¿Qué es un CASB? | Agente de seguridad de acceso a la nube

¿Qué es un agente de seguridad de acceso a la nube (CASB)?

Un agente de seguridad de acceso a la nube, o CASB, es una empresa que ayuda a proteger los servicios alojados en la nube de otras empresas. Los CASB ayudan a mantener las aplicaciones corporativas de Software como servicio (SaaS), junto con los servicios de Infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS), a salvo de ciberataques y fugas de datos. Normalmente, los CASB ofrecen sus servicios como un software alojado en la nube, aunque algunos CASB también ofrecen software o dispositivos de hardware locales.

A number of different security technologies fall under the CASB umbrella, and a CASB will typically offer these technologies together in one bundled package. These technologies include shadow IT discovery, access control, and data loss prevention (DLP), among several others.

Pensemos que un CASB es como si fuera una empresa de seguridad física que ofrece una serie de servicios (vigilancia, patrulla a pie, verificación de identidad, etc.) para mantener la seguridad de unas instalaciones, en lugar de un único guardia de seguridad. Del mismo modo, los CASB ofrecen una variedad de servicios en lugar de uno, lo que simplifica el proceso de protección de los datos en la nube.

¿Cuáles son las principales áreas en las que los CASB proporcionan seguridad?

Gartner, una influyente empresa de análisis del sector, define cuatro "pilares" para los agentes de seguridad de acceso a la nube:

1. Visibilidad: los CASB ayudan a descubrir "TI en la sombra": sistemas y procesos, especialmente servicios en la nube, que no están oficialmente documentados y que pueden introducir riesgos de seguridad desconocidos.
2. Seguridad de datos: los CASB impiden que los datos confidenciales salgan de los sistemas controlados por la empresa y ayudan a proteger la integridad de esos datos. Entre las tecnologías relevantes para este ámbito se incluyen el control de acceso y la prevención de pérdida de datos (DLP).
3. Threat protection: CASBs block external threats and attacks, in addition to stopping data leaks. Anti-malware detection, sandboxing, packet inspection, URL filtering, and browser isolation can all help block cyber attacks.
4. Compliance: Because the cloud is so spread out and is not under a company's control, it can be difficult for companies operating in the cloud to meet strict regulatory requirements like SOC 2, HIPAA, or the GDPR. Within certain industries and regions, companies that do not comply are at risk for penalties and fines. By implementing strong security controls, CASBs help companies that store data and run business processes in the cloud achieve regulatory compliance.

¿Qué funciones de seguridad ofrecen los CASB?

La mayoría de los CASB ofrecen algunas o todas de las siguientes tecnologías de seguridad:

• Identity verification: Ensures a user is who they claim to be by checking several identity factors, such as a password or possession of a physical token
• Control de acceso: controla lo que los usuarios pueden ver y hacer en las aplicaciones controladas por la empresa
• Descubrimiento de TI en la sombra: identifica los sistemas y servicios que los empleados internos utilizan para fines empresariales sin la debida autorización
• Prevención de pérdida de datos (DLP): detiene las fugas de datos y evita que los datos salgan de las plataformas que son propiedad de la empresa
• URL filtering: Blocks websites used by attackers for phishing or malware attacks
• Inspección de paquetes: inspecciona los datos que entran o salen de la red en busca de actividades maliciosas
• Espacios seguros: ejecuta programas y código en un entorno aislado para determinar si es o no malicioso
• Aislamiento de navegador: ejecuta los navegadores de los usuarios en un servidor en remoto en lugar de en los dispositivos de los usuarios, lo cual protege a los dispositivos de código potencialmente malicioso que pueda ejecutarse en el navegador
• Detección antimalware: identifica el software malicioso

This list is not exhaustive, as CASBs can offer a number of other security products in addition to those listed above. Some of these technologies are included in other types of security products as well. For instance, many firewalls offer packet inspection, and many endpoint security products offer anti-malware. CASBs, however, package these technologies specifically for cloud computing.

Para ofrecer un complemento completo de servicios CASB, muchos de los CASB principales han adquirido en algún momento un producto o una empresa que agrupan con sus otros productos ya existentes. También pueden asociarse con empresas externas para ofrecer servicios adicionales.

¿Por qué las organizaciones usan los CASB?

In cloud computing, data is stored remotely and accessed over the Internet. As a result, companies using the cloud have limited control over where data is stored and how users access it. Users can access cloud data and applications on any Internet-connected device and from any network, not just the internal company-managed network. For instance, a user could log in to a company-managed SaaS app from an unsecured network on their personal device, which typically would not be possible for applications that run on on-premise computers and servers (unless remote desktop is used).

El uso de la nube también hace más difícil garantizar que los datos permanezcan privados y seguros, al igual que es más difícil evitar que extraños escuchen cuando se habla en un lugar público en lugar de en una habitación privada.

Para proteger del todo los datos en la nube, las organizaciones suelen utilizar también servicios de seguridad basados en la nube. En ocasiones, obtienen estos servicios de diferentes proveedores: utilizando una plataforma para la DLP, otra para la identidad, otra para el antimalware, etc. Pero este enfoque de la seguridad en la nube también crea desafíos: hay que negociar varios contratos por separado, las políticas de seguridad tienen que configurarse numerosas veces, la implementación y gestión de múltiples plataformas es complejo para el departamento de TI, etc.

Los CASB son una solución a estos retos. Comprar estas medidas de seguridad de un agente de seguridad en la nube en lugar de varios proveedores diferentes significa:

1. Todas las tecnologías implicadas funcionan bien en conjunto.
2. Gestión simplificada de las herramientas de seguridad en la nube; los equipos de TI pueden trabajar con un solo proveedor, en lugar de media docena de proveedores. Además, muchos CASB permiten que sus clientes gestionen todos los servicios de seguridad en la nube desde un único panel de control.

¿Cuáles son los retos de usar un CASB?

Escalabilidad: los CASB tienen que gestionar muchos datos y múltiples plataformas y aplicaciones en la nube. Las empresas deben asegurarse de que su proveedor de CASB sea capaz de expandirse con ellas a medida que van creciendo.

Mitigación: no todos los CASB ofrecen la posibilidad de detener las amenazas de seguridad una vez identificadas. En función de la situación, un CASB sin capacidad de mitigación puede no ser muy útil para una empresa.

Integración: las empresas deben asegurarse de que su CASB se integre con todos sus sistemas e infraestructura. Sin una integración completa, el CASB no tendrá una visibilidad total de las TI no autorizadas y de las posibles amenazas a la seguridad.

Data privacy: Does the CASB vendor keep data private, or are they just one more external party touching sensitive data? If the CASB moves their customers' data to the cloud, how secure and private is it? These are especially important questions for organizations that operate under strict data privacy regulations.

¿Quién necesita un CASB?

La mayoría de las empresas que dependen parcial o totalmente de la nube pueden beneficiarse de trabajar con un proveedor de CASB. Las empresas que están teniendo problemas para contener el crecimiento de la TI en la sombra, una de las principales preocupaciones de muchas empresas en la actualidad, pueden beneficiarse especialmente de los servicios CASB.

¿Cómo se integran los CASB con el SASE?

Secure access service edge, or SASE, is a cloud-based network infrastructure model that consolidates networking and security services into a single service provider, making it simpler for companies to secure and manage network access across all connected devices. In the same way that CASBs bundle a variety of security services, SASE bundles SD-WANs (among other network capabilities) with CASBs, secure web gateways (SWG), Zero Trust Network Access (ZTNA), firewall-as-a-service (FWaaS), and other network security functions. SASE solutions are built on top of a single global network.

¿Cloudflare cuenta con una oferta de CASB?

Cloudflare Zero Trust bundles a number of Cloudflare security solutions to help keep company data secure. Cloudflare Access offers identity-based access control to control access to internally managed applications that traditionally required a VPN. Cloudflare Gateway protects client devices from malware, blocks malicious websites, and filters content. Cloudflare Gateway also includes browser isolation technology to protect against malicious in-browser JavaScript.

Cloudflare Zero Trust helps keep both cloud services and the companies that use them secure. Learn more about Cloudflare for Teams, or explore other access control technologies.