Qu'est-ce qu'un CASB (Cloud Access Security Broker) ?

Un courtier en sécurité d'accès au nuage (CASB, prononcé KAZ-bee) est un point d'application des politiques sur site ou dans le nuage, placé entre les consommateurs de services dans le nuage et les fournisseurs de services dans le nuage (CSP) pour surveiller l'activité liée au nuage et appliquer les règles de sécurité, de conformité et de gouvernance liées à l'utilisation des ressources basées dans le nuage. Un CASB permet à une organisation d'étendre à l'informatique dématérialisée les mêmes types de contrôles que ceux qu'elle appliquerait à l'infrastructure sur site, et peut combiner différents types d'application de politiques, comme par exemple :

• Authentification des informations d'identification de l'utilisateur afin que l'accès ne soit accordé qu'aux services en nuage approuvés.
• Protection des données par le chiffrement, la symbolisation ou d'autres moyens afin que les informations sensibles ne soient pas exposées dans les services en nuage ou aux FSC.
• Surveillance de l'activité des services en nuage afin que le comportement des utilisateurs et des entités puisse être enregistré, signalé et analysé pour détecter des schémas d'utilisation anormaux ou des informations d'identification compromises.
• Prévention de la perte de données (DLP) afin que les informations sensibles ne puissent pas quitter le réseau de l'organisation, et détection des logiciels malveillants et remédiation afin que les informations sensibles ne puissent pas pénétrer dans le réseau de l'organisation.

L'objectif d'un CASB est donc d'améliorer la capacité d'une organisation à tirer parti des services en nuage en toute sécurité. Un CASB peut être considéré comme un "nœud de sécurité" par lequel l'accès aux services en nuage d'une organisation est contrôlé. En tant que composant de l'infrastructure de sécurité d'une organisation, il complète, plutôt qu'il ne remplace, des technologies telles que les pare-feu d'entreprise et d'application web, l'IDaaS (IDentity as a Service) et les passerelles web sécurisées (SWG).

L'importance croissante des CASB va de pair avec l'adoption plus large des services en nuage et des politiques BYOD ("Bring Your Own Device") qui autorisent les ordinateurs portables personnels, les smartphones, les tablettes et d'autres appareils non gérés à pénétrer dans le réseau. L'utilisation des CASB pour contrôler tout ou partie des services cloud d'une organisation se développe et l'on s'attend à ce que l'adoption par les grandes entreprises triple, passant de 20% en 2018 à 60% d'ici à 2022 (Gartner, 2018). Sur une période similaire, le marché de la sécurité en nuage dans son ensemble devrait atteindre environ 112 milliards de dollars d'ici 2023 (Forrester, 2017).

À l'origine, les CASB se concentraient sur la découverte de services inconnus utilisés par des individus ou des unités commerciales en dehors de ceux autorisés par le département informatique - mais lorsque les organisations ont réalisé que la solution à ce problème se dirigeait davantage vers l'activation contrôlée que vers la suppression de ces services, les CASB ont commencé à offrir des ensembles de fonctionnalités à travers quatre piliers : Sécurité des données, conformité, protection contre les menaces et visibilité.

Visibilité

De nombreuses organisations accélèrent déjà l'adoption formelle de l'informatique en nuage dans un large éventail d'unités commerciales. Cela peut conduire à un nombre croissant d'employés à gérer leurs propres identifiants de sécurité sur les ressources IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service), et maintenant FaaS (Functions as a Service). Dans cet environnement, les CASB peuvent contribuer à combler les lacunes de sécurité créées par l'érosion de la gestion centralisée des identités et des accès (IAM) et à améliorer le contrôle de l'utilisation de ces services, en présentant une barrière appropriée sans pour autant entraver la conduite naturelle des affaires par les employés sur site et sur le terrain.

Cette consolidation des contrôles d'accès au nuage est utile lorsque l'on sait quels services du nuage sont utilisés, mais elle n'est d'aucune utilité dans le cas de l'informatique parallèle. Ces services peuvent être utilisés pour contourner des déficiences perçues ou réelles dans la pile informatique officielle d'une organisation, ou ils peuvent être le simple reflet des préférences de l'utilisateur. Plutôt qu'une activité à éliminer, leur utilisation peut en fait être essentielle pour la productivité, l'efficacité, la satisfaction des employés et même comme source d'innovation, mais il est peu probable qu'elle soit conforme aux politiques de sécurité de l'organisation ou à d'autres exigences informatiques en matière de soutien, de fiabilité, de disponibilité,etc.

Un CASB peut aider à mettre en lumière l'informatique parallèle d'une organisation, en permettant non seulement de soutenir les pratiques de travail nécessaires tout en veillant à ce qu'elles ne compromettent pas la mission, mais aussi en mettant en lumière les véritables dépenses liées à l'informatique dématérialisée, ce qui permet d'améliorer le contrôle des coûts.

Sécurité des données

De nombreuses organisations ont déjà migré leurs ressources informatiques de leurs propres centres de données vers de multiples nuages, y compris ceux offerts par Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) et l'ensemble des applications en ligne disponibles sur le marché des fournisseurs de SaaS. Les employés partagent déjà des données sensibles par l'intermédiaire de ces services - Office 365, Salesforce, Amazon S3, Workday, et autres - dont beaucoup appliquent une version ou une autre d'un modèle de responsabilité partagée qui fait peser sur le client la responsabilité de la sécurité des données.

Les inquiétudes concernant la sécurité de l'informatique dématérialisée elle-même sont toutefois largement déplacées. L'infrastructure de la plupart des FSC, en particulier ceux qui offrent des services devenus courants, est indéniablement très sûre. Les préoccupations devraient plutôt porter sur la configuration correcte des contrôles de sécurité offerts par le CSP, ainsi que sur l'identification des contrôles requis qui ne sont pas disponibles. Un rapport récent a découvert que, uniquement en raison de ces configurations erronées ou manquantes, plus de 1,5 milliard de fichiers ont été exposés dans des services en nuage et liés au nuage tels que S3, rsync, SMB, FTP, disques NAS et serveurs web (Digital Shadows, 2018). On prévoit que, jusqu'en 2023, au moins 99% des défaillances de la sécurité du cloud seront dues à des erreurs commises par les consommateurs de services cloud plutôt que par les CSP (Gartner, 2018). Alors que certains CASB proposent désormais des fonctionnalités de gestion de la posture de sécurité dans le nuage (CSPM) pour évaluer et réduire le risque de configuration dans les offres IaaS, PaaS et SaaS grâce à des contrôles supplémentaires tels que le cryptage, un CASB peut fournir à une organisation une assurance supplémentaire que, même en cas de mauvaise configuration, les données sensibles ne peuvent pas être compromises. Une telle assurance s'avère particulièrement nécessaire lorsqu'une protection adéquate des données n'est pas offerte par un service en nuage particulier, ou lorsqu'une telle protection est requise à l'encontre du fournisseur de services en nuage lui-même.

La plupart des CASB ont évolué à partir de l'une des deux positions initiales en matière de sécurité des données : l'accent mis sur la prévention des pertes de données (DLP) et la détection des menaces, ou la fourniture d'un cryptage ou d'une tokénisation pour traiter la question de la confidentialité et de la résidence des données. Bien que ces positions de départ se soient par la suite élargies pour couvrir l'ensemble de ces caractéristiques, on a assisté à un abandon de la sécurité centrée sur les données et de la gestion des clés. Pour la plupart des CASB, la sécurité des données est aujourd'hui principalement synonyme de DLP, qui utilise une variété de mécanismes pour détecter les données sensibles au sein des services en nuage sanctionnés ou lorsqu'elles sont téléchargées vers des services en nuage - sanctionnés ou non - puis pour bloquer, supprimer, mettre en attente légale ou mettre en quarantaine le contenu signalé comme une violation potentielle de la politique. Cela permet généralement de prendre en charge les utilisateurs de services en nuage sur site et à distance, que ce soit à partir d'applications mobiles, de navigateurs web ou de clients de synchronisation de bureau. Mais la DLP ne peut pas aller plus loin dans des environnements qui facilitent de plus en plus le partage des données au sein des services en nuage et entre eux avant qu'une violation ne se produise. Toute organisation qui utilise le nuage pour stocker des données doit savoir qu'un CASB peut ne pas être en mesure de détecter comment ou avec qui ces données sont partagées à partir du nuage, ni même qui les a partagées.

De solides mécanismes de protection centrés sur les données peuvent répondre à ce risque de violation, mais bien que de nombreux CASB annoncent la capacité de chiffrer ou de symboliser les données destinées à l'informatique en nuage, ces fonctions ont tendance à être limitées à un petit nombre de services courants, tels que Salesforce et ServiceNow. Les CASB qui ont commencé à ajouter ces fonctionnalités - autant pour satisfaire les notes des analystes que pour atteindre ou maintenir la parité concurrentielle - ont découvert que la cryptographie est un domaine technique difficile. La mise en œuvre et la maintenance des systèmes cryptographiques requièrent une expertise considérable, qui ne relève généralement pas des compétences de base du CASB. En conséquence, certains CASB ont retiré ces fonctions ou ne les commercialisent plus activement, et d'autres dissimulent leur manque de capacité ou leur applicabilité restreinte par des déclarations générales de "sécurité des données" qui ne concernent que la DLP, le contrôle d'accès adaptatif (AAC), etc.

En outre, alors que la promulgation de la loi Clarifying Lawful Overseas Use of Data (CLOUD) Act aux États-Unis et la compréhension croissante du Règlement général sur la protection des données (RGPD) de l'UE suggèrent fortement que le chiffrement et la gestion des clés deviennent des capacités essentielles (Gartner, 2019), leur adoption a suscité quelques hésitations, car le chiffrement et la tokenisation appliqués en dehors d'une application SaaS peuvent affecter ses fonctionnalités ainsi que celles des services tiers intégrés. Les innovations constantes en matière de cryptographie appliquée, disponibles auprès de certains fournisseurs tels qu'OpenText Voltage, ont toutefois minimisé ces impacts sur la fonctionnalité, de sorte qu'il vaut désormais la peine d'évaluer ceux qui pourraient subsister par rapport au coût et au risque de déléguer la protection des données au niveau des champs et des fichiers au CSP, ou de ne pas l'appliquer du tout.

Conformité

L'avènement de lois plus strictes en matière de protection de la vie privée dans de nombreux secteurs et régions peut également avoir un impact sur les opérations. Les réglementations régionales telles que le GDPR, le California Consumer Privacy Act (CCPA), la loi brésilienne sur la protection générale des données (LGPD) et le projet de loi indien sur la protection des données personnelles, ainsi que les réglementations sectorielles telles que celles imposées par PCI DSS, SOX, HIPAA, HITECH, FINRA et FFIEC créent un ensemble d'exigences de conformité dont la complexité pousse de nombreuses organisations vers la position globale la plus conservatrice : s'assurer que les données sensibles des entreprises et de leurs clients sont toujours protégées, où qu'elles aillent, et de la manière la plus forte qui soit.

Un CASB doté de solides contrôles de la confidentialité des données dans de multiples applications peut contribuer à atteindre cet objectif ; grâce à la sensibilisation aux politiques et à la fonctionnalité de classification des données, les CASB peuvent contribuer à assurer la conformité avec les lois sur la résidence des données et à comparer les configurations de sécurité avec les exigences réglementaires constamment mises à jour.

Détection et prévention des menaces

Un CASB peut défendre l'organisation contre l'arsenal toujours croissant de logiciels malveillants, y compris l'introduction et la propagation par le biais de services de stockage en nuage et de leurs clients et applications de synchronisation associés. Un CASB peut utiliser des sources de renseignements sur les menaces avancées pour analyser et remédier aux menaces en temps réel dans les ressources internes et externes ; identifier les comptes d'utilisateurs compromis par la détection et la prévention de l'accès non autorisé aux services et données en nuage ; et combiner des analyses statiques et dynamiques avec des capacités d'apprentissage automatique et UEBA (User Entity Behavior Analytics) pour identifier les activités anormales, les ransomwares, les exfiltrations de données, et al.

Comment fonctionne un CASB ?

Les CASB peuvent être déployés en tant que proxies et/ou en tant que courtiers d'API. Comme certaines caractéristiques des CASB dépendent du modèle de déploiement, les CASB "multimodes" - ceux qui prennent en charge à la fois les modes proxy et API - offrent un plus large éventail de choix pour le contrôle des services en nuage.

Les CASB déployés en mode proxy sont généralement axés sur la sécurité et peuvent être configurés comme des proxys inversés ou avancés sur le chemin d'accès aux données, entre le consommateur de services en nuage et le CSP. Les CASB à proxy inverse ne nécessitent pas l'installation d'agents sur les terminaux et peuvent donc mieux fonctionner pour les appareils non gérés (par exemple, BYOD) en évitant les changements de configuration, l'installation de certificats, etc. Cependant, ils ne contrôlent pas l'utilisation non autorisée du nuage aussi bien que les CASB à proxy direct, par lesquels tout le trafic des points finaux gérés est dirigé, y compris le trafic vers les services en nuage non autorisés : cela signifie que certains appareils non gérés peuvent passer à travers les mailles du filet. Les CASB à proxy direct nécessitent donc souvent l'installation d'agents ou de clients VPN sur les postes de travail. Lorsque les agents et les clients VPN sont mal configurés ou désactivés par erreur, le trafic sensible peut ne pas être transmis au CASB, contournant ainsi l'inspection.

