Tópicos técnicos

O que é um CASB (Cloud Access Security Broker)?

Ilustração de itens de TI com foco em um laptop

Visão geral

Um agente de segurança de acesso à nuvem (CASB, pronuncia-se KAZ-bee) é um ponto de aplicação de políticas no local ou baseado em nuvem colocado entre os consumidores de serviços em nuvem e os provedores de serviços em nuvem (CSPs) para monitorar a atividade relacionada à nuvem e aplicar regras de segurança, conformidade e governança relacionadas ao uso de recursos baseados em nuvem. Um CASB permite que uma organização estenda à nuvem os mesmos tipos de controles que aplicaria à infraestrutura local e pode combinar diferentes tipos de aplicação de políticas, como:

O objetivo de um CASB é, portanto, melhorar a capacidade de uma organização de aproveitar os serviços em nuvem de forma segura e protegida. Um CASB pode ser considerado como um "nó de segurança" por meio do qual o acesso aos serviços em nuvem de uma organização é controlado. Como componente da infraestrutura de segurança de uma organização, ele complementa, e não substitui, tecnologias como firewalls de aplicativos da Web e corporativos, IDaaS (IDentity as a Service) e gateways seguros da Web (SWGs).

A importância cada vez maior dos CASBs é paralela à adoção mais ampla dos serviços em nuvem e das políticas BYOD ("Bring Your Own Device", traga seu próprio dispositivo) que permitem a entrada de laptops pessoais, smartphones, tablets e outros dispositivos não gerenciados na rede. O uso de CASBs para controlar alguns ou todos os serviços em nuvem de uma organização está se expandindo e espera-se que a adoção por empresas maiores triplique, passando de 20% em 2018 para 60% até 2022 (Gartner, 2018). Em um período semelhante, prevê-se que o mercado de segurança em nuvem como um todo aumente para cerca de US$ 112 bilhões até 2023 (Forrester, 2017).

Proteção de dados em TI híbrida e simplificação da segurança de cargas de trabalho na nuvem

OpenText™ O Voltage™ SecureData Sentry ajuda a reduzir os riscos de violação, implementando de forma simples e transparente a segurança de dados em poucos dias; permite a conformidade com a privacidade para aplicativos de TI híbridos de missão crítica

Saiba mais

CASB (agente de segurança de acesso à nuvem)

Originalmente, os CASBs se concentravam na descoberta de serviços desconhecidos usados por indivíduos ou unidades de negócios que não eram permitidos pelo departamento de TI, mas como as organizações perceberam que a solução para esse problema apontava mais para a habilitação controlada do que para a remoção desses serviços, os CASBs começaram a oferecer conjuntos de recursos em quatro pilares: Segurança de dados, conformidade, proteção Threat e o principal recurso de visibilidade.

Visibilidade

Muitas organizações já estão acelerando a adoção formal da computação em nuvem em uma ampla gama de unidades de negócios. Isso pode estar levando a um número cada vez maior de funcionários que gerenciam suas próprias credenciais de segurança em recursos de IaaS (Infraestrutura como Serviço), PaaS (Plataforma como Serviço), SaaS (Software como Serviço) e, agora, FaaS (Funções como Serviço). Nesse ambiente, os CASBs podem ajudar a preencher as lacunas de segurança criadas por essa erosão do gerenciamento centralizado de identidade e acesso (IAM) e melhorar o controle sobre o uso desses serviços, apresentando uma barreira adequada e, ainda assim, não impedindo a condução natural dos negócios pelos funcionários, tanto no local quanto em campo.

Essa consolidação dos controles de acesso à nuvem ajuda quando se sabe quais serviços de nuvem estão sendo usados, mas não ajuda com a TI invisível. Esses serviços podem estar sendo usados para contornar deficiências percebidas ou reais na pilha de TI oficial de uma organização, ou podem ser apenas um simples reflexo da preferência do usuário. Em vez de ser uma atividade que deve ser eliminada, seu uso pode, na verdade, ser essencial para a produtividade, a eficiência, a satisfação dos funcionários e até mesmo como fonte de inovação, mas é improvável que esteja alinhado com as políticas de segurança da organização ou com outros requisitos de TI para suporte, confiabilidade, disponibilidade etc., e também pode ser uma fonte de malware que pode levar a uma violação de dados catastrófica.

Um CASB pode ajudar a trazer à luz a TI invisível de uma organização, não apenas permitindo o suporte às práticas de trabalho necessárias e garantindo que elas não comprometam a missão, mas também revelando os verdadeiros gastos com a nuvem que permitem melhorias nos controles de custos.

