O que é um agente de segurança de acesso à nuvem (CASB)?

Com a maior adoção da nuvem, os CASBs tornaram-se um elemento essencial da segurança corporativa devido as suas várias funções de segurança cibernética, controle de acesso e proteção de dados. Eles devolvem o controle sobre os dados corporativos, estejam eles em trânsito ou em repouso, nas plataformas e aplicativos em nuvem. Os CASBs são essenciais porque:

• O crescimento das plataformas e aplicativos na nuvem (por exemplo: Microsoft 365, Salesforce) tornou as ferramentas tradicionais de segurança de rede, como firewalls em data centers, muito menos eficazes.
• As equipes de TI não têm mais o mesmo nível de controle. Praticamente qualquer pessoa pode escolher e utilizar um novo aplicativo na nuvem, e a TI não consegue gerenciar os controles granulares de acesso dos usuários nessa escala.
• Eles podem aplicar políticas para fornecer controle de TI paralela, prevenção contra perda de dados (DLP), gerenciamento da postura de segurança de dados (DSPM) e proteção contra ameaças avançadas.

O papel dos CASBs para as empresas

Ao oferecer visibilidade sobre as atividades, aplicação de políticas de segurança, detecção de ameaças e proteção de dados, os CASBs permitem que as empresas adotem a nuvem com confiança, mantendo o controle e garantindo a conformidade regulatória. Vejamos em detalhes alguns de seus benefícios concretos.

Uma solução de CASB eficaz oferece benefícios importantes como parte de uma estratégia holística de segurança em nuvem:

Visibilidade da TI invisível e dos riscos

Devido ao aumento do trabalho remoto e do uso de dispositivos pessoais, as organizações precisam de visibilidade clara sobre os usuários, dispositivos e aplicativos SaaS que acessam seus ambientes na nuvem. Com isso, o risco de acessos não autorizados dispara. Um CASB descobre o uso de aplicativos na nuvem da sua organização, gera relatórios sobre gastos na nuvem e avalia riscos para ajudar você a criar e manter políticas de acesso apropriadas.

Gerenciamento de uso da nuvem

O uso da nuvem pode estar sujeito a uma série de exigências de conformidade, especialmente em setores altamente regulamentados, como serviços financeiros, saúde e setor público. Um CASB pode identificar os maiores fatores de risco no seu setor e definir políticas rigorosas de proteção de dados para ajudar a atingir e manter a conformidade em toda a empresa.

Segurança de dados e DLP

O volume de dados no mundo duplica de tamanho a cada dois anos, e o risco dos dados aumenta na mesma proporção. Combinar um CASB com uma solução de DLP em nuvem permite visualizar e remediar riscos potenciais. Com visibilidade sobre o conteúdo sigiloso que trafega para, de ou entre ambientes em nuvem, você tem maiores chances de identificar incidentes, aplicar políticas e manter os dados seguros.

Prevenção contra ameaças

No ecossistema de TI atual, os recursos em nuvem são geralmente os mais vulneráveis. Com análise de comportamento e inteligência sobre ameaças, você pode identificar e corrigir rapidamente atividades suspeitas, manter aplicativos e dados em nuvem seguros e reforçar a postura geral de segurança em nuvem da sua organização.

No nível mais alto, implementar um CASB é uma questão de avaliar suas necessidades, combiná-las com o produto certo, configurá-lo da forma que melhor se adapta aos seus sistemas e realizar monitoramento e auditorias contínuas. Isso pode ser dividido em cinco etapas:

1. Avalie seu ambiente e faça um plano. Entenda os serviços e aplicativos em nuvem em uso, os riscos associados, sua política de segurança e necessidades de conformidade.
2. Selecione a solução de CASB mais adequada às suas necessidades. Tão importante quanto encontrar o produto certo é encontrar o fornecedor certo: escolha um parceiro em quem você sabe que pode confiar.
3. Integre o CASB com seus serviços em nuvem e diretórios de usuários. Use SSO para oferecer acesso seguro aos usuários e autenticação contínua.
4. Configure políticas de acesso, compartilhamento de dados, DLP e segurança. Dependendo do seu setor, talvez seja necessário cuidar especialmente de suas políticas relacionadas à criptografia.
5. Ofereça monitoramento em tempo real e detecção de ameaças. Você também precisará revisar e atualizar frequentemente suas políticas à medida que as necessidades da sua organização evoluem.

As soluções de CASB podem ser oferecidas na forma de hardware ou software local, mas elas funcionam melhor como um serviço em nuvem, proporcionando maior capacidade de dimensionamento, menores custos e fácil gerenciamento. Independentemente do modelo de implantação, os CASBs podem ser configurados para usar proxy (proxy direto ou proxy reverso), APIs ou ambos; um CASB multimodo.

Proxy

Como eles precisam operar na rota dos dados, portanto, o CASB ideal é baseado em uma arquitetura de proxy em nuvem. Em geral, os proxies diretos são mais usados com CASB, garantindo a privacidade dos usuários e a segurança no lado do cliente.

Um proxy de encaminhamento intercepta as solicitações de serviços na nuvem a caminho do seu destino. Então, com base nas suas políticas, o CASB aplica mapeamento de credenciais e logon único (SSO), perfil de postura do dispositivo, registro em log, alertas, detecção de malware, criptografia e tokenização.

API

Embora um proxy inline intercepte dados em trânsito, você precisa de segurança fora de banda para dados em repouso na nuvem, que os fornecedores de CASB oferecem por meio de integrações com as APIs dos provedores de serviços em nuvem.

O que é um CASB multimodo?

No modo proxy, os CASBs oferecem a aplicação integrada de políticas, impedindo vazamentos e malware em tempo real. Eles também podem ser integrados a APIs para verificar os conteúdos de aplicativos SaaS, permitindo que encontrem padrões de dados sigilosos e ameaças como ransomware, e respondam a eles. Mais recentemente, as integrações de API têm sido usadas para DSPM, por meio das quais os CASBs corrigem configurações incorretas em aplicativos.

Os CASBs que oferecem tanto modos proxy e modos baseados em API são chamados de CASBs multimodo. Além de proteger SaaS, eles podem proteger IaaS, como o Microsoft Azure e S3 da AWS. E, em vez de implantar um CASB como outro produto específico, você pode implantá-lo como parte de uma plataforma de SSE para garantir segurança consistente, desempenho aprimorado e administração consolidada.

A Gartner definiu o “CASB” pela primeira vez em 2012, quando as organizações usaram a tecnologia principalmente para controlar a TI invisível.

Como seus recursos começaram a se sobrepor mais aos dos Secure Web Gateways (SWG), em 2019, a Gartner definiu o Secure Access Service Edge (SASE), um framework de serviços disponibilizados na nuvem que fornece "recursos abrangentes de WAN com funções de segurança de rede abrangentes (como SWG, CASB, FWaaS e ZTNA) para oferecer suporte às necessidades dinâmicas de acesso seguro das empresas digitais".

Em 2021, a Gartner identificou a fatia da SASE centrada em segurança como a Security Service Edge (SSE), refletindo os crescentes esforços em todo o mundo para simplificar conjuntos de segurança complexos e desconexos.

CASB e SASE

O CASB e a SASE complementam-se, com o CASB protegendo as interações e os fluxos de dados na nuvem, enquanto a SASE integra de forma mais ampla a segurança na nuvem, a rede e o controle de acesso. A SASE inclui o CASB por definição, permitindo que as organizações apliquem políticas e protejam dados como parte de sua arquitetura de rede.

1. Descobrir e controlar a TI invisível

Quando os seus usuários armazenam e compartilham arquivos e dados em aplicativos na nuvem não autorizados, a segurança de dados é prejudicada. Para neutralizar esse efeito, é preciso entender e proteger a utilização da nuvem na organização.

O CASB da Zscaler descobre a TI invisível automaticamente, revelando os aplicativos perigosos acessados pelos usuários. As políticas automatizadas e de fácil configuração aplicam várias ações (por exemplo: permitir ou bloquear, evitar o upload, restringir o uso) sobre aplicativos individuais e categorias de aplicativos.

2. Proteger os usuários de SaaS não corporativos

Os usuários podem usar instâncias sancionadas e não sancionadas de aplicativos como o Google Drive. Responder autorizando ou bloqueando por completo o aplicativo pode encorajar compartilhamentos inapropriados ou prejudicar a produtividade, respectivamente.

O CASB da Zscaler pode distinguir entre usuários SaaS sancionados ou instâncias não sancionadas, aplicando as políticas apropriadas a cada caso. Os controles de utilização de SaaS pré-configurados oferecem correções automatizadas e em tempo real.

3. Controlar o compartilhamento perigoso de arquivos

Os aplicativos em nuvem oferecem compartilhamento e colaboração sem precedentes. Como resultado, suas equipes de segurança precisam saber quem está compartilhando o que em aplicativos autorizados, para que você não corra o risco de permitir que os seus dados caiam em mãos erradas.

O gerenciamento da colaboração é um recurso essencial de qualquer CASB eficaz. O CASB da Zscaler rastreia rápida e repetidamente os arquivos nos seus usuários SaaS para identificar dados sigilosos, verificar com quais usuários os arquivos são compartilhados e responder automaticamente aos compartilhamentos de risco conforme necessário.

4. Corrigir os erros de configuração de SaaS

Ao implantar e gerenciar um aplicativo na nuvem, uma configuração precisa é fundamental para garantir que o aplicativo funcione adequadamente e de forma segura. Os erros de configuração prejudicam a sua higiene de segurança e podem facilmente expor dados sigilosos.

O DSPM da Zscaler se integra às suas instâncias de SaaS via API para verificar erros de configuração que possam comprometer a conformidade regulatória.

5. Evitar o vazamento de dados

Além de erros de configuração em recursos na nuvem que podem permitir violações e vazamentos de dados, você precisa identificar e controlar padrões de dados sigilosos na nuvem. Uma grande quantidade desses dados é regulamentada por estruturas como HIPAA, PCI DSS, GDPR e muitas outras.

A plataforma de segurança nativa da nuvem da Zscaler oferece proteção de dados unificada com recursos de DLP e CASB em nuvem. Isso garante que os aplicativos em nuvem sejam corretamente configurados para impedir a perda de dados e a não conformidade, apoiados por técnicas avançadas de classificação de dados para identificar e proteger dados sigilosos onde quer que estejam.

6. Evitar que ataques se concretizem

Quando um arquivo infectado ultrapassa a segurança da sua organização e entra em um dos seus aplicativos na nuvem autorizados, ele pode rapidamente se espalhar para aplicativos conectados e outros dispositivos de usuários. É por isso que você precisa ter uma maneira de se defender contra as ameaças em tempo real, tanto no upload de informações quanto para dados em repouso.

O CASB da Zscaler impede os avanços do malware com recursos de proteção avançada contra ameaças, incluindo:

• Proxy em tempo real para evitar que arquivos maliciosos sejam carregados para a nuvem
• Verificação fora de banda para identificar arquivos em repouso e corrigir ameaças
• Sandbox em nuvem para identificar até mesmo malware de dia zero
• Isolamento do navegador em nuvem sem agentes para proteger o acesso de terminais não gerenciados

A Zscaler fornece o CASB multimodo como serviço junto do SWG, ZTNA e muito mais como parte da nossa abrangente plataforma Zscaler Zero Trust Exchange™, para ajudar você a eliminar produtos específicos, reduzir a complexidade da TI e inspecionar o tráfego em uma única passagem. Os seus administradores configuram apenas uma política automatizada para obter segurança consistente em todos os seus canais de dados.

Segurança integrada para dados em trânsito na nuvem

O proxy de encaminhamento de alto desempenho e a inspeção de SSL oferecem proteção crítica em tempo real:

• A descoberta de TI invisível e o controle de aplicativos na nuvem identificam e protegem os aplicativos não autorizados sem a necessidade de registros de dispositivos de rede
• As medidas de DLP evitam o upload de dados sigilosos para aplicativos autorizados e não autorizados
• A proteção avançada contra ameaças impede malwares conhecidos e desconhecidos em tempo real com o sandbox na nuvem baseado no aprendizado de máquina
• O isolamento do navegador transmite as sessões como pixels para dispositivos pessoais, evitando vazamento de dados sem a necessidade de um proxy reverso

Segurança fora de banda para os dados em repouso

A verificação baseada em API de aplicativos SaaS, plataformas na nuvem e seus conteúdos automaticamente aumenta a sua segurança:

• Dicionários DLP predefinidos e personalizáveis identificam os dados sigilosos em SaaS e nuvens públicas
• A funcionalidade de gerenciamento de colaboração rastreia os aplicativos em busca de compartilhamentos perigosos de arquivos e os revoga de acordo com as políticas
• O sandbox na nuvem verifica os dados em repouso para identificar e responder a malwares e ransomwares de dia zero
• O DSPM descobre e classifica automaticamente ativos de dados de risco em SaaS, PaaS, nuvem pública, infraestrutura local e LLMs