Les CASB déployés en mode API se concentrent sur l'administration des applications SaaS (et de plus en plus IaaS et PaaS) via les API fournies par ces services, y compris l'inspection des données au repos, la télémétrie des journaux, le contrôle des politiques et d'autres fonctions de gestion. Ils fonctionnent bien avec les dispositifs non gérés, mais comme seuls les services en nuage les plus courants offrent généralement une prise en charge de l'API - et ce, à des degrés divers -, il est peu probable que les CASB basés sur l'API couvrent toutes les fonctions de sécurité requises. S'il est possible que les fournisseurs de SaaS et d'autres FSC améliorent leurs API pour combler cette lacune, en attendant, les CASB basés uniquement sur des API n'offrent pas de capacités suffisamment solides pour répondre aux exigences en matière d'évolutivité et de disponibilité. En outre, lorsque les FSC limitent les réponses aux demandes d'API en raison du volume croissant de données échangées entre les utilisateurs et les services en nuage, les CASB en mode API subissent des dégradations de performances ingérables. Le mode mandataire reste donc une capacité essentielle.

Les CASB peuvent fonctionner dans un centre de données d'entreprise, dans un déploiement hybride qui implique à la fois le centre de données et l'informatique en nuage, ou exclusivement dans l'informatique en nuage. Les organisations qui se concentrent sur la protection des données, ou qui sont soumises à des réglementations en matière de protection de la vie privée ou à des considérations relatives à la souveraineté des données, ont tendance à exiger des solutions sur site afin de conserver un contrôle total sur l'infrastructure de sécurité. En outre, la délégation de responsabilité et l'exigence de confiance d'un tiers que les CASB en nuage imposent par le biais du modèle "Bring Your Own Key" (BYOK) peuvent contrevenir aux politiques internes ou externes, et cette position problématique s'étend naturellement aux services de sécurité offerts par les FSC eux-mêmes, qui peuvent également exiger de mettre les adresses IP du CASB sur liste blanche.

Voltage Secure Data Sentry est-il un CASB ?

Voltage SecureData Sentry est un courtier en sécurité spécialisé dans la protection des données, non seulement pour les services en nuage mais aussi pour les applications sur site. Il ne s'agit donc pas d'un CASB traditionnel en ce sens qu'il ne cherche pas à fournir d'autres fonctionnalités dans le cadre des quatre piliers. Au lieu de cela, Sentry coexiste avec les CASB qui se spécialisent dans la fourniture de ces fonctions complémentaires, tout en faisant le gros du travail cryptographique pour ajouter de solides mécanismes de protection centrés sur les données qui peuvent être appliqués aux SaaS et autres services en nuage, ainsi qu'aux applications commerciales et auto-développées dans les réseaux internes.

Voltage SecureData est innovant et basé sur des normes, et a fait l'objet de vérifications indépendantes de la force de la sécurité par des organismes cryptographiques indépendants et reconnus au niveau international. De nombreuses organisations internationales de premier plan, dans les secteurs public et privé, et dans de multiples industries, lui font confiance pour sécuriser les données les plus sensibles du monde.

Le cryptage préservant le format (FPE), qui garantit que la protection est appliquée au niveau du champ de manière à ne pas enfreindre les schémas de base de données existants ou les limitations de type ou de taille des champs SaaS, est associé à un système de gestion des clés sans état qui évite d'imposer des charges supplémentaires aux administrateurs de la sécurité. La tokenisation sécurisée sans état (SST) garantit que les champs numériques contenant des numéros de cartes de crédit ou des numéros de sécurité sociale sont protégés sans les frais de gestion ou de performance d'une base de données de jetons, tout en permettant à certaines parties du champ de rester en clair, comme les six premiers ou les quatre derniers chiffres, afin de faciliter le routage ou la vérification du client. Le hachage préservant le format (FPH) garantit l'intégrité référentielle des données pour l'analyse et d'autres cas d'utilisation, tout en respectant des réglementations telles que le droit à l'effacement prévu par le GDPR. En outre, grâce à des innovations supplémentaires, telles que les index locaux sécurisés prenant en charge les termes de recherche partiels et les caractères génériques, et le formatage sécurisé des adresses électroniques pour le relais SMTP, Sentry préserve les fonctionnalités des applications qui sont affectées par les solutions concurrentes.

Les organisations peuvent déployer Sentry sur site et/ou dans le nuage. Sentry communique avec l'infrastructure réseau compatible ICAP (Internet Content Adaptation Protocol), telle que les proxys HTTP et les équilibreurs de charge, afin d'appliquer des politiques de sécurité aux données circulant vers et depuis le nuage, et il intercepte les appels API JDBC (Java Database Connectivity) et ODBC (Open Database Connectivity) afin d'appliquer des politiques de sécurité aux données circulant vers et depuis la base de données. Quel que soit le lieu de déploiement, l'entreprise conserve un contrôle total sur l'infrastructure, sans avoir à partager les clés de chiffrement ou les coffres-forts de jetons avec d'autres parties, et le mode d'inspection de Sentry garantit que les politiques de sécurité peuvent être ciblées sur les champs de données spécifiques et les pièces jointes qui contiennent des informations sensibles.