Temas técnicos

¿Qué es un CASB (Cloud Access Security Broker)?

Ilustración de artículos informáticos centrada en un ordenador portátil

Visión general

Un agente de seguridad de acceso a la nube (CASB, Cloud Access Security Broker) es un punto de aplicación de políticas local o basado en la nube situado entre los consumidores de servicios en la nube y los proveedores de servicios en la nube (CSP) para supervisar la actividad relacionada con la nube y aplicar normas de seguridad, cumplimiento y gobernanza relacionadas con el uso de recursos basados en la nube. Un CASB permite a una organización extender a la nube los mismos tipos de controles que aplicaría a la infraestructura local, y puede combinar diferentes tipos de aplicación de políticas, como:

El propósito de un CASB es, por tanto, mejorar la capacidad de una organización para aprovechar los servicios en la nube de forma segura. Un CASB puede considerarse como un "nodo de seguridad" a través del cual se controla el acceso a los servicios en nube de una organización. Como componente de la infraestructura de seguridad de una organización, complementa, y no sustituye, a tecnologías como los cortafuegos empresariales y de aplicaciones web, IDaaS (IDentity as a Service) y las pasarelas web seguras (SWG).

La creciente importancia de los CASB es paralela a la mayor adopción de servicios en la nube y políticas BYOD ("Bring Your Own Device") que permiten la entrada en la red de portátiles, smartphones, tabletas y otros dispositivos personales no gestionados. El uso de CASB para controlar algunos o todos los servicios en la nube de una organización se está expandiendo y se espera que la adopción por parte de las empresas más grandes se triplique, del 20% en 2018 al 60% en 2022 (Gartner, 2018). Durante un período similar, se prevé que el mercado de seguridad en la nube en su conjunto aumente a alrededor de 112 mil millones de dólares en 2023 (Forrester, 2017).

Protección de datos en TI híbrida y simplificación de la seguridad de las cargas de trabajo en la nube

OpenText™ Voltage™ SecureData Sentry ayuda a reducir los riesgos de infracción mediante una implantación sencilla y transparente de la seguridad de los datos en cuestión de días; permite el cumplimiento de las normas de privacidad para aplicaciones de misión crítica de TI híbrida.

Más información

CASB (agente de seguridad de acceso a la nube)

Al principio, los CASB se centraban en descubrir servicios desconocidos utilizados por individuos o unidades de negocio fuera de los permitidos por el departamento de TI, pero a medida que las organizaciones se dieron cuenta de que la solución a este problema apuntaba más hacia la habilitación controlada que a la eliminación de estos servicios, los CASB empezaron a ofrecer conjuntos de funciones en cuatro pilares: Seguridad de datos, Cumplimiento, Protección frente a amenazas y Visibilidad.

Visibilidad

Muchas organizaciones ya están acelerando la adopción formal de la computación en nube en una amplia gama de unidades de negocio. Esto puede estar llevando a un número cada vez mayor de empleados a gestionar sus propias credenciales de seguridad en recursos IaaS (infraestructura como servicio), PaaS (plataforma como servicio), SaaS (software como servicio) y, ahora, FaaS (funciones como servicio). En este entorno, los CASB pueden ayudar a cubrir las lagunas de seguridad creadas por esta erosión de la gestión centralizada de identidades y accesos (IAM) y mejorar el control sobre el uso de estos servicios, presentando una barrera adecuada y, sin embargo, no impidiendo el desarrollo natural de las actividades de los empleados tanto en las instalaciones como sobre el terreno.

Esta consolidación de los controles de acceso a la nube ayuda cuando se sabe qué servicios en la nube se están utilizando, pero no ayuda con la TI en la sombra. Estos servicios pueden estar siendo utilizados para suplir deficiencias reales o percibidas en la pila de TI oficial de una organización, o pueden ser un simple reflejo de las preferencias de los usuarios. En lugar de ser una actividad que hay que erradicar, su uso puede ser crítico para la productividad, la eficiencia, la satisfacción de los empleados e incluso una fuente de innovación, pero es poco probable que esté en línea con las políticas de seguridad de la organización u otros requisitos de TI en cuanto a soporte, fiabilidad, disponibilidad, etc., y también puede ser una fuente de malware que podría conducir a una violación de datos catastrófica.

Un CASB puede ayudar a sacar a la luz la TI en la sombra de una organización, no sólo permitiendo el apoyo a las prácticas de trabajo necesarias al tiempo que garantiza que no comprometen la misión, sino también iluminando el verdadero gasto en la nube que permite mejoras en el control de costes.

