云访问安全代理(CASB)通过提供可见性和访问控制,在企业和它们的云服务之间插入安全性,但是IPv6可能会导致一个危险的盲点。
这是因为casb可能不支持IPv6,即使在选择IPv4作为首选协议的企业中,IPv6也可能被广泛使用。
例如,远程工作的终端用户通过IPv6连接的机会比在办公室时大得多。移动运营商集体拥有一个高百分比的IPv6连接用户和宽带居民互联网客户通常有IPv6连接没有意识到。互联网服务提供商和软件即服务(SaaS)供应商都广泛支持IPv6,因此,移动工作者通过Verizon 4G无线服务访问DropBox很可能通过IPv6进行连接。
此外,企业可能会与SaaS提供商和基于internet的应用程序服务签约,这些服务同时使用IPv4和IPv6 internet连接。IPv6现在得到了主要云提供商的支持,这使得企业比以往任何时候都更容易实现支持IPv6的面向internet的web应用程序。
某些casb可能看不到IPv6流量
因此,有意或无意,企业可能会为许多用于公共业务功能的互联网连接使用IPv6。如果企业选择的CASB(发音为caz-bee)只检查和控制IPv4流量,那么这些直接的IPv6连接可以绕过企业的政策,CASB应该执行。如果您的组织选择的CASB只查看IPv4连接,那么盲点中可能潜伏着危险。
企业并不是唯一可能忽视这一危险的企业。Gartner的轮廓功能的四大支柱应具备适合企业部署:
- casb必须为最终用户行为和使用的云服务提供可见性。
- casb应认识到数据分类、数据标记和机密性。
- casb应该帮助组织抵御互联网/云的威胁和恶意行为。
- casb应该提供基于公司政策的云服务使用治理。
这些都是很好的目标,但他们应该扩展到明确包括IPv6:
- casb必须为使用IPv4、IPv6或两者的组合可能发生的连接提供可见性。
- 无论客户的IP地址是什么,casb都应该认识到数据分类、标记和机密性。
- casb应该防止基于internet的威胁,这些威胁可以通过IPv4或IPv6传输,并对任何协议上发生的恶意行为发出警报。
- casb应该根据最终用户或云服务的物理位置所指示的公司策略提供控制和治理,并且应该知道这一点地理位置信息基于IPv4或IPv6地址。
企业可能不会立即在产品或服务中启用IPv6特性。但是,通过购买已经支持IPv6的产品和服务,他们可以按照自己的时间表启用IPv6。