¿Qué es un agente de seguridad de acceso a la nube (CASB)?

Los servicios de seguridad tradicionales protegían el perímetro de la red empresarial y se centraban en los usuarios, el acceso y el almacenamiento de datos locales. Las lagunas de seguridad se produjeron cuando el perímetro de la red se disolvió a medida que las empresas trasladaban las aplicaciones, el acceso a los datos y su almacenamiento a la nube. CASB desarrolló nuevos productos y servicios centrados en la nube, desplegados in situ o en la nube, para hacer frente a estos nuevos riesgos de seguridad en el uso de los servicios en la nube por parte de las organizaciones.

CASB permite el acceso seguro a servicios en la nube desde usuarios tanto dentro como fuera del perímetro tradicional de la empresa, admite el acceso seguro de nube a nube, permite el trabajo seguro desde cualquier lugar, protege el acceso a la nube desde dispositivos personales no gestionados y amplía la seguridad a entornos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). CASB protege los datos de la organización en tránsito y en reposo en la nube.

Los productos y servicios CASB proporcionan visibilidad y control sobre los datos y las amenazas en la nube para cumplir los requisitos normativos y de seguridad de la empresa. Una solución CASB con todas las funciones le ayuda:

• Descubra una lista de los servicios en la nube a los que accede su comunidad de usuarios, así como información sobre quién accede a ellos.
• Determine un nivel de riesgo asociado a cada aplicación en nube analizando la aplicación y los datos utilizados y compartidos en ella.
• Aplique las políticas de seguridad de la empresa en función de los niveles de riesgo y evite las infracciones.
• Implemente protecciones adicionales, como la prevención de malware y el cifrado de datos.

Las cuatro áreas funcionales básicas de un CASB incluyen:

• Visibilidad: Descubra los servicios en la nube en uso; descubra quién utiliza estos servicios en la nube; proporcione información financiera sobre el gasto en la nube, posibles redundancias y costes de licencias.
• Conformidad: Preserve, mejore e informe sobre el cumplimiento normativo cuando las aplicaciones y los datos se trasladen a la nube.
• Seguridad de los datos: Junto con los sofisticados mecanismos de detección de DLP en la nube, los datos en reposo y en movimiento se protegen mediante métodos como el cifrado.
• Protección frente a amenazas: Proteja a su organización del malware y otras amenazas que entran en la empresa a través de las aplicaciones y el acceso en la nube.

CASB ofrece cinco funciones de seguridad fundamentales: descubrimiento de aplicaciones en la nube, seguridad de datos, control de acceso adaptable, detección de malware y análisis del comportamiento de usuarios y entidades.

Ventajas de CASB

La implantación de un producto o servicio CASB en su empresa ofrece numerosas ventajas de seguridad y gestión:

• Una ubicación central para una política y gobernanza coherentes en múltiples servicios en la nube, tanto para usuarios como para dispositivos (incluido BYOD).
• Visibilidad granular y control de las actividades de los usuarios, las aplicaciones, los datos confidenciales y la actividad de SaaS.
• Permite la movilidad segura de los trabajadores.
• Supervisa y gobierna el uso de aplicaciones en la nube como Office 365.
• Permite a las empresas adoptar un enfoque granular para la protección de datos confidenciales. el cumplimiento y la aplicación de políticas, lo que hace posible utilizar de forma segura servicios en la nube que ahorran tiempo, mejoran la productividad y son rentables.
• Protege el acceso de todos los dispositivos a las aplicaciones SaaS a medida que el sector se aleja de los dispositivos tradicionales y las prácticas de gestión de dispositivos para adaptarse a BYOD.
• Inspecciona y proporciona análisis sobre el comportamiento de los datos, las aplicaciones y los usuarios en los servicios en la nube, incluida la presencia de un uso no autorizado de la nube por parte de los empleados y de TI en la sombra.
• Se integra con el proveedor de identidades, la herramienta de gestión de eventos e información de seguridad (SIEM) y el producto de gestión unificada de puntos finales (UEM) existentes en la empresa.
• Cifrar o tokenizar contenidos sensibles para reforzar la privacidad.
• Detectar y bloquear comportamientos inusuales indicativos de actividad maliciosa.
• Integrar la visibilidad y los controles de la nube con las soluciones de seguridad existentes.
• Operar en un entorno de nube multiusuario.
• Distinguir entre instancias corporativas y personales de servicios en la nube y ofrecer la posibilidad de limitar o bloquear el intercambio de datos entre ellas.

Cómo implantar CASB

Los CASB pueden ser puntos de aplicación de políticas de seguridad locales, colocados o basados en la nube pública, situados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para inyectar las políticas de seguridad de la empresa a medida que se accede a los datos o aplicaciones basados en la nube. La arquitectura CASB está diseñada para ser flexible, lo que significa que un CASB puede funcionar opcionalmente como un dispositivo virtual o físico.

Desplegar la arquitectura CASB adecuada para las necesidades de su organización es fundamental para permitir el uso de todas las funciones y casos de uso previstos. Algunas funciones sólo están disponibles en modelos de implantación específicos. Al evaluar un agente de seguridad de acceso a la nube, confirme que el proveedor y la solución son compatibles con los modelos de implantación que necesita. Las empresas a menudo combinan varios modelos de despliegue para lograr una cobertura completa de sus necesidades.

Existen dos soluciones CASB principales:

Fuera de banda

El CASB no se encuentra en la ruta de tráfico entre el usuario y la nube, o entre la nube y la nube. El CASB supervisa y registra la actividad, y puede inyectar acciones de política (como permitir, denegar, eliminar, cuestionar el permiso) a través del acceso a la API.

Aunque las soluciones CASB fuera de banda pueden supervisar los eventos y la actividad e informar sobre ellos, no tienen visibilidad del contenido de las interacciones.

En línea

Estas soluciones CASB utilizan un modo proxy que termina/reorigina el tráfico entre el usuario y la nube, o de nube a nube. El CASB puede desplegarse como proxy inverso (cerca de la nube) o como proxy directo (cerca del usuario).

Las soluciones CASB en línea pueden supervisar e informar, así como tomar todas las decisiones políticas, y también tienen visibilidad completa (y la capacidad de descifrar y/o interceptar) el contenido de las interacciones.

Los proveedores de CASB multimodo son los que ofrecen una combinación de API y modo de funcionamiento en línea. Aunque algunos de los proveedores de aplicaciones y servicios en la nube más destacados publican API públicas, la mayoría de las aplicaciones SaaS no lo ofrecen, por lo que es necesaria una solución CASB con al menos una capacidad inline.

Visibilidad

Las empresas necesitan visibilidad para saber qué sistemas y software se utilizan correctamente en su empresa. Por suerte, la visibilidad es una función clave de la arquitectura CASB líder. Los CASB eficaces proporcionan una visibilidad completa tanto de los sistemas en la nube gestionados como de los no gestionados. Esto no sólo identifica los sistemas en la nube útiles, sino que permite a los líderes de la empresa tomar decisiones informadas sobre el uso de la nube.

Al proporcionar visibilidad de todos los servicios en la nube en uso, informar sobre el gasto en la nube, descubrir qué sistemas se utilizan realmente y encontrar cualquier solapamiento en la funcionalidad y el coste de la nube, un agente de seguridad de acceso a la nube proporciona información empresarial de valor incalculable.

Seguridad de los datos

Los CASB actúan como guardianes de la empresa que identifican los riesgos cibernéticos antes de que se conviertan en una amenaza grave. Dado que el CASB está constantemente escaneando en busca de brechas en la seguridad de la nube, las empresas pueden sentirse más seguras de sus datos almacenados. Este profundo nivel de seguridad que sigue el contenido desde el momento en que está en la nube o de camino a ella ayuda a los departamentos de TI a analizar mejor las posibles ciberamenazas. Además, muchas de las mejores arquitecturas CASB tienen la capacidad de cifrar datos, controlar el acceso a los mismos y detectar rápidamente la información sensible.

Conformidad

El cumplimiento de la normativa sobre datos es un principio importante de cualquier sistema, pero la falta de cumplimiento puede dar lugar a violaciones de datos y ciberataques. Una buena arquitectura de agente de seguridad de acceso a la nube puede utilizarse para garantizar el cumplimiento en un sistema en la nube, independientemente del sector. Por ejemplo, un CASB puede ayudar a las organizaciones sanitarias a seguir cumpliendo las normas HIPPA o HITECH, o puede garantizar que los asesores financieros cumplan las normas FFIEC y FINRA.

Protección frente a amenazas

Dado que todo el mundo tiene acceso a Internet y a los servicios en la nube, las empresas necesitan asegurarse de que sus empleados no introducen malware y otras ciberamenazas. Muchos CASB ofrecen análisis en tiempo real que supervisan las redes internas y externas. Si los servicios en la nube quedan desprotegidos, los empleados pueden liberar sin saberlo una peligrosa ciberamenaza para la empresa. Pero con un CASB, los departamentos de TI recibirán una notificación en cuanto se detecte una amenaza para que puedan actuar rápidamente sobre los servicios en la nube comprometidos.