Segurança de dados

Muitas organizações já estão migrando os recursos de TI de seus próprios data centers para várias nuvens, inclusive as oferecidas pela Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) e a variedade de aplicativos on-line disponíveis no mercado de fornecedores de SaaS. Os funcionários já estão compartilhando dados confidenciais por meio desses serviços - Office 365, Salesforce, Amazon S3, Workday, etc. - muitos dos quais afirmam alguma versão de um modelo de responsabilidade compartilhada que coloca a responsabilidade pela segurança dos dados no cliente.

No entanto, as preocupações com a segurança da própria nuvem são, em grande parte, equivocadas. A infraestrutura da maioria dos CSPs, especialmente aqueles que oferecem serviços que se tornaram comuns, é inegavelmente altamente segura. Em vez disso, as preocupações devem se concentrar na configuração correta dos controles de segurança oferecidos pelo CSP, bem como na identificação dos controles necessários que não estão disponíveis. Um relatório recente descobriu que, devido exclusivamente a essas configurações incorretas ou ausentes, mais de 1,5 bilhão de arquivos foram expostos na nuvem e em serviços relacionados à nuvem, como S3, rsync, SMB, FTP, unidades NAS e servidores da Web (Digital Shadows, 2018). Prevê-se que, até 2023, pelo menos 99% das falhas de segurança na nuvem serão devidas a erros cometidos por consumidores de serviços em nuvem e não por CSPs (Gartner, 2018). Embora alguns CASBs agora ofereçam recursos de gerenciamento de postura de segurança na nuvem (CSPM) para avaliar e reduzir o risco de configuração em ofertas de IaaS, PaaS e SaaS por meio de controles adicionais, como criptografia, um CASB pode oferecer a uma organização uma garantia adicional de que, mesmo que haja configurações incorretas, os dados confidenciais não poderão ser comprometidos. Esse seguro é particularmente necessário quando a proteção de dados adequada não é oferecida por um serviço de nuvem específico ou quando essa proteção é necessária contra o próprio CSP.

A maioria dos CASBs evoluiu a partir de uma das duas posturas iniciais em relação à segurança de dados: foco na prevenção de perda de dados (DLP) e detecção de ameaças, ou o fornecimento de criptografia ou tokenização para abordar a privacidade e a residência de dados. Embora essas posições iniciais tenham se expandido posteriormente para oferecer cobertura de todos esses recursos, houve uma mudança na oferta de segurança robusta centrada nos dados e no gerenciamento de chaves. Atualmente, para a maioria dos CASBs, a segurança de dados significa principalmente DLP, que usa uma variedade de mecanismos para detectar dados confidenciais em serviços de nuvem sancionados ou à medida que são carregados em serviços de nuvem - sancionados ou não - e, em seguida, bloquear, excluir, colocar em retenção legal ou colocar em quarentena o conteúdo sinalizado como uma possível violação de política. Normalmente, isso é compatível com usuários de serviços de nuvem remotos e locais, seja de aplicativos móveis, navegadores da Web ou clientes de sincronização de desktop. Mas a DLP só pode ir até certo ponto em ambientes que facilitam cada vez mais o compartilhamento de dados dentro e entre os serviços de nuvem antes que ocorra uma violação. Qualquer organização que use a nuvem para armazenar dados deve perceber que um CASB pode não ser capaz de detectar como ou com quem esses dados são compartilhados a partir da nuvem, ou mesmo quem os compartilhou.

Mecanismos robustos de proteção centrada em dados podem lidar com esse risco de violação, mas, embora muitos CASBs anunciem a capacidade de criptografar ou tokenizar dados destinados à nuvem, esses recursos agora tendem a se restringir a apenas um pequeno número de serviços convencionais, como Salesforce e ServiceNow. Os CASBs que começaram a adicionar esses recursos - motivados tanto para satisfazer as classificações dos analistas quanto para alcançar ou manter a paridade competitiva - descobriram que a criptografia é um domínio técnico desafiador. É necessário um conhecimento considerável sobre o assunto para implementar e manter sistemas criptográficos, e esse conhecimento normalmente não se enquadra no escopo das competências essenciais do CASB. Como resultado, alguns CASBs retiraram ou não comercializam mais ativamente esses recursos, e alguns ofuscam a falta de capacidade ou a aplicabilidade restrita por meio de alegações generalizadas de "segurança de dados" que abordam apenas DLP, controle de acesso adaptável (AAC) e similares.

