¿Qué es CASB?Agentes de seguridad de acceso a la nube

Un agente de seguridad de acceso a la nube (CASB) ofrece una serie de servicios para proteger a las empresas que utilizan la informática en la nube de fugas de datos y ciberataques.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el agente de seguridad de acceso a la nube (CASB)
  • Más información acerca de lo que hacen los CASB
  • Explorar los cuatro pilares del CASB

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es un agente de seguridad de acceso a la nube (CASB)?

CASB

Un agente de seguridad de acceso a la nube, o CASB, es un tipo de solución de seguridad que ayuda a proteger los servicios alojados en la nube. Los CASB ayudan a mantener las aplicaciones corporativas de Software como servicio (SaaS), junto con los servicios de Infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS), a salvo de ciberataques y fugas de datos. Normalmente, los CASB ofrecen sus servicios como un software alojado en la nube, aunque algunos CASB también ofrecen software o dispositivos de hardware locales.

Bajo el paraguas de los CASB se engloban varias tecnologías de seguridad diferentes y una solución CASB suele ofrecerlas conjuntamente en un paquete. Estas tecnologías incluyen el descubrimiento de Shadow IT, control de acceso, y Prevención de pérdida de datos (DLP), entre varias otras.

Pensemos que un CASB es como si fuera una empresa de seguridad física que ofrece una serie de servicios (vigilancia, patrulla a pie, verificación de identidad, etc.) para mantener la seguridad de unas instalaciones, en lugar de un único guardia de seguridad. Del mismo modo, los CASB ofrecen una variedad de servicios en lugar de uno, lo que simplifica el proceso de protección de los datos en la nube.

¿Cuáles son los cuatro pilares de la seguridad de CASB?

características del casb

Gartner, una influyente empresa de análisis del sector, define cuatro "pilares" para los agentes de seguridad de acceso a la nube:

  1. Visibilidad: las soluciones CASB ayudan a descubrir "shadow IT": sistemas y procesos, especialmente servicios en la nube, que no están oficialmente documentados y que pueden introducir riesgos de seguridad desconocidos.
  2. Seguridad de los datos: los CASB previenen que los datos confidenciales salgan de los sistemas controlados por la empresa y ayudan a proteger la integridad de esos datos. Esta capacidad es especialmente relevante con la proliferación de herramientas de IA en las que los empleados pueden intentar cargar los datos protegidos. Entre las tecnologías importantes en este ámbito están el control de acceso y la prevención de pérdida de datos (DLP).
  3. Protección contra amenazas: los CASB bloquean las amenazas y ataques externos, además de detener las fugas de datos. La detección antimalware, los espacios seguros, la inspección de paquetes, el filtrado de URL y el aislamiento de navegador pueden ayudar a bloquear los ciberataques.
  4. Cumplimiento: como la nube está tan dispersa y no está bajo el control de una empresa, puede ser difícil para las empresas que operan en la nube cumplir con estrictos requisitos normativos como SOC 2, HIPAA o el RGPD. En ciertos sectores y regiones, las empresas que no cumplen con estos se exponen a sanciones y multas. Al implantar fuertes controles de seguridad, los CASB ayudan a las empresas que almacenan datos y ejecutan procesos empresariales en la nube a cumplir con la normativa.

¿Qué funciones de seguridad ofrecen los CASB?

La mayoría de las soluciones CASB ofrecen algunas o todas de las siguientes tecnologías de seguridad:

  • Verificación de identidad: garantiza que un usuario es quien dice ser mediante la comprobación de varios factores de identidad, como una contraseña o la posesión de un token físico
  • Control de acceso: controla lo que los usuarios pueden ver y hacer en las aplicaciones controladas por la empresa
  • Descubrimiento de TI en la sombra: identifica los sistemas y servicios que los empleados internos utilizan para fines empresariales sin la debida autorización
  • Prevención de pérdida de datos (DLP): detiene las fugas de datos y evita que los datos salgan de las plataformas que son propiedad de la empresa
  • Filtrado de URL: bloquea los sitios web utilizados por los atacantes para ataques de phishing o de malware
  • Inspección de paquetes: inspecciona los datos que entran o salen de la red en busca de actividades maliciosas
  • Espacios seguros: ejecuta programas y código en un entorno aislado para determinar si es o no malicioso
  • Aislamiento de navegador: ejecuta los navegadores de los usuarios en un servidor en remoto en lugar de en los dispositivos de los usuarios, lo cual protege a los dispositivos de código potencialmente malicioso que pueda ejecutarse en el navegador
  • Detección antimalware: identifica el software malicioso

Esta lista no es exhaustiva, ya que los CASB pueden ofrecer otros productos de seguridad además de los mencionados. Algunas de estas tecnologías se incluyen también en otros tipos de productos de seguridad. Por ejemplo, muchos firewall ofrecen inspección de paquetes, y muchos productos de seguridad de puntos de conexión ofrecen antimalware. Sin embargo, los CASB empaquetan estas tecnologías específicamente para la informática en la nube.

Para ofrecer un complemento completo de servicios CASB, muchos de los CASB principales han adquirido en algún momento un producto o una empresa que agrupan con sus otros productos ya existentes. También pueden asociarse con empresas externas para ofrecer servicios adicionales.

