Qu'est-ce qu'un courtier en sécurité d'accès au cloud (CASB) ?

Un CASB (Cloud Access Security Broker) est un point intermédiaire d'application de la politique de sécurité entre les consommateurs d'informatique dématérialisée (utilisateurs, appareils) et les fournisseurs d'informatique dématérialisée. Dans l'économie numérique d'aujourd'hui, où la conduite des affaires se déplace de plus en plus vers le nuage, un CASB étend le parapluie de la politique de sécurité de l'entreprise pour couvrir les ressources du nuage ainsi que les transactions et les données exposées lorsque les utilisateurs accèdent à ces ressources.

Le CASB est un élément essentiel de votre stratégie globale SASE(Secure Access Service Edge). Il protège les utilisateurs et les appareils, y compris les appareils non gérés tels que les smartphones et ordinateurs portables personnels ou les appareils IoT, de manière granulaire et au niveau de chaque transaction, lorsqu'ils accèdent à des applications ou à des données dans le cloud, quel que soit leur emplacement.

Pourquoi le CASB a-t-il été développé ?

Les services de sécurité traditionnels sécurisent le périmètre du réseau de l'entreprise et se concentrent sur les utilisateurs, l'accès et le stockage des données sur site. Des failles de sécurité sont apparues lorsque le périmètre du réseau s'est dissous et que les entreprises ont déplacé les applications, l'accès aux données et le stockage des données vers le nuage. CASB a développé de nouveaux produits et services axés sur le nuage, déployés sur site ou dans le nuage, pour répondre à ces nouveaux risques de sécurité dans le cadre de l'utilisation des services du nuage par une organisation.

Le CASB permet un accès sécurisé aux services en nuage à partir d'utilisateurs situés à l'intérieur et à l'extérieur du périmètre traditionnel de l'entreprise, prend en charge un accès sécurisé de nuage à nuage, permet un travail sécurisé à partir de n'importe où, sécurise l'accès au nuage à partir d'appareils personnels non gérés et étend la sécurité aux environnements SaaS (Software-as-a-Service), PaaS (Platform-as-a-Service) et IaaS (Infrastructure-as-a-Service). CASB protège les données de l'entreprise en transit et au repos dans le nuage.

Comment fonctionne le CASB ?

Les produits et services CASB offrent une visibilité et un contrôle sur les données et les menaces dans le nuage afin de répondre aux exigences réglementaires et de sécurité de l'entreprise. Une solution CASB complète vous aide à :

  • Découvrez une liste des services en nuage auxquels accède votre communauté d'utilisateurs, ainsi qu'un aperçu des personnes qui y accèdent.
  • Déterminer un niveau de risque associé à chaque application en nuage en analysant l'application et les données qui y sont utilisées et partagées.
  • Appliquer les politiques de sécurité de l'entreprise en fonction des niveaux de risque et prévenir les violations.
  • Mettre en place des protections supplémentaires telles que la prévention des logiciels malveillants et le cryptage des données.

Les quatre domaines de fonctionnalité essentiels d'un CASB sont les suivants :

  • Visibilité: Découvrir les services en nuage utilisés ; découvrir qui utilise ces services en nuage ; fournir des informations financières sur les dépenses en nuage, les redondances éventuelles et les coûts de licence.
  • Conformité: Préservez, améliorez et rendez compte de la conformité réglementaire lorsque les applications et les données sont transférées dans le nuage.
  • Sécurité des données: De concert avec des mécanismes sophistiqués de détection DLP, les données au repos et en mouvement sont protégées par des méthodes telles que le cryptage.
  • Protection contre les menaces: Protégez votre organisation contre les logiciels malveillants et autres menaces qui pénètrent dans l'entreprise par le biais des applications et des accès en nuage.
Diagramme de la structure de réseau et de sécurité du CASB

CASB offre cinq fonctions de sécurité essentielles : découverte des applications en nuage, sécurité des données, contrôle d'accès adaptatif, détection des logiciels malveillants et analyse du comportement des utilisateurs et des entités.

