¿Qué es un CASB? | Agente de seguridad de acceso a la nube

¿Qué es un agente de seguridad de acceso a la nube (CASB)?

Un agente de seguridad de acceso a la nube, o CASB, es una empresa que ayuda a proteger los servicios alojados en la nube de otras empresas. Los CASB ayudan a mantener las aplicaciones corporativas de Software como servicio (SaaS), junto con los servicios de Infraestructura como servicio (IaaS) y Plataforma como servicio (PaaS), a salvo de ciberataques y fugas de datos. Normalmente, los CASB ofrecen sus servicios como un software alojado en la nube, aunque algunos CASB también ofrecen software o dispositivos de hardware locales.

Bajo el paraguas de los CASB se engloban varias tecnologías de seguridad diferentes, y un CASB suele ofrecerlas conjuntamente en un paquete. Estas tecnologías incluyen el descubrimiento de TI en la sombra, control de acceso, y prevención de pérdida de datos (DLP), entre varias otras.

Pensemos que un CASB es como si fuera una empresa de seguridad física que ofrece una serie de servicios (vigilancia, patrulla a pie, verificación de identidad, etc.) para mantener la seguridad de unas instalaciones, en lugar de un único guardia de seguridad. Del mismo modo, los CASB ofrecen una variedad de servicios en lugar de uno, lo que simplifica el proceso de protección de los datos en la nube.

¿Cuáles son las principales áreas en las que los CASB proporcionan seguridad?

Gartner, una influyente empresa de análisis del sector, define cuatro "pilares" para los agentes de seguridad de acceso a la nube:

1. Visibilidad: los CASB ayudan a descubrir "TI en la sombra": sistemas y procesos, especialmente servicios en la nube, que no están oficialmente documentados y que pueden introducir riesgos de seguridad desconocidos.
2. Seguridad de datos: los CASB impiden que los datos confidenciales salgan de los sistemas controlados por la empresa y ayudan a proteger la integridad de esos datos. Entre las tecnologías relevantes para este ámbito se incluyen el control de acceso y la prevención de pérdida de datos (DLP).
3. Protección contra amenazas: los CASB bloquean las amenazas y ataques externos, además de detener las fugas de datos. La detección antimalware, los espacios seguros, la inspección de paquetes, el filtrado de URL y el aislamiento de navegador pueden ayudar a bloquear los ciberataques.
4. Cumplimiento: como la nube está tan dispersa y no está bajo el control de una empresa, puede ser difícil para las empresas que operan en la nube cumplir con estrictos requisitos normativos como SOC 2, HIPAA o el RGPD. En ciertos sectores y regiones, las empresas que no cumplen con estos se exponen a sanciones y multas. Al implantar fuertes controles de seguridad, los CASB ayudan a las empresas que almacenan datos y ejecutan procesos empresariales en la nube a cumplir con la normativa.

¿Qué funciones de seguridad ofrecen los CASB?

La mayoría de los CASB ofrecen algunas o todas de las siguientes tecnologías de seguridad:

• Verificación de identidad: garantiza que un usuario es quien dice ser mediante la comprobación de varios factores de identidad, como una contraseña o la posesión de un token físico
• Control de acceso: controla lo que los usuarios pueden ver y hacer en las aplicaciones controladas por la empresa
• Descubrimiento de TI en la sombra: identifica los sistemas y servicios que los empleados internos utilizan para fines empresariales sin la debida autorización
• Prevención de pérdida de datos (DLP): detiene las fugas de datos y evita que los datos salgan de las plataformas que son propiedad de la empresa
• Filtrado de URL: bloquea los sitios web utilizados por los atacantes para ataques de phishing o de malware
• Inspección de paquetes: inspecciona los datos que entran o salen de la red en busca de actividades maliciosas
• Espacios seguros: ejecuta programas y código en un entorno aislado para determinar si es o no malicioso
• Aislamiento de navegador: ejecuta los navegadores de los usuarios en un servidor en remoto en lugar de en los dispositivos de los usuarios, lo cual protege a los dispositivos de código potencialmente malicioso que pueda ejecutarse en el navegador
• Detección antimalware: identifica el software malicioso

Esta lista no es exhaustiva, ya que los CASB pueden ofrecer otros productos de seguridad además de los mencionados. Algunas de estas tecnologías se incluyen también en otros tipos de productos de seguridad. Por ejemplo, muchos firewall ofrecen inspección de paquetes, y muchos productos de seguridad de puntos de conexión ofrecen antimalware. Sin embargo, los CASB empaquetan estas tecnologías específicamente para la informática en la nube.

Para ofrecer un complemento completo de servicios CASB, muchos de los CASB principales han adquirido en algún momento un producto o una empresa que agrupan con sus otros productos ya existentes. También pueden asociarse con empresas externas para ofrecer servicios adicionales.

¿Por qué las organizaciones usan los CASB?