Los CASB y la DLP

Aunque la DLP ha cobrado importancia a medida que los marcos reglamentarios de datos (como el RGPD) presionan a las organizaciones para que mantengan la privacidad y eviten las fugas de datos, los productos DLP tradicionales tienen áreas débiles cuando se trata de proteger el panorama moderno de los datos. Los servicios de DLP independientes son difíciles de implementar como una capa adicional para los servicios en la nube. Incluir DLP en las soluciones de CASB ayuda a resolver estos retos al permitir que las organizaciones protejan sus datos y aseguren el cumplimiento.

¿Cuáles son las ventajas de los CASB?

En la informática en la nube, los datos se almacenan a distancia y se accede a ellos a través de Internet. Por ello, las empresas que utilizan la nube tienen un control limitado sobre dónde se almacenan los datos y cómo acceden a ellos los usuarios. Los usuarios pueden acceder a los datos y aplicaciones de la nube en cualquier dispositivo conectado a Internet y desde cualquier red, no solo la red interna gestionada por la empresa. Por ejemplo, un usuario podría entrar en una aplicación SaaS gestionada por la empresa desde una red no segura en su dispositivo personal, lo que normalmente no sería posible para las aplicaciones que se ejecutan en ordenadores y servidores locales (a menos que se utilice un escritorio remoto).

El uso de la nube también hace más difícil garantizar que los datos permanezcan privados y seguros, al igual que es más difícil evitar que extraños escuchen cuando se habla en un lugar público en lugar de en una habitación privada.

Para proteger del todo los datos en la nube, las organizaciones suelen utilizar también servicios de seguridad basados en la nube. En ocasiones, obtienen estos servicios de diferentes proveedores: utilizando una plataforma para la DLP, otra para la identidad, otra para el antimalware, etc. Pero este enfoque de la seguridad en la nube también crea desafíos: hay que negociar varios contratos por separado, las políticas de seguridad tienen que configurarse numerosas veces, la implementación y gestión de múltiples plataformas es complejo para el departamento de TI, etc.

Los CASBs son una solución de seguridad de la red para estos retos. Adquirir estas medidas de seguridad desde un broker de la seguridad en la nube en lugar de varios proveedores significa:

  1. Todas las tecnologías implicadas funcionan bien en conjunto.
  2. Gestión simplificada de las herramientas de seguridad en la nube; los equipos de TI pueden trabajar con un solo proveedor, en lugar de media docena de proveedores. Además, muchos CASB permiten que sus clientes gestionen todos los servicios de seguridad en la nube desde un único panel de control.

¿Cuáles son los retos de usar un CASB?

Escalabilidad: los CASB tienen que gestionar muchos datos y múltiples plataformas y aplicaciones en la nube. Las empresas deben asegurarse de que su proveedor de CASB sea capaz de expandirse con ellas a medida que van creciendo.

Mitigación: no todos los CASB ofrecen la posibilidad de detener las amenazas de seguridad una vez identificadas. En función de la situación, un CASB sin capacidad de mitigación puede no ser muy útil para una empresa.

Integración: las empresas deben asegurarse de que su CASB se integre con todos sus sistemas e infraestructura. Sin una integración completa, el CASB no tendrá una visibilidad total de las TI no autorizadas y de las posibles amenazas a la seguridad.

Privacidad de los datos: ¿Mantiene el proveedor de CASB la privacidad de los datos, o es una parte externa más que toca datos confidenciales? Si el CASB traslada los datos de sus clientes a la nube, ¿cómo de seguros y privados son? Estas preguntas son especialmente importantes para las organizaciones que operan bajo regulaciones estrictas de privacidad de datos.

¿Quién necesita un CASB?

La mayoría de las empresas que dependen parcial o totalmente de la nube pueden beneficiarse de trabajar con un proveedor de CASB. Las empresas que están teniendo problemas para contener el crecimiento de la TI en la sombra, una de las principales preocupaciones de muchas empresas en la actualidad, pueden beneficiarse especialmente de los servicios CASB.

¿Cómo se integran los CASB con el SASE?

El borde de servicio de acceso seguro, o SASE, es un modelo de infraestructura de red basado en la nube que consolida los servicios de red y seguridad en un único proveedor de servicios, lo que simplifica a las empresas la seguridad y la gestión del acceso a la red en todos los dispositivos conectados. Del mismo modo que los CASB agrupan una variedad de servicios de seguridad, SASE agrupa SD-WANs (entre otras capacidades de red) con CASB, puertas de enlace web seguras (SWG), Zero Trust Network Access (ZTNA), firewall como servicio (FWaaS) y otras funciones de seguridad de red. Las soluciones SASE se construyen sobre una única red global.

¿Cloudflare cuenta con una oferta de CASB?

Cloudflare One integra las capacidades de CASB, DLP, Zero Trust, SWG y aislamiento de navegador en una plataforma única. Estos servicios se prestan desde la red de Cloudflare, lo más cerca posible de los usuarios finales y pueden situarse frente a redes locales, de nube e híbridas. Más información sobre Cloudflare One.