Seguridad de los datos

Muchas organizaciones ya están migrando sus recursos informáticos de sus propios centros de datos a múltiples nubes, incluidas las que ofrecen Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) y la gran variedad de aplicaciones en línea disponibles en el mercado de proveedores de SaaS. Los empleados ya comparten datos confidenciales a través de estos servicios -Office 365, Salesforce, Amazon S3, Workday, etc.-, muchos de los cuales aplican alguna versión de un modelo de responsabilidad compartida que hace recaer en el cliente la responsabilidad de la seguridad de los datos.

Sin embargo, la preocupación por la seguridad de la propia nube es en gran medida infundada. La infraestructura de la mayoría de los CSP, especialmente los que ofrecen servicios que se han generalizado, es innegablemente muy segura. Las preocupaciones deben centrarse en la correcta configuración de los controles de seguridad ofrecidos por el CSP, así como en la identificación de los controles necesarios que no están disponibles. Un informe reciente descubrió que, debido únicamente a tales configuraciones erróneas o ausentes, más de 1.500 millones de archivos estaban expuestos en servicios en la nube y relacionados con la nube como S3, rsync, SMB, FTP, unidades NAS y servidores web (Digital Shadows, 2018). Se prevé que, hasta 2023, al menos el 99% de los fallos de seguridad en la nube se deban a errores cometidos por los consumidores de servicios en la nube y no por los CSP (Gartner, 2018). Mientras que algunos CASB ahora ofrecen capacidades de gestión de la postura de seguridad en la nube (CSPM) para evaluar y reducir el riesgo de configuración en las ofertas de IaaS, PaaS y SaaS a través de controles adicionales como el cifrado, un CASB puede proporcionar a una organización un seguro adicional tal que, incluso si hay configuraciones erróneas, los datos confidenciales no pueden verse comprometidos. Este seguro resulta especialmente necesario cuando un servicio en nube concreto no ofrece una protección de datos adecuada, o cuando se requiere dicha protección frente al propio CSP.

La mayoría de los CASB evolucionaron a partir de una de las dos posturas iniciales en relación con la seguridad de los datos: un enfoque en la prevención de la pérdida de datos (DLP) y la detección de amenazas, o la provisión de cifrado o tokenización para abordar la privacidad y la residencia de los datos. Aunque estas posturas iniciales se ampliaron posteriormente para dar cobertura a todas estas características, se ha producido un alejamiento de la oferta de seguridad sólida centrada en los datos y la gestión de claves. En la actualidad, para la mayoría de los CASB, la seguridad de los datos se traduce principalmente en DLP, que utiliza diversos mecanismos para detectar datos confidenciales dentro de servicios en la nube sancionados o cuando se cargan en servicios en la nube -sancionados o en la sombra- y, a continuación, bloquear, eliminar, poner en retención legal o poner en cuarentena el contenido marcado como posible infracción de las políticas. Esto suele ser compatible tanto con usuarios locales como remotos de servicios en la nube, ya sea desde aplicaciones móviles, navegadores web o clientes de sincronización de escritorio. Pero la DLP sólo puede llegar hasta cierto punto en entornos que facilitan cada vez más el intercambio de datos dentro de los servicios en la nube y entre ellos, antes de que se produzca una infracción. Cualquier organización que utilice la nube para almacenar datos debe darse cuenta de que un CASB puede no ser capaz de detectar cómo o con quién se comparten esos datos desde la nube, o incluso quién los ha compartido.

Aunque muchos CASB anuncian la capacidad de cifrar o tokenizar los datos destinados a la nube, estas funciones tienden a estar restringidas a un pequeño número de servicios convencionales, como Salesforce y ServiceNow. Los CASB que empezaron a añadir estas funciones, tanto para satisfacer las valoraciones de los analistas como para lograr o mantener la paridad competitiva, descubrieron que la criptografía es un campo técnico difícil. Para implantar y mantener sistemas criptográficos se requiere una considerable experiencia en la materia, y esta experiencia no suele formar parte de las competencias básicas de los CASB. Como resultado, algunos CASB han retirado o han dejado de comercializar activamente estas funciones, y algunos ocultan su falta de capacidad o su aplicabilidad restringida mediante afirmaciones generalizadas de "seguridad de los datos" que sólo se refieren a DLP, control de acceso adaptativo (AAC) y similares.

