¿Qué es un CASB (Cloud Access Security Broker)?

Un agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés) es un punto de aplicación de políticas local o basado en la nube situado entre los consumidores de servicios en la nube y los proveedores de servicios en la nube (CSP) para supervisar la actividad relacionada con la nube y aplicar normas de seguridad, cumplimiento y gobernanza relacionadas con el uso de recursos basados en la nube. Un CASB permite a una organización extender a la nube los mismos tipos de controles que aplicaría a la infraestructura local, y puede combinar distintos tipos de aplicación de políticas, como:

• Autenticación de credenciales de usuario para que el acceso sólo se proporcione a servicios en la nube aprobados.
• Protección de datos mediante cifrado, tokenización u otros medios para que la información sensible no quede expuesta en los servicios en la nube o a los CSP.
• Supervisión de la actividad de los servicios en la nube para que el comportamiento de usuarios y entidades pueda registrarse, marcarse y analizarse en busca de patrones de uso anómalos o credenciales comprometidas.
• Prevención de pérdida de datos (DLP) para que la información confidencial no pueda salir de la red de la organización, y detección y corrección de malware para que la información confidencial no pueda entrar en la red de la organización.

El objetivo de un CASB es, por tanto, mejorar la capacidad de una organización para aprovechar los servicios en la nube de forma segura. Un CASB puede considerarse un "nodo de seguridad" a través del cual se controla el acceso a los servicios en la nube de una organización. Como componente de la infraestructura de seguridad de una organización, complementa, y no sustituye, a tecnologías como los cortafuegos empresariales y de aplicaciones web, IDaaS (IDentity as a Service) y las pasarelas web seguras (SWG).

La creciente importancia de los CASB es paralela a la mayor adopción de servicios en la nube y políticas BYOD ("Bring Your Own Device", traiga su propio dispositivo) que permiten el acceso a la red de portátiles, smartphones, tabletas y otros dispositivos no gestionados. El uso de CASB para controlar algunos o todos los servicios en la nube de una organización se está expandiendo y se espera que la adopción por parte de las empresas más grandes se triplique, de 20% en 2018 a 60% en 2022 (Gartner, 2018). En un periodo similar, se prevé que el mercado de la seguridad en la nube en su conjunto aumente a unos 112.000 millones de dólares en 2023 (Forrester, 2017).

Al principio, los CASB se centraban en descubrir servicios desconocidos utilizados por individuos o unidades de negocio fuera de los permitidos por el departamento de TI, pero a medida que las organizaciones se dieron cuenta de que la solución a este problema apuntaba más hacia la habilitación controlada que a la eliminación de estos servicios, los CASB empezaron a ofrecer conjuntos de funciones en cuatro pilares: Seguridad de datos, Cumplimiento, Protección frente a amenazas y Visibilidad.

Visibilidad

Muchas organizaciones ya están acelerando la adopción formal de la computación en nube en una amplia gama de unidades de negocio. Esto puede llevar a que cada vez más empleados gestionen sus propias credenciales de seguridad en recursos IaaS (Infraestructura como servicio), PaaS (Plataforma como servicio), SaaS (Software como servicio) y, ahora, FaaS (Funciones como servicio). En este entorno, los CASB pueden ayudar a colmar las lagunas de seguridad creadas por esta erosión de la gestión centralizada de identidades y accesos (IAM) y mejorar el control sobre el uso de estos servicios, presentando una barrera adecuada y, sin embargo, no impidiendo el desarrollo natural de los negocios por parte de los empleados tanto en las instalaciones como sobre el terreno.

Esta consolidación de los controles de acceso a la nube ayuda cuando se sabe qué servicios en la nube se están utilizando, pero no ayuda con la TI en la sombra. Puede que estos servicios se utilicen para paliar deficiencias reales o percibidas en la pila informática oficial de una organización, o puede que sean un simple reflejo de las preferencias de los usuarios. Más que una actividad que haya que erradicar, su uso puede ser crítico para la productividad, la eficiencia, la satisfacción de los empleados e incluso una fuente de innovación, pero es poco probable que se ajuste a las políticas de seguridad de la organización o a otros requisitos informáticos de soporte, fiabilidad, disponibilidad, etc., y también puede ser una fuente de malware que podría conducir a una filtración de datos catastrófica.

Un CASB puede ayudar a sacar a la luz la TI en la sombra de una organización, no sólo permitiendo el apoyo a las prácticas de trabajo necesarias al tiempo que garantiza que no comprometen la misión, sino también iluminando el verdadero gasto en la nube que permite mejoras en el control de costes.

