CASB为您的SaaS应用程序提供了必备的保护
通过汤姆·亨德森
有个足球雷竞技app |
每个网关应该服务大约5,000个用户,我们警告这是一个未经测试的数字;或多或少。
我们可以添加网关设备的冗余,在我们的网络运营中心,或将其分配给分公司,或者它的存在从控制,管理是有道理的位置,以及通信,需要的角度。虚拟机从后面,用户登录到所需的云资源的网络路径放置,通过VPN并通过网关的意义。除非一个人这样做,什么情况是,他们可以直接访问SaaS /云资源,但数据在SaaS的/云目的地是加密的,并且是不可用的,直到有人数字如何解密AES-256。
要使CipherCloud或任何其他CASB管理系统工作,必须有几个级别的工作人员,包括联网、安全、DLP/资产管理、生产实例管理和帮助台支持。反向代理机制监视exfilter和策略违反。有大量的操作/条件选择,从cold停止到提供存根访问以替代不正确存储的数据。
CCTP不需要加密所有内容,如果需要的话,只加密相关字段。如果设置为加密整个离散文件,则来自这种加密形式的数据不能用于搜索。您使用自己的密钥,而CipherCloud不保存它们。这意味着您可以生成自己的密钥,并/或使用证书颁发机构来生成适当的密钥。
安装之后,密钥会对您选择的内容进行加密。例如,当我们通过驻留在AWS中的测试网关VM测试Salesforce时,我们可以打开Salesforce实例数据库模式,并选择要加密的字段。当我们试图直接访问数据时,故意绕过网关,结果完全是胡言乱语。对乱码进行排序会产生更多的乱码,因为呈现的加密文本是UTC-8字符。如果我们在网关密钥存储库外拥有密钥,那么我们就能够解密数据——如果我们还需要任何可选的令牌来进一步将数据解散到有意义的状态的话。Salesforce域和应用程序因此可以接受DLP方面的外科治疗。
整个Salesforce数据库可以加密,但实际上并不需要加密,除非每个字段都必须加密以符合法规要求。如果有不同的Salesforce Org,每个Org实例都可以加密,包括在线Salesforce应用程序。对于单点登录,我们直接使用了CipherCloud,但是也可以通过Active Directory联合服务或其他SSO机制进行连接。
CCTP通过我们认为是精明的密钥存储库银行和管理来管理这些,这样就可以同时管理多个应用程序。安装后,密钥在CCTP VM网关上进行管理,因此,允许对数据进行权限分区。SafeNet的KeySecure被支持作为第三方密钥存储,但我们没有对此进行测试。由于管理员分为系统管理员、关键管理器和云应用程序管理器,因此可以将关键管理器功能作为一种功能保持意识形态上的不同。这很方便。
关键分离是用于地理定位数据到不同的帝国。例如,欧洲分公司使用的数据加密方式与芝加哥分公司不同。这样做的成本很低,因为网关的冗余不会增加成本,因为价格与每个用户相关,所以分支机构、业务单位、国家管理的实体都可以拥有自己的网关。
初始密钥分发和更新/更换方式进入每个网关复制的基础设施。后续升级(我们没有尝试这个)允许前设备(一个或多个)内部署更新的预演。
数据通过网关运行可以有特定应用的元组处理,如这些:AES电子邮件地址加密,AES电子邮件中转加密,AES加密为字母过滤,AES文件流加密,AES长度限制加密,AES公司电话加密,AES搜索和排序加密,AES搜索和排序加密(FIPS模式),AES的Web URL加密,按字母顺序筛选标记生成器,电子邮件地址标记生成器,电子邮件中转标记生成器,文件名标记生成器,长度限制标记生成器,电话号码标记生成器,搜索和排序标记生成器,无国籍AES字母数字加密,无国籍AES颤振加密,无国籍AES加密,搜索,无国籍AES加密,而不搜索,无国籍AES前缀保留加密,无国籍AFPE,无国籍AFPE对于字母过滤,无状态颤振URL加密,无国籍电子邮件地址加密,无国籍电子邮件中转加密,无国籍功能保留混合AES加密,无国籍长度Restric婷加密,无国籍保序哈希加密,无国籍部分现场加密,无国籍部分现场混合AES加密,无国籍电话号码加密,无状态的Web URL加密,静态看点标记生成器,静态颤振URL标记生成器,静态日期标记生成器,静态电子邮件地址标记生成器,静态长度限制标记生成器,静态数量标记生成器,静态偏场标记生成器,静态每字标记生成器,静态电话号码标记生成器,静态URL标记生成器,URL标记生成器。
不,我们没有测试所有的人。此外,还包括反恶意软件和反病毒流检查。
该断词被标记化哈希旨在保持数据本地,因此只需要使用一个加密密钥,但为了管辖权的目的对数据进行分区,以便国际分支机构能够通过管理生成的令牌遵守数据导出约束。
策略可以基于这些领域的变化的过滤。有一个内嵌的防病毒/反恶意软件的应用程序,在所有的作品无论是全系统的,还是不行。网关及其关键是组织使用受保护的SaaS资源的完全至关重要的,这意味着门户需要既复制和备份 - 从通信的角度来看,构成公司的关键的关键路径。没有接入到网关的手段:帮助台着火。
如果您相信秘密酱汁,在我们看来,最强大的密云酱汁就是它使用无状态/有状态的AES加密方差。这意味着密云可以使用深度交通检查技术和过滤策略驱动的功能障碍(指示数据溢出/滥用),从而违反策略。可以检查许多类型的字段以寻找模式匹配,当找到匹配(命中)时,CipherCloud记录正在发生的事情,并且可以通过策略暂停,或者在数据缓存到其他地方时放置表示数据的墓碑。
这是额外的成本来发挥作用:如果你不与警告处理,组织的合规正处于危险之中。如何每个组织涉及警告和政策是由组织的最佳实践,并CipherCloud让我们对变化的情况下如何从管理和政策角度处理建议。
缺点是,对于预先加密的数据流,由于密云没有密钥可以在组织内部渗透/泄露,所以密云并不是一个完美的防火墙,但大多数防火墙都不能阻止这种活动。我们还认为,对于较小的组织来说,密云的作用可能过大。
总之,CipherCloud预示着用户,管理员和SaaS应用程序之间的亲密关系。这是一个复杂的平台,而不是一个简单的任务。我们喜欢它的加密基础设施,其检查加密流量的能力。它不包括潜在的SaaS应用程序的数量不受限制,但覆盖的应用程序的名单令人印象深刻。