云访问安全代理(CASB)是一种位于企业用户与云服务提供商之间的安全策略执行点，用于监控、控制和保护云环境中的数据与应用。随着企业加速上云和移动办公的普及，CASB成为解决云安全风险的关键工具。

云访问安全代理(CASB)可通过三种方式实现：正向代理、反向代理和API扫描。这三种架构各有不同，适用于不同场景，但可相互补充以全面提升云环境安全性。

本指南将深入解析正向代理、反向代理和API扫描的部署机制，并探讨CASB架构的核心组件与工作原理。

正向代理架构

正向代理部署的架构核心是拦截出站流量、执行深度包检测、管理SSL/TLS证书，以及应用过滤或阻断机制，以此执行安全策略并保护敏感数据。正向代理CASB架构的核心组件是网关服务器，它配置在客户端的本地环境中。作为代理服务器，它位于企业内部网络和互联网之间，所有出站流量都要经过它。主要执行以下功能：

• 深度包检测(DPI)：正向代理CASB通过深度包检测，检查经过它的HTTPS网络数据包内容。这使CASB能够对流量进行精细化分析，并检查数据负载中是否存在敏感信息或违反策略的迹象。
• 证书管理：CASB管理SSL/TLS证书，以支持对加密流量(HTTPS)的深度包检测。充当中间人(MITM)，先解密来自用户的入站流量并进行检查，然后在转发到目的地之前重新加密。这就要求CASB为每个用户会话生成并管理SSL/TLS证书。
• 过滤/阻断：在正向代理CASB中，会基于CASB解决方案中预定义的安全策略应用过滤和阻断机制。这些策略可能包括URL过滤(用于阻断对恶意或未授权网站的访问)、应用控制(用于规范特定云服务的使用)，或数据丢失防护(DLP)策略(用于防止敏感信息的传输)。

配置与管理：

• 网关服务器通过CASB控制台统一配置，定期同步策略并收集审计数据。
• 服务器的代理设置可以在单个终端上手动配置，也可以通过组策略对象(GPOs)批量配置。

适用场景：

正向代理CASB实现有助于监控所有被访问的云应用，以及从受管理的企业网络传出的下载和上传活动。正向代理适合以下场景：

• 发现和监控影子应用、已授权应用、未授权但安全的应用，以及未授权且不安全的应用。
• 监控企业网络内所有云应用的访问、上传/下载活动。
• 分析传输中的数据(Data-in-Transit)。
• 受管理设备。

正向代理适合需要深度内容检查、动态访问控制的场景。但需结合反向代理或API模式(即多模CASB)，才能实现对非托管设备、静态数据及云配置的全方位防护。

添加图片注释，不超过 140 字（可选）

反向代理架构

反向代理是一种部署在云服务提供商前方的安全策略执行点，通过拦截并分析用户与云服务之间的流量，实现对云访问的实时监控、威胁防护和数据安全控制。反向代理按应用逐个配置，需与身份提供商(IdP)的单点登录(SSO)服务集成。所有访问官方云应用的流量均被重定向至CASB反向代理服务器(CRPS)，适用于企业账户(无论设备或网络来源)。

核心组件：

构成反向代理架构的主要组件是CRPS和通过身份提供商实现的SSO集成。

• 代理服务器(CRPS)：位于用户与云服务之间，拦截所有请求并执行安全策略(如DLP、访问控制、威胁检测)。
• 身份集成：通常与单点登录(SSO)或身份即服务(IDaaS)集成，强制用户通过统一认证后才允许访问云资源，增强身份验证安全性。

工作流程：

• 请求路由：当客户端尝试访问云应用时，其请求会被架构中部署的反向代理服务器(CRPS)拦截。这些请求不会直接到达云服务提供商，而是通过CRPS重新路由。
• 认证与访问控制：CRPS收到请求后，会采用SSO机制对用户进行认证。认证通过后，会执行企业定义的访问控制策略。这确保只有具备适当凭据和权限的授权用户才能访问云应用。
• 策略执行与审计：CRPS实时实施策略(如阻断数据泄露)，并记录审计日志。

适用场景：

• 监控企业账户的云活动。
• 分析传输中的数据。
• 支持托管/非托管设备(企业内网或远程网络)。

反向代理通过前置流量控制、深度内容检查及动态策略执行，有效解决了云服务的数据泄露与合规风险。其无客户端部署特性尤其适合需覆盖多样化终端的企业，但需注意性能优化与影子IT覆盖的补充方案(如结合API模式)。

添加图片注释，不超过 140 字（可选）

API扫描架构

API扫描架构是云访问安全代理(CASB)的一种核心部署模式，主要通过调用云服务商提供的API接口实现安全管控，与基于代理的CASB解决方案(通过网络代理拦截和重定向流量)不同，基于API的CASB直接与云应用的API集成。这种集成使CASB能够监控和控制企业用户与云应用之间的数据交互，无需重定向网络流量。

核心组件：

• CASB平台：通过API连接云服务(如AWS、Office 365)。
• 云服务API：提供数据访问与操作接口。

工作原理：

API扫描模式不直接拦截用户流量，而是通过云服务商(如AWS、Office 365、Salesforce)开放的API接口异步获取日志、配置信息及数据内容。

• 数据发现与分类：扫描云存储中的结构化/非结构化数据，利用机器学习识别敏感信息(如DLP策略)。
• 配置审计：检查SaaS应用的安全设置(如权限分配、共享策略)，识别配置错误(如公开存储桶、过度授权)。
• 合规性检查：生成审计报告，验证是否符合GDPR、HIPAA等法规要求。

工作流程：

• 持续监控API调用：分析用户对云应用的数据操作请求。
• 静态数据扫描：定期检测云端存储文件，识别敏感信息(如PII、专利数据)。
• 安全策略执行：动态限制数据访问权限；自动加密敏感文件；通过DLP策略阻止数据外泄。

适用场景：

• 分析云账户中的静态数据。
• 控制云应用内的数据访问和共享。
• 检测云环境中的敏感数据(个人身份信息、客户数据和专利等)，并通过加密防止数据渗出和泄露。

API扫描架构适合合规审计、数据静态保护及配置管理，但需结合代理模式或EDR等实时防护技术构建纵深防御。

三种架构对比

正向代理

反向代理

API扫描

监控范围

出站流量

入站流量

云端静态数据

设备支持

仅托管设备

所有设备

所有设备

数据检测类型

传输中(Data-in-Transit)

传输中

静态(Data-at-Rest)

典型用例

阻断个人云数据泄露

控制企业账户活动

扫描敏感文件