Seguridad de los datos

Muchas organizaciones ya están migrando los recursos informáticos de sus propios centros de datos a múltiples nubes, incluidas las que ofrecen Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) y la gran variedad de aplicaciones en línea disponibles en el mercado de proveedores de SaaS. Los empleados ya están compartiendo datos confidenciales a través de estos servicios -Office 365, Salesforce, Amazon S3, Workday, etc.-, muchos de los cuales afirman alguna versión de un modelo de responsabilidad compartida que hace recaer la responsabilidad de la seguridad de los datos en el cliente.

Sin embargo, la preocupación por la seguridad de la propia nube es en gran medida infundada. Es innegable que la infraestructura de la mayoría de los CSP, especialmente los que ofrecen servicios que se han generalizado, es muy segura. En su lugar, la preocupación debe centrarse en la correcta configuración de los controles de seguridad ofrecidos por el CSP, así como en la identificación de los controles necesarios que no estén disponibles. Un informe reciente descubrió que, debido exclusivamente a este tipo de configuraciones erróneas o inexistentes, más de 1500 millones de archivos estaban expuestos en servicios en la nube y relacionados con la nube como S3, rsync, SMB, FTP, unidades NAS y servidores web (Digital Shadows, 2018). Se prevé que, hasta 2023, al menos el 99% de los fallos de seguridad en la nube se deban a errores cometidos por los consumidores de servicios en la nube y no por los CSP (Gartner, 2018). Mientras que algunos CASB ofrecen ahora capacidades de gestión de la postura de seguridad en la nube (CSPM) para evaluar y reducir el riesgo de configuración en las ofertas de IaaS, PaaS y SaaS mediante controles adicionales como el cifrado, un CASB puede proporcionar a una organización una garantía adicional de que, incluso si existen errores de configuración, los datos confidenciales no pueden verse comprometidos. Este tipo de seguro resulta especialmente necesario cuando un servicio en nube concreto no ofrece una protección de datos adecuada, o cuando se requiere dicha protección frente al propio CSP.

La mayoría de los CASB evolucionaron a partir de una de las dos posturas iniciales en relación con la seguridad de los datos: un enfoque en la prevención de la pérdida de datos (DLP) y la detección de amenazas, o la provisión de cifrado o tokenización para abordar la privacidad y la residencia de los datos. Aunque estas posiciones de partida se ampliaron posteriormente para dar cobertura a todas estas funciones, se ha producido un alejamiento de la oferta de seguridad sólida centrada en los datos y la gestión de claves. En la actualidad, para la mayoría de los CASB, la seguridad de los datos se traduce principalmente en DLP, que utiliza diversos mecanismos para detectar datos sensibles en servicios en la nube sancionados o cuando se cargan en servicios en la nube -sancionados o en la sombra- y, a continuación, bloquear, eliminar, poner en retención legal o poner en cuarentena los contenidos marcados como posible infracción de las políticas. Esto suele ser compatible tanto con los usuarios locales como con los de servicios remotos en la nube, ya sea desde aplicaciones móviles, navegadores web o clientes de sincronización de escritorio. Pero la DLP sólo puede llegar hasta cierto punto en entornos que facilitan cada vez más el intercambio de datos dentro de los servicios en la nube y entre ellos, antes de que se produzca una brecha. Cualquier organización que utilice la nube para almacenar datos debe ser consciente de que un CASB puede no ser capaz de detectar cómo o con quién se comparten esos datos desde la nube, o incluso quién los ha compartido.

Aunque muchos CASB anuncian la capacidad de cifrar o tokenizar los datos destinados a la nube, estas funciones tienden a estar restringidas a un pequeño número de servicios convencionales, como Salesforce y ServiceNow. Los CASB que empezaron a añadir estas funciones -motivados tanto por satisfacer las calificaciones de los analistas como por alcanzar o mantener la paridad competitiva- descubrieron que la criptografía es un dominio técnico difícil. Para implantar y mantener sistemas criptográficos se requiere una considerable experiencia en la materia, que no suele estar incluida en el ámbito de las competencias básicas de los CASB. Como resultado, algunos CASB han retirado o han dejado de comercializar activamente estas funciones, y algunos ocultan su falta de capacidad o su aplicabilidad restringida mediante afirmaciones generalizadas de "seguridad de los datos" que sólo se refieren a DLP, control de acceso adaptativo (AAC) y similares.

