好色先生TV

Tópicos técnicos

O que é um CASB (Cloud Access Security Broker)?

Ilustra??o de itens de TI com foco em um laptop

Vis?o geral

Um agente de seguran?a de acesso à nuvem (CASB, pronuncia-se KAZ-bee) é um ponto de aplica??o de políticas no local ou baseado em nuvem colocado entre os consumidores de servi?os em nuvem e os provedores de servi?os em nuvem (CSPs) para monitorar a atividade relacionada à nuvem e aplicar regras de seguran?a, conformidade e governan?a relacionadas ao uso de recursos baseados em nuvem. Um CASB permite que uma organiza??o estenda à nuvem os mesmos tipos de controles que aplicaria à infraestrutura local e pode combinar diferentes tipos de aplica??o de políticas, como:

O objetivo de um CASB é, portanto, melhorar a capacidade de uma organiza??o de aproveitar os servi?os em nuvem de forma segura e protegida. Um CASB pode ser considerado como um "nó de seguran?a" por meio do qual o acesso aos servi?os em nuvem de uma organiza??o é controlado. Como componente da infraestrutura de seguran?a de uma organiza??o, ele complementa, e n?o substitui, tecnologias como firewalls de aplicativos da Web e corporativos, IDaaS (IDentity as a Service) e gateways seguros da Web (SWGs).

A import?ncia cada vez maior dos CASBs é paralela à ado??o mais ampla dos servi?os em nuvem e das políticas BYOD ("Bring Your Own Device", traga seu próprio dispositivo) que permitem a entrada de laptops pessoais, smartphones, tablets e outros dispositivos n?o gerenciados na rede. O uso de CASBs para controlar alguns ou todos os servi?os em nuvem de uma organiza??o está se expandindo e espera-se que a ado??o por empresas maiores triplique, passando de 20% em 2018 para 60% até 2022 (Gartner, 2018). Em um período semelhante, prevê-se que o mercado de seguran?a em nuvem como um todo aumente para cerca de US$ 112 bilh?es até 2023 (Forrester, 2017).

Prote??o de dados em TI híbrida e simplifica??o da seguran?a de cargas de trabalho na nuvem

好色先生TV? Voltage? O SecureData Sentry ajuda a reduzir os riscos de viola??o, implementando a seguran?a de dados de forma simples e transparente em poucos dias; permite a conformidade com a privacidade para aplicativos de TI híbridos de miss?o crítica.

Saiba mais

CASB (agente de seguran?a de acesso à nuvem)

Originalmente, os CASBs se concentravam na descoberta de servi?os desconhecidos usados por indivíduos ou unidades de negócios que n?o eram permitidos pelo departamento de TI, mas como as organiza??es perceberam que a solu??o para esse problema apontava mais para a habilita??o controlada do que para a remo??o desses servi?os, os CASBs come?aram a oferecer conjuntos de recursos em quatro pilares: Seguran?a de dados, conformidade, prote??o contra amea?as e o principal recurso de visibilidade.

Visibilidade

Muitas organiza??es já est?o acelerando a ado??o formal da computa??o em nuvem em uma ampla gama de unidades de negócios. Isso pode estar levando a um número cada vez maior de funcionários que gerenciam suas próprias credenciais de seguran?a em recursos de IaaS (Infraestrutura como Servi?o), PaaS (Plataforma como Servi?o), SaaS (Software como Servi?o) e, agora, FaaS (Fun??es como Servi?o). Nesse ambiente, os CASBs podem ajudar a preencher as lacunas de seguran?a criadas por essa eros?o do gerenciamento centralizado de identidade e acesso (IAM) e melhorar o controle sobre o uso desses servi?os, apresentando uma barreira adequada e, ainda assim, n?o impedindo a condu??o natural dos negócios pelos funcionários, tanto no local quanto em campo.

Essa consolida??o dos controles de acesso à nuvem ajuda quando se sabe quais servi?os de nuvem est?o sendo usados, mas n?o ajuda com a TI invisível. Esses servi?os podem estar sendo usados para contornar deficiências percebidas ou reais na pilha de TI oficial de uma organiza??o, ou podem ser apenas um simples reflexo da preferência do usuário. Em vez de ser uma atividade que deve ser eliminada, seu uso pode, na verdade, ser essencial para a produtividade, a eficiência, a satisfa??o dos funcionários e até mesmo como fonte de inova??o, mas é improvável que esteja alinhado com as políticas de seguran?a da organiza??o ou com outros requisitos de TI para suporte, confiabilidade, disponibilidade etc., e também pode ser uma fonte de malware que pode levar a uma 肠补迟补蝉迟谤ó蹿颈肠补.

Um CASB pode ajudar a trazer à luz a TI invisível de uma organiza??o, n?o apenas permitindo o suporte às práticas de trabalho necessárias e garantindo que elas n?o comprometam a miss?o, mas também revelando os verdadeiros gastos com a nuvem que permitem melhorias nos controles de custos.

Seguran?a de dados

Muitas organiza??es já est?o migrando os recursos de TI de seus próprios data centers para várias nuvens, inclusive as oferecidas pela Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) e a variedade de aplicativos on-line disponíveis no mercado de fornecedores de SaaS. Os funcionários já est?o compartilhando dados confidenciais por meio desses servi?os - Office 365, Salesforce, Amazon S3, Workday, etc. - muitos dos quais afirmam alguma vers?o de um modelo de responsabilidade compartilhada que coloca a responsabilidade pela seguran?a dos dados no cliente.

No entanto, as preocupa??es com a seguran?a da própria nuvem s?o, em grande parte, equivocadas. A infraestrutura da maioria dos CSPs, especialmente aqueles que oferecem servi?os que se tornaram comuns, é inegavelmente altamente segura. Em vez disso, as preocupa??es devem se concentrar na configura??o correta dos controles de seguran?a oferecidos pelo CSP, bem como na identifica??o dos controles necessários que n?o est?o disponíveis. Um relatório recente descobriu que, devido exclusivamente a essas configura??es incorretas ou ausentes, mais de 1,5 bilh?o de arquivos foram expostos na nuvem e em servi?os relacionados à nuvem, como S3, rsync, SMB, FTP, unidades NAS e servidores da Web (Digital Shadows, 2018). Prevê-se que, até 2023, pelo menos 99% das falhas de seguran?a na nuvem ser?o devidas a erros cometidos por consumidores de servi?os em nuvem e n?o por CSPs (Gartner, 2018). Embora alguns CASBs agora ofere?am recursos de gerenciamento de postura de seguran?a na nuvem (CSPM) para avaliar e reduzir o risco de configura??o em ofertas de IaaS, PaaS e SaaS por meio de controles adicionais, como criptografia, um CASB pode oferecer a uma organiza??o uma garantia adicional de que, mesmo que haja configura??es incorretas, os dados confidenciais n?o poder?o ser comprometidos. Esse seguro é particularmente necessário quando a prote??o de dados adequada n?o é oferecida por um servi?o de nuvem específico ou quando essa prote??o é necessária contra o próprio CSP.

A maioria dos CASBs evoluiu a partir de uma das duas posturas iniciais em rela??o à seguran?a de dados: foco na preven??o de perda de dados (DLP) e detec??o de amea?as, ou o fornecimento de criptografia ou tokeniza??o para abordar a privacidade e a residência de dados. Embora essas posi??es iniciais tenham se expandido posteriormente para oferecer cobertura de todos esses recursos, houve uma mudan?a na oferta de seguran?a robusta centrada nos dados e no gerenciamento de chaves. Atualmente, para a maioria dos CASBs, a seguran?a de dados significa principalmente DLP, que usa uma variedade de mecanismos para detectar dados confidenciais em servi?os de nuvem sancionados ou à medida que s?o carregados em servi?os de nuvem - sancionados ou n?o - e, em seguida, bloquear, excluir, colocar em reten??o legal ou colocar em quarentena o conteúdo sinalizado como uma possível viola??o de política. Normalmente, isso é compatível com usuários de servi?os de nuvem remotos e locais, seja de aplicativos móveis, navegadores da Web ou clientes de sincroniza??o de desktop. Mas a DLP só pode ir até certo ponto em ambientes que facilitam cada vez mais o compartilhamento de dados dentro e entre os servi?os de nuvem antes que ocorra uma viola??o. Qualquer organiza??o que use a nuvem para armazenar dados deve perceber que um CASB pode n?o ser capaz de detectar como ou com quem esses dados s?o compartilhados a partir da nuvem, ou mesmo quem os compartilhou.

Mecanismos robustos de prote??o centrada em dados podem lidar com esse risco de viola??o, mas, embora muitos CASBs anunciem a capacidade de criptografar ou tokenizar dados destinados à nuvem, esses recursos agora tendem a se restringir a apenas um pequeno número de servi?os convencionais, como Salesforce e ServiceNow. Os CASBs que come?aram a adicionar esses recursos - motivados tanto para satisfazer as classifica??es dos analistas quanto para alcan?ar ou manter a paridade competitiva - descobriram que a criptografia é um domínio técnico desafiador. ? necessário um conhecimento considerável sobre o assunto para implementar e manter sistemas criptográficos, e esse conhecimento normalmente n?o se enquadra no escopo das competências essenciais do CASB. Como resultado, alguns CASBs retiraram ou n?o comercializam mais ativamente esses recursos, e alguns ofuscam a falta de capacidade ou a aplicabilidade restrita por meio de alega??es generalizadas de "seguran?a de dados" que abordam apenas DLP, controle de acesso adaptável (AAC) e similares.