Además, mientras que la promulgación de la Ley de Clarificación del Uso Legal de Datos en el Extranjero (CLOUD) en los EE. UU. y la creciente comprensión del Reglamento General de Protección de Datos (GDPR ) de la UE sugieren firmemente que el cifrado y la gestión de claves se están convirtiendo en capacidades críticas (Gartner, 2019), ha habido algunas dudas en su adopción, ya que el cifrado y la tokenización aplicados fuera de una aplicación SaaS pueden afectar a su funcionalidad, así como a la de los servicios integrados de terceros. Las continuas innovaciones en criptografía aplicada disponibles a través de algunos proveedores como OpenText Voltage , sin embargo, han minimizado estos impactos en la funcionalidad de tal manera que ahora vale la pena evaluar cualquiera que pueda quedar en relación con el costo y el riesgo de delegar la protección de datos a nivel de campo y archivo al CSP, o de no aplicarla en absoluto.

Conformidad

La llegada de leyes de privacidad más estrictas en muchas industrias y regiones también puede estar afectando a las operaciones. Normativas regionales como el GDPR, la Ley de Privacidad del Consumidor de California (CCPA), la Ley General de Protección de Datos de Brasil (LGPD) y el proyecto de ley de protección de datos personales de la India, así como normativas sectoriales como las impuestas por PCI DSS, SOX, HIPAA, HITECH, FINRA y FFIEC, están creando un abanico de requisitos de cumplimiento cuya complejidad empuja a muchas organizaciones hacia la postura global más conservadora: garantizar que los datos sensibles de las empresas y sus clientes estén siempre protegidos, vayan donde vayan, y en el mayor grado posible.

Un CASB con sólidos controles de privacidad de datos en múltiples aplicaciones puede ayudar a conseguirlo; y mediante el conocimiento de las políticas y la funcionalidad de clasificación de datos, los CASB pueden ayudar a garantizar el cumplimiento de las leyes de residencia de datos y a comparar las configuraciones de seguridad con los requisitos normativos en constante actualización.

Detección y prevención de amenazas

Un CASB puede defender a la organización contra el arsenal de malware en constante expansión, incluida la introducción y propagación a través de servicios de almacenamiento en la nube y sus clientes y aplicaciones de sincronización asociados. Un CASB puede utilizar fuentes de inteligencia sobre amenazas avanzadas para analizar y corregir amenazas en tiempo real en recursos internos y externos; identificar cuentas de usuario comprometidas mediante la detección y prevención de accesos no autorizados a servicios y datos en la nube; y combinar análisis estáticos y dinámicos con capacidades de aprendizaje automático y UEBA (User Entity Behavior Analytics) para identificar actividades anómalas, ransomware, exfiltraciones de datos, etc.


¿Cómo funciona un CASB?

Los CASB pueden desplegarse como proxies y/o como brokers de API. Dado que ciertas características de los CASB dependen del modelo de despliegue, los CASB "multimodo" -aquellos que admiten los modos proxy y API- ofrecen una gama más amplia de opciones para controlar los servicios en la nube.

Los CASB desplegados en modo proxy suelen centrarse en la seguridad y pueden configurarse como proxies inversos o directos en la ruta de acceso a los datos, entre el consumidor del servicio en la nube y el CSP. Los CASB de proxy inverso no requieren agentes instalados en los puntos finales, por lo que pueden funcionar mejor para dispositivos no gestionados (por ejemplo, BYOD) al evitar la necesidad de cambios de configuración, instalaciones de certificados, etcétera. Sin embargo, no controlan el uso de la nube no autorizada tan bien como los CASB de proxy directo, a través de los cuales se dirige todo el tráfico de los terminales gestionados, incluido el tráfico a servicios en la nube no autorizados: esto significa que algunos dispositivos no gestionados pueden escapar a la red. Por ello, los CASB con proxy de reenvío suelen requerir la instalación de agentes o clientes VPN en los terminales. Si los agentes y clientes VPN están mal configurados o desactivados por error, es posible que el tráfico sensible no se reenvíe al CASB, eludiendo la inspección.

