This post is also available in: Português Español
O funcionamento do Cloud Access Security Broker (CASB) está intimamente ligado ao conceito no qual ele se insere. Em suma, CASBs são softwares que ficam no meio do caminho entre os usuários que acessam serviços em nuvem e os provedores desses serviços. Sua função é impor políticas de segurança, conformidade e governança para estes acessos. Assim, ajudam as empresas a ampliar os controles de segurança de sua infraestrutura local para a nuvem.
Assim, existem duas maneiras principais pelas quais um CASB pode funcionar. É possível que seja configurado como um proxy – direto ou reverso – ou no modo API, usando APIs de provedores de nuvem para controlar o acesso à nuvem e aplicar políticas de segurança corporativa. Dessa maneira, cada vez mais os CASBs estão atuando em “modo misto” ou “modo múltiplo”, usando tecnologia de proxy e API. Isso porque cada abordagem oferece prós e contras.
Por exemplo, um proxy direto pode ser usado para todos os tipos de aplicativos em nuvem, onde todos os dados passam pelo proxy. Mas para utilizá-lo é preciso instalar certificados autoassinados em cada dispositivo que o acessa. Isso pode ser difícil de implantar em um ambiente distribuído ou com um grande número de dispositivos móveis de propriedade dos funcionários.
Dentro dessa realidade, o proxy reverso é mais fácil porque é acessível de qualquer dispositivo, em qualquer lugar, sem a necessidade de configuração especial ou instalação de certificado. A desvantagem é que não funciona com aplicativos do tipo cliente-servidor, que possuem nomes de host codificados.
Sistemas baseados em API
Os sistemas baseados em API também são relativamente fáceis de implantar. Uma desvantagem, no entanto, é que a variedade de aplicativos em nuvem com os quais eles podem trabalhar é mais limitada, pois nem todos os apps em nuvem fornecem suporte à API.
Arquiteturas de proxy ou API do CASB têm habilidades diferentes para executar ações diferentes, que possuem várias implicações em como esse provedor fornece os quatro pilares para um serviço de nuvem específico.
É que o CASB tem seu funcionamento baseado nos quatro pilares nos quais foi concebido. O primeiro deles é a visibilidade, que consiste em um gerenciamento de controle mais claro, permitindo a concessão de acessos e bloqueios de acordo com as regras estabelecidas.
O segundo pilar é a conformidade. É algo que vai garantir a segurança de dados pessoais e corporativos, evitando violações. Empresas da área da saúde, por exemplo, podem manter sua conformidade com certificações como a HIPAA ou a HITECH, enquanto os varejistas podem garantir sua conformidade com a PCI (para dados de cartões) e também LGPD. Nesse sentido, o CASB pode ajudar a proteger a empresa e manter os regulamentos de dados definidos por cada setor, o que agrega valor aos serviços.
Segurança de dados
É esse o terceiro pilar. Afinal, o CASB atua na segurança de dados por meio de mecanismos de detecção de DLP, identificando possíveis falhas. E faz isso com a definição de políticas de compartilhamento que previnam a perda e roubo de dados, automatizando processos e configurações para tornar os acessos cada vez mais seguros.
Quanto ao último pilar, o foco é a proteção contra ameaças. Aqui, é preciso garantir que os próprios funcionários não estejam espalhando malwares na nuvem, através de serviços de armazenamento, por exemplo. Então, é necessário descobrir e corrigir ameaças quando um colaborador compartilha (mesmo sem saber) um arquivo infectado – em tempo real e em redes internas e externas. Do mesmo modo, deve impedir o acesso de usuários não autorizados a serviços e dados em nuvem, algo que auxilia na hora de identificar contas comprometidas.
É importante lembrar que o CASB possui recursos analíticos de comportamento da entidade do usuário (UEBA) para detectar ameaças internas e contas comprometidas. Ele varre os dados da rede que passam por ele para identificar ameaças em potencial – ou tentativas de exfiltrar dados de suas soluções em nuvem.
Onde os CASBs são executados
Os CASBs podem ser executados no local ou na nuvem. Logicamente, os CASBs ficam entre o usuário final e o sistema cloud, mas fisicamente um CASB precisa estar localizado em um dos dois lugares: o data center corporativo ou na própria nuvem. Isso significa que é possível escolher entre usar um agente de segurança de acesso à nuvem como um serviço ou hospedar um em um dispositivo físico ou virtual.
A opção SaaS é mais fácil de gerenciar e é o método mais popular. Entretanto, certos setores podem ter que usar um sistema local por motivos de conformidade.
Mais de um
Os recursos dos CASBs — baseados em proxy direto, baseados em proxy reverso, baseados em API ou multimodo — variam. É fundamental entender que apenas porque um aplicativo específico é suportado por um CASB, isso não significa que ele seja suportado da mesma forma que outro CASB.
Além disso, a gama de aplicativos suportados por um CASB varia. Isso faz com que seja um desafio a escolha de um agente de segurança de acesso à nuvem que suporte todos os aplicativos que se usa no presente. Aplicativos de back-office como CRM, RH e ERP geralmente são bem suportados, mas aplicativos específicos para um setor (por exemplo, para a área da saúde) são menos.
Portanto, é essencial ter cautela ao firmar contratos de longo prazo. O ideal é criar flexibilidade, porque pode ser necessário haver mais de um CASB, ou fazer a transição do provedor atual – para um que forneça um conjunto mais amplo, visando atender as necessidades de cada negócio.
This post is also available in: Português Español