Quando o uso de serviços e aplicações baseados em nuvem ultrapassa a visão da TI, os dados organizacionais não estão mais vinculados às políticas de governança, risco e conformidade da organização. Isso é chamado de TI invisível e enfatiza a necessidade de segurança na nuvem. As empresas precisam encontrar uma solução para aplicar políticas de segurança rigorosas e proteger os dados confidenciais quando eles estão sendo compartilhados em aplicações na nuvem. As soluções de CASB (Cloud Access Security Broker) - baseadas em proxy, em API ou em ambos - podem ajudar as organizações a obter visibilidade e controle sobre as aplicações em nuvem que seus funcionários acessam.
Um CASB é um mecanismo de controle de políticas e visibilidade da nuvem que fica entre os usuários de serviços em nuvem e as aplicações em nuvem. Independentemente de serem implantados na nuvem ou no local, os CASBs fornecem visibilidade do uso de aplicações em nuvem, controlam o acesso a serviços e dados baseados em nuvem, ajudam a atender às normas de conformidade, evitam a perda de dados, detectam e corrigem ameaças com a tecnologia UEBA e muito mais. Com a ajuda de uma solução CASB, os funcionários podem usar os serviços em nuvem sem colocar em risco a segurança da organização. Autenticação, autorização, criptografia, logon único, tokenização e perfil de dispositivo são alguns exemplos de políticas de segurança que podem ser implementadas usando CASBs. As equipes de SOC podem obter insights eficazes sobre incidentes de segurança se a ferramenta CASB estiver integrada à solução SIEM. Para saber mais, leia: Por que um agente de segurança de acesso à nuvem deve fazer parte de seu SIEM..
Os CASBs podem ser implantados de dois modos: baseados em proxy e baseados em API. Os CASBs baseados em proxy também são chamados de CASBs em linha e os CASBs baseados em API são chamados de CASBs fora de banda. A principal diferença entre os dois é que um CASB em linha fica diretamente entre o usuário e a aplicação em nuvem - atuando como um gateway -, inspecionando e controlando os dados em tempo real; enquanto um CASB fora de banda opera fora do caminho de tráfego direto e se integra aos provedores de serviços em nuvem por meio de APIs, monitorando a atividade da nuvem após o evento.
Nesta página, vamos nos concentrar no modo de implantação em linha ou baseado em proxy dos CASBs.
O que é a implantação de CASB baseada em proxy?
A implantação baseada em proxy é frequentemente chamada de implantação em linha, pois fica entre o usuário e o tráfego da aplicação SaaS. Os CASBs em linha funcionam como intermediários, inspecionando todo o tráfego de dados que flui de e para os serviços em nuvem e aplicando políticas de segurança em tempo real para controlar o acesso. Isso significa que eles ficam diretamente no caminho da rede, interceptando e avaliando solicitações e respostas quanto a atividades mal-intencionadas, violações de políticas ou exposição de dados confidenciais. Por exemplo, os CASBs baseados em proxy podem bloquear o tráfego de usuários para aplicativos em nuvem, interromper o upload de um arquivo para um aplicativo SaaS, bloquear o download de um arquivo para um dispositivo não gerenciado e muito mais. Devido às várias funcionalidades e à cobertura oferecidas, esse modo de implantação é frequentemente usado em várias ferramentas CASB.
Vamos dar uma olhada em como um CASB baseado em proxy monitora e exerce controle sobre o tráfego da nuvem. Quando os usuários tentam acessar uma aplicação em nuvem, eles iniciam uma solicitação de acesso. Antes de a solicitação ser abordada pelo provedor de serviços em nuvem, o tráfego é primeiro direcionado para o proxy. Esse proxy, ou seja, a ferramenta CASB, conhece os requisitos e os detalhes dos usuários. Nesse ponto, a ferramenta CASB pode exercer controle e adicionar funcionalidades relevantes para a segurança, como bloquear o acesso dos usuários ou impedi-los de executar determinadas ações.
As ferramentas CASB baseadas em proxy usam dois modos diferentes de implantação: proxy direto e proxy reverso. Dependendo do modo de implementação, os CASBs baseados em proxy podem oferecer benefícios como proteção abrangente contra ameaças e segurança de dados, controle de acesso granular, visibilidade do uso da nuvem, detecção de TI invisível e conformidade com as exigências regulamentares, bem como ambientes de trabalho seguros, independentemente de uma configuração BYOD, remota ou híbrida.
