Jak CASB chrání osobní, zdravotní a platební údaje v cloudu?

Už jste slyšeli o CASB („kazbí“, jak lidé v branži zkratku vyslovují) – cloud access security brokeru – který chrání data tekoucí za firemní firewall do cloudových aplikací? V tomto článku se vrátíme trochu ke kořenům a shrneme základní vlastnosti a technologie chránící údaje, ke kterým uživatelé přistupují ze zařízení mimo interní síť.

Podle definice společnosti Gartner je CASB řešení, které je umístěné mezi uživatele a poskytovatele cloudových služeb, vynucuje cloudové bezpečnostní politiky a vzájemně propojuje zásady podnikové bezpečnosti při přístupu ke cloudovým zdrojům.

CASB konsolidují několik způsobů vynucení bezpečnostních politik. Příkladem takových pravidel může být autentizace, single sign-on (jednotné přihlašování), mapování přihlašovacích údajů, profilování zařízení, šifrování, logování, zasílání upozornění, detekce a prevence před malwarem a další.

4 bezpečnostní mezery, které CASB kryje

Celkově vzato CASB pomáhá organizacím chránit data a snižovat rizika spojená s používáním cloudových aplikací. Konkrétně jde o tyto bezpečnostní mezery:

Ochrana dat neprocházejících přes firewall: Pokud se někdo z vašich zaměstnanců připojí z nespravovaného zařízení k firemnímu Office 365 z kavárny, který z vašich bezpečnostních produktů to pokryje?

Běžná bezpečnostní zařízení kontrolují data, která alespoň v nějakém okamžiku protečou firemní sítí. To v cloudovém světě nemusí vůbec nastat. Zaměstnanci běžně přistupují k aplikacím, jako jsou Office 365, G Suite, Dropbox, Salesforce či Atlassian, a právě zde nastupuje CASB pro zajištění ochrany dat.

Bring Your Own Device: Jakmile si zaměstnanci zvyknout na pohodlí přístupu k firemním informacím v cloudu, začnou k tomu používat i osobní zařízení (notebooky, smartphony, tablety atd.) Jak ale umožnit lidem pracovat odkudkoliv, a přitom neohrozit citlivé informace na zcela nespravovaném zařízení? Odpovědí může být CASB s reverzní proxy (viz dále).

Nespravované aplikace: Taktéž nazývané jako shadow IT jsou aplikace, nad kterými IT nemá kontrolu. Ačkoliv nemusí jít nutně o závadné aplikace, umožňují často nahrávání a sdílení dat s neznámým prostředím (např. Facebook Messenger). Toto je velké porušení předpisů a noční můra pro jakéhokoli CISO.

Záškodníci: Pokud chtěl v minulosti zaměstnanec vynést firemní informace, musel proklouznout řadou podnikových bezpečnostních řešení. Pokud jsou dnes tato data uložena v cloudu, může se k nim, jak insider, tak ale i jiný útočník, který získá přístupové údaje, dostat podstatně snáze.

Proto CASB umožňuje detekci a nápravná opatření, geofencing (omezení přístupu na základě lokality uživatele), šifrování, správu připojení a další.

4 zásadní technologie uvnitř CASB

Reverzní proxy: Touto funkcí jsou vybaveny pouze některé CASB. Umožňuje organizacím dostat se mezi zařízení uživatele a data, ke kterým přistupuje. Zkuste si představit, jaké citlivé údaje se mohou u vás nacházet v aplikacích jako Office 365, Workday, Salesforce nebo G Suite. CASB zde slouží v podstatě jako firewall pro každé připojení uživatele z jakéhokoliv zařízení odkudkoliv.

Reverzní proxy poskytuje vizibilitu a kontrolu nad aktivitami uživatele, pokud přistupuje přes portál aplikace a přihlašuje se obvykle přes single sign-on (SSO). Kdykoliv někdo přistupuje k některé z vašich spravovaných cloudových aplikací, je bez dopadu na uživatelské pohodlí přesměrován na SSO vaší organizace, kde se může přihlásit svým jménem a heslem.

Forward proxy: Funkce je podobná reverzní proxy v tom, že sleduje provoz na zařízení, ze kterého uživatel přistupuje do cloudové aplikace. Hlavní rozdíl je, že forward proxy vyžaