CASB为您的SaaS应用程序提供必备保护

1 2 3 4 Page 2
第2页,共4页

每个网关应该为大约5,000个用户提供服务,我们提醒您,这是未经测试的数字;可能会或多或少。

我们可以在网络运营中心中添加网关设备的冗余,或者将其分发到分支机构,或者从控制,管理和通信需求的角度考虑其存在意义的位置。 VM从网络路径放置在用户登录到所需云资源之后的网络路径,这意味着通过VPN和网关。除非这样做,否则它们将可以直接访问Saas /云资源,但是数据在SaaS /云目标位置已加密,并且无法使用,直到有人弄清楚如何解密AES-256。

要使CipherCloud或任何其他CASB管理系统正常工作,必须有多个级别的职员职能部门,包括网络,安全性,DLP /资产管理,生产实例管理和帮助台支持。反向代理机制会监视渗透和违反政策的情况。有大量的操作/条件选择,从停止冷却到提供存根访问,以替代不正确存储的数据。

CCTP不需要加密所有内容(如果需要),只需加密相关字段即可。如果设置为加密整个离散文件,则这种加密形式的数据不能用于搜索。您使用自己的密钥,而CipherCloud不会保留它们。这意味着您将生成自己的密钥,和/或利用证书颁发机构来生成适当的密钥。

安装后,密钥会加密您选择的内容。例如,当我们通过驻留在AWS中的测试网关VM测试Salesforce时,我们可以打开Salesforce实例数据库架构,然后选择要加密的字段。当我们尝试直接访问数据(故意绕过网关)时,结果完全是乱码。由于呈现的加密文本采用UTC-8字符,因此对乱码进行排序会产生更多乱码。如果我们在网关密钥库之外拥有密钥,那么我们将能够解密数据-如果我们还具有将数据进一步散列为有意义的数据所需的可选令牌。因此,Salesforce域和应用程序可以接受DLP手术治疗。

可以对整个Salesforce数据库进行加密,但实际上并不需要,除非必须对每个字段进行加密以符合法规要求。如果有不同的Salesforce组织,则可以加密每个组织实例,包括在线Salesforce应用程序。对于单点登录,我们直接使用了CipherCloud,但可以通过Active Directory联合身份验证服务或其他SSO机制进行连接。

CCTP通过我们认为是精明的密钥存储库银行和管理来管理此问题,因此可以同时管理多个应用程序。密钥在安装后在CCTP VM网关上进行管理,因此,可以对数据进行权限分区。 SafeNet的KeySecure作为第三方密钥库受支持,但是我们没有对此进行测试。由于管理员分为系统管理员,密钥管理员和云应用程序管理员,因此密钥管理员功能在功能上可以保持意识形态上的区别。这很方便。

密钥分隔用于将数据地理定位到单独的帝国中。例如,欧洲分支机构可以使用与芝加哥数据不同的加密数据。这是低成本的,因为网关的冗余又不再花费,因为定价与每个用户相关,因此分支机构,业务部门,国家/地区管理实体可以各自拥有自己的网关。

初始密钥分发和更新/替换意味着进入每个网关以复制基础结构。随后的升级(我们没有尝试过)可以在设备中进行部署之前先进行试运行。

通过网关运行的数据可以具有特定于应用程序的元组处理,例如:AES电子邮件地址加密,AES电子邮件中继加密,用于按字母顺序过滤的AES加密,AES文件流加密,AES长度限制加密,AES电话号码加密,AES搜索和排序加密,AES搜索和排序加密(FIPS模式),AES Web URL加密,字母过滤令牌,电子邮件地址令牌,电子邮件中继令牌,文件名令牌,长度限制令牌,电话号码令牌,搜索和排序令牌,无状态AES字母数字加密,无状态AES颤动加密,带搜索的无状态AES加密,无搜索的无状态AES加密,无状态AES前缀保留加密,无状态AFPE,用于字母过滤的无状态AFPE,无状态的Chatter URL加密,无状态的电子邮件地址加密,无状态的电子邮件中继加密,无状态保留功能的混合AES加密,无状态长度限制ting加密,无状态订单保留哈希加密,无状态部分字段混合加密,无状态部分字段混合AES加密,无状态电话号码加密,无状态Web URL加密,静态Chatter令牌生成器,静态Chatter URL令牌生成器,静态日期令牌,静态电子邮件地址令牌,静态长度限制标记器,静态数字标记器,静态部分字段标记器,静态每个单词标记器,静态电话号码标记器,静态URL标记器,URL标记器。

不,我们没有全部测试。还提供反恶意软件和反病毒流检查。

标记器是旨在保留数据的标记化哈希 本地,因此一个人仅需使用一个加密密钥,但出于管辖目的就可以对数据进行分区,以便国际分支机构可以通过管理生成的令牌遵守数据导出约束。

策略可以基于这些字段来进行不同的过滤。有一个嵌入式防病毒/恶意软件应用程序可以在整个系统范围内运行,也可以根本不运行。网关及其密钥对于组织使用受保护的SaaS资源至关重要,这意味着网关既需要复制又要进行备份-从通信角度来看,网关是组织的关键途径。无法访问网关意味着:服务台着火。

如果您相信秘密调味料,那么我们估计最强的CipherCloud调味料就是它使用无状态/有状态AES加密差异。这意味着CipherCloud可以使用深度流量检查技术并针对策略驱动的功能失调进行过滤,以指示数据泄露/滥用-从而违反策略。可以检查许多类型的字段以查找模式匹配,找到匹配(命中)后,CipherCloud会记录正在发生的事情,并且根据策略可以暂停,或者在数据缓存到其他位置时放置代表数据的逻辑删除。

这是产生额外费用的地方:如果您不处理警告,则组织的合规性将受到威胁。每个组织如何处理警告和政策取决于组织的最佳做法,CipherCloud从管理和政策的角度为我们提供了有关如何处理各种情况的建议。

不利之处在于,对于预先加密的数据流,CipherCloud尚无要在组织内渗透/渗透的密钥,因此CipherCloud并不是理想的防火墙,但是大多数防火墙都无法阻止此类活动。我们还认为,对于较小的组织而言,CipherCloud可能会显得过大。

总之,CipherCloud预示了用户,管理员和SaaS应用程序之间的紧密关系。这是一个复杂的平台,而不是简单的工作。我们喜欢它的加密基础结构,以及检查加密流的能力。它并没有涵盖无限数量的潜在SaaS应用程序,但是涵盖的应用程序列表令人印象深刻。

1 2 3 4 Page 2
第2页,共4页