Uma abordagem de segurança em nuvem mais eficaz: NGFW para CASB em linha
Os aplicativos em nuvem mudaram a forma como as organizações fazem negócios, introduzindo novos riscos de segurança no processo. Esses aplicativos são fáceis de configurar e usar para colaboração e, como resultado, o volume e a sensibilidade dos dados que são transferidos, armazenados e compartilhados nesses ambientes de nuvem continuam a aumentar. Ao mesmo tempo, os usuários estão constantemente se deslocando para diferentes locais físicos e usando vários dispositivos, sistemas operacionais e versões de aplicativos para acessar os dados de que precisam.
Essas são mudanças significativas nos hábitos de trabalho e na tecnologia, e as ferramentas de segurança tradicionais não conseguiram acompanhar o ritmo. A pressão para resolver essas lacunas de segurança levou a novas tecnologias e maneiras de descrevê-las, incluindo a categoria CASB (Cloud Access Security Broker).
De acordo com o Gartner, "os CASBs são pontos de aplicação de políticas de segurança no local ou baseados em nuvem, colocados entre os consumidores de serviços em nuvem e os provedores de serviços em nuvem para combinar e interpor políticas de segurança corporativa à medida que os recursos baseados em nuvem são acessados. Os CASBs consolidam vários tipos de aplicação de políticas de segurança."
Os CASBs fornecem às organizações três funções-chave de segurança de SaaS e, como resultado, têm visto uma rápida evolução e adoção: (1) visibilidade do uso do SaaS; (2) controle granular do acesso ao SaaS e (3) conformidade e segurança dos dados baseados em nuvem. Há diferentes modos de implantação pelos quais um CASB pode fornecer suas funções, incluindo o modo inline e o modo API. A seguir, exploraremos esses aspectos com um pouco mais de detalhes, além de destacar uma abordagem mais simples e eficaz: NGFW para CASB em linha.
Atendendo à necessidade do CASB
A definição de CASB na época de sua criação, com o uso do termo "broker", implicava que os CASBs estavam no caminho do tráfego da nuvem. Desde então, a tecnologia CASB evoluiu e agora inclui dois componentes principais: o modo inline e o modo API. Vamos examinar esses dois modos brevemente.
CASB em linha
O CASB em linha pode ser dividido em dois modos: proxy direto e proxy reverso. Com o proxy de encaminhamento, os fornecedores de CASB precisam encaminhar o tráfego da nuvem para um dispositivo ou serviço que possa fornecer visibilidade do aplicativo e recursos de controle. Também é importante observar que os recursos de proxy de encaminhamento não se limitam apenas aos proxies. Recursos avançados de controle de aplicativos de próxima geração também podem ser aplicados usando o dispositivo ou os serviços NGFW. Isso é ideal por vários motivos, pois muitos clientes já têm o NGFW implantado como gateway de Internet para usuários locais ou remotos. Se os clientes preferirem usar um proxy verdadeiro (oferecido pela maioria dos fornecedores de CASB), isso geralmente introduz uma sobrecarga e uma complexidade de gerenciamento adicionais. É importante que os clientes considerem se o NGFW existente já atende às suas necessidades de CASB em linha sem custo adicional. No caso de um proxy reverso, os fornecedores de CASB usam o SSO (ou, às vezes, o DNS) para redirecionar os usuários a um serviço CASB em linha para garantir que as políticas sejam aplicadas.
CASB baseado em API
A abordagem baseada em API permite que os fornecedores de CASB acessem os dados do cliente dentro do aplicativo de nuvem sem ficar "no meio" do tráfego da nuvem. É uma abordagem fora de banda para executar várias funções, inclusive a inspeção granular da segurança de dados em todos os dados em repouso no aplicativo ou serviço em nuvem, bem como o monitoramento contínuo da atividade do usuário e das configurações administrativas. A experiência do usuário do aplicativo em nuvem é preservada, pois a API não é intrusiva e não interfere no caminho dos dados para o aplicativo em nuvem. Além de aplicar políticas para quaisquer violações futuras, um CASB baseado em API é a única maneira de rastrear os dados existentes armazenados na nuvem e corrigir quaisquer violações e ameaças de DLP. Isso é particularmente importante, pois as empresas acabam "sancionando" um aplicativo antes de descobrirem como protegê-lo, e quase sempre há conteúdo existente que precisa ser investigado. Abordaremos o CASB baseado em API com muito mais detalhes em uma próxima postagem do blog.
Temos uma abordagem mais simples: NGFW para CASB em linha
Um firewall de próxima geração combina recursos de inspeção de usuários, conteúdo e aplicativos dentro de firewalls para habilitar as funções CASB. A tecnologia de inspeção é, então, capaz de mapear usuários para aplicativos, a fim de fornecer controle granular sobre o uso de aplicativos em nuvem, independentemente do local ou do dispositivo. Os recursos relevantes para o CASB dentro do NGFW incluem controle granular de aplicativos (incluindo aplicativos SaaS e no local), controle de funções específicas de aplicativos, URL Filtering e filtragem de conteúdo, políticas baseadas no risco do aplicativo, DLP, políticas baseadas no usuário e prevenção de malware conhecido e desconhecido.
Os clientes que escolherem uma abordagem baseada em NGFW devem ter flexibilidade de implantação, usando um ou uma combinação dos seguintes cenários:
- NGFW como um dispositivo: Além dos appliances físicos que já podem estar instalados, os firewalls virtuais podem atuar como gateways na nuvem para garantir a máxima cobertura global para usuários remotos, eliminando a sobrecarga de implantar hardware adicional. A maioria dos clientes já tem esse componente implantado para usuários no local.
- NGFW como serviço em nuvem: Nesse cenário, a infraestrutura de segurança baseada em nuvem e multilocatário deve ser gerenciada e mantida pelo fornecedor de segurança. Por exemplo, o Palo Alto Networks Prisma™ Access (antigo GlobalProtect™ cloud service) permite que os clientes utilizem os recursos preventivos da Palo Alto Networks Next-Generation Security Platform para proteger redes remotas e usuários móveis. O serviço pode ser uma extensão simples da implantação do NGFW existente para impedir a exfiltração de dados confidenciais em todos os aplicativos, sejam eles baseados em SaaS ou não. Os clientes podem reduzir a complexidade e o custo do gerenciamento de implantações globais e obter proteção consistente em ambientes de nuvem.
Além disso, quando uma abordagem de NGFW em linha é usada como parte de uma plataforma de segurança de última geração integrada e que prioriza a prevenção - incluindo um NGFW, inteligência de ameaças em nuvem, serviço de segurança SaaS baseado em API e proteção avançada de endpoints -, os clientes podem impedir o vazamento de dados de seus aplicativos em nuvem; reduzir a exposição a ameaças controlando o uso de aplicativos sancionados e não sancionados; prevenir ameaças conhecidas e desconhecidas dentro do tráfego permitido e garantir que a adoção de aplicativos em nuvem permaneça em conformidade.
Uma plataforma de segurança de próxima geração, na verdade, fornece proteção completa para a nuvem a um custo total de propriedade mais baixo do que os CASBs típicos.
Para saber mais, confira os seguintes recursos:
