CASB与ZTNA：它们之间有什么区别？

在复杂的网络安全术语中，很容易迷失方向。尤其是当您需要在CASB和ZTNA之间做出选择时，这种困惑会变得更加明显。2020年疫情期间，由于在家办公的普及，这两种技术的使用量大幅增加。即便现在人们已经回到办公室工作，许多企业仍然提供灵活的工作模式。

因此，在这两个选项之间进行选择时，可能会觉得有些过于琐碎了。但实际上，这两者之间存在着明显的区别。Cloud Access Security Broker（CASB）的作用在于充当组织内部基础设施与基于云的服务之间的“守门人”角色；而Zero Trust Network Access（ZTNA）则专注于实现基于身份的、安全的访问方式，无论用户身处何地。

什么是CASB？

云访问安全代理（CASB）能够扩展传统网络边界之外的安全控制范围，它位于云服务用户与提供者之间。这是一种有助于实施组织安全政策的工具，它能够支持数据保护、威胁缓解以及符合各种法规的要求。现在，让我们来看看CASB的一些功能和优势吧：

• 可见性：能够检测并监控那些位于公司网络政策范围之外的云服务和用户。
• 数据安全性：这些工具会扫描并分析数据，从而防止敏感信息的未经授权共享。此外，CASB还能通过加密和其他安全措施来保护在传输和存储过程中的敏感数据。
• 合规性：这有助于确保您的云使用符合诸如GDPR或HIPAA等监管标准。
• 威胁防护:能够检测并隔离云应用程序中的异常行为，比如恶意软件或勒索软件等，这些异常行为可能表明账户已经遭到攻击。这样可以防止这些威胁对组织的云应用程序造成危害。

什么是ZTNA呢？

零信任网络访问（Zero Trust Network Access, ZTNA）是一种安全解决方案，它通过实施严格的安全控制措施来提供安全的远程访问功能。这种解决方案不会默认信任网络内或网络外的任何实体。 ZTNA确保只有在经过严格的身份验证、上下文分析以及政策合规性检查之后，才能授予访问权限。 这意味着，默认情况下，没有任何用户或设备是可信的——即使它们已经处于网络边界之内也是如此。 通过采用这种模式，你可以有效降低网络中被未经授权的人访问或数据被横向移动的风险。

以下是ZTNA的主要特点与优势：

• 安全的云访问：通过实施ZTNA，企业可以限制对云环境及应用程序的访问权限。
• 以身份为中心：访问权限是根据用户的身份、设备以及所处的上下文来授予的，这样只有那些被允许访问的资源才可以被访问。
• 隐藏的基础设施：ZTNA通过帮助组织避免数据泄露和勒索软件等威胁，使得应用程序无法被公众访问，同时限制了公众对这些应用程序的访问权限。
• 合规性：最小权限原则有助于确保企业符合各种监管标准。因为该原则能够确保所有的访问权限都是经过授权的，同时还能控制员工如何使用各种应用程序和数据。

CASB与ZTNA之间的主要区别

虽然这两种技术都是用于 Secure Access Service Edge (SASE) 部署中的常见组件，但它们解决的问题却不同。简单来说，CASB关注的是云应用程序内部发生的情况，而ZTNA则关注的是谁能够进入该系统。

通过将这两者整合到你的网络安全策略中，你就可以同时解决同一问题中的两个不同方面。 虽然ZTNA主要关注于外部环境的保护——即在用户和设备进入系统之前，确保其合法性——但CASB则负责保障用户与云应用程序之间的交互过程的安全性。 换句话说，CASB能够监控云端的使用情况，无论用户是否处于网络边界内。它适用于任何类型的云访问方式，而不仅仅是进入网络后的监控。 这样一来，即使用户被授权可以访问该系统，他们在云环境中的操作仍然保持透明性，同时也会符合您的安全政策。

这种分层式的处理方式意味着，你的网络安全不仅仅体现在登录过程中。当人们使用云应用程序时，网络安全机制仍然持续发挥作用。ZTNA能够控制谁可以访问私有的应用程序和资源，而CASB则可以对云端的使用行为进行管控，从而帮助限制在会话期间可能出现的危险行为以及数据泄露的风险。

CASB（云访问安全代理）

ZTNA（零信任网络访问）

主要关注点

主要目标

可见性

挑战

CASB与ZTNA：应该选择哪一个呢？

在现代商业环境中，在选择CASB和ZTNA时，通常不存在非此即彼的选择。大多数网络安全策略都可以同时利用这两种技术来提升安全性。不过，你的优先事项取决于那些带来最大网络风险的领域。如果你团队主要使用公共的SaaS产品，那么CASB通常就是首要选择。而如果你拥有需要访问公司私有资源的分布式员工队伍，那么ZTNA则通常是合理的首选方案。

何时使用CASB？

• 当你需要掌控局面时 影子IT:CASB能够识别出员工未经许可所使用的那些基于云的应用程序，从而帮助您降低潜在的网络风险。
• 当您需要或希望确保遵守诸如GDPR和HIPAA等法规时：这些安全工具能够帮助您满足严格的数据存储和隐私保护要求。它们能够提供必要的监控机制，从而保护数据安全，并监控对云资源的访问情况。
• 当您需要处理敏感或机密信息时：如果您的团队经常将数据迁移到不同的云环境或在不同云环境之间传输数据，那么CASB可以帮助在数据传输过程中强制执行您的安全政策，从而防止未经授权的访问和数据泄露。
• 当您希望深入了解云资源的使用情况时：它能够清晰地记录下是谁在何时访问了哪些内容，从而更容易及时发现可疑行为。

何时使用ZTNA呢？

• 当您想要替换现有的VPN时传统的VPN服务可能会比较慢，而且往往会让用户过度信任网络。而ZTNA解决方案则能够为用户提供更细粒度的访问权限，使得远程或混合办公环境中的员工只能访问他们真正需要的应用程序。
• 当你想要防止物体发生横向移动时如果网络犯罪分子成功侵入某台设备，ZTNA可以确保该设备被完全锁定。因为网络中的其他设备仍然无法被受攻击的用户察觉，从而大大降低了发生大规模入侵的风险。
• 当您需要提供第三方访问权限时您可以允许承包商或合作伙伴访问特定的内部安全工具，而无需公开整个基础设施。这种按需授权的方式可以保护最敏感的系统不被泄露，同时又能让外部团队继续高效地工作。
• 当您需要实现基于身份的安全机制时如果您希望摆脱基于位置的身份验证方式，那么 ZTNA 可以让您根据用户的身份和设备的健康状况来实施严格的访问控制，而无需考虑用户是从哪里登录的。

随着工作方式转向浏览器平台，网络风险也相应增加了。思博网络 Browser通过提供在浏览器层面的集中式控制与监控功能，来应对这一挑战。它采用零信任原则，通过持续验证身份和设备信息，有效降低了未经授权的访问风险。此外，该浏览器还提供了类似CASB那样的详细监控功能，让管理员能够更清晰地了解自己的安全状况。

总结来说

在CASB和ZTNA之间做出选择时，关键在于你需要保护的内容。CASB负责保护云应用程序中的数据，而ZTNA则负责保护网络的入口。两者结合起来，就能形成强大的云安全防御体系，确保企业的运营能够顺利进行，同时防止数据被他人窃取。