En la informática en la nube, los datos se almacenan a distancia y se accede a ellos a través de Internet. Por ello, las empresas que utilizan la nube tienen un control limitado sobre dónde se almacenan los datos y cómo acceden a ellos los usuarios. Los usuarios pueden acceder a los datos y aplicaciones de la nube en cualquier dispositivo conectado a Internet y desde cualquier red, no solo la red interna gestionada por la empresa. Por ejemplo, un usuario podría entrar en una aplicación SaaS gestionada por la empresa desde una red no segura en su dispositivo personal, lo que normalmente no sería posible para las aplicaciones que se ejecutan en ordenadores y servidores locales (a menos que se utilice un escritorio remoto).

El uso de la nube también hace más difícil garantizar que los datos permanezcan privados y seguros, al igual que es más difícil evitar que extraños escuchen cuando se habla en un lugar público en lugar de en una habitación privada.

Para proteger del todo los datos en la nube, las organizaciones suelen utilizar también servicios de seguridad basados en la nube. En ocasiones, obtienen estos servicios de diferentes proveedores: utilizando una plataforma para la DLP, otra para la identidad, otra para el antimalware, etc. Pero este enfoque de la seguridad en la nube también crea desafíos: hay que negociar varios contratos por separado, las políticas de seguridad tienen que configurarse numerosas veces, la implementación y gestión de múltiples plataformas es complejo para el departamento de TI, etc.

Los CASB son una solución a estos retos. Comprar estas medidas de seguridad de un agente de seguridad en la nube en lugar de varios proveedores diferentes significa:

1. Todas las tecnologías implicadas funcionan bien en conjunto.
2. Gestión simplificada de las herramientas de seguridad en la nube; los equipos de TI pueden trabajar con un solo proveedor, en lugar de media docena de proveedores. Además, muchos CASB permiten que sus clientes gestionen todos los servicios de seguridad en la nube desde un único panel de control.

¿Cuáles son los retos de usar un CASB?

Escalabilidad: los CASB tienen que gestionar muchos datos y múltiples plataformas y aplicaciones en la nube. Las empresas deben asegurarse de que su proveedor de CASB sea capaz de expandirse con ellas a medida que van creciendo.

Mitigación: no todos los CASB ofrecen la posibilidad de detener las amenazas de seguridad una vez identificadas. En función de la situación, un CASB sin capacidad de mitigación puede no ser muy útil para una empresa.

Integración: las empresas deben asegurarse de que su CASB se integre con todos sus sistemas e infraestructura. Sin una integración completa, el CASB no tendrá una visibilidad total de las TI no autorizadas y de las posibles amenazas a la seguridad.

Privacidad de los datos: ¿Mantiene el proveedor de CASB la privacidad de los datos, o es una parte externa más que toca datos confidenciales? Si el CASB traslada los datos de sus clientes a la nube, ¿cómo de seguros y privados son? Estas preguntas son especialmente importantes para las organizaciones que operan bajo regulaciones estrictas de privacidad de datos.

¿Quién necesita un CASB?

La mayoría de las empresas que dependen parcial o totalmente de la nube pueden beneficiarse de trabajar con un proveedor de CASB. Las empresas que están teniendo problemas para contener el crecimiento de la TI en la sombra, una de las principales preocupaciones de muchas empresas en la actualidad, pueden beneficiarse especialmente de los servicios CASB.

¿Cómo se integran los CASB con el SASE?

El borde de servicio de acceso seguro, o SASE, es un modelo de infraestructura de red basado en la nube que consolida los servicios de red y seguridad en un único proveedor de servicios, lo que simplifica a las empresas la seguridad y la gestión del acceso a la red en todos los dispositivos conectados. Del mismo modo que los CASB agrupan una variedad de servicios de seguridad, SASE agrupa SD-WANs (entre otras capacidades de red) con CASB, puertas de enlace web seguras (SWG), Zero Trust Network Access (ZTNA), firewall como servicio (FWaaS) y otras funciones de seguridad de red. Las soluciones SASE se construyen sobre una única red global.

¿Cloudflare cuenta con una oferta de CASB?

Cloudflare Zero Trust agrupa una serie de soluciones de seguridad de Cloudflare para ayudar a mantener seguros los datos de la empresa. Cloudflare Access ofrece un control de acceso basado en la identidad para controlar el acceso a las aplicaciones gestionadas internamente que tradicionalmente requerían una VPN. Cloudflare Gateway protege los dispositivos de los clientes contra el malware, bloquea los sitios web maliciosos y filtra los contenidos. Cloudflare Gateway también incluye tecnología de aislamiento de navegador para proteger contra el JavaScript malicioso en el navegador.

Cloudflare Zero Trust ayuda a mantener seguros tanto los servicios en la nube como las empresas que los utilizan. Más información sobre Cloudflare for Teams, o explora otras tecnologías de control de acceso.