Além disso, embora a promulgação da Lei de Esclarecimento do Uso Legal de Dados no Exterior (CLOUD) nos EUA e a crescente compreensão do Regulamento Geral de Proteção de Dados (GDPR) da UE sugiram fortemente que a criptografia e o gerenciamento de chaves estão se tornando recursos essenciais (Gartner, 2019), houve alguma hesitação em sua adoção, pois a criptografia e a tokenização aplicadas fora de um aplicativo SaaS podem afetar sua funcionalidade, bem como a de serviços integrados de terceiros. As inovações contínuas em criptografia aplicada disponíveis por meio de alguns fornecedores, como OpenText Voltage , no entanto, minimizaram esses impactos na funcionalidade, de modo que agora vale a pena avaliar qualquer impacto que possa permanecer em relação ao custo e ao risco de delegar a proteção de dados em nível de campo e arquivo ao CSP ou de não aplicá-la.

Conformidade

O advento de leis de privacidade mais rígidas em muitos setores e regiões também pode estar afetando as operações. Regulamentações regionais como o GDPR, a Lei de Privacidade do Consumidor da Califórnia (CCPA), a Lei Geral de Proteção de Dados do Brasil (LGPD) e a Lei de Proteção de Dados Pessoais da Índia, bem como regulamentações do setor, como as impostas pelo PCI DSS, SOX, HIPAA, HITECH, FINRA e FFIEC, estão criando uma série de requisitos de conformidade cuja complexidade empurra muitas organizações para a posição global mais conservadora: garantir que os dados confidenciais das empresas e de seus clientes estejam sempre protegidos, onde quer que estejam, e no grau mais forte possível.

Um CASB com fortes controles de privacidade de dados em vários aplicativos pode ajudar a alcançar esse objetivo; e, por meio da conscientização da política e da funcionalidade de classificação de dados, os CASBs podem ajudar a garantir a conformidade com as leis de residência de dados e a comparar as configurações de segurança com os requisitos regulamentares em constante atualização.

Threat detecção e prevenção

Um CASB pode defender a organização contra o arsenal cada vez maior de malware, incluindo a introdução e a propagação por meio de serviços de armazenamento em nuvem e seus clientes e aplicativos de sincronização associados. Um CASB pode usar fontes avançadas de inteligência contra ameaças para verificar e remediar ameaças em tempo real em recursos internos e externos; identificar contas de usuários comprometidas por meio da detecção e prevenção de acesso não autorizado a serviços e dados em nuvem; e combinar análises estáticas e dinâmicas com recursos de aprendizado de máquina e UEBA (User Entity Behavior Analytics) para identificar atividades anômalas, ransomware, exfiltrações de dados, etc.


Como funciona um CASB?

Os CASBs podem ser implantados como proxies e/ou como API brokers. Como determinados recursos do CASB dependem do modelo de implantação, os CASBs "multimodo" - aqueles que suportam os modos proxy e API - oferecem uma gama maior de opções de controle dos serviços em nuvem.

Os CASBs implantados no modo proxy geralmente se concentram na segurança e podem ser configurados como proxies reversos ou diretos no caminho do acesso aos dados, entre o consumidor do serviço em nuvem e o CSP. Os CASBs de proxy reverso não exigem a instalação de agentes nos endpoints e, portanto, podem funcionar melhor para dispositivos não gerenciados (por exemplo, BYOD), evitando a necessidade de alterações de configuração, instalações de certificados e assim por diante. No entanto, eles não controlam o uso da nuvem não sancionada tão bem quanto os CASBs de proxy avançado, por meio dos quais todo o tráfego de endpoints gerenciados é direcionado, inclusive o tráfego para serviços de nuvem não sancionados: isso significa que alguns dispositivos não gerenciados podem passar despercebidos. Portanto, os CASBs com proxy de encaminhamento geralmente exigem a instalação de agentes ou clientes VPN nos endpoints. Quando os agentes e os clientes VPN são configurados incorretamente ou desligados por engano, o tráfego sensível pode não ser encaminhado para o CASB, ignorando a inspeção.

