الـ CASB هو نقطة الإنفاذ بين مستخدمي العميل وتطبيقات الـ SaaS، يعطي رؤية وتحكّماً في بيانات تخرج خارج محيط الشبكة التقليدي. كـ presales، أنت لا تبيع منتجاً تقنياً فقط بل تبيع للعميل سيطرة على مخاطر لم يكن يراها أصلاً: تطبيقات Shadow IT، تسريب بيانات عبر Microsoft 365 و Salesforce، وحسابات مخترقة. القصة هنا قصة حوكمة ومخاطر، وليست قصة جدار ناري.

• 1ابدأ النقاش من السؤال: كم تطبيق SaaS يستخدمه موظفوك فعلاً؟ معظم العملاء يقدّرون 30–40، والواقع 400–1000 تطبيق. هذه الفجوة (Shadow IT) هي نقطة الألم التي يفتح بها الـ CASB الصفقة.
• 2اشرح الركائز الأربع للـ CASB كإطار بيع: Visibility (اكتشاف التطبيقات)، Compliance (التوافق مع التنظيم)، Data Security (DLP)، Threat Protection (UEBA وحسابات مخترقة). كل ركيزة تخاطب مالك ميزانية مختلف عند العميل.
• 3وضّح الفرق بين الوضعين: Inline (proxy في مسار الترافيك، يمنع لحظياً) و API (out-of-band، يفحص البيانات الساكنة ويصلح الإعدادات). العميل الناضج يريد الاثنين؛ ابدأ بـ API لأنه أسرع نشراً وأقل احتكاكاً.
• 4اربط الـ CASB بمكانه في معمارية SASE/SSE — هو أحد الأعمدة الأربعة مع SWG و ZTNA و FWaaS. لا تبعه كصندوق منفصل؛ بعه كجزء من منصة موحّدة لتجنّب اعتراض العميل على تعدد الوكلاء.
• 5حوّل القيمة إلى لغة العميل: تقليل سطح الهجوم، إثبات التوافق للمدقّق، ومنع الغرامة. في الخليج اربطها بـ PDPL السعودي و NCA controls — تطبيق SaaS يخزّن بيانات مواطنين خارج المملكة هو مخاطرة تنظيمية مباشرة يحلّها الـ CASB.

• معمارياً، الوضع الـ Inline يأتي بنكهتين: Forward Proxy (يتطلب agent أو PAC file على الجهاز، يغطي الأجهزة المُدارة) و Reverse Proxy (agentless عبر تعديل SAML/IdP، يغطي الأجهزة غير المُدارة و BYOD). Reverse proxy تاريخياً هشّ لأنه يعيد كتابة URLs ويتكسّر مع تحديثات التطبيق. اعرف هذا حتى لا تَعِد العميل بتغطية BYOD سلسة دون تحذير.
• مشهد المنافسين: Microsoft Defender for Cloud Apps هو الخيار الافتراضي لأي عميل على E5 (لا تكلفة إضافية تقريباً، تكامل أصلي مع M365) — هذا منافسك الأشرس في الخليج. Netskope و Palo Alto (Prisma Access) و Zscaler يتفوّقون في عمق الـ inline DLP وتعدد التطبيقات غير-Microsoft. ميّز نفسك بعمق DLP، تغطية التطبيقات المخصصة، و single-vendor SSE وليس فقط CASB.
• السياق الخليجي والتنظيمي: العميل السعودي يسأل عن data residency أولاً — أين يقع الـ tenant ومسار الـ inline proxy؟ نقطة inline داخل المملكة (أو على الأقل GCC) ميزة بيعية حاسمة لجهات حكومية وبنوك تحت SAMA. اربط الـ CASB بضوابط NCA ECC و CSCC و SDAIA PDPL: الـ CASB هو الأداة العملية التي تُثبت للمدقّق ضبط تدفّق البيانات للسحابة وتطبيق سياسة التصنيف الوطني للبيانات.