Ao migrar para a nuvem, as organizações precisam garantir que os aplicativos em nuvem possam ser acessados apenas por usuários autorizados. À medida que o perímetro de sua rede muda, você precisa implementar políticas de segurança que se adaptem ao cenário de ameaças em constante evolução. Este artigo explicará o que é um agente de segurança de acesso à nuvem (CASB, do inglês Cloud Access Security Broker), os benefícios de implementar um e alguns casos de uso de segurança para cada modo de implantação.

 O que é um CASB? 

Um CASB é uma solução de segurança que fica entre a infraestrutura local ou remota de uma organização e seus aplicativos em nuvem, atuando como um intermediário para monitorar o tráfego entre eles. Essas soluções são implantadas usando proxies ou APIs para identificar se uma conexão com um serviço de nuvem está autorizada ou não. Eles fornecem uma camada adicional de segurança, permitindo o controle sobre as informações compartilhadas entre aplicativos de nuvem públicos e corporativos.

Por que as organizações devem usar CASBs? 

Com as organizações migrando para a nuvem e permitindo que os funcionários trabalhem de qualquer lugar, o perímetro da rede não existe mais. Portanto, as equipes de segurança precisam adotar novas formas de pensar em segurança cibernética para proteger sua infraestrutura em nuvem. Os CASBs podem preencher as falhas de segurança na nuvem, permitindo que os profissionais de segurança planejem estratégias, supervisionem ameaças e obtenham visibilidade completa do uso sancionado e não autorizado da nuvem.

 Benefícios de um CASB em uma organização 

  • Protege os dados contra acesso não autorizado e ameaças cibernéticas

  • Monitora o comportamento do usuário e responde imediatamente a quaisquer ameaças

  • Detecta a presença e o uso de dispositivos não gerenciados e aplicativos não autorizados na rede

  • Permite que as organizações monitorem a atividade do usuário e relatem se alguma atividade anômala for detectada
  • Gera relatórios para fins de auditoria de conformidade

Modos de implantação e casos de uso do CASB 

As organizações que desejam implementar CASBs em suas redes devem saber que existem dois modos de implantação: baseado em proxy e baseado em API. Cada modo de implantação tem suas vantagens e desvantagens – portanto, as empresas precisam entender os casos de uso importantes associados a cada um e tomar decisões com base em suas necessidades específicas.

 CASBs baseados em proxy 

A primeira geração de CASBs usa proxies para monitorar o acesso entre usuários conhecidos e aplicativos em nuvem. O tráfego é redirecionado por meio de um proxy, permitindo que as equipes de TI adicionem controles de segurança de criptografia e monitorem tentativas de acesso, logins e uso.CASBs baseados em proxy atuam como intermediários entre os dispositivos do usuário e os aplicativos em nuvem que os dispositivos estão tentando acessar. CASBs baseados em proxy são divididos em modos de proxy direto e reverso.

Casos de uso de proxy direto

  • Implementando controles granulares de acesso e atividade

    • O CASB proxy direto pode ser integrado ao firewall de rede para monitorar e aplicar controles no nível de atividade do usuário. Você pode, por exemplo, definir uma política CASB para impedir que os usuários acessem um aplicativo específico ou carreguem documentos em determinados sites.

  • Detectando shadow TI  em sua rede

    • Cada solicitação de acesso é enviada através do CASB proxy direto, fornecendo informações em tempo real sobre o que está acontecendo com os dados em trânsito. Portanto, os proxies diretos podem detectar se um usuário está tentando acessar um aplicativo sancionado ou não autorizado usando os logs de tráfego da Web. Saiba mais sobre Shadow TI.

Casos de uso de proxy reverso

  • Aplicação de controles de acesso com base no comportamento do usuário

    • Os CASBs podem monitorar detalhes do comportamento do usuário e da entidade, como função, local e hora, para determinar os níveis de acesso e alertar os administradores se algo malicioso for detectado. O CASB proxy reverso pode ser integrado a aplicativos de gerenciamento de identidade para permitir ou restringir o acesso a aplicativos, arquivos e funções específicos.

  •  Evitando a perda de dados de aplicativos específicos

    • Agentes internos mal-intencionados ou invasores externos às vezes podem acessar dados confidenciais carregados em aplicativos internos. Você pode integrar um CASB a uma solução DLP para aplicar políticas de acesso granular e evitar a exfiltração de dados.

  • Criptografando dados corporativos que residem na nuvem

    • Os CASBs podem ser integrados a serviços de gerenciamento de chaves para criptografar certos tipos de dados transferidos para serviços em nuvem, como endereços de e-mail e números de cartão de crédito.

