云安全领域，应了解的标准和方案

随着企业越来越重视云计算的使用，安全问题也愈发受到关注。Gartner发布报告称，全球云安全服务将保持强劲增长势头，在2017年达到59亿美元，相比2016年增长21%。云安全服务市场的整体增速高于信息安全总体市场。Gartner预计，云安全服务市场将在2020年接近90亿美元。企业倾向于使用多种不同的平台——公有、私有和混合云，这意味着监视数据、检测异常和发现不同服务的不良行为可能很难。

对于信息安全不算成熟的组织来说，原生云服务商所提供的安全性对组织自身来说是一种提升。而对于信息安全非常成熟的组织来说，原生云的安全性可能不够，这也是为什么企业更喜欢使用额外的云安全层和解决方案来改善他们对云工作负载的安全覆盖的原因了。这一需求正带来云安全工具的增长，这些工具监控着在云及云平台之间移动的数据。比如那些旨在识别云中的数据欺诈、未经授权的下载和云中的恶意软件的工具。本文将对现在安全领域的标准和方案做一个介绍，挂一漏万，希望通过阅读本文对云安全领域的标准和方案有初步的了解。

安全信息和事件管理（SIEM）产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据，并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。典型应用场景：SIEM产品或服务可以用于过滤电子邮件，搜索关键词和发现安全漏洞。SIEM软件产品和服务结合了安全信息管理（SIM）和安全事件管理（SEM）。

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。当WEB应用越来越为丰富的同时，WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生, 与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。有许多商业的WAF产品，都具有类似的功能，主要的差异体现在特定环境中的用户界面，部署选项或要求等方面。

企业移动管理（EMM）是一组流程和技术，专注于在业务环境中管理移动设备，无线网络和其他移动计算服务。EMM的目标是保护数据以及控制企业数据如何在应用间流动，从而保障数据处于静止和移动状态的安全。随着越来越多的员工购买智能手机和平板电脑设备（BYOD），并寻求在工作场所使用这些设备的支持，EMM已经变得越来越重要。

DLP软件可以检测潜在的数据泄漏/数据过滤传输，并通过在使用（端点动作），运动（网络流量）和休息（数据存储）中监视，检测和阻止敏感数据来防止它们发生。在数据泄露事件中，敏感数据由恶意或无意的错误向未授权方披露。敏感数据包括私人或公司信息，知识产权（IP），财务或患者信息，信用卡数据和其他信息。术语“数据丢失”和“数据泄漏”是相互关联的，通常可互换使用。

多因素认证（MFA）是一种计算机访问控制的方法，只有在成功向身份验证机制提交几个单独的证据之后才允许用户访问， 保证企业网络访问的安全、保护用户身份资料，以及确保用户没有被盗用。 随着对云应用程序和移动设备的商业需求越来越多，伴随的风险越来越大，以及组织削减成本的需要，为访问控制带来了全新的问题。所谓“多因素”通常有以下三个类别：

你知道的东西 – 密码或 PIN；

你拥有的东西 – 令牌或智能卡；

你自身的东西 – 生物特征，如指纹、脸部特征。

MFA是一种简单有效的最佳安全实践方法，它能够在用户名和密码之外再额外增加一层安全保护。MFA设备可以基于硬件也可以基于软件。多因素认证安全需要登录时提供多种识别方式，所以被公认为数据和应用程序访问授权的最安全软件身份认证方法。

Gartner最早在2009年给NGFW定义：必须有标准的防火墙功能，如网络地址转换，状态检测，VPN和大企业需要的功能如：入侵防御、行为管理等功能。NGFW下一代防火墙需要安全厂商不断的关注IT环境和客户需求的变化、持续专注的技术积累及创新，而厚积薄发的产品成果。

