Por que os melhores profissionais de nuvem adotam um Cloud Access Security Broker?

Um CASB (Cloud Access Security Broker) é um ponto de visibilidade e controle que protege os aplicativos em nuvem, fornecendo serviços de proteção de dados e proteção contra ameaças para evitar o vazamento de dados confidenciais, bloquear malware e outras ameaças, descobrir e controlar a TI invisível e garantir a conformidade normativa.

Situados entre os usuários de aplicativos em nuvem e os próprios serviços em nuvem, os CASBs podem monitorar o tráfego e a atividade do usuário, bloquear automaticamente ameaças e compartilhamentos arriscados e aplicar políticas de segurança, como autenticação e alertas.

Por que um CASB é necessário?

Com o aumento da adoção da nuvem, os CASBs tornaram-se atraentes para a segurança corporativa por suas várias funções de segurança cibernética, controle de acesso e proteção de dados. Eles devolvem o controle sobre os dados corporativos, em movimento ou em repouso, em plataformas e aplicativos em nuvem. Atualmente, os CASBs são essenciais porque:

O crescimento de plataformas e aplicativos em nuvem (por exemplo, Microsoft 365, Salesforce) tornou as ferramentas tradicionais de segurança de rede, como firewalls de data center, muito menos eficazes.
As equipes de TI não têm mais o controle que tinham antes. Quase qualquer pessoa pode pegar e usar um novo aplicativo em nuvem, e a TI não pode gerenciar manualmente os controles de acesso granular do usuário nessa escala.
Eles podem aplicar políticas para fornecer controle de TI sombra, prevenção de perda de dados na nuvem (DLP), gerenciamento de postura de segurança de SaaS (SSPM) e proteção avançada contra ameaças.

Os quatro pilares do CASB

Uma solução CASB eficaz é construída com quatro recursos principais em mente:

Visibilidade

O trabalho remoto e o BYOD estão criando uma necessidade maior de as organizações saberem o que está acontecendo em seus ambientes de nuvem. Há muitos dispositivos não gerenciados e, sem a visibilidade adequada das implantações, você corre o risco de permitir acessos indesejados. Um CASB descobre o uso de aplicativos em nuvem da sua organização, cria relatórios sobre os gastos com a nuvem e realiza avaliações de risco para permitir que você decida se um aplicativo deve ser bloqueado.

Conformidade

Os serviços de computação em nuvem exigem o cumprimento de uma quantidade excessiva de normas de conformidade para operar em nível organizacional. Isso é particularmente verdadeiro no setor público, bem como nos setores de serviços financeiros e de saúde. Com um CASB, você pode identificar os maiores fatores de risco do seu setor e definir políticas rigorosas de proteção de dados para obter e manter a conformidade em toda a organização.

Segurança de dados

A cada dois anos, o volume de dados do mundo dobra de tamanho. Esse aumento exponencial de dados fez com que os malfeitores se tornassem mais astutos do que nunca. A combinação de um CASB com DLP em nuvem permite que você não apenas veja os possíveis riscos aos dados, mas também os impeça. Além disso, você tem visibilidade do conteúdo confidencial que viaja de ou para a nuvem ou entre nuvens, o que lhe dá a melhor chance de identificar incidentes, aplicar a política adequada e, acima de tudo, manter os dados seguros.

Proteção contra ameaças

As ameaças à nuvem e o malware estão em alta no ecossistema de TI atual e, na maioria dos casos, os recursos da nuvem são os mais vulneráveis. Um CASB oferece a você o poder da análise de comportamento e da inteligência contra ameaças para turbinar sua segurança na nuvem. Com esses recursos avançados, você pode identificar e corrigir rapidamente atividades suspeitas, manter os aplicativos e dados em nuvem seguros e reforçar a postura geral de segurança em nuvem da sua organização.

