而企業(yè)對于這類問題的解決方案越來越多是通過采用云應(yīng)用網(wǎng)關(guān)，可以自動識別和減輕風(fēng)險(xiǎn)，并消除基于云計(jì)算的服務(wù)經(jīng)常創(chuàng)造的盲點(diǎn)。云應(yīng)用網(wǎng)關(guān)能夠?qū)崿F(xiàn)這一點(diǎn)首先是通過自動的發(fā)現(xiàn)企業(yè)員工所使用的批準(zhǔn)和未經(jīng)批準(zhǔn)的云應(yīng)用——這一步為IT安全和合規(guī)性管理團(tuán)隊(duì)提供了關(guān)鍵的360度全方位的了解哪些員工使用了什么軟件，以及何種程度的視覺。一旦獲得了對員工所使用應(yīng)用程序的可視化，一些云應(yīng)用網(wǎng)關(guān)可以通過三個(gè)相關(guān)的功能添加更多的防控保護(hù)措施：應(yīng)用程序感知的數(shù)據(jù)和活動的服務(wù)監(jiān)控;自動保護(hù)免受網(wǎng)絡(luò)安全威脅和惡意攻擊;合規(guī)管理和分析提供審計(jì)線索。

　　獲得對影子IT的直觀可視化

　　對于最終用戶來說，基于云的服務(wù)的一個(gè)主要的吸引力在于他們可以根據(jù)業(yè)務(wù)需求配置資源，而不涉及繁雜的IT資源配置管理，甚至企業(yè)復(fù)雜的官僚作風(fēng)導(dǎo)致所謂的影子IT。因此，調(diào)節(jié)云應(yīng)用程序的使用通常是虧本的，而IT部門必須采取措施，發(fā)現(xiàn)，監(jiān)控員工所使用的應(yīng)用程序，促使他們在使用中能夠提升生產(chǎn)率。

　　云網(wǎng)關(guān)可以以一種一致且和可靠的方式監(jiān)視和審查用戶使用每款應(yīng)用程序的相關(guān)行為，包括任何應(yīng)用程序在何時(shí)、為誰、提供了什么信息;為何提供及如何提供相關(guān)信息的。他們可以進(jìn)行風(fēng)險(xiǎn)分析來確定應(yīng)用程序是否遵守了企業(yè)的安全管理政策。

　　例如，云網(wǎng)關(guān)可以評估服務(wù)供應(yīng)商的用戶的數(shù)量，流量和風(fēng)險(xiǎn)組合，他們的位置以及他們所使用的安全措施。這使企業(yè)能夠決定他們是否要阻止或允許員工在企業(yè)使用某款應(yīng)用程序，或執(zhí)行其他特定的安全措施，以確保安全，合規(guī)的使用。

　　在理論上，這種監(jiān)控可以通過一個(gè)單獨(dú)的服務(wù)日志工具來完成，一旦其使用就會被發(fā)現(xiàn)。但在實(shí)踐中，可用信息的水平，其格式，會因?yàn)樵茟?yīng)用的不同而變化很大。隨著云服務(wù)數(shù)量的不斷增加，IT部門顯然不可能僅僅通過實(shí)現(xiàn)一個(gè)獨(dú)特的機(jī)制或程序，就能夠從每款不同的云服務(wù)收集和分析日志了。事實(shí)上，每個(gè)服務(wù)都有自己的學(xué)習(xí)曲線。相反，企業(yè)需要一個(gè)簡單且一致的方式自動監(jiān)測每款新的服務(wù)，以及在一個(gè)異構(gòu)的云應(yīng)用環(huán)境采用一套一致的方式來規(guī)范安全和遵守標(biāo)準(zhǔn)。

　　此外，為了調(diào)查可疑活動或進(jìn)行預(yù)測分析，IT部門必須有詳細(xì)的活動記錄，細(xì)化到具體的數(shù)據(jù)對象，掌握該級別用戶的行為，位置和其他變量信息。個(gè)人云應(yīng)用不可能提供統(tǒng)一的數(shù)據(jù)類型。

　　云應(yīng)用網(wǎng)關(guān)將包括發(fā)現(xiàn)工具，以清楚地識別在使用的云應(yīng)用和誰在使用。集成儀表板提供了一個(gè)中心點(diǎn)，方便可視化的掌握和監(jiān)控風(fēng)險(xiǎn)和程序運(yùn)行。網(wǎng)關(guān)可以提供誰查看或修改了數(shù)據(jù)的可視化信息。他們可以提供管理員活動的可視化，包括設(shè)置，權(quán)限和數(shù)據(jù)訪問。網(wǎng)關(guān)也可以進(jìn)行風(fēng)險(xiǎn)評分云，被創(chuàng)建可操作的警報(bào)發(fā)送到企業(yè)的安全信息和事件管理(SIEM)，IT治理，風(fēng)險(xiǎn)管理及合規(guī)(GRC)系統(tǒng)。