UEBA用户实体行为分析它的前身是用户行为分析(UBA)，最早用于购物网站上，通过收集用户搜索关键字，实现用户标签画像，并预测用户购买习惯，推送用户感兴趣的商品。而这项技术很快就被移植到网络安全领域。2014年，Gartner发布了用户行为分析(UBA)市场定义，UBA技术目标市场聚焦在安全(窃取数据)和诈骗(利用窃取来的信息)上，帮助组织检测内部威胁、有针对的攻击和金融诈骗,随着数据窃取事件越来越多，Gartner认为有必要把这部分从诈骗检测技术中剥离出来，于是在2015年正式更名为用户实体行为分析(UEBA)。在安全领域，UBA/UEBA关注的是人而不是物,它通过机器学习来发现高级威胁，实现了自动化的建模，相比于传统的(安全管理中心)SOC/(安全信息与事件管理)SIEM，其在发现异常用户行为、用户异常行为等方面具备了非常高的“命中率”。听起来很复杂，但要理解UEBA也很简单，因为它聚焦于两点：特权账号盗用(异常用户)，合法的人做不合法的事(用户异常)。

CASB由Gartner在2012年提出，并很快成为云安全领域的关注焦点。简单来说CASB是部署在云服务使用者和云提供商直接的代理，CASB能够嵌入安全策略，通过整合云服务发现和评级、单点登录、设备/行为识别、加密、凭证化等多种安全技术，在云上资源被连接访问的过程中加以监控和防护。Gartner指出了CASB的四大功能，分别是：可视化（Visibility），合规性（Compliance）,数据安全（Data Security）以及威胁防护（Threat Protecction）。

可视化：CASB提供对企业内使用云服务的使用人员、客户端设备以及使用情况，提供集中化视图，对异常行为进行检测、阻断和记录，避免了Shadow IT的存在。

合规性：CASB帮助企业IT系统往云上迁移后，仍然能满足合规性要求，并对云服务商进行信任评级、提供平内容监控、设计日志等功能。

数据安全：CASB结合了人员、设备、内容和应用多个维度，提供DLP、加密、凭证化等数据安全保护，防止云端数据泄露。

威胁防护： CASB可以提供云服务商基础设施威胁防护之外的一些关乎企业用户自身的特定威胁，诸如账户劫持问题。CASB可以帮助企业对进出云上的数据、用户访问云服务资源行为进行监控，及时发现威胁并且做出防御。

甲骨文 CASB 云服务通过自动化的安全监控保护企业组织的整个云端环境。这是一项开创性的，基于API的云应用访问安全代理（CASB）服务，它简化了安全基线的配置，弥补了安全设置的偏差，通过对用户行为分析来检测异常，覆盖多个不同的云服务厂商进行综合防范安全威胁。甲骨文CASB云服务是业界唯一一个可以在5分钟内完成部署的CASB产品。

具有机器学习能力的甲骨文CASB监控用户行为并寻找云应用的异常使用情况。 CASB通过监控所有用户和服务帐户活跃度来为每个用户制定标准行为的基准。Oracle CASB 云服务中的用户行为分析（UBA）已经超越了单纯的不一致性，例如，在短时间内从不同地区登录。相反，Oracle CASB 云服务构建了基于各个用户和应用程序的典型行为的基准，并记录了用户偏离基线的时间和方式。有预测性地分析识别有风险的用户，例如更改文件夹权限，更改用户权限或更改配置设置等行为。

Oracle CASB云服务保护面向员工的SaaS应用程序，同时也保护IaaS和PaaS服务的基础平台。它提供了整个云环境的全面视图，包括所有用户和设备。您的企业不需要在每个应用程序中手动逐个调查事件，而是可以快速识别多个云服务中的威胁，并采取补救措施来解决问题的根源。 Oracle CASB云服务还具备更高级别的挖掘发现Shadow IT问题的优势。除了揭露员工下载的未经授权的SaaS应用程序外，Oracle CASB 云服务还能将之前从企业应用商店下载的未知应用以及定制化应用程序显露无遗。

了解更多，敬请关注甲骨文开发者社区......