¿Qué es un Cloud Access Security Broker (CASB)?

La evolución del CASB

Antes del auge de la computación en nube y las políticas BYOD, la seguridad empresarial existía en el mismo modelo de "jardín amurallado" que había tenido durante más de una década. Pero a medida que los servicios empezaron a originarse en la nube y a trasladarse a ella -y los empleados empezaron a utilizar estos servicios en la nube, con o sin el conocimiento previo o la aprobación de TI-, las empresas empezaron a buscar una forma de aplicar políticas de seguridad coherentes en múltiples nubes y salvaguardar tanto a los usuarios como los datos corporativos.

El desarrollo del CASB permitió a los profesionales de la seguridad empresarial obtener visibilidad de la nube, en particular del uso no autorizado del software como servicio (SaaS), o TI en la sombra. La información que les proporcionó el CASB resultó chocante para muchos responsables de TI, que pronto descubrieron que el uso de la nube en su empresa era mucho más profundo y generalizado de lo que habían imaginado.

Aunque frenar las amenazas derivadas de las TI en la sombra era un caso de uso principal, no fue lo único que impulsó la adopción generalizada de los CASB. Durante esta época, muchas empresas estaban trasladando sus capacidades de almacenamiento de datos de los centros de datos locales a la nube. Esto hizo que los CASB, que protegían tanto el movimiento de los datos (restringiendo aspectos como el acceso y los privilegios de uso compartido) como el contenido de los datos (mediante el cifrado) fueran aún más esenciales.

Mientras se producía este cambio, también se alteraba el panorama de las amenazas. Hoy en día, el malware es más omnipresente, el phishing es a la vez más elegante y mejor dirigido, y los pequeños errores -por ejemplo, abrir al público un bucket S3 de AWS- pueden crear un agujero de seguridad que podría costar millones.

Dado que las medidas de seguridad de los CASB incluyen funciones específicamente diseñadas para abordar estos problemas, el uso de un CASB se considera actualmente un elemento esencial de la seguridad empresarial.

Qué ofrecen los CASB

Muchas de las características de seguridad de los CASB son únicas en comparación con las que ofrecen otros controles de seguridad, como los cortafuegos de aplicaciones empresariales/web y las pasarelas web seguras, y pueden incluir:

• Gobernanza de la nube y evaluación de riesgos
• Data loss prevention
• Control de las funciones nativas de los servicios en la nube, como la colaboración y el uso compartido
• Prevención de amenazas, a menudo análisis del comportamiento de usuarios y entidades (UEBA)
• Auditoría de configuración
• Detección de malware
• Cifrado de datos y gestión de claves
• Integración de SSO e IAM
• Control de acceso contextual

Los cuatro pilares de CASB

Desde sus inicios como respuesta a la TI en la sombra, CASB ha crecido hasta incluir funcionalidades que pueden describirse en términos de cuatro pilares:

1. Visibilidad
   Las grandes empresas pueden tener cualquier número de empleados accediendo a muchas aplicaciones en muchos entornos de nube diferentes. Cuando el uso de la nube está fuera de la vista del departamento de TI, los datos de la empresa ya no están sujetos a las políticas de gobierno, riesgo o cumplimiento de la empresa. Para salvaguardar a los usuarios, los datos confidenciales y la propiedad intelectual, una solución CASB proporciona una visibilidad completa del uso de las aplicaciones en la nube, incluida la información del usuario, como el dispositivo y la ubicación. El análisis de descubrimiento de la nube proporciona una evaluación de riesgos para cada servicio en la nube en uso, lo que permite a los profesionales de seguridad de la empresa decidir si seguir permitiendo el acceso o si bloquear la aplicación. Esta información también es útil para ayudar a configurar controles más granulares, como la concesión de distintos niveles de acceso a las aplicaciones y los datos en función del dispositivo, la ubicación y la función laboral de una persona.
2. Cumplimiento
   Aunque las empresas pueden externalizar todos y cada uno de sus sistemas y almacenamiento de datos a la nube, mantienen la responsabilidad del cumplimiento de las normativas que rigen la privacidad y la seguridad de los datos empresariales. Los agentes de seguridad de acceso a la nube pueden ayudar a mantener el cumplimiento en la nube abordando una amplia variedad de normativas de cumplimiento como la HIPAA, así como requisitos normativos como ISO 27001, PCI DSS, etc. Una solución CASB puede determinar las áreas de mayor riesgo en términos de cumplimiento y proporcionar orientación sobre en qué debe centrarse el equipo de seguridad para resolverlas.
3. Seguridad de los datos
   La adopción de la nube ha eliminado muchas de las barreras que impedían una colaboración eficaz a distancia. Pero por mucho que la circulación fluida de datos pueda resultar beneficiosa, también puede suponer un coste tremendo para las empresas interesadas en proteger la información sensible y confidencial. Aunque las soluciones de DLP locales están diseñadas para salvaguardar los datos, su capacidad para hacerlo a menudo no se extiende a los servicios en la nube y carece de contexto en la nube. La combinación de CASB con una DLP sofisticada permite al departamento de TI ver cuándo el contenido sensible viaja hacia o desde la nube, dentro de la nube y de nube a nube. Mediante el despliegue de funciones de seguridad como data loss prevention, el control de la colaboración, el control del acceso, la gestión de los derechos de información, el cifrado y la tokenización, se pueden minimizar las fugas de datos de la empresa.
4. Protección frente a amenazas
   Ya sea por negligencia o con malas intenciones, los empleados y terceros con credenciales robadas pueden filtrar o robar datos confidenciales de los servicios en la nube. Para ayudar a detectar comportamientos anómalos de los usuarios, los CASB pueden recopilar una visión completa de los patrones de uso habituales y utilizarla como base de comparación. Con la tecnología UEBA basada en el aprendizaje automático, los CASB pueden detectar y remediar las amenazas en cuanto alguien intenta robar datos o acceder indebidamente. Para protegerse contra las amenazas procedentes de los servicios en la nube, el CASB puede utilizar capacidades como el control de acceso adaptable, el análisis estático y dinámico de malware, el análisis priorizado y la inteligencia sobre amenazas para bloquear el malware.

