This post is also available in: Português Español
El funcionamiento del Cloud Access Security Broker (CASB) está íntimamente unido al concepto en el que se enmarca. En resumen, los CASB son softwares que se encuentran entre los usuarios que acceden a servicios en nube y los proveedores de dichos servicios. Su función es aplicar las políticas de seguridad, el cumplimiento de normas y gobernanza, y ayudar a las empresas a aumentar sus controles de seguridad en su infraestructura local hacia la nube.
Existen 2 maneras principales en que puede funcionar el CASB. Es posible configurarlo como un proxy – directo o inverso – o en el modo API, usando API de proveedores de nube para controlar el acceso a la nube y aplicar políticas de seguridad corporativa. Por lo que es cada vez más más común ver que los CASB actúan en “modo mixto” o “modo múltiple”, usando tecnología de proxy y API. Veamos como cada enfoque ofrece pros y contras.
Por ejemplo, un proxy directo puede utilizarse para todo tipo de aplicaciones en la nube, allí todos los datos pasan por el proxy. Pero para utilizarlo es necesario instalar, en cada dispositivo que acceda a él, certificados autofirmados. Esto puede ser difícil de implantar en un entorno distribuido o con un gran número de dispositivos móviles propiedad de empleados.
Dentro de esa realidad, el proxy inverso es más fácil porque se puede acceder desde cualquier dispositivo, en cualquier lugar, sin necesidad de configuración especial o instalación de certificado. La desventaja es que no funciona con apps del estilo cliente-servidor, con nombres de host codificados.
Sistemas basados en API
Los sistemas basados en API también son relativamente fáciles de implantar. Una desventaja, sin embargo, es que la variedad de aplicaciones en la nube con las que pueden trabajar es más limitada, porque no todas las aplicaciones en la nube ofrecen soporte API.
Las arquitecturas de proxy o API de CASB tienen diferentes capacidades para realizar diferentes acciones, que tienen varias implicaciones en la forma en que ese proveedor ofrece los cuatro pilares para un servicio en la nube específico.
Es que el funcionamiento de CASB se basa en 4 pilares sobre los que fue concebida. El primero de ellos es la visibilidad, que consiste en una gestión de control más clara, permitiendo la concesión de accesos y bloqueos según las normas establecidas.
El segundo pilar es el control. Va a garantizar la seguridad de los datos personales y corporativos, previniendo filtraciones. Por ejemplo, empresas del área de la salud, pueden cumplir con certificaciones como HIPAA o HITECH, y los minoristas pueden garantizar el cumplimiento de PCI (para datos de tarjetas bancarias) y también leyes de protección de datos. Por eso, el CASB puede ayudar a proteger a la empresa y mantener la normativa de datos definida por cada sector, lo que agrega valor a los servicios.
Seguridad de los datos
Se trata del tercer pilar. Efectivamente, CASB actúa sobre la seguridad de los datos a través de los mecanismos de detección de DLP, identificando los posibles fallos. Y lo hace definiendo políticas para compartir, que evitan la pérdida y el robo de datos, automatizando los procesos y las configuraciones para que los accesos sean cada vez más seguros.
En cuanto al último pilar, se centra en la protección contra amenazas. En este caso, hay que asegurarse de que los propios empleados no están propagando malwares a la nube, a través de servicios de almacenamiento, por ejemplo. Entonces, es necesario descubrir y corregir las amenazas cuando un empleado comparte (incluso sin saber) un archivo infectado, en tiempo real, así como en redes internas y externas. Del mismo modo, debe impedir a usuarios no autorizados el acceso a los servicios y datos en la nube. Esto ayuda a identificar las cuentas comprometidas.
Es importante recordar que CASB dispone de recursos analíticos para el comportamiento de las entidades usuarias (UEBA) para detectar amenazas internas y cuentas comprometidas. Analiza los datos de la red que pasan por ella para identificar posibles amenazas, o intentos de extracción de datos de sus soluciones en la nube.
¿Dónde son ejecutados los CASB?
Los CASB pueden ejecutarse en las propias instalaciones o en la nube. Lógicamente, los CASB están entre el usuario final y el sistema cloud, pero físicamente un CASB precisa estar localizado en uno de los 2 lugares: en el data center corporativo o en la propia nube. Esto significa que puede escoger entre usar un agente de seguridad de acceso a la nube como servicio u hospedarlo en un dispositivo físico o virtual.
La opción SaaS es más fácil de gestionar y es el método más popular. Sin embargo, algunos sectores puede que necesiten usar un sistema local por razones de cumplimiento de normas.
Más de uno
Los recursos de los CASB, basados en proxy directo, proxy reverso, API o multimodo, varían. Es fundamental entender que el hecho de que una aplicación específica esté soportada por un CASB, no significa que sea soportada de la misma manera que otro CASB.
Además, la gama de aplicaciones que admite un CASB es variable. Esto hace que sea un reto elegir un agente de seguridad de acceso a la nube que soporte todas las aplicaciones que se utilizan en el momento. Generalmente, las aplicaciones de back-office como CRM, RH y ERP son bien soportadas, pero aplicaciones específicas para un sector (por ejemplo, para el área de la salud) no son tan bien soportadas.
Por lo tanto, es necesario ser cautelosos al firmar un contrato de largo plazo. Lo ideal es mantener la flexibilidad, ya que puede ser necesario contar con más de un CASB, o realizar una transición del proveedor actual, a uno que provea un conjunto más amplio, para atender las necesidades de cada empresa.
This post is also available in: Português Español