷移至雲端,傳統邊界防禦已不足應對新型威脅。CASB(Cloud Access Security Broker)作為用戶與雲端服務之間的安全策略執法點,成為現代企業不可或缺的雲端安全核心。
CASB 是什麼?四大核心支柱解析
CASB 部署於企業用戶與雲端應用之間,攔截並管控所有雲端流量。其架構奠基於四大支柱:可視性(Visibility)讓企業全面掌握影子 IT 與未經授權的雲端服務使用情況;資料安全(Data Security)透過 DLP 政策防止敏感資料外洩;威脅防護(Threat Protection)偵測異常行為與惡意軟體入侵;合規性(Compliance)確保雲端環境符合 GDPR、HIPAA 等法規要求。四大支柱相互協作,構建完整的雲端安全防線。
CASB 的三種部署模式與應用場景
CASB 提供三種部署模式以適應不同企業需求。API 模式直接整合雲端服務 API,適合掃描靜態資料與稽核歷史記錄,無需改動網路架構。正向代理(Forward Proxy)搭配端點代理或 PAC 檔設定,即時攔截受管裝置的雲端流量。反向代理(Reverse Proxy)則無需安裝代理程式,適用於 BYOD 與非受管裝置場景。企業通常採用混合部署策略,結合 API 與代理模式,同時覆蓋受管與非受管裝置,最大化防護範圍。
💡 重點整理
- 影子 IT 管控:CASB 可發現並評估員工私自使用的未授權雲端服務風險。
- 資料外洩防護:透過 DLP 規則偵測敏感內容(如個資、信用卡號)上傳至雲端。
- 零信任整合:CASB 與 ZTNA、SWG 共同構成 SASE 架構的核心安全元件。
- 合規稽核:自動產生存取日誌與合規報告,大幅降低法規審查成本。
CASB 已從單一工具演進為 SASE 框架的核心元件。企業導入 CASB 時,建議優先釐清受管裝置比例與主要合規需求,再選擇最適合的部署模式,才能以最小成本獲得最大安全效益。
📚 參考文獻
- Gartner — Market Guide for Cloud Access Security Brokers(CASB 概念原始定義來源):gartner.com
- Microsoft — What is a Cloud Access Security Broker (CASB)?:learn.microsoft.com
- CISA — SASE and Zero Trust Architecture Guidance:cisa.gov
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言