Implantação de proxy reverso
Neste modo, o proxy está mais próximo do usuário. O proxy reverso é configurado no dispositivo ou rede do usuário, onde todo o tráfego de saída para a nuvem é roteado através do CASB. Isso permite que as organizações inspecionem e protejam as solicitações de acesso à nuvem iniciadas pelo usuário, mesmo que o aplicativo em nuvem não seja gerenciado pela TI. O tráfego (solicitações do usuário) pode ser direcionado para o proxy reverso através de:
- Arquivos PAC: Um arquivo de configuração automática de proxy (PAC) determina se uma solicitação da web vai diretamente para o destino ou é encaminhada para o proxy reverso. Quando a implantação do CASB com proxy reverso é implementada, os navegadores dos usuários ou agentes implantados nos dispositivos são configurados com arquivos PAC que roteiam o tráfego da nuvem para o proxy reverso do CASB. Uma desvantagem do uso de arquivos PAC para o redirecionamento do proxy reverso é que esses arquivos podem ser facilmente contornados pelos usuários.
- Redirecionamento de URL DNS: Neste método, o DNS do usuário é configurado com uma zona de encaminhamento de tráfego especial para serviços em nuvem selecionados, de modo que todas as solicitações de tráfego para esses serviços em nuvem sejam redirecionadas para o proxy reverso do CASB. No entanto, esse método geralmente não é preferido porque os usuários costumam hesitar em modificar as entradas DNS em seu ambiente. Além disso, na maioria das empresas, o DNS é gerenciado por um fornecedor terceirizado.
- Agentes: Neste método, um agente é implantado nos pontos finais dos usuários e redireciona o tráfego para o proxy reverso do CASB usando um túnel VPN seguro. A gestão de agentes é a desvantagem desse método de implantação.
Um CASB com proxy reverso implementado configurando arquivos PAC ou implantando agentes não pode monitorar dispositivos não gerenciados. Por outro lado, um CASB com proxy reverso implementado configurando o DNS do cliente pode monitorar tanto dispositivos gerenciados quanto não gerenciados.
Uma implantação de CASB com proxy reverso pode:
- Analisar o conteúdo entre o endpoint do usuário e as aplicações em nuvem para identificar atividades maliciosas e vazamentos de dados.
- Impor controle de acesso baseado em contexto, dependendo do dispositivo de origem do usuário, rede, horário da solicitação e mais.
- Fornecer visibilidade sobre IT Shadow e listar o uso de aplicações não sancionadas por um usuário ou grupo de usuários.
- Criptografar e tokenizar dados em nível de campo.
Implantação de proxy reverso
Neste modo, o proxy está mais próximo dos provedores de serviços em nuvem. O serviço ou recurso em nuvem redireciona o tráfego para o proxy reverso do CASB.
Sendo mais integrado do que a tecnologia de proxy para frente, o CASB com proxy reverso pode se integrar com a Identidade como Serviço (IDaaS) utilizada pela organização, autenticar usuários e redirecionar o tráfego de aplicações SaaS para os usuários.
Além disso, ao contrário do proxy para frente, você não precisa implantar agentes para redirecionar o tráfego. No entanto, a desvantagem da tecnologia de proxy reverso é que ela não oferece visibilidade sobre IT Shadow.
Uma implantação de CASB com proxy reverso pode:
- Controlar o acesso tanto de dispositivos gerenciados quanto não gerenciados, embora seja mais adequada para dispositivos não gerenciados em comparação com outros modos de implantação.
- Criptografar dados que estão em trânsito para a nuvem.
- Monitorar atividades dos usuários e descobrir ameaças internas e contas comprometidas.
- Implementar DLP em tempo real, incluindo inspecionar dados em trânsito e tomar ações apropriadas de prevenção ou remediação em caso de ameaças.
- Impedir que os usuários contornem o sistema.
Qual modo de implantação de CASB você deve adotar para sua organização?
É imperativo escolher uma solução CASB que seja mais adequada às necessidades da sua organização. Cada abordagem tem seus prós e contras. Uma opção preferível seria uma abordagem híbrida: uma combinação dos modos de implantação por API e proxy. Uma solução híbrida pode oferecer mais flexibilidade, controle de acesso, visibilidade e cobertura de casos de uso. O ManageEngine Log360é uma solução SIEM integrada ao CASB que pode proteger seu ambiente de nuvem híbrida. Para avaliar como o Log360 pode atender às necessidades de segurança da sua organização, inscreva-se para uma demonstração personalizada.