  • Controlando o acesso aos dados baixados

    • Os CASBs podem ser usados para impedir a exportação não autorizada de dados críticos de aplicativos em nuvem para dispositivos não gerenciados. Isso é feito integrando CASBs com agentes de endpoint e soluções de gerenciamento de identidade para detectar se uma solicitação de download é de um dispositivo gerenciado ou não gerenciado e para restringir o acesso aos dados.
  • Auditoria da atividade do usuário em aplicativos em nuvem
    • Colocado mais próximo dos aplicativos em nuvem, o CASB proxy reverso se integra a provedores de identidade para rastrear a atividade de usuários e administradores dentro dos serviços de nuvem. Isso permite que as equipes de segurança investiguem os logs gerados pela ferramenta CASB e visualizem os incidentes de segurança originados dos serviços em nuvem.

 CASBs baseados em API 

Como alternativa, os CASBs podem usar APIs para acessar e monitorar dados armazenados na nuvem. Como eles usam as APIs integradas do provedor de nuvem, eles permitem que os profissionais de TI personalizem regras de acesso, automatizem respostas a incidentes e obtenham insights mais profundos sobre as atividades realizadas na nuvem.

Casos de uso da API

  • Detectando malware em serviços em nuvem

    • CASBs baseados em API fornecem visibilidade granular em arquivos armazenados em serviços em nuvem. Isso permite que os administradores de TI detectem e removam malwares que residem profundamente. Eles também podem se integrar a soluções de detecção de malware para fortalecer o diagnóstico de malware.

  • Aplicação de políticas de transferência de dados em vários serviços de nuvem

    • Às vezes, os funcionários podem compartilhar dados corporativos confidenciais com seu endereço de e-mail pessoal ou usar dois ou mais aplicativos na nuvem para facilitar o trabalho. Isso vem com seu próprio conjunto de perigos. CASBs baseados em API podem detectar todos os arquivos compartilhados com domínios não aprovados ou qualquer pessoa na Internet e, em seguida, revogar permissões e links compartilhados.

  • Auditoria do provisionamento de acesso do usuário

    • CASBs baseados em API podem detectar se as contas que receberam permissões ainda estão ativas ou inativas. Eles também podem detectar o tipo de permissão concedida, como administrador ou visualizador.

  • Estendendo políticas de DLP locais para cobrir dados na nuvem
    • CASBs baseados em API podem ser integrados a soluções de DLP locais para auditar arquivos armazenados em aplicativos de nuvem e executar as ações necessárias, como excluir ou criptografar arquivos que foram armazenados em políticas de DLP.

 Afinal, você precisa de uma ferramenta extra em seu arsenal de segurança? 

Hoje, o cenário de segurança cibernética é tão complexo quanto possível, com diversas categorias de ferramentas que resolvem diferentes problemas de segurança. Uma ferramenta DLP pode se tornar uma ferramenta CASB se puder criptografar dados na nuvem? Se uma solução SIEM pode coletar logs de endpoint, por que você precisa de uma solução EDR? As perguntas são infinitas. Mas é seguro dizer que todas essas soluções de segurança fornecem melhor visibilidade e controle sobre os incidentes que ocorrem em sua rede quando se integram efetivamente entre si.

Então, onde um CASB se encaixa em sua postura de segurança?

À medida que as organizações continuam migrando suas operações para a nuvem, a visibilidade dos dados que residem em seus aplicativos na nuvem tende a diminuir. CASBs estão aqui para preencher as lacunas. Os CASBs podem entender o contexto dos dados em trânsito ou em repouso, que um log coletado de uma solução SIEM ou firewall não possui. Eles também permitem que as políticas de segurança existentes se estendam para a nuvem, integrando e coletando dados de log de várias ferramentas locais:

  • Ferramentas DLP

  • Firewalls

  • Gateways seguros de web

  • Ferramentas de gerenciamento de identidade

  • Soluções SIEM

Embora os CASBs forneçam visibilidade do uso da nuvem externa, é importante observar que eles são ferramentas pontuais. Isso significa que o escopo de cobertura é limitado e focado na arquitetura em nuvem. Consequentemente, as organizações nunca devem tratar os CASBs como a primeira linha de defesa para a nuvem. Você pode obter mais valor de suas ferramentas de segurança tornando-se mais ciente da nuvem com a análise de comportamento e uso da nuvem do CASB.

Você está procurando uma solução SIEM que satisfaça todos os seus requisitos de segurança e seja capaz de proteger sua rede? Confira agora o teste gratuito de 30 dias do Log360.

Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de  Vijayaraghavan M.