Os CASBs implantados no modo API concentram-se na administração de aplicativos SaaS (e cada vez mais IaaS e PaaS) por meio de APIs fornecidas por esses serviços, incluindo inspeção de dados em repouso, telemetria de logs, controle de políticas e outras funções de gerenciamento. Eles funcionam bem com dispositivos não gerenciados, mas, como apenas os principais serviços em nuvem normalmente oferecem suporte a APIs - e o fazem em graus variados -, é improvável que os CASBs somente com APIs cubram todos os recursos de segurança necessários. Embora seja possível que os fornecedores de SaaS e outros CSPs possam aprimorar suas APIs para preencher essa lacuna, enquanto isso, os CASBs somente com API não oferecem recursos suficientemente robustos para atender aos requisitos de escalabilidade e disponibilidade. Além disso, quando os CSPs limitam as respostas às solicitações de API devido ao volume crescente de dados trocados entre os usuários e os serviços em nuvem, os CASBs no modo API sofrem degradações de desempenho incontroláveis. Portanto, o modo proxy continua sendo um recurso essencial.

Os CASBs podem ser executados em um data center corporativo, em uma implantação híbrida que envolva tanto o data center quanto a nuvem, ou exclusivamente na nuvem. As organizações que se concentram na proteção centrada em dados ou que estão sujeitas a normas de privacidade ou considerações de soberania de dados tendem a exigir soluções locais para manter o controle total sobre a infraestrutura de segurança. Além disso, a delegação de responsabilidade e o requisito de confiança de terceiros que os CASBs somente na nuvem impõem por meio do modelo "Bring Your Own Key" (BYOK) podem violar as políticas internas ou externas, e essa posição problemática se estende naturalmente aos serviços de segurança oferecidos pelos próprios CSPs, que também podem exigir a inclusão na lista de permissões dos endereços IP do CASB.


O Voltage Secure Data Sentry é um CASB?

Voltage O SecureData Sentry é um agente de segurança especializado em proteção de dados, não apenas para serviços em nuvem, mas também para aplicativos locais. Portanto, ele não é um CASB tradicional, pois não busca fornecer outras funcionalidades entre os quatro pilares. Em vez disso, o Sentry coexiste com CASBs especializados no fornecimento desses recursos complementares, ao mesmo tempo em que faz o trabalho pesado de criptografia para adicionar mecanismos sólidos de proteção centrada em dados que podem ser aplicados em SaaS e outros serviços em nuvem, bem como em aplicativos comerciais e de desenvolvimento próprio em redes internas.

Voltage O SecureData é inovador e baseado em padrões, e foi submetido a verificações independentes da força da segurança por órgãos criptográficos independentes e reconhecidos internacionalmente. Muitas das principais organizações globais dos setores público e privado e de vários setores confiam nele para proteger os dados mais confidenciais do mundo.

A FPE (Format-Preserving Encryption, criptografia com preservação de formato), que garante que a proteção seja aplicada no nível do campo de uma forma que não prejudique os esquemas de banco de dados existentes ou as limitações de tamanho ou tipo de campo do SaaS, é combinada com um sistema de gerenciamento de chaves sem estado que evita encargos adicionais para os administradores de segurança. O Secure Stateless Tokenization (SST) garante que os campos numéricos que contêm números de cartão de crédito ou SSNs sejam protegidos sem a sobrecarga de gerenciamento ou desempenho de um banco de dados de tokens, permitindo que partes selecionadas do campo permaneçam em branco, como os primeiros seis ou os últimos quatro dígitos, para dar suporte ao roteamento ou à verificação do cliente. O FPH (Format-Preserving Hash) garante a integridade referencial dos dados para análise e outros casos de uso, ao mesmo tempo em que cumpre com regulamentos como o direito de exclusão do GDPR. Além disso, por meio de inovações adicionais, como índices locais seguros que suportam termos de pesquisa parciais e curingas e formatação segura de endereços de e-mail para retransmissão SMTP, o Sentry preserva a funcionalidade do aplicativo que é afetada por soluções concorrentes.

As organizações podem implantar o Sentry no local e/ou na nuvem. O Sentry se comunica com a infraestrutura de rede compatível com o ICAP (Internet Content Adaptation Protocol), como proxies HTTP e balanceadores de carga, para aplicar políticas de segurança aos dados que trafegam de e para a nuvem, e intercepta chamadas de API JDBC (Java Database Connectivity) e ODBC (Open Database Connectivity) para aplicar políticas de segurança aos dados que trafegam de e para o banco de dados. Onde quer que seja implantado, a empresa mantém controle total sobre a infraestrutura, sem a necessidade de compartilhar chaves de criptografia ou cofres de token com terceiros, e o modo de inspeção do Sentry garante que as políticas de segurança possam ser direcionadas a campos de dados específicos e anexos de arquivos que contenham informações confidenciais.

Corretor de segurança de acesso à nuvem

Comece hoje mesmo.

Saiba mais

Notas de rodapé