Além disso, embora a promulga??o da Lei de Esclarecimento do Uso Legal de Dados no Exterior (CLOUD) nos EUA e a crescente compreens?o do Regulamento Geral de Prote??o de Dados (GDPR) da UE sugiram fortemente que a criptografia e o gerenciamento de chaves est?o se tornando recursos essenciais (Gartner, 2019), houve alguma hesita??o em sua ado??o, pois a criptografia e a tokeniza??o aplicadas fora de um aplicativo SaaS podem afetar sua funcionalidade, bem como a de servi?os integrados de terceiros. As inova??es contínuas em criptografia aplicada disponíveis por meio de alguns fornecedores, como 好色先生TV Voltage , no entanto, minimizaram esses impactos na funcionalidade, de modo que agora vale a pena avaliar qualquer impacto que possa permanecer em rela??o ao custo e ao risco de delegar a prote??o de dados em nível de campo e arquivo ao CSP ou de n?o aplicá-la.

Conformidade

O advento de leis de privacidade mais rígidas em muitos setores e regi?es também pode estar afetando as opera??es. Regulamenta??es regionais como o GDPR, a Lei de Privacidade do Consumidor da Califórnia (CCPA), a e a bem como regulamenta??es do setor, como as impostas pelo PCI DSS, SOX, HIPAA, HITECH, FINRA e FFIEC, est?o criando uma série de requisitos de conformidade cuja complexidade empurra muitas organiza??es para a posi??o global mais conservadora: garantir que os dados confidenciais das empresas e de seus clientes estejam sempre protegidos, onde quer que estejam, e no grau mais forte possível.

Um CASB com fortes controles de privacidade de dados em vários aplicativos pode ajudar a alcan?ar esse objetivo; e, por meio da conscientiza??o da política e da funcionalidade de classifica??o de dados, os CASBs podem ajudar a garantir a conformidade com as leis de residência de dados e a comparar as configura??es de seguran?a com os requisitos regulamentares em constante atualiza??o.

Detec??o e preven??o de amea?as

Um CASB pode defender a organiza??o contra o arsenal cada vez maior de malware, incluindo a introdu??o e a propaga??o por meio de servi?os de armazenamento em nuvem e seus clientes e aplicativos de sincroniza??o associados. Um CASB pode usar fontes avan?adas de inteligência contra amea?as para verificar e remediar amea?as em tempo real em recursos internos e externos; identificar contas de usuários comprometidas por meio da detec??o e preven??o de acesso n?o autorizado a servi?os e dados em nuvem; e combinar análises estáticas e din?micas com recursos de aprendizado de máquina e UEBA (User Entity Behavior Analytics) para identificar atividades an?malas, ransomware, exfiltra??es de dados, etc.


Como funciona um CASB?

Os CASBs podem ser implantados como proxies e/ou como API brokers. Como determinados recursos do CASB dependem do modelo de implanta??o, os CASBs "multimodo" - aqueles que suportam os modos proxy e API - oferecem uma gama maior de op??es de controle dos servi?os em nuvem.

Os CASBs implantados no modo proxy geralmente se concentram na seguran?a e podem ser configurados como proxies reversos ou diretos no caminho do acesso aos dados, entre o consumidor do servi?o em nuvem e o CSP. Os CASBs de proxy reverso n?o exigem a instala??o de agentes nos endpoints e, portanto, podem funcionar melhor para dispositivos n?o gerenciados (por exemplo, BYOD), evitando a necessidade de altera??es de configura??o, instala??es de certificados e assim por diante. No entanto, eles n?o controlam o uso da nuvem n?o sancionada t?o bem quanto os CASBs de proxy avan?ado, por meio dos quais todo o tráfego de endpoints gerenciados é direcionado, inclusive o tráfego para servi?os de nuvem n?o sancionados: isso significa que alguns dispositivos n?o gerenciados podem passar despercebidos. Portanto, os CASBs com proxy de encaminhamento geralmente exigem a instala??o de agentes ou clientes VPN nos endpoints. Quando os agentes e os clientes VPN s?o configurados incorretamente ou desligados por engano, o tráfego sensível pode n?o ser encaminhado para o CASB, ignorando a inspe??o.

