Quando l'uso di servizi e applicazioni basati sul cloud va oltre la visione dell'IT, i dati dell'organizzazione non sono più vincolati dai criteri di governance, rischio e conformità dell'organizzazione. Questo si chiama shadow IT e sottolinea la necessità di sicurezza del cloud. Le aziende devono trovare una soluzione per applicare criteri di sicurezza rigorosi e proteggere i dati sensibili quando vengono condivisi in applicazioni cloud. Broker di sicurezza per l'accesso al cloud Le soluzioni (CASB) basate su proxy, API o entrambe, possono aiutare le organizzazioni a ottenere visibilità e controllo sulle applicazioni cloud a cui accedono i dipendenti.
Un CASB è un meccanismo di controllo dei criteri e di visibilità del cloud che si posiziona tra gli utenti del servizio cloud e le applicazioni cloud. Sia che vengano implementati nel cloud o on-premise, i CASB forniscono visibilità sull'uso delle applicazioni cloud, controllano l'accesso ai servizi e ai dati basati su cloud, aiutano a soddisfare le normative di conformità, prevengono la perdita di dati, rilevano e risolvono le minacce con la tecnologia UEBA e altro ancora. Con l'aiuto di una soluzione CASB, i dipendenti possono utilizzare i servizi cloud senza mettere a rischio la sicurezza dell'organizzazione. L'autenticazione, l'autorizzazione, la crittografia, l'accesso Single Sign-On, la tokenizzazione e la profilazione dei dispositivi sono alcuni esempi di criteri di sicurezza che possono essere implementati utilizzando i CASB. I team SOC possono ricavare informazioni efficaci sugli incidenti di sicurezza se il loro strumento CASB è integrato con la loro soluzione SIEM. Per ulteriori informazioni, leggi: Perché un broker di sicurezza per l'accesso al cloud dovrebbe far parte del tuo SIEM.
I CASB possono essere distribuiti in due modalità: su proxy e su API. I CASB proxy sono anche chiamati CASB inline e i CASB basati su API sono indicati come CASB out-of-band. La principale differenza tra i due è che un CASB inline si trova direttamente tra l'utente e l'applicazione cloud, fungendo da gateway, ispezionando e controllando i dati in tempo reale; mentre un CASB out-of-band opera al di fuori del percorso di traffico diretto e si integra con i fornitori di servizi cloud tramite API, monitorando l'attività del cloud dopo l'evento.
In questa pagina ci concentreremo sulla modalità di distribuzione inline o basata su proxy dei CASB.
Che cos'è l'implementazione CASB proxy?
La distribuzione basata su proxy è spesso chiamata distribuzione inline in quanto si trova tra l'utente e il traffico dell'applicazione SaaS. I CASB inline funzionano come intermediari, ispezionando tutto il traffico di dati che fluisce da e verso i servizi cloud e applicando criteri di sicurezza in tempo reale per controllare gli accessi. Ciò significa che si trovano direttamente nel percorso di rete, intercettando e valutando le richieste e le risposte relative ad attività dannose, violazioni dei criteri o esposizione di dati sensibili. Ad esempio, i CASB basati su proxy possono bloccare il traffico degli utenti verso le applicazioni cloud, interrompere il caricamento di un file su un'applicazione SaaS, bloccare il download di un file su un dispositivo non gestito e altro ancora. A causa delle varie funzionalità e della copertura fornite, questa modalità di distribuzione viene spesso utilizzata in vari strumenti CASB.
Diamo un'occhiata a come un CASB basato su proxy monitora ed esercita il controllo sul traffico cloud. Quando gli utenti tentano di accedere a un'applicazione cloud, avviano una richiesta di accesso. Prima che la richiesta venga indirizzata dal provider di servizi cloud, il traffico viene indirizzato al proxy. Questo proxy, ovvero lo strumento CASB, conosce le esigenze e i dati degli utenti. A questo punto, lo strumento CASB può esercitare il controllo e aggiungere funzionalità rilevanti per la sicurezza, come bloccare l'accesso degli utenti o impedire loro di eseguire determinate azioni.
Gli strumenti CASB basati su proxy utilizzano due diverse modalità di distribuzione: proxy di inoltro e proxy inverso. A seconda della modalità di implementazione, i CASB basati su proxy possono fornire vantaggi quali la protezione completa dalle minacce e la sicurezza dei dati, il controllo granulare degli accessi, la visibilità sull'utilizzo del cloud, il rilevamento dello shadow IT e la conformità ai mandati normativi, nonché ambienti di lavoro sicuri, indipendentemente da una configurazione BYOD, remota o ibrida.