　　管理云應(yīng)用程序的風(fēng)險(xiǎn)

　　雖然SaaS應(yīng)用程序在云中運(yùn)行，但其是與企業(yè)的終端、用戶和數(shù)據(jù)整合的。為了管理和降低風(fēng)險(xiǎn)，云網(wǎng)關(guān)應(yīng)該具備區(qū)別托管和非托管(如BYOD)的終端，并實(shí)施相應(yīng)政策的能力。例如，一個(gè)云應(yīng)用網(wǎng)關(guān)可以執(zhí)行企業(yè)的要求，只有在托管終端的移動設(shè)備管理(MDM)的控制下才可以下載敏感信息或訪問特定的應(yīng)用。

　　通過了解每款應(yīng)用程序的使用范圍和使用情境，云網(wǎng)關(guān)針對每款應(yīng)用程序或在用戶的基礎(chǔ)上執(zhí)行細(xì)化的政策。例如，財(cái)務(wù)部門可以在制定財(cái)務(wù)報(bào)告期間禁止使用谷歌應(yīng)用程序與外部各方共享文件或文件夾，而銷售部門的管理挑戰(zhàn)可能是以加強(qiáng)認(rèn)證，以改變Salesforce.com的安全設(shè)置。

　　云應(yīng)用網(wǎng)關(guān)還應(yīng)具備數(shù)據(jù)感知的功能，這意味著其可以對個(gè)人身份信息(PII)或支付卡行業(yè)(PCI)數(shù)據(jù)進(jìn)行分類，進(jìn)而執(zhí)行相應(yīng)的政策。針對這些類型的應(yīng)用程序，它們可產(chǎn)生一個(gè)基于特定的云服務(wù)的針對所有用戶訪問的審計(jì)跟蹤，包括相關(guān)的權(quán)限和活動范圍，從登錄到登錄之后的完整行為記錄。這些網(wǎng)關(guān)可以產(chǎn)生適合于企業(yè)內(nèi)部和外部的審計(jì)報(bào)告，以及風(fēng)險(xiǎn)分析報(bào)告。

　　如果網(wǎng)關(guān)已深入監(jiān)測了所有管理員的數(shù)據(jù)訪問對象和行動跟蹤，以及由管理員設(shè)置的變化，其就可以管理特權(quán)用戶可能帶來的相關(guān)風(fēng)險(xiǎn)。這也有利于SaaS管理員和安全管理員的職責(zé)分離，其也是一些法規(guī)所要求的。

　　阻斷以云數(shù)據(jù)為目標(biāo)的攻擊

　　雖然加密對于保護(hù)云安全當(dāng)然有幫助，但如果攻擊者竊取了企業(yè)員工的登錄密碼，他們將能夠訪問企業(yè)的加密數(shù)據(jù)。此外，就算不是員工的訪問密碼被竊取，企業(yè)內(nèi)部人士的惡意行為也都始終是一個(gè)問題，而且更難檢測到。基于云的威脅始終存在的本質(zhì)就是這樣的，必須立即實(shí)現(xiàn)自動化的保護(hù)。

　　云應(yīng)用網(wǎng)關(guān)可以包括分析應(yīng)用程序和使用環(huán)境的功能，以便能夠?yàn)槊總€(gè)用戶和每個(gè)部門的正常活動創(chuàng)建一個(gè)配置文件或基準(zhǔn)。異常將觸發(fā)報(bào)警，并且在許多情況下，可以立即采取相關(guān)策略，諸如拒絕使用或要求用戶重新進(jìn)行身份驗(yàn)證。例如，如果一個(gè)用戶從一個(gè)未知的終端或一個(gè)非典型的位置訪問一款應(yīng)用程序，并要求從salesforce.com下載大量的記錄，企業(yè)可能要立即阻止此行為或通過將一次性密碼發(fā)送到他們的手機(jī)上以驗(yàn)證用戶。能夠檢測異常行為使云應(yīng)用網(wǎng)關(guān)得以能夠防止人為攻擊，破壞終端和帳戶接管的攻擊。

　　云應(yīng)用網(wǎng)關(guān)還提供了一個(gè)可靠的方法來檢測企業(yè)內(nèi)部的惡意人員。由于這些用戶有合法的方式使用終端，只有通過智能化的持續(xù)分析活動才能在內(nèi)部違規(guī)行為發(fā)生之前加以識別和防范。鑒于企業(yè)有著數(shù)百個(gè)員工在使用著數(shù)千款應(yīng)用，而且新的應(yīng)用一直在不斷增加，要求企業(yè)的IT人員采用必要的應(yīng)用程序和特定的知識來防止惡意的內(nèi)部人員的破壞行為幾乎是不可能的。

　　隨著企業(yè)開始更多的采用云，云應(yīng)用網(wǎng)關(guān)也幫助企業(yè)解決了SaaS風(fēng)險(xiǎn)管理所需要的可視化。