Avantages de la CASB

Le déploiement d'un produit ou d'un service CASB pour votre organisation présente de nombreux avantages en termes de sécurité et de gestion :

  • Un emplacement central pour une politique et une gouvernance cohérentes à travers plusieurs services en nuage pour les utilisateurs et les appareils (y compris BYOD).
  • Visibilité granulaire et contrôle des activités des utilisateurs, des applications, des données sensibles et des activités SaaS.
  • Permet une mobilité sécurisée du personnel.
  • Surveille et régit l'utilisation des applications en nuage telles qu'Office 365.
  • Permet aux entreprises d'adopter une approche fine en matière de protection des données sensibles, de conformité et d'application des politiques, ce qui leur permet d'utiliser en toute sécurité des services cloud qui font gagner du temps, améliorent la productivité et sont rentables.
  • Protège l'accès de tous les appareils aux applications SaaS alors que le secteur s'éloigne des appareils traditionnels et des pratiques de gestion des appareils pour s'adapter au BYOD.
  • Inspecte et fournit des analyses sur les données, les applications et le comportement des utilisateurs dans les services en nuage, y compris la présence d'une utilisation non autorisée du nuage par les employés et de l'informatique fantôme.
  • S'intègre au fournisseur d'identité, à l'outil de gestion des informations et des événements de sécurité (SIEM) et au produit de gestion unifiée des points d'accès (UEM) existants de l'entreprise.
  • Cryptage ou symbolisation des contenus sensibles pour renforcer la protection de la vie privée.
  • Détecter et bloquer les comportements inhabituels indiquant une activité malveillante.
  • Intégrer la visibilité et les contrôles de l'informatique dématérialisée aux solutions de sécurité existantes.
  • Fonctionner dans un environnement en nuage multi-tenant.
  • Distinguer les instances professionnelles et personnelles des services en nuage et permettre de limiter ou de bloquer l'échange de données entre ces instances.

Comment déployer CASB

Les CASB peuvent être des points d'application des politiques de sécurité sur site, en colocation ou en nuage public, placés entre les consommateurs de services en nuage et les fournisseurs de services en nuage pour injecter les politiques de sécurité de l'entreprise lors de l'accès aux données ou aux applications en nuage. L'architecture des CASB est conçue pour être flexible, ce qui signifie qu'un CASB peut fonctionner comme une appliance virtuelle ou physique.

Il est essentiel de déployer l'architecture CASB la mieux adaptée aux besoins de votre organisation pour pouvoir utiliser toutes les fonctionnalités et tous les cas d'utilisation que vous envisagez. Certaines fonctionnalités ne sont disponibles que dans des modèles de déploiement spécifiques. Lors de l'évaluation d'un courtier en sécurité d'accès au cloud, confirmez que le fournisseur et la solution prennent en charge les modèles de déploiement dont vous avez besoin. Les entreprises combinent souvent plusieurs modèles de déploiement pour parvenir à une couverture complète de leurs besoins.

Il existe deux solutions CASB principales :

Hors bande

Le CASB ne se trouve pas sur le chemin du trafic entre l'utilisateur et le nuage, ou entre le nuage et le nuage. Le CASB surveille et enregistre l'activité, et peut injecter des actions de politique (telles que l'autorisation, le refus, la suppression, l'autorisation de contester) via l'accès à l'API.

Si les solutions CASB hors bande peuvent surveiller les événements et les activités et en rendre compte, elles n'ont aucune visibilité sur le contenu des interactions.

En ligne

Ces solutions CASB utilisent un mode proxy qui termine/re-origine le trafic entre l'utilisateur et le nuage, ou de nuage à nuage. Le CASB peut être déployé en tant que Reverse Proxy (proche du nuage) ou Forward Proxy (proche de l'utilisateur).

Les solutions CASB en ligne peuvent surveiller et établir des rapports, ainsi que prendre toutes les décisions en matière de politique, et ont également une visibilité totale (et la capacité de décrypter et/ou d'intercepter) le contenu des interactions.

Les fournisseurs de CASB multimodes sont ceux qui proposent une combinaison d'API et de mode de fonctionnement en ligne. Si certains des principaux fournisseurs d'applications et de services en nuage publient des API publiques, la plupart des applications SaaS n'offrent pas cette possibilité, d'où la nécessité d'une solution CASB dotée d'au moins une capacité en ligne.

Le CASB est-il le bon choix pour votre organisation ?

Alors que les services précédemment offerts sur site continuent de migrer vers le nuage, il est essentiel de maintenir la visibilité et le contrôle dans ces environnements pour répondre aux exigences de conformité, protéger votre entreprise contre les attaques et permettre à vos employés d'utiliser en toute sécurité les services en nuage sans introduire de risque supplémentaire pour votre entreprise.

Versa une solution de sécurité hébergée dans le cloud dans le cadre de son SASE , sous forme de modèles sur site ou chez un fournisseur. Ces services offrent une couverture mondiale de sites où sont déployés les nœuds logiciels CASB. Les entreprises peuvent utiliser le point de présence (POP) le plus proche ou le plus pratique comme point d'accès à un réseau haut débit et sécurisé, ainsi qu'à leurs applications dans leur infrastructure cloud.