Distribuzione proxy di inoltro
In questa modalità, il proxy si trova più vicino all'utente. Il proxy di inoltro viene configurato nel dispositivo o nella rete dell'utente, in cui tutto il traffico in uscita verso il cloud viene instradato attraverso il CASB. Consente alle organizzazioni di ispezionare e proteggere le richieste di accesso al cloud avviate dall'utente, anche se l'applicazione cloud non è gestita dall'IT. Il traffico (le richieste dell'utente) può essere indirizzato al proxy di inoltro tramite:
- File PAC: un file di configurazione automatica del proxy (PAC) determina se una richiesta Web viene inviata direttamente alla destinazione o inoltrata al proxy di inoltro. Quando viene implementata la distribuzione CASB del proxy di inoltro, i browser o gli agenti degli utenti distribuiti nei dispositivi vengono configurati con file PAC proxy che instradano il traffico cloud al proxy di inoltro CASB. Uno svantaggio dell'utilizzo dei file PAC per il reindirizzamento del proxy di inoltro è che questi file possono essere facilmente ignorati dagli utenti.
- Reindirizzamento URL DNS: con questo metodo, il DNS dell'utente viene configurato con una zona di inoltro del traffico speciale per i servizi cloud selezionati, in modo che tutte le richieste di traffico a tali servizi cloud vengano reindirizzate al proxy di inoltro CASB. Tuttavia, questo metodo non è in genere preferito perché gli utenti sono spesso riluttanti a modificare le voci DNS nel loro ambiente. Inoltre, nella maggior parte delle aziende, il DNS è gestito da un fornitore di terze parti in outsourcing.
- Agenti: con questo metodo, un agente viene distribuito negli endpoint degli utenti e reindirizza il traffico al proxy di inoltro CASB utilizzando un tunnel VPN sicuro. La gestione degli agenti è lo svantaggio di questo metodo di distribuzione.
Un proxy di inoltro CASB implementato configurando i file PAC o distribuendo gli agenti non è in grado di monitorare i dispositivi non gestiti. D'altra parte, un proxy di inoltro CASB implementato configurando il DNS del cliente può monitorare sia i dispositivi gestiti che quelli non gestiti.
Una distribuzione CASB proxy di inoltro può:
- analizzare i contenuti tra l'endpoint dell'utente e le applicazioni cloud per individuare attività dannose e perdite di dati.
- Applicare il controllo degli accessi basato sul contesto a seconda del dispositivo di origine dell'utente, della rete, dell'ora della richiesta e altro ancora.
- Fornire visibilità su Shadow IT ed elencare l'uso di applicazioni non autorizzate da parte di un utente o di un gruppo di utenti.
- Crittografare e tokenizzare i dati a livello di campo.
Distribuzione del proxy inverso
Con questa modalità, il proxy si trova più vicino ai fornitori di servizi cloud. Il servizio cloud o la risorsa instrada il traffico al proxy inverso CASB.
Essendo più semplice rispetto alla tecnologia proxy di inoltro, il proxy inverso CASB può integrarsi con l'Identity as a Service (IDaaS) utilizzato dall'organizzazione, autenticare gli utenti e reindirizzare il traffico dalle applicazioni SaaS agli utenti.
Inoltre, a differenza del proxy di inoltro, non è necessario distribuire agenti per reindirizzare il traffico. Tuttavia, lo svantaggio della tecnologia proxy inversa è che non offre visibilità sullo shadow IT.
Una distribuzione CASB con proxy inverso può:
- Controllare l'accesso da dispositivi gestiti e non gestiti, anche se è più adatto per i dispositivi non gestiti rispetto ad altre modalità di distribuzione.
- Crittografare i dati in transito verso il cloud.
- Monitorare le attività degli utenti e scoprire le minacce interne e gli account compromessi.
- Implementare la DLP in tempo reale, inclusa l'ispezione dei dati in transito e l'adozione di azioni di prevenzione o correzione appropriate in caso di minacce.
- Impedire agli utenti di ignorarlo.
Quale modalità di implementazione CASB adottare per la propria organizzazione?
È imperativo scegliere la soluzione CASB più adatta alle esigenze della propria organizzazione. Ogni approccio ha i suoi pro e contro. L'opzione preferibile sarebbe un approccio ibrido: una combinazione di modalità di distribuzione API e proxy. Una soluzione ibrida può fornire maggiore flessibilità, controllo degli accessi, visibilità e copertura dei casi d'uso. Log360 di ManageEngine è una soluzione SIEM integrata in CASB in grado di proteggere il tuo ambiente cloud ibrido. Per valutare in che modo Log360 può soddisfare le esigenze di sicurezza della tua organizzazione, prenota per una demo personalizzata.