De acordo com analistas da Gartner e de outras empresas, toda empresa com presença significativa na nuvem precisa de um CASB (Cloud Access Security Broker) para proteger seus dados baseados na nuvem.

Como funcionam os CASBs?

As soluções CASB podem assumir a forma de hardware ou software no local, mas são mais bem fornecidas como um serviço em nuvem para maior escalabilidade, custos mais baixos e gerenciamento mais fácil. Seja qual for o formato, os CASBs podem ser configurados para usar proxy (proxy direto ou proxy reverso), APIs ou ambos (o que é chamado de “multimodo” – falaremos mais sobre isso adiante).

Proxy: Os CASBs precisam operar no caminho dos dados, portanto, o CASB ideal é baseado em uma arquitetura de proxy de nuvem. Os proxies diretos são mais comumente usados com CASB, garantindo a privacidade e a segurança dos usuários do lado do cliente.
Os proxies reversos, por outro lado, ficam nos servidores da Internet e são propensos à degradação do desempenho e a erros de solicitação. Um proxy de encaminhamento intercepta solicitações de serviços de nuvem no caminho para o destino. Em seguida, com base na sua política, o CASB aplica funções como mapeamento de credenciais e autenticação de logon único (SSO), perfil de postura do dispositivo, registro, alerta, detecção de malware, criptografia e tokenização.
API: Enquanto um proxy em linha intercepta dados em movimento, você precisa de segurança fora de banda para dados em repouso na nuvem, que os fornecedores de CASB fornecem por meio de integrações com as APIs (interfaces de programação de aplicativos) dos provedores de serviços em nuvem.

O que o Gartner diz sobre o CASB?

A Gartner definiu o CASB pela primeira vez em 2012, e as organizações o utilizaram principalmente para controlar a TI invisível. Os CASBs evoluíram desde então, indo além da simples proteção de aplicativos SaaS, tornando-se amplamente aplicáveis em modelos de fornecimento de plataforma (PaaS) e infraestrutura como serviço (IaaS) em uma variedade de novos casos de uso.
Com o tempo, os benefícios e os recursos do CASB começaram a se sobrepor mais aos recursos do gateway seguro da Web (SWG). Em parte, foi por isso que a Gartner definiu um novo termo em 2019: borda de serviço de acesso seguro (SASE), uma estrutura de serviços fornecidos na nuvem que fornecem “recursos abrangentes de WAN com funções abrangentes de segurança de rede (como SWG, CASB, FWaaS e ZTNA) para dar suporte às necessidades dinâmicas de acesso seguro das empresas digitais”.

Em 2021, o Gartner destilou isso ainda mais, identificando a fatia centrada em segurança do SASE como a borda do serviço de segurança (SSE). Isso reflete os esforços crescentes em todo o mundo para simplificar pilhas de segurança complexas e desarticuladas, com a previsão do Gartner de que 30% das empresas terão adotado recursos de SWG, CASB, ZTNA e firewall como serviço (FWaaS) do mesmo fornecedor até 2024.

O que é um CASB multimodo?

No modo proxy, os CASBs oferecem aplicação de políticas em linha que impedem vazamentos e malware em tempo real. Eles também podem se integrar às APIs para verificar o conteúdo dos aplicativos SaaS, permitindo que encontrem e respondam a padrões de dados confidenciais, bem como a ameaças como o ransomware.

Recentemente, as integrações de API foram usadas para o gerenciamento da postura de segurança de SaaS (SSPM), por meio do qual os CASBs corrigem as configurações incorretas dos aplicativos.

Os CASBs que oferecem modos baseados em proxy e API são chamados de CASBs multimodo. Além de proteger o SaaS, eles podem proteger o IaaS, como o Microsoft Azure e o AWS S3. E, em vez de implantar um CASB como outro produto pontual, você pode implantá-lo como parte de uma plataforma SSE para garantir segurança consistente, desempenho aprimorado e administração consolidada.

Principais motivos de utilizar o CASB

Descobrir e controlar a TI invisível

Quando seus usuários armazenam e compartilham arquivos e dados corporativos em aplicativos de nuvem não autorizados, a segurança dos seus dados é prejudicada. Para combater isso, você precisa entender e proteger o uso da nuvem em sua organização.

O Zscaler CASB descobre automaticamente a TI invisível, revelando os aplicativos de risco visitados pelos usuários. Em seguida, políticas automatizadas e facilmente configuráveis aplicam várias ações (por exemplo, permitir ou bloquear, impedir o upload, restringir o uso) em aplicativos individuais e categorias de aplicativos.

Proteger locatários de SaaS não corporativos

Os usuários podem usar simultaneamente instâncias sancionadas e não sancionadas de aplicativos como o Google Drive. Responder com uma abordagem única – permitir ou bloquear totalmente o aplicativo – pode incentivar o compartilhamento inadequado ou prejudicar a produtividade, respectivamente.

O CASB pode distinguir entre os locatários de SaaS sancionados e as instâncias não sancionadas pertencentes a partes externas, aplicando a cada uma delas a aplicação da política adequada. Os controles de locatários de SaaS pré-configurados oferecem correção automatizada e em tempo real

Controle o compartilhamento arriscado de arquivos

Os aplicativos em nuvem permitem compartilhamento e colaboração sem precedentes. Como resultado, suas equipes de segurança precisam saber quem está compartilhando o quê em aplicativos autorizados, para não correr o risco de permitir que partes perigosas tenham acesso aos seus dados.

O gerenciamento da colaboração é um recurso essencial de qualquer CASB líder. O CASB rastreia rápida e repetidamente os arquivos em seus locatários de SaaS para identificar dados confidenciais, verificar os usuários com os quais os arquivos são compartilhados e responder automaticamente a compartilhamentos arriscados, conforme necessário.

Correção das configurações incorretas de SaaS

Ao implantar e gerenciar um aplicativo em nuvem, a configuração precisa é fundamental para garantir que o aplicativo funcione de forma adequada e segura. As configurações incorretas prejudicam sua higiene de segurança e podem facilmente expor dados confidenciais.

Evitar o vazamento de dados

Além das configurações incorretas dos recursos da nuvem que podem permitir violações e vazamentos de dados, você precisa identificar e controlar os padrões de dados confidenciais na nuvem. Uma grande quantidade desses dados é regulamentada por estruturas como HIPAA, PCI DSS, GDPR e muitas outras.

O Zero Trust Exchange, nossa plataforma de segurança nativa da nuvem, oferece proteção de dados unificada com recursos de DLP e CASB na nuvem. Ele garante que os aplicativos em nuvem sejam configurados adequadamente para impedir a perda de dados e a não conformidade, com o apoio de técnicas avançadas de classificação de dados, como a correspondência exata de dados (EDM) e a correspondência indexada de documentos (IDM), para identificar e proteger dados confidenciais onde quer que eles estejam.

Impedir ataques bem-sucedidos

Quando um arquivo infectado passa pela segurança da sua organização em um dos seus aplicativos de nuvem autorizados, ele pode se espalhar rapidamente para aplicativos conectados e dispositivos de outros usuários. É por isso que você precisa de uma maneira de se defender contra ameaças em tempo real, tanto no carregamento quanto em repouso.

O CASB impede os avanços do malware com recursos de proteção avançada contra ameaças (ATP), incluindo:

Proxy em tempo real para evitar que arquivos mal-intencionados sejam carregados na nuvem
Varredura fora da banda para identificar arquivos em repouso e corrigir ameaças
Sandboxing na nuvem para identificar até mesmo malware de dia zero
Isolamento do navegador na nuvem sem agente para proteger o acesso de endpoints não gerenciados

Fonte:

https://www.zscaler.com/resources/security-terms-glossary/what-is-cloud-access-security-broker

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.