¿Por qué necesito un CASB?

A medida que los servicios que antes se ofrecían en las instalaciones siguen migrando a la nube, mantener la visibilidad y el control en estos entornos es esencial para cumplir los requisitos de conformidad, salvaguardar su empresa de los ataques y permitir que sus empleados utilicen con seguridad los servicios en la nube sin introducir un alto riesgo adicional para su empresa.

Pero aunque el uso de un CASB es crucial para las empresas que desean asegurar el uso de la nube en sus empresas, es sólo una parte de la estrategia global de seguridad que las empresas deben utilizar para garantizar la defensa desde el dispositivo hasta la nube. Para disponer de un plan de protección integral, las empresas también deberían considerar la posibilidad de ampliar las capacidades de su CASB desplegando una solución secure web gateway (SWG) para ayudar a salvaguardar el uso de Internet y una solución data loss prevention (DLP) para ayudar a proteger la propiedad intelectual y proteger los datos corporativos sensibles en toda la red.

¿Cómo funciona un CASB?

El trabajo de un cloud access security broker es proporcionar visibilidad y control sobre los datos y las amenazas en la nube para cumplir los requisitos de seguridad de la empresa. Esto se consigue mediante un proceso de tres pasos:

1. Descubrimiento: La solución CASB utiliza el descubrimiento automático para compilar una lista de todos los servicios de terceros en la nube, así como de quién los utiliza.
2. Clasificación: Una vez revelado el alcance total del uso de la nube, el CASB determina entonces el nivel de riesgo asociado a cada una determinando cuál es la aplicación, qué tipo de datos contiene y cómo se están compartiendo.
3. Remediación: Una vez conocido el riesgo relativo de cada aplicación, el CASB puede utilizar esta información para establecer una política de acceso de datos y usuarios de la organización que cumpla sus requisitos de seguridad, y tomar medidas automáticamente cuando se produzca una infracción.

Los CASB también ofrecen capas adicionales de protección mediante la prevención de malware y el cifrado de datos.

¿Cómo despliego un CASB?

La sencillez es uno de los principales argumentos de venta de la tecnología CASB. Junto con la facilidad de uso, una de las principales ventajas de CASB es su facilidad de implantación. Aun así, hay que tener en cuenta algunas cosas:

Lugar de despliegue
Un CASB puede desplegarse en las instalaciones o en la nube. Actualmente, la versión SaaS es la más popular, y la mayoría de las implantaciones de CASB están basadas en SaaS.

Modelo de implantación
Existen tres modelos diferentes de despliegue de CASB a tener en cuenta: API-Control, Proxy inverso y Proxy directo.

• Control API: Ofrece visibilidad de los datos y las amenazas en la nube, así como una implantación más rápida y una cobertura completa.
• Proxy inverso: Ideal para dispositivos generalmente fuera del ámbito de la seguridad de la red.
• Proxy de reenvío: Suele funcionar junto con clientes VPN o protección de puntos finales.

Las implantaciones de proxy se utilizan a menudo para aplicar controles en línea en tiempo real y cumplir los requisitos de residencia de datos.

Gartner sugiere a las empresas que consideren productos CASB que ofrezcan una variedad de opciones de arquitectura para cubrir todos los escenarios de acceso a la nube. La flexibilidad que ofrece un CASB multimodo garantiza que las empresas puedan ampliar su seguridad en la nube a medida que sus necesidades sigan evolucionando.

Tres consideraciones para elegir un CASB

1. ¿Se adapta bien? Antes de seleccionar un CASB, las empresas deben identificar sus casos de uso individuales de CASB y buscar específicamente la solución que mejor se adapte a sus objetivos. Para garantizar un buen ajuste, las empresas deberían realizar POC detallados, recopilar investigaciones de analistas de ciberseguridad o realizar llamadas de referencia en profundidad con otras empresas de tamaño similar y con necesidades parecidas.
2. ¿Crecerá y cambiará para adaptarse a sus necesidades? A medida que el uso de la nube por parte de las empresas siga creciendo, el panorama de las amenazas crecerá con él. Al asociarse con el proveedor de CASB adecuado, podrá mantener actualizadas sus políticas de cumplimiento y seguridad de la nube y, por lo general, tendrá acceso antes a las nuevas capacidades.
3. ¿Protege el IaaS? Proteger el SaaS es claramente importante, pero para una seguridad empresarial completa, los entornos IaaS también deben estar protegidos. Para las empresas que requieren esta capacidad, el CASB no sólo debe salvaguardar la actividad y las configuraciones en el IaaS, sino también defender a sus clientes mediante la protección frente a amenazas, la supervisión de la actividad y los controles DLP.