Os CASBs implantados no modo API concentram-se na administra??o de aplicativos SaaS (e cada vez mais IaaS e PaaS) por meio de APIs fornecidas por esses servi?os, incluindo inspe??o de dados em repouso, telemetria de logs, controle de políticas e outras fun??es de gerenciamento. Eles funcionam bem com dispositivos n?o gerenciados, mas, como apenas os principais servi?os em nuvem normalmente oferecem suporte a APIs - e o fazem em graus variados -, é improvável que os CASBs somente com APIs cubram todos os recursos de seguran?a necessários. Embora seja possível que os fornecedores de SaaS e outros CSPs possam aprimorar suas APIs para preencher essa lacuna, enquanto isso, os CASBs somente com API n?o oferecem recursos suficientemente robustos para atender aos requisitos de escalabilidade e disponibilidade. Além disso, quando os CSPs limitam as respostas às solicita??es de API devido ao volume crescente de dados trocados entre os usuários e os servi?os em nuvem, os CASBs no modo API sofrem degrada??es de desempenho incontroláveis. Portanto, o modo proxy continua sendo um recurso essencial.

Os CASBs podem ser executados em um data center corporativo, em uma implanta??o híbrida que envolva tanto o data center quanto a nuvem, ou exclusivamente na nuvem. As organiza??es que se concentram na prote??o centrada em dados ou que est?o sujeitas a normas de privacidade ou considera??es de soberania de dados tendem a exigir solu??es locais para manter o controle total sobre a infraestrutura de seguran?a. Além disso, a delega??o de responsabilidade e o requisito de confian?a de terceiros que os CASBs somente na nuvem imp?em por meio do modelo "Bring Your Own Key" (BYOK) podem violar as políticas internas ou externas, e essa posi??o problemática se estende naturalmente aos servi?os de seguran?a oferecidos pelos próprios CSPs, que também podem exigir a inclus?o na lista de permiss?es dos endere?os IP do CASB.


O Voltage Secure Data Sentry é um CASB?

Voltage O SecureData Sentry é um agente de seguran?a especializado em prote??o de dados, n?o apenas para servi?os em nuvem, mas também para aplicativos locais. Portanto, ele n?o é um CASB tradicional, pois n?o busca fornecer outras funcionalidades entre os quatro pilares. Em vez disso, o Sentry coexiste com CASBs especializados no fornecimento desses recursos complementares, ao mesmo tempo em que faz o trabalho pesado de criptografia para adicionar mecanismos sólidos de prote??o centrada em dados que podem ser aplicados em SaaS e outros servi?os em nuvem, bem como em aplicativos comerciais e de desenvolvimento próprio em redes internas.

Voltage O SecureData é inovador e baseado em padr?es, e foi submetido a verifica??es independentes da for?a da seguran?a por órg?os criptográficos independentes e reconhecidos internacionalmente. Muitas das principais organiza??es globais dos setores público e privado e de vários setores confiam nele para proteger os dados mais confidenciais do mundo.

A FPE (Format-Preserving Encryption, criptografia com preserva??o de formato), que garante que a prote??o seja aplicada no nível do campo de uma forma que n?o prejudique os esquemas de banco de dados existentes ou as limita??es de tamanho ou tipo de campo do SaaS, é combinada com um sistema de gerenciamento de chaves sem estado que evita encargos adicionais para os administradores de seguran?a. O Secure Stateless Tokenization (SST) garante que os campos numéricos que contêm números de cart?o de crédito ou SSNs sejam protegidos sem a sobrecarga de gerenciamento ou desempenho de um banco de dados de tokens, permitindo que partes selecionadas do campo permane?am em branco, como os primeiros seis ou os últimos quatro dígitos, para dar suporte ao roteamento ou à verifica??o do cliente. O FPH (Format-Preserving Hash) garante a integridade referencial dos dados para análise e outros casos de uso, ao mesmo tempo em que cumpre com regulamentos como o direito de exclus?o do GDPR. Além disso, por meio de inova??es adicionais, como índices locais seguros que suportam termos de pesquisa parciais e curingas e formata??o segura de endere?os de e-mail para retransmiss?o SMTP, o Sentry preserva a funcionalidade do aplicativo que é afetada por solu??es concorrentes.

As organiza??es podem implantar o Sentry no local e/ou na nuvem. O Sentry se comunica com a infraestrutura de rede compatível com o ICAP (Internet Content Adaptation Protocol), como proxies HTTP e balanceadores de carga, para aplicar políticas de seguran?a aos dados que trafegam de e para a nuvem, e intercepta chamadas de API JDBC (Java Database Connectivity) e ODBC (Open Database Connectivity) para aplicar políticas de seguran?a aos dados que trafegam de e para o banco de dados. Onde quer que seja implantado, a empresa mantém controle total sobre a infraestrutura, sem a necessidade de compartilhar chaves de criptografia ou cofres de token com terceiros, e o modo de inspe??o do Sentry garante que as políticas de seguran?a possam ser direcionadas a campos de dados específicos e anexos de arquivos que contenham informa??es confidenciais.

Corretor de seguran?a de acesso à nuvem

Comece hoje mesmo.

Notas de rodapé