Los CASB desplegados en modo API se centran en la administración de aplicaciones SaaS (y cada vez más IaaS y PaaS) a través de API proporcionadas por esos servicios, incluida la inspección de datos en reposo, telemetría de registros, control de políticas y otras funciones de gestión. Funcionan bien con dispositivos no gestionados pero, dado que sólo los servicios en nube principales suelen ofrecer soporte API -y lo hacen en distintos grados-, es poco probable que los CASB sólo API cubran todas las funciones de seguridad necesarias. Aunque es posible que los proveedores de SaaS y otros CSP mejoren sus API para colmar esta laguna, mientras tanto los CASB sólo API no ofrecen capacidades lo suficientemente robustas como para cumplir los requisitos de escalabilidad y disponibilidad. Además, cuando los CSP estrangulan las respuestas a las solicitudes de API debido al creciente volumen de datos intercambiados entre los usuarios y los servicios en nube, los CASB en modo API experimentan degradaciones de rendimiento inmanejables. Por tanto, el modo proxy sigue siendo una capacidad crítica.

Los CASB pueden funcionar en un centro de datos corporativo, en un despliegue híbrido que incluya tanto el centro de datos como la nube, o exclusivamente en la nube. Las organizaciones centradas en la protección de datos, o que están sujetas a normativas de privacidad o consideraciones de soberanía de datos, tienden a requerir soluciones locales para mantener el control total sobre la infraestructura de seguridad. Además, la delegación de responsabilidad y el requisito de confianza en terceros que imponen los CASB exclusivamente en la nube a través del modelo "Bring Your Own Key" (BYOK) pueden contravenir las políticas internas o externas, y esta posición problemática se extiende naturalmente a los servicios de seguridad ofrecidos por los propios CSP, que también pueden exigir incluir las direcciones IP de los CASB en una lista blanca.


¿Es Voltage Secure Data Sentry un CASB?

Voltage SecureData Sentry es un Security Broker especializado en la protección de datos, no sólo para servicios en la nube, sino también para aplicaciones locales. Por tanto, no es un CASB tradicional en el sentido de que no pretende ofrecer otras funcionalidades en los cuatro pilares. En su lugar, Sentry coexiste con CASBs que se especializan en la provisión de esas funcionalidades complementarias, mientras que hace el trabajo pesado criptográfico para añadir fuertes mecanismos de protección centrados en los datos que se pueden aplicar a través de SaaS y otros servicios en la nube, así como a aplicaciones comerciales y de desarrollo propio en redes internas.

Voltage SecureData es innovador y se basa en estándares, y ha sido sometido a verificaciones independientes de su nivel de seguridad por parte de organismos criptográficos independientes reconocidos internacionalmente. Muchas de las principales organizaciones mundiales de los sectores público y privado y de múltiples sectores confían en SecureData para proteger los datos más confidenciales del mundo.

Format-Preserving Encryption (FPE), que garantiza que la protección se aplique a nivel de campo de forma que no rompa los esquemas de bases de datos existentes ni las limitaciones de tipo o tamaño de campo de SaaS, se combina con un sistema de gestión de claves sin estado que evita cargas adicionales a los administradores de seguridad. La tokenización segura sin estado (SST) garantiza la protección de los campos numéricos que contienen números de tarjetas de crédito o NSS sin la sobrecarga de gestión o rendimiento de una base de datos de tokens, al tiempo que permite que determinadas partes del campo permanezcan ocultas, como los seis primeros o los cuatro últimos dígitos, para facilitar el enrutamiento o la verificación del cliente. Format-Preserving Hash (FPH) garantiza la integridad referencial de los datos para el análisis y otros casos de uso, al tiempo que cumple con normativas como el derecho de supresión del GDPR. Además, gracias a otras innovaciones, como los índices locales seguros compatibles con términos de búsqueda parciales y comodines, y el formateo seguro de direcciones de correo electrónico para la retransmisión SMTP, Sentry preserva la funcionalidad de las aplicaciones que se ve afectada por las soluciones de la competencia.

Las organizaciones pueden implantar Sentry en sus instalaciones o en la nube. Sentry se comunica con infraestructuras de red aptas para ICAP (Internet Content Adaptation Protocol), como proxies HTTP y equilibradores de carga, para aplicar políticas de seguridad a los datos que viajan hacia y desde la nube, e intercepta las llamadas a las API JDBC (Java Database Connectivity) y ODBC (Open Database Connectivity) para aplicar políticas de seguridad a los datos que viajan hacia y desde la base de datos. Dondequiera que se implante, la empresa conserva el control total sobre la infraestructura, sin necesidad de compartir claves de cifrado o almacenes de tokens con terceros, y el modo de inspección de Sentry garantiza que las políticas de seguridad puedan dirigirse a los campos de datos y archivos adjuntos específicos que contengan información sensible.

Agente de seguridad de acceso a la nube

Empiece hoy mismo.

Más información

Notas a pie de página