Además, si bien la promulgación de la Ley de Clarificación del Uso Legal de Datos en el Extranjero (CLOUD) en los Estados Unidos y la creciente comprensión del Reglamento General de Protección de Datos (GDPR ) de la UE sugieren firmemente que el cifrado y la gestión de claves se están convirtiendo en capacidades críticas (Gartner, 2019), ha habido algunas dudas en su adopción, ya que el cifrado y la tokenización aplicados fuera de una aplicación SaaS pueden afectar su funcionalidad, así como la de los servicios integrados de terceros. Sin embargo, las continuas innovaciones en criptografía aplicada, disponibles a través de algunos proveedores como OpenText Voltage, han minimizado estos impactos en la funcionalidad de tal forma que ahora merece la pena evaluar los que puedan quedar en relación con el coste y el riesgo de delegar la protección de datos a nivel de campo y archivo al CSP, o de no aplicarla en absoluto.

Conformidad

El advenimiento de leyes de privacidad más estrictas en muchas industrias y regiones también puede estar afectando a las operaciones. Normativas regionales como el GDPR, la Ley de Privacidad del Consumidor de California (CCPA), la Ley General de Protección de Datos de Brasil (LGPD) y el proyecto de ley de protección de datos personales de la India, así como normativas sectoriales como las impuestas por PCI DSS, SOX, HIPAA, HITECH, FINRA y FFIEC están creando un abanico de requisitos de cumplimiento cuya complejidad empuja a muchas organizaciones hacia la postura global más conservadora: garantizar que los datos sensibles de las empresas y sus clientes estén siempre protegidos, dondequiera que vayan, y en el mayor grado posible.

Un CASB con sólidos controles de privacidad de datos en múltiples aplicaciones puede ayudar a conseguirlo; y mediante el conocimiento de las políticas y la funcionalidad de clasificación de datos, los CASB pueden ayudar a garantizar el cumplimiento de las leyes de residencia de datos y a comparar las configuraciones de seguridad con los requisitos normativos en constante actualización.

Detección y prevención de amenazas

Un CASB puede defender a la organización contra el arsenal de programas maliciosos en constante expansión, incluida la introducción y propagación a través de servicios de almacenamiento en la nube y sus clientes y aplicaciones de sincronización asociados. Un CASB puede utilizar fuentes avanzadas de inteligencia sobre amenazas para escanear y remediar amenazas en tiempo real en recursos internos y externos; identificar cuentas de usuario comprometidas mediante la detección y prevención de accesos no autorizados a servicios y datos en la nube; y combinar análisis estáticos y dinámicos con capacidades de aprendizaje automático y UEBA (User Entity Behavior Analytics) para identificar actividades anómalas, ransomware, exfiltraciones de datos, etc.

¿Cómo funciona un CASB?

Los CASB pueden desplegarse como proxies y/o como brokers de API. Dado que ciertas características de los CASB dependen del modelo de despliegue, los CASB "multimodo" -aquellos que admiten los modos proxy y API- ofrecen una gama más amplia de opciones para controlar los servicios en nube.

Los CASB desplegados en modo proxy suelen centrarse en la seguridad y pueden configurarse como proxies inversos o directos en la ruta de acceso a los datos, entre el consumidor de servicios en nube y el CSP. Los CASB de proxy inverso no requieren agentes instalados en los puntos finales, por lo que pueden funcionar mejor para dispositivos no gestionados (p. ej., BYOD) al evitar la necesidad de cambios de configuración, instalaciones de certificados, etc. Sin embargo, no controlan el uso de la nube no autorizada tan bien como lo hacen los CASB de proxy de reenvío, a través de los cuales se dirige todo el tráfico de los puntos finales gestionados, incluido el tráfico a servicios en la nube no autorizados: esto significa que algunos dispositivos no gestionados pueden colarse en la red. Por ello, los CASB de proxy directo suelen requerir la instalación de agentes o clientes VPN en los terminales. Cuando los agentes y clientes VPN están mal configurados o desconectados por error, es posible que el tráfico sensible no se reenvíe al CASB, eludiendo la inspección.

Los CASB desplegados en modo API se centran en la administración de aplicaciones SaaS (y cada vez más IaaS y PaaS) a través de API proporcionadas por esos servicios, incluida la inspección de datos en reposo, telemetría de registros, control de políticas y otras funciones de gestión. Funcionan bien con dispositivos no gestionados, pero como sólo los principales servicios en la nube suelen ofrecer compatibilidad con API -y lo hacen en distintos grados-, es improbable que los CASB basados únicamente en API cubran todas las funciones de seguridad necesarias. Aunque es posible que los proveedores de SaaS y otros CSP mejoren sus API para cerrar esta brecha, mientras tanto los CASB que sólo utilizan API no ofrecen capacidades lo suficientemente robustas como para cumplir los requisitos de escalabilidad y disponibilidad. Además, cuando los CSP estrangulan las respuestas a las solicitudes de API debido al creciente volumen de datos intercambiados entre usuarios y servicios en nube, los CASB en modo API experimentan degradaciones de rendimiento inmanejables. Por tanto, el modo proxy sigue siendo una capacidad crítica.

Los CASB pueden funcionar en un centro de datos corporativo, en un despliegue híbrido que incluya tanto el centro de datos como la nube, o exclusivamente en la nube. Las organizaciones centradas en la protección de datos, o que están sujetas a normativas de privacidad o consideraciones de soberanía de datos, tienden a requerir soluciones locales para mantener el control total sobre la infraestructura de seguridad. Además, la delegación de responsabilidad y el requisito de confianza de terceros que imponen los CASB basados únicamente en la nube a través del modelo "Bring Your Own Key" (BYOK) pueden contravenir las políticas internas o externas, y esta posición problemática se extiende naturalmente a los servicios de seguridad ofrecidos por los propios CSP, que también pueden exigir la inclusión en listas blancas de las direcciones IP de los CASB.

¿Es Voltage Secure Data Sentry un CASB?

Voltage SecureData Sentry es un corredor de seguridad especializado en la protección de datos, no solo para servicios en la nube, sino también para aplicaciones locales. Por lo tanto, no es un CASB tradicional en el sentido de que no pretende ofrecer otras funcionalidades a través de los cuatro pilares. En su lugar, Sentry coexiste con CASB que se especializan en la provisión de esas funciones complementarias, al tiempo que realiza el trabajo criptográfico pesado para añadir mecanismos de protección sólidos centrados en los datos que pueden aplicarse a través de SaaS y otros servicios en la nube, así como a aplicaciones comerciales y de desarrollo propio en redes internas.

Voltage SecureData es innovador y está basado en estándares, y ha sido sometido a verificaciones independientes de la solidez de la seguridad por parte de organismos criptográficos independientes reconocidos internacionalmente. Muchas de las principales organizaciones mundiales de los sectores público y privado, y de múltiples sectores, confían en ella para proteger los datos más confidenciales del mundo.

Format-Preserving Encryption (FPE), que garantiza que la protección se aplica a nivel de campo de forma que no rompa los esquemas de bases de datos existentes ni las limitaciones de tipo o tamaño de campo de SaaS, se combina con un sistema de gestión de claves sin estado que evita cargas adicionales a los administradores de seguridad. La tokenización segura sin estado (SST) garantiza la protección de los campos numéricos que contienen números de tarjetas de crédito o SSN sin la sobrecarga de gestión o rendimiento de una base de datos de tokens, al tiempo que permite que determinadas partes del campo permanezcan ocultas, como los seis primeros o los cuatro últimos dígitos, para facilitar el enrutamiento o la verificación del cliente. Format-Preserving Hash (FPH) garantiza la integridad referencial de los datos para el análisis y otros casos de uso, al tiempo que cumple con normativas como el derecho de supresión del GDPR. Además, gracias a otras innovaciones, como los índices locales seguros compatibles con términos de búsqueda parciales y comodines, y el formato seguro de las direcciones de correo electrónico para la retransmisión SMTP, Sentry conserva la funcionalidad de las aplicaciones que se ve afectada por las soluciones de la competencia.

Las organizaciones pueden implantar Sentry en sus instalaciones o en la nube. Sentry se comunica con infraestructuras de red aptas para ICAP (Internet Content Adaptation Protocol), como proxies HTTP y equilibradores de carga, para aplicar políticas de seguridad a los datos que viajan hacia y desde la nube, e intercepta las llamadas a las API JDBC (Java Database Connectivity) y ODBC (Open Database Connectivity) para aplicar políticas de seguridad a los datos que viajan hacia y desde la base de datos. Dondequiera que se implante, la empresa conserva el control total de la infraestructura, sin necesidad de compartir claves de cifrado o almacenes de tokens con terceros, y el modo de inspección de Sentry garantiza que las políticas de seguridad puedan dirigirse a los campos de datos y archivos adjuntos específicos que contengan información sensible.