Ressources complémentaires

Le CASB fait partie intégrante de SASE Versa, qui comprend des passerelles et des modèles de déploiement hébergés dans le cloud. SASE et technologies SASE compatibles avec le CASB sont les suivants :

Les 4 piliers du CASB

Pour produire un CASB efficace, quatre piliers fondamentaux doivent être présents. Les fournisseurs de CASB doivent s'assurer que leur courtier en sécurité d'accès au cloud dispose de la visibilité, de la conformité, de la sécurité des données et de la protection contre les menaces. Qu'est-ce qu'un courtier de sécurité de l'accès au cloud sans ces caractéristiques ? Un système non sécurisé qui risque d'être piraté ou infecté par des logiciels malveillants.

Visibilité

Les entreprises ont besoin de savoir quels systèmes et logiciels sont correctement utilisés au sein de leur entreprise. Heureusement, la visibilité est une fonction clé d'une architecture CASB de premier plan. Les CASB efficaces offrent une visibilité totale sur les systèmes en nuage gérés et non gérés. Cela permet non seulement d'identifier les systèmes en nuage utiles, mais aussi de permettre aux dirigeants de l'entreprise de prendre des décisions éclairées concernant l'utilisation du nuage.

En offrant une visibilité sur tous les services en nuage utilisés, en établissant des rapports sur les dépenses en nuage, en découvrant quels systèmes sont réellement utilisés et en trouvant tout chevauchement dans les fonctionnalités et les coûts du nuage, un courtier en sécurité de l'accès au nuage fournit des informations commerciales inestimables.

Sécurité des données

Les CASB jouent le rôle de gardien de l'entreprise en identifiant les cyber-risques avant qu'ils ne deviennent une menace sérieuse. Comme le CASB recherche en permanence les failles de sécurité dans le nuage, les entreprises peuvent se sentir plus en sécurité avec leurs données stockées. Ce niveau de sécurité approfondi qui suit le contenu depuis le moment où il se trouve dans le nuage ou en route vers celui-ci aide les services informatiques à analyser plus en détail les cybermenaces potentielles. En outre, bon nombre des meilleures architectures CASB ont la capacité de crypter les données, de contrôler l'accès aux données et de détecter rapidement les informations sensibles.

Conformité

La conformité à la réglementation sur les données est un principe important de tout système, mais un manque de conformité peut entraîner des violations de données et des cyber-attaques. Une bonne architecture de courtier en sécurité d'accès au nuage peut être utilisée pour assurer la conformité d'un système en nuage, quel que soit le secteur d'activité. Par exemple, un CASB peut aider les organismes de soins de santé à rester conformes aux normes HIPPA ou HITECH, ou garantir que les consultants financiers sont en conformité avec la FFIEC et la FINRA.

Protection contre les menaces

Comme tout le monde a accès à l'internet et aux services en nuage, les entreprises doivent s'assurer que leurs employés n'introduisent pas de logiciels malveillants ou d'autres cybermenaces. De nombreux CASB proposent une analyse en temps réel qui surveille les réseaux internes et externes. Si les services en nuage ne sont pas protégés, les employés peuvent, sans le savoir, introduire une cybermenace dangereuse pour l'entreprise. Avec un CASB, les services informatiques sont avertis dès qu'une menace est détectée, ce qui leur permet d'intervenir rapidement en cas de compromission des services en nuage.

ebook gratuit

SASE pour les nuls

Découvrez le contexte commercial et technique du SASE les meilleures pratiques, les déploiements réels chez les clients et les avantages offerts par une organisation SASE .

Obtenir le livre électronique
SASE les nuls

En savoir plus

Trouvez plus de recherches, d'analyses et d'informations sur SASE (Secure Access Service Edge), les réseaux, la sécurité, le SD-WAN et le cloud auprès de leaders d'opinion, d'analystes et d'experts de l'industrie.

Webinaire à la demande : 55 min

GTS et SD-WAN : mieux ensemble

Les passerelles Web sécurisées doivent s'intégrer nativement et prendre en charge vos capacités SD-WAN afin de réduire la complexité et les coûts tout en offrant des performances et une sécurité accrues.

En savoir plus

Résumé de la solution

Passerelle Web Versa

Faisant partie de Versa SASE, Versa Web Gateway fournit un accès Internet sécurisé aux sites d'entreprise, aux bureaux à domicile et aux utilisateurs mobiles sans compromettre les performances ni l'expérience utilisateur.

En savoir plus

3:48 min Vidéo

Passerelle Web Versa

Dans ce court tutoriel, découvrez comment les passerelles Web Versa (SWG) Versa offrent une navigation Web sécurisée et un accès sécurisé aux applications Internet à des millions de clients.

En savoir plus