Un enfoque más eficaz de la seguridad en la nube: NGFW para CASB en línea
Las aplicaciones en la nube han cambiado la forma de hacer negocios de las organizaciones, introduciendo nuevos riesgos de seguridad en el proceso. Estas aplicaciones son fáciles de configurar y utilizar para la colaboración y, como resultado, el volumen y la sensibilidad de los datos que se transfieren, almacenan y comparten en estos entornos de nube sigue aumentando. Al mismo tiempo, los usuarios se desplazan constantemente a diferentes ubicaciones físicas y utilizan múltiples dispositivos, sistemas operativos y versiones de aplicaciones para acceder a los datos que necesitan.
Se trata de cambios significativos en los hábitos de trabajo y en la tecnología, y las herramientas de seguridad tradicionales no han podido seguir el ritmo. El impulso para abordar estas lagunas de seguridad ha dado lugar a nuevas tecnologías y formas de describirlas, incluida la categoría de agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés).
Según Gartner, "los CASB son puntos de aplicación de políticas de seguridad in situ, o basados en la nube, situados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para combinar e interponer las políticas de seguridad de la empresa a medida que se accede a los recursos basados en la nube. Los CASB consolidan múltiples tipos de aplicación de políticas de seguridad".
Los CASB proporcionan a las organizaciones tres funciones clave de seguridad SaaS y, como resultado, han experimentado una rápida evolución y adopción: (1) visibilidad del uso de SaaS; (2) control granular sobre el acceso a SaaS, y (3) cumplimiento y seguridad para sus datos basados en la nube. Existen diferentes modos de implementación mediante los cuales un CASB puede ofrecer sus funciones, entre ellos el modo en línea y el modo API. A continuación los analizaremos con un poco más de detalle, además de destacar un enfoque más sencillo y eficaz: NGFW para CASB en línea.
Responder a la necesidad de CASB
La definición de CASB en el momento de su creación con el uso del término "broker" implicaba que los CASB se encontraban en el camino de su tráfico de nube. Desde entonces, la tecnología CASB ha evolucionado y ahora incluye dos componentes clave: el modo en línea y el modo API. Veamos brevemente estos dos modos.
CASB en línea
El CASB en línea puede dividirse a su vez en dos modos: Proxy directo y Proxy inverso. Con el proxy de reenvío, los proveedores de CASB necesitan reenviar el tráfico de la nube a un dispositivo o servicio que pueda proporcionar visibilidad de la aplicación y capacidades de control. También es importante señalar que las capacidades de proxy de reenvío no se limitan únicamente a los proxies. Las potentes capacidades de control de aplicaciones de nueva generación también pueden aplicarse mediante dispositivos o servicios NGFW. Esto es ideal por múltiples razones, ya que muchos clientes ya tienen implementado el NGFW como puerta de enlace a Internet para usuarios in situ o remotos. Si los clientes prefieren utilizar un verdadero proxy (ofrecido por la mayoría de los proveedores de CASB), suele introducir una sobrecarga de gestión y una complejidad adicionales. Es importante que los clientes consideren si su NGFW existente ya resuelve sus necesidades de CASB en línea sin coste adicional. En el caso de un proxy inverso, los proveedores de CASB utilizan SSO (o a veces DNS) para redirigir a los usuarios a un servicio CASB en línea para garantizar que se aplican las políticas.
CASB basado en API
El enfoque basado en API permite a los proveedores de CASB acceder a los datos del cliente dentro de la aplicación en la nube sin estar "en medio" del tráfico en la nube. Se trata de un enfoque fuera de banda para realizar varias funciones, incluida la inspección granular de la seguridad de los datos en todos los datos en reposo de la aplicación o el servicio en la nube, así como la supervisión continua de la actividad de los usuarios y las configuraciones administrativas. Se preserva la experiencia del usuario de la aplicación en la nube, ya que la API no es intrusiva y no interfiere en la ruta de datos a la aplicación en la nube. Además de aplicar políticas para cualquier infracción futura, un CASB basado en API es la única forma de rastrear los datos existentes almacenados en la nube y remediar cualquier infracción y amenaza de DLP. Esto es especialmente importante, ya que las empresas acaban "sancionando" una aplicación antes de haber averiguado cómo asegurarla, y casi siempre hay contenido existente que debe investigarse. Cubriremos el CASB basado en API con mucho más detalle en una próxima entrada del blog.
Tenemos un enfoque más sencillo: NGFW para CASB en línea
Un cortafuegos de nueva generación combina funciones de inspección de usuarios, contenidos y aplicaciones dentro de los cortafuegos para habilitar las funciones CASB. La tecnología de inspección es entonces capaz de asignar usuarios a aplicaciones para ofrecer un control granular sobre el uso de las aplicaciones en la nube, independientemente de la ubicación o el dispositivo. Entre las funciones relevantes para CASB dentro de NGFW se incluyen el control granular de aplicaciones (incluidas las aplicaciones SaaS e in situ), el control de funciones específicas de aplicaciones, el filtrado de URL y contenidos, las políticas basadas en el riesgo de las aplicaciones, DLP, las políticas basadas en el usuario y la prevención del malware conocido y desconocido.
Los clientes que elijan un enfoque basado en NGFW deben tener flexibilidad de implementación, utilizando uno o una combinación de los siguientes escenarios:
- NGFW como dispositivo: Más allá de los dispositivos físicos que ya puedan estar instalados, los cortafuegos virtuales pueden actuar como puertas de enlace en la nube para garantizar la máxima cobertura global a los usuarios remotos, eliminando la sobrecarga de implementar hardware adicional. La mayoría de los clientes ya tienen este componente implementado para los usuarios in situ.
- NGFW como servicio en la nube: En este escenario, la infraestructura de seguridad multiinquilino basada en la nube debe ser gestionada y mantenida por el proveedor de seguridad. Por ejemplo, Palo Alto Networks Prisma™ Access (anteriormente GlobalProtect™ cloud service) permite a los clientes utilizar las capacidades preventivas de Palo Alto Networks Next-Generation Security Platform para proteger redes remotas y usuarios móviles. El servicio puede ser una simple extensión de su implementación NGFW existente para evitar la filtración de datos confidenciales en todas las aplicaciones, basadas en SaaS o no. Los clientes pueden reducir la complejidad y el coste de la gestión de las implementaciones globales y obtener una protección coherente en todos los entornos de nube.
Es más, cuando se utiliza un enfoque de NGFW en línea como parte de una plataforma de seguridad de nueva generación integrada, que da prioridad a la prevención -incluyendo un NGFW, una nube de inteligencia de amenazas, un servicio de seguridad SaaS basado en API y una protección avanzada de endpoints-, los clientes pueden detener las fugas de datos de sus aplicaciones en la nube; reducir la exposición a las amenazas controlando el uso sancionado y no sancionado de las aplicaciones; prevenir las amenazas conocidas y desconocidas dentro del tráfico permitido y garantizar que la adopción de sus aplicaciones en la nube sigue cumpliendo las normativas.
Una plataforma de seguridad de nueva generación, de hecho, proporciona una protección completa de la nube a un coste total de propiedad inferior al de los CASB típicos.
Para saber más, consulte los siguientes recursos:
