Security Defined Cybersecurity EncyclopediaQu'est-ce qu'un CASB (Cloud Access Security Broker, Agent de sécurité des accès au Cloud) ?

Cloud Access Security Broker (CASB)

8 min read

What is a CASB?

Selon Gartner, un CASB (Agent de sécurité des accès au Cloud) est un point d'application de la stratégie de sécurité (sur site ou dans le cloud) qui intervient entre les utilisateurs et les fournisseurs de services cloud. Il combine et associe les stratégies de sécurité d'entreprise lorsque des utilisateurs accèdent à des ressources dans le Cloud. Considérez le CASB comme le shérif qui fait respecter les lois établies par les administrateurs de services cloud.

Les entreprises font de plus en plus souvent appel aux CASB pour gérer les risques liés aux services Cloud, appliquer des stratégies de sécurité et se mettre en conformité avec les réglementations en vigueur, même lorsque les services Cloud concernés se trouvent au-delà de leur périmètre et hors de leur contrôle direct.

définition du casb

 

Quels sont les quatre piliers des CASB ?

Il s'agit des éléments de base de toute solution CASB. Tous les piliers sont nécessaires pour avoir un programme efficace.

1. Visibilité

Les entreprises ont besoin de visibilité et de contrôle sur l'ensemble des services cloud, managés ou non. Au lieu d'adopter une approche qui oscille entre « Autoriser » et « Bloquer » tous les services cloud, le CASB doit permettre au département informatique d'autoriser les services utiles tout en contrôlant l'accès aux activités et aux données de ces services. Cela peut permettre d'offrir un accès complet à une suite autorisée comme Microsoft Office 365 aux utilisateurs des périphériques de l'entreprise, tout en autorisant l'accès aux e-mails uniquement sur le Web pour les utilisateurs de périphériques non gérés. Cette approche peut aussi permettre d'appliquer une stratégie de type « Aucun partage hors de l'entreprise » pour l'ensemble d'une catégorie de services non autorisés.

Même si la sécurité cloud est l'objectif principal d'un CASB, il offre aussi l'avantage de vous aider à contrôler vos dépenses liées au cloud. Le CASB vous aide à identifier tous les services cloud utilisés, à créer des rapports sur les dépenses liées au cloud, et à éviter les fonctions et les licences redondantes. Un CASB peut fournir de précieuses informations financières et commerciales, tout en vous apportant une protection.

2. Conformité

La conformité est une considération majeure lorsque les entreprises décident de déplacer leurs données et leurs systèmes vers le cloud. Ces normes de conformité sont censées garantir la sécurité des données personnelles et professionnelles, et ignorer ces préoccupations peut conduire à des violations dangereuses et coûteuses.

Les CASB (Agents de sécurité des accès au cloud) vous aident à garantir la conformité dans le cloud, que votre entreprise soit un établissement de santé préoccupé par la conformité HIPAA ou HITECH, une société de vente au détail soumise aux réglementations PCI ou une entreprise financière qui doit être conforme aux textes FFIEC et FINRA. Un CASB contribue à protéger votre entreprise de toute fuite de données, en respectant les réglementations sur les données établies par votre secteur.

3. Sécurité des données

Pour une précision optimale, le système utilise des mécanismes de détection de DLP Cloud très évolués, comme l'empreinte de document. Ces mécanismes sont combinés à une réduction de la surface de détection grâce au contexte (utilisateur, emplacement, activité, etc.). Lorsqu'un contenu sensible est découvert dans le Cloud ou à destination du Cloud, le CASB (Agent de sécurité des accès au Cloud) permet au département informatique de bloquer efficacement les violations présumées sur leurs systèmes locaux en vue d'une analyse plus approfondie.

Des recherches approfondies sur les menaces observées permettent à votre entreprise d'identifier et de neutraliser les activités malveillantes avant qu'elles ne prennent de l'ampleur. Agissant comme un gardien, le CASB simplifie ce processus. Spécialistes des besoins informatiques et des pratiques commerciales, les CASB ont toutes les compétences pour renforcer la sécurité d'une entreprise.

4. Protection contre les menaces

Les entreprises doivent s'assurer que leurs employés n'introduisent ni ne propagent aucun malware ou menace cloud via des vecteurs tels que les services de stockage dans le cloud, ou les clients et services de synchronisation associés. En d'autres termes, les entreprises doivent être en mesure d'analyser et de corriger les menaces sur les réseaux internes et externes, en temps réel, dès qu'un employé tente de partager ou d'importer un fichier infecté. L'entreprise doit également être en capacité de détecter et d'interdire tout accès non autorisé à des données et services dans le cloud, afin d'identifier les comptes compromis.

Un CASB peut protéger une entreprise contre une multitude de menaces cloud et de malwares. Pour votre entreprise, il est essentiel d'éviter les menaces en conjuguant des analyses statiques et dynamiques des malwares afin d'obtenir des informations détaillées. Certaines menaces peuvent provenir des services cloud – ou se propager par eux. Une protection appropriée contre les menaces constitue votre bouclier.


Ressource : Modèle de réponse à appel d'offre CASB
Report: Magic Quadrants 2020 de Gartner dédiés aux SWG et aux CASB


 

Quelles sont les trois meilleures utilisations pour les CASB ?

1. Régir l'utilisation

Bien connus pour être efficaces dans la découverte de comportements non autorisés (Shadow IT), les CASB s'illustrent aussi dans d'autres aspects sécurité de l'entreprise. Un CASB peut régir l'utilisation que votre entreprise fait du cloud au moyen d'une visibilité granulaire et de contrôles détaillés. Plutôt que d'adopter une approche unique en bloquant les services, les CASB vous permettent de régir l'utilisation en fonction de l'identité, du service, de l'activité, de l'application et des données.

Additionally, you can define policies based on service category or risk and choose from actions such as block, alert, bypass, encrypt, quarantine, and coach for policy enforcement. Finally, you can use these instances to alert your IT team for actions taken against any policy in place for internal monitoring.

2. Sécuriser les données

Protect and prevent the loss of sensitive data across all of the cloud services in your environment, not just the ones you sanction. Take advantage of advanced, enterprise DLP to discover and protect sensitive data in sanctioned cloud services and en route to or from any cloud service, sanctioned or unsanctioned, whether users are on-premises or remote, on a mobile device or accessing from a web browser, or entering from a mobile app or sync client. Combat loss of data with encryption, tokenization, or upload prevention.

3. Se protéger conter les menaces

Guard against cloud-based threats such as malware and ransomware. Start with full visibility of all cloud services, even those using SSL-encrypted connections. Use anomaly detection, and threat intelligence sources such as which of your users has compromised accounts. Then, layer in static and dynamic anti-malware detections, plus machine learning to detect ransomware. Finally, arm the rest of your security infrastructure with your findings through out-of-the-box integrations and workflows. Threats will continue to innovate their approach, so your CASB vendor should too.

 

Les dix questions à se poser sur les capacités d'un CASB

Your organization is evaluating cloud access security brokers to safely enable sanctioned and unsanctioned cloud services. This list of questions gives you specific, use case-based examples that will help you differentiate the capabilities between the CASB vendors you may be evaluating.

1. Can I control activities in managed and unmanaged cloud applications instead of having to block services altogether?

A: Rather than take a sledgehammer to the service by blocking it, take a scalpel to an activity such as “share”; Do it at a category level – across any cloud storage service, for example. This lets you allow, not block services while mitigating risk.

2. Can I enforce my sensitive data policies in and en route to cloud services? Can I reduce false positives by only looking at cloud transactions that matter?

A: Rather than find and secure content in just your sanctioned service, do it across both sanctioned and unsanctioned services, and for content that’s at rest and en route. Also, minimize false positives and increase accuracy by reducing the surface area through context. Filter out the cloud transactions you care about by removing users, services, categories, locations, and activities from what you inspect and enforce policies.

3. Can I enforce policies based on Microsoft Active Directory groups or organizational units?

A: Rather than upload or enter user data manually, enforce policies that incorporate groups from your enterprise directory such as Microsoft Active Directory.

4. Can I detect cloud activity anomalies like excessive downloads or shares across any service, or if users are sending renamed files or extensions?

A: Rather than detecting anomalies only in sanctioned services or at a coarse-grained level such as access, detect anomalies based on activities across any service, sanctioned or unsanctioned.

5. Can I monitor and report on activity in regulated services, like finance and accounting ones, for compliance purposes?

A: Rather than keep regulated services on-premises, migrate them to the cloud while also complying with regulations such as Sarbanes-Oxley. Report on access and data modifications within cloud-based systems of record.

6. Can I enforce policies remotely, including on mobile and in sync clients?

A: Rather than exclude on-premises monitoring and control from your cloud security model, enforce your policies wherever your users are and whatever their device.

7. Can I mitigate risk against users with compromised accounts?

A: Identify and protect against users accessing your services with compromised account credentials.

8. Can I find and remediate threats and malware in my cloud services?

A: Identify and protect against threats and malware in or en route to or from any cloud service.

9. Do you enhance the value of my existing investments by enabling me to integrate with on-premises solutions such as DLP, SIEM, malware sandbox, and EDR?

A: Rather than deploy cloud security in a silo, make your existing investments more valuable by adding a cloud access security broker.

10. Do you facilitate the deployment options that meet my requirements, including keeping all of my data on-premises? Are you a future-proof investment?

A: Rather than be forced into a CASB vendor’s deployment model, choose the deployment that best fits your requirements, now and in the future.

 

Le rôle des CASB dans un avenir dominé par le SASE

With the recent and massive shifts over to the cloud, CASB technology is morphing into something bigger than itself. Combined with other technologies such as data loss prevention (DLP) and Next Generation Secure Web Gateways, CASB is molding into just one piece of what is known as Secure Access Service Edge (SASE) architecture.

SASE combines multiple security and networking technologies to provide comprehensive web and cloud security without the hiccups of traditional perimeter security, such as latency and lack of context into data usage.

What this means is that a singular focus on CASB is no longer an option for companies. It’ll require a combined approach of multiple tools in which CASBs are just a small sliver of this security strategy.


White Paper: SASE and the Seven Forces Shaping Security Transformation
Blog: La direction prise par les CASB et les SWG


 

Netskope a LEADER in the 2021 IDC MarketScape for Cloud Security Gateways

Netskope is positioned as a Leader in the IDC MarketScape for Cloud Security Gateways in both “Strategies” and “Capabilities”

 

Netskope’s approach to Cloud Security Gateways (also known as CASB – Cloud Access Security Broker) has been consistently lauded by customers and top technology analysts throughout the world. As a fundamental cloud security service, CASB is critical to SASE architecture and Security Service Edge (SSE) that will dominate modern enterprise security and networking in the years to come.

 

Learn more about our placement and the fundamental benefits of the Netskope CASB solution today.

IDC Marketscape for Cloud Security Gateways - diagram

Netskope lauréat du 2021 Gartner Peer Insights Customers’ Choice

L'équipe Netskope est fière d'annoncer que l'entreprise a été élue 2021 Gartner Peer Insights Customers’ Choice pour sa solution Cloud Access Security Broker. *

 

Netskope soutient ses clients dans leurs efforts de création d'une architecture SASE. Lisez les rapports Magic Quadrant de Gartner sur SWG et CASB pour en savoir plus.

Netskope a reçu le Gartner Peer Insights Customers' Choice  2021 dans la catégorie CASB et SWG

Ressources

Plateforme Netskope Security Cloud

Plateforme Netskope Security Cloud

Netskope Risk Insights

Netskope Risk Insights

Prévention des pertes de données (DLP) de Netskope

Prévention des pertes de données (DLP) de Netskope

Magic Quadrant 2020 de Gartner dédié aux CASB

Magic Quadrant 2020 de Gartner dédié aux CASB

* Gartner Peer Insights ‘Voice of the Customer’: Cloud Access Security Brokers, 11 March 2021. The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark of Gartner, Inc. and/or its affiliates and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

Subscribe for the latest cloud security insights

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.