Enciclopedia de ciberseguridad Security Defined¿Qué es un Cloud Access Security Broker (CASB)?

Cloud Access Security Broker (CASB)

8 min read

¿Qué es un CASB?

Según Gartner, un agente de seguridad de acceso a la nube (CASB) es un punto de imposición de políticas de seguridad, ya sea en las instalaciones físicas o en la nube, situado entre los consumidores de servicios en la nube y los proveedores de servicios en la nube, cuyo propósito es combinar e interponer políticas de seguridad corporativas cuando se acceda a los recursos en la nube. El CASB es como un policía que obliga a cumplir las leyes establecidas por los administradores del servicio en la nube.

Las organizaciones recurren cada vez más frecuentemente a los proveedores de CASB para hacer frente a los riesgos de los servicios en la nube, aplicar políticas de seguridad y cumplir con las normativas, incluso cuando los servicios en la nube están fuera de su perímetro y fuera de su control directo.

definición de casb

 

¿Cuáles son los cuatro pilares de los CASB?

Estos son los componentes básicos de cualquier solución de CASB. Todos los pilares son necesarios para que el programa sea eficaz.

1. Visibilidad

Las empresas necesitan tener visibilidad y control sobre los servicios de nube gestionados y no gestionados. En lugar de adoptar una estrategia basada en "permitir" o "bloquear" todos los servicios en la nube, se debería permitir a los responsables de TI decir "sí" a los servicios útiles, a la vez que se regula el acceso a los servicios, las actividades y los datos dentro de los mismos. Esto supondría la posibilidad de ofrecer acceso completo a una suite autorizada como Microsoft Office 365 a los usuarios de dispositivos corporativos, pero únicamente email través de la Web a aquellos usuarios con dispositivos no gestionados. También podría significar la aplicación de una política de "no compartir fuera de la empresa" a través de una categoría de servicios no autorizados.

Mientras que la seguridad en la nube es el objetivo primordial de un CASB, otro valor que aporta es que le ayuda a controlar los gastos de los servicios en la nube. Un CASB puede ayudarle a descubrir todos los servicios que se usan en la nube, a elaborar informes de los gastos en la nube y a detectar redundancias de funcionalidades y de costes de licencias. Un CASB puede proporcionar información comercial y financiera valiosa, además de protección.

2. Cumplimiento normativo

El cumplimiento normativo es una consideración importante para las organizaciones cuando deciden trasladar sus datos y sistemas a la nube. Los estándares de cumplimiento se conciben para garantizar la seguridad de las personas y de los datos de la empresa, y hacer caso omiso de ellos puede conducir a vulneraciones peligrosas y costosas.

Los agentes de seguridad de acceso a la nube pueden ayudarle a garantizar el cumplimiento en la nube, tanto si es una organización del sector sanitario preocupada por el cumplimiento de HIPAA o HITECH, una empresa minorista preocupada por el cumplimiento de la norma PCI o una organización de servicios financieros que necesite cumplir con las normas FFIEC y FINRA. Un CASB puede ayudar a proteger su empresa frente a costosas vulneraciones de datos imponiendo el cumplimiento de las normas definidas para los datos en su sector.

3. Seguridad de los datos

La precisión proviene del uso de mecanismos de detección de DLP en la nube altamente sofisticados, como la toma de huellas dactilares de documentos, combinada con la reducción del área de superficie de detección utilizando diferentes contextos (usuario, ubicación, actividad, etc.). Cuando se descubre contenido sensible en la nube o en ruta hacia ella, el agente de seguridad de acceso a la nube (CASB) debe permitir a los departamentos de TI la opción de trasladar eficientemente las sospechas de violaciones a sus sistemas locales para su análisis posterior.

Un estudio más exhaustivo de las amenazas permite a su empresa identificar y detener la actividad malintencionada más fácilmente antes de que se agrave; un CASB puede actuar como vigilante para facilitar esta tarea. CASB es experto tanto en TI como en prácticas empresariales, y adopta una hábil estrategia para refinar la seguridad de una organización.

4. Protección contra amenazas

Las organizaciones deben asegurarse de que sus empleados no estén introduciendo o propagando malware y amenazas en la nube a través de vectores como los servicios de almacenamiento en la nube y los clientes y servicios de sincronización asociados. Esto significa que deben ser capaces de examinar y resolver las amenazas presentes en las redes internas y externas en tiempo real, cuando un empleado intente compartir o cargar un archivo infectado. También implica detectar y evitar el acceso no autorizado a servicios y datos en la nube que puedan ayudar a identificar cuentas comprometidas.

Un CASB puede defender a una organización frente a un gran número de amenazas en la nube y malware. Es esencial para su empresa que evite las amenazas que pueden combinar el análisis priorizado de malware estático y dinámico para desarrollar inteligencia de amenazas avanzada. Algunas amenazas pueden proceder de servicios en la nube o propagarse desde ellos. Por eso una protección adecuada frente a amenazas puede ser su salvación.


Recurso: Plantilla de petición de ofertas (RFP) de CASB
Informe: Cuadrantes Mágicos de Gartner de 2020 para SWG y CASB


 

¿Cuáles son los tres principales usos de los CASB?

1. Regular el uso

Los CASB, que se caracterizan por su eficiencia en la detección de conductas de Shadow IT, también son útiles para gestionar otros aspectos de la seguridad en la organización. Un CASB puede regular el uso de la nube en su organización con visibilidad y control pormenorizados. En lugar de adoptar un enfoque general mediante el bloqueo de servicios, los CASB le permiten controlar el uso en función de la identidad, el servicio, la actividad, la aplicación y los datos.

Además, puede definir políticas en función de la categoría de servicio o del riesgo y elegir entre acciones como bloquear, alertar, evitar, cifrar, poner en cuarentena y asesorar para la aplicación de políticas. Por último, puede usar estas instancias para advertir a su equipo informático acerca de acciones emprendidas contra cualquier política vigente para supervisión interna.

2. Proteger los datos

Proteja y evite la pérdida de datos confidenciales en todos los servicios en la nube de su entorno, no solo en los que usted controla. Aproveche nuestra solución de DLP empresarial avanzada para descubrir y proteger datos confidenciales en servicios en la nube mediante autorización y en la ruta hacia o desde cualquier servicio en la nube, autorizado o no autorizado, tanto si los usuarios se encuentran en las instalaciones, en una ubicación remota o en un dispositivo móvil, como si acceden desde un navegador web, una aplicación móvil o un cliente de sincronización. Combata la pérdida de datos mediante el uso de cifrado, tokenización y prevención de cargas.

3. Proteger frente a amenazas

Protéjase contra las amenazas en la nube, como malware y ransomware. Comience con una visibilidad completa de todos los servicios en la nube, incluso los que usan conexiones cifradas con SSL. Utilice la detección de anomalías y fuentes de información sobre amenazas, por ejemplo, cuáles de sus usuarios tienen cuentas en riesgo. A continuación, aplique capas de detección antimalware estáticas y dinámicas, además de aprendizaje automático para detectar ransomware. Por último, arme el resto de su infraestructura de seguridad con la información que descubra, mediante integraciones listas para usar y flujos de trabajo. Las amenazas seguirán perfeccionando sus estrategias, de modo que su proveedor de CASB debería hacer lo propio.

 

The Ten CASB Product Capability Questions You Need to Ask

Su organización está evaluando agentes de seguridad de acceso a la nube para habilitar de forma segura servicios en la nube autorizados y no autorizados. Esta lista de preguntas le ofrece ejemplos específicos basados en casos que le ayudarán a diferenciar las funcionalidades de los distintos proveedores de CASB que esté evaluando.

1. ¿Puedo controlar las actividades en las aplicaciones en la nube gestionadas y no gestionadas en lugar de tener que bloquear todos los servicios?

R: En lugar de aplicar medidas exageradas bloqueando todo un servicio, es preferible orientarse al detalle en una actividad, por ejemplo, «compartir». Se puede hacer por categorías, por ejemplo, en cualquier servicio de almacenamiento en la nube. De esta manera, puede autorizar, en lugar de bloquear, los servicios mientras mitiga el riesgo.

2. ¿Puedo aplicar mis políticas de datos confidenciales en los servicios en la nube y en la ruta hacia ellos? ¿Puedo reducir los falsos positivos examinando solamente las transacciones en la nube que realmente importan?

R: En lugar de buscar y proteger contenidos solo en su servicio autorizado, hágalo tanto en los servicios autorizados como en los no autorizados, y para el contenido que está en reposo y en tránsito. Además, minimice los falsos positivos y aumente la precisión reduciendo el área de la superficie por el contexto. Filtre las transacciones en la nube que le preocupan eliminando usuarios, servicios, categorías, ubicaciones y actividades de lo que inspecciona y aplica políticas.

3. ¿Puedo aplicar políticas basadas en grupos o unidades organizativas de Microsoft Active Directory?

R: En lugar de cargar o introducir datos de usuario manualmente, aplique políticas que incorporen grupos del directorio de la empresa, como Microsoft Active Directory.

4. ¿Puedo detectar anomalías en la actividad de la nube, como un exceso de descargas o usos compartidos en cualquier servicio, o si los usuarios envían ficheros con el nombre o la extensión cambiados?

R: En lugar de detectar anomalías solo en los servicios autorizados o en un nivel detallado, como el acceso, detecte anomalías basadas en las actividades de cualquier servicio, ya sea autorizado o no autorizado.

5. ¿Puedo supervisar e informar sobre la actividad en los servicios regulados, como los financieros y contables, a efectos de cumplimiento?

R: En lugar de mantener los servicios regulados en las instalaciones, mígrelos a la nube a la vez que cumple con leyes tales como la Sarbanes-Oxley o equivalentes. Informe sobre el acceso y las modificaciones de datos dentro de los sistemas de registro en la nube.

6. ¿Puedo aplicar políticas de forma remota, incluso en clientes móviles y sincronizados?

R: En lugar de excluir la supervisión y el control local de su modelo de seguridad en la nube, aplique sus políticas dondequiera que se encuentren sus usuarios y sea cual sea su dispositivo.

7. ¿Puedo mitigar el riesgo de los usuarios con cuentas comprometidas?

R: Identifique a los usuarios que acceden a sus servicios con credenciales de cuentas comprometidas y protéjase de ellos.

8. ¿Puedo encontrar y subsanar amenazas y malware en mis servicios en la nube?

R: Identifique las amenazas y el malware en los servicios en la nube o en las rutas entre estos y aplique medidas de protección.

9. ¿Aumentaría el valor de mis inversiones actuales al permitirme integrarme con soluciones locales como DLP, SIEM, sandbox de malware y EDR?

R: En lugar de implementar la seguridad en la nube en un silo, incremente el valor de sus inversiones actuales añadiendo un agente de seguridad de acceso a la nube.

10. ¿Me proporcionarían ustedes unas opciones de implementación que satisfagan mis requisitos, incluyendo la posibilidad de mantener todos mis datos en mis instalaciones? ¿Es la solución una inversión a futuro?

R: En lugar de verse en la obligación de seguir el modelo de implementación de un proveedor de CASB, elija la implementación que mejor se adapte a sus necesidades, ahora y en el futuro.

 

El papel de los CASB en un futuro dominado por SASE

Con la adopción masiva reciente de la nube, la tecnología CASB se está transformando en algo de mucho mayor alcance. Si se combina con otras tecnologías como la prevención de pérdida de datos (DLP) y Next Generation Secure Web Gateway, el concepto de CASB se está convirtiendo en una pieza única de lo que se conoce como arquitectura de borde de servicio de acceso seguro (SASE).

SASE combina múltiples tecnologías de seguridad y de red para proporcionar una seguridad integral en la web y en la nube sin los inconvenientes de la seguridad perimetral tradicional, como la latencia y la falta de contexto sobre el uso de los datos.

Esto significa que una solución centrada únicamente en CASB ya no es una opción aceptable para las empresas. Necesitará un enfoque combinado de múltiples herramientas y los CASB son solo una pequeña parte de esta estrategia de seguridad.


Libro blanco: SASE y las siete fuerzas que conforman la transformación de la seguridad
Blog: Hacia dónde se dirigen CASB y SWG


 

Netskope a LEADER in the 2021 IDC MarketScape for Cloud Security Gateways

Netskope is positioned as a Leader in the IDC MarketScape for Cloud Security Gateways in both “Strategies” and “Capabilities”

 

Netskope’s approach to Cloud Security Gateways (also known as CASB – Cloud Access Security Broker) has been consistently lauded by customers and top technology analysts throughout the world. As a fundamental cloud security service, CASB is critical to SASE architecture and Security Service Edge (SSE) that will dominate modern enterprise security and networking in the years to come.

 

Learn more about our placement and the fundamental benefits of the Netskope CASB solution today.

IDC Marketscape for Cloud Security Gateways - diagram

Netskope ha recibido el reconocimiento «Customers’ Choice» de Gartner Peer Insights en 2021

El equipo de Netskope está muy orgulloso de anunciar que Netskope ha recibido el reconocimiento «Customers’ Choice» de Gartner Peer Insights en 2021 por su solución de Cloud Access Security Broker. *

 

Netskope lidera el camino para ayudar a nuestros clientes e impulsar su recorrido hacia la arquitectura SASE. Para obtener más información, lea los Cuadrantes Mágicos de Gartner para SWG y CASB.

Netskope recibe el premio «Customers’ Choice» de Gartner Peer Insights 2021 en CASB y SWG

Recursos

Plataforma Netskope Security Cloud

Plataforma Netskope Security Cloud

Netskope Risk Insights

Netskope Risk Insights

Prevención de pérdida de datos (DLP) de Netskope

Prevención de pérdida de datos (DLP) de Netskope

Cuadrante Mágico de Gartner de 2020 para CASB

Cuadrante Mágico de Gartner de 2020 para CASB

* Gartner Peer Insights ‘Voice of the Customer’: Cloud Access Security Brokers, (disponible en inglés) 11 de marzo de 2021. El distintivo GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE es una marca registrada y una marca de servicio de Gartner, Inc. o sus afiliados y se utiliza aquí con permiso. Todos los derechos reservados. Los premios Gartner Peer Insights Customers’ Choice se basan en las opiniones subjetivas de los usuarios, las puntuaciones otorgadas y los datos aplicados según una metodología documentada. No representan la opinión de Gartner ni de sus filiales, ni constituyen un aval de Gartner ni de sus filiales.

Suscríbase para recibir los estudios más recientes sobre seguridad en la nube

Al enviar este formulario, acepta nuestras Condiciones de uso y nuestra Política de privacidad.