¿Qué es un agente de seguridad de acceso a la nube (CASB)?

Un agente de seguridad de acceso a la nube (CASB, Cloud Access Security Broker) es un punto intermediario de aplicación de políticas de seguridad entre los consumidores de la nube (usuarios, dispositivos) y los proveedores de la nube. En la economía digital actual, en la que la realización de negocios se traslada cada vez más a la nube, un CASB amplía el paraguas de la política de seguridad empresarial de una organización para cubrir los recursos en la nube, así como las transacciones y los datos expuestos cuando los usuarios acceden a esos recursos.

El CASB es un componente fundamental de su estrategia global de Secure Access Service Edge (SASE). El CASB protege a los usuarios y los dispositivos —incluidos los dispositivos no gestionados, como los teléfonos inteligentes y los ordenadores portátiles personales, o los dispositivos IoT— de forma granular y por transacción cuando acceden a aplicaciones o datos en la nube desde cualquier ubicación.

¿Por qué se desarrolló CASB?

Los servicios de seguridad tradicionales protegían el perímetro de la red empresarial y se centraban en los usuarios, el acceso y el almacenamiento de datos locales. Las lagunas de seguridad se produjeron cuando el perímetro de la red se disolvió a medida que las empresas trasladaban las aplicaciones, el acceso a los datos y su almacenamiento a la nube. CASB desarrolló nuevos productos y servicios centrados en la nube, desplegados in situ o en la nube, para hacer frente a estos nuevos riesgos de seguridad en el uso de los servicios en la nube por parte de las organizaciones.

CASB permite el acceso seguro a servicios en la nube desde usuarios tanto dentro como fuera del perímetro tradicional de la empresa, admite el acceso seguro de nube a nube, permite el trabajo seguro desde cualquier lugar, protege el acceso a la nube desde dispositivos personales no gestionados y amplía la seguridad a entornos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). CASB protege los datos de la organización en tránsito y en reposo en la nube.

¿Cómo funciona CASB?

Los productos y servicios CASB proporcionan visibilidad y control sobre los datos y las amenazas en la nube para cumplir los requisitos normativos y de seguridad de la empresa. Una solución CASB con todas las funciones le ayuda:

  • Descubra una lista de los servicios en la nube a los que accede su comunidad de usuarios, así como información sobre quién accede a ellos.
  • Determine un nivel de riesgo asociado a cada aplicación en nube analizando la aplicación y los datos utilizados y compartidos en ella.
  • Aplique las políticas de seguridad de la empresa en función de los niveles de riesgo y evite las infracciones.
  • Implemente protecciones adicionales, como la prevención de malware y el cifrado de datos.

Las cuatro áreas funcionales básicas de un CASB incluyen:

  • Visibilidad: Descubra los servicios en la nube en uso; descubra quién utiliza estos servicios en la nube; proporcione información financiera sobre el gasto en la nube, posibles redundancias y costes de licencias.
  • Conformidad: Preserve, mejore e informe sobre el cumplimiento normativo cuando las aplicaciones y los datos se trasladen a la nube.
  • Seguridad de los datos: Junto con los sofisticados mecanismos de detección de DLP en la nube, los datos en reposo y en movimiento se protegen mediante métodos como el cifrado.
  • Protección frente a amenazas: Proteja a su organización del malware y otras amenazas que entran en la empresa a través de las aplicaciones y el acceso en la nube.
Diagrama de la estructura de red y seguridad de CASB

CASB ofrece cinco funciones de seguridad fundamentales: descubrimiento de aplicaciones en la nube, seguridad de datos, control de acceso adaptable, detección de malware y análisis del comportamiento de usuarios y entidades.

Ventajas de CASB

La implantación de un producto o servicio CASB en su empresa ofrece numerosas ventajas de seguridad y gestión:

  • Una ubicación central para una política y gobernanza coherentes en múltiples servicios en la nube, tanto para usuarios como para dispositivos (incluido BYOD).
  • Visibilidad granular y control de las actividades de los usuarios, las aplicaciones, los datos confidenciales y la actividad de SaaS.
  • Permite la movilidad segura de los trabajadores.
  • Supervisa y gobierna el uso de aplicaciones en la nube como Office 365.
  • Permite a las empresas adoptar un enfoque detallado en materia de protección de datos confidenciales, cumplimiento normativo y aplicación de políticas, lo que hace posible utilizar de forma segura servicios en la nube que ahorran tiempo, mejoran la productividad y son rentables.
  • Protege el acceso de todos los dispositivos a las aplicaciones SaaS a medida que el sector se aleja de los dispositivos tradicionales y las prácticas de gestión de dispositivos para adaptarse a BYOD.
  • Inspecciona y proporciona análisis sobre el comportamiento de los datos, las aplicaciones y los usuarios en los servicios en la nube, incluida la presencia de un uso no autorizado de la nube por parte de los empleados y de TI en la sombra.
  • Se integra con el proveedor de identidades, la herramienta de gestión de eventos e información de seguridad (SIEM) y el producto de gestión unificada de puntos finales (UEM) existentes en la empresa.
  • Cifrar o tokenizar contenidos sensibles para reforzar la privacidad.
  • Detectar y bloquear comportamientos inusuales indicativos de actividad maliciosa.
  • Integrar la visibilidad y los controles de la nube con las soluciones de seguridad existentes.
  • Operar en un entorno de nube multiusuario.
  • Distinguir entre instancias corporativas y personales de servicios en la nube y ofrecer la posibilidad de limitar o bloquear el intercambio de datos entre ellas.

Cómo implantar CASB

Los CASB pueden ser puntos de aplicación de políticas de seguridad locales, colocados o basados en la nube pública, situados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para inyectar las políticas de seguridad de la empresa a medida que se accede a los datos o aplicaciones basados en la nube. La arquitectura CASB está diseñada para ser flexible, lo que significa que un CASB puede funcionar opcionalmente como un dispositivo virtual o físico.

Desplegar la arquitectura CASB adecuada para las necesidades de su organización es fundamental para permitir el uso de todas las funciones y casos de uso previstos. Algunas funciones sólo están disponibles en modelos de implantación específicos. Al evaluar un agente de seguridad de acceso a la nube, confirme que el proveedor y la solución son compatibles con los modelos de implantación que necesita. Las empresas a menudo combinan varios modelos de despliegue para lograr una cobertura completa de sus necesidades.

Existen dos soluciones CASB principales:

Fuera de banda

El CASB no se encuentra en la ruta de tráfico entre el usuario y la nube, o entre la nube y la nube. El CASB supervisa y registra la actividad, y puede inyectar acciones de política (como permitir, denegar, eliminar, cuestionar el permiso) a través del acceso a la API.

Aunque las soluciones CASB fuera de banda pueden supervisar los eventos y la actividad e informar sobre ellos, no tienen visibilidad del contenido de las interacciones.

En línea

Estas soluciones CASB utilizan un modo proxy que termina/reorigina el tráfico entre el usuario y la nube, o de nube a nube. El CASB puede desplegarse como proxy inverso (cerca de la nube) o como proxy directo (cerca del usuario).

Las soluciones CASB en línea pueden supervisar e informar, así como tomar todas las decisiones políticas, y también tienen visibilidad completa (y la capacidad de descifrar y/o interceptar) el contenido de las interacciones.

Los proveedores de CASB multimodo son los que ofrecen una combinación de API y modo de funcionamiento en línea. Aunque algunos de los proveedores de aplicaciones y servicios en la nube más destacados publican API públicas, la mayoría de las aplicaciones SaaS no lo ofrecen, por lo que es necesaria una solución CASB con al menos una capacidad inline.

¿Es CASB la opción adecuada para su organización?

A medida que los servicios que antes se ofrecían en las instalaciones siguen migrando a la nube, mantener la visibilidad y el control en estos entornos es esencial para cumplir los requisitos de conformidad, proteger a su empresa de los ataques y permitir que sus empleados utilicen con seguridad los servicios en la nube sin introducir un alto riesgo adicional para su empresa.

Versa seguridad alojada en la nube como servicio como parte de la SASE , tanto en modelos locales como basados en proveedores. Estos servicios proporcionan una presencia global de ubicaciones donde se implementan los nodos de software CASB. Las empresas pueden utilizar el punto de presencia (POP) más cercano o más conveniente como vía de acceso a una red de alta velocidad y segura y a su infraestructura en la nube.

Recursos adicionales

CASB forma parte integral de SASE Versa, que incluye puertas de enlace y modelos de implementación alojados en la nube. SASE y tecnologías SASE alineados con CASB incluyen:

Los 4 pilares de CASB

Para que un CASB sea eficaz, deben estar presentes cuatro pilares fundamentales. Los proveedores de CASB deben asegurarse de que su agente de seguridad de acceso a la nube tenga visibilidad, cumplimiento, seguridad de datos y protección frente a amenazas. ¿Qué es un agente de seguridad de acceso a la nube sin estas características? Un sistema no seguro que corre el riesgo de ser pirateado o infectado por malware.

Visibilidad

Las empresas necesitan visibilidad para saber qué sistemas y software se utilizan correctamente en su empresa. Por suerte, la visibilidad es una función clave de la arquitectura CASB líder. Los CASB eficaces proporcionan una visibilidad completa tanto de los sistemas en la nube gestionados como de los no gestionados. Esto no sólo identifica los sistemas en la nube útiles, sino que permite a los líderes de la empresa tomar decisiones informadas sobre el uso de la nube.

Al proporcionar visibilidad de todos los servicios en la nube en uso, informar sobre el gasto en la nube, descubrir qué sistemas se utilizan realmente y encontrar cualquier solapamiento en la funcionalidad y el coste de la nube, un agente de seguridad de acceso a la nube proporciona información empresarial de valor incalculable.

Seguridad de los datos

Los CASB actúan como guardianes de la empresa que identifican los riesgos cibernéticos antes de que se conviertan en una amenaza grave. Dado que el CASB está constantemente escaneando en busca de brechas en la seguridad de la nube, las empresas pueden sentirse más seguras de sus datos almacenados. Este profundo nivel de seguridad que sigue el contenido desde el momento en que está en la nube o de camino a ella ayuda a los departamentos de TI a analizar mejor las posibles ciberamenazas. Además, muchas de las mejores arquitecturas CASB tienen la capacidad de cifrar datos, controlar el acceso a los mismos y detectar rápidamente la información sensible.

Conformidad

El cumplimiento de la normativa sobre datos es un principio importante de cualquier sistema, pero la falta de cumplimiento puede dar lugar a violaciones de datos y ciberataques. Una buena arquitectura de agente de seguridad de acceso a la nube puede utilizarse para garantizar el cumplimiento en un sistema en la nube, independientemente del sector. Por ejemplo, un CASB puede ayudar a las organizaciones sanitarias a seguir cumpliendo las normas HIPPA o HITECH, o puede garantizar que los asesores financieros cumplan las normas FFIEC y FINRA.

Protección frente a amenazas

Dado que todo el mundo tiene acceso a Internet y a los servicios en la nube, las empresas necesitan asegurarse de que sus empleados no introducen malware y otras ciberamenazas. Muchos CASB ofrecen análisis en tiempo real que supervisan las redes internas y externas. Si los servicios en la nube quedan desprotegidos, los empleados pueden liberar sin saberlo una peligrosa ciberamenaza para la empresa. Pero con un CASB, los departamentos de TI recibirán una notificación en cuanto se detecte una amenaza para que puedan actuar rápidamente sobre los servicios en la nube comprometidos.

libro electrónico gratuito

SASE para principiantes

Conozca los antecedentes comerciales y técnicos de SASE las prácticas recomendadas, las implementaciones reales de los clientes y las ventajas que ofrece una organización SASE para SASE .

Obtener el eBook
SASE principiantes

Más información

Encuentre más investigación, análisis e información sobre SASE (Secure Access Service Edge), redes, seguridad, SD-WAN y nube de líderes de opinión, analistas y expertos del sector.

Webinar a la carta: 55 min

SWG y SD-WAN: mejor juntos

Las Secure Web Gateways deben integrarse de forma nativa y ser compatibles con sus capacidades SD-WAN para reducir la complejidad y los costes, al tiempo que ofrecen un mayor rendimiento y seguridad.

Más información

Resumen de la solución

Versa Web Gateway

Como parte de Versa SASE, Versa Web Gateway proporciona acceso seguro a Internet a sitios empresariales, oficinas domésticas y usuarios móviles sin comprometer el rendimiento ni la experiencia del usuario final.

Más información

3:48 min Vídeo

Versa Web Gateway

En este breve tutorial, aprenda cómo Versa Web Gateways (SWG) proporciona navegación web segura y acceso a aplicaciones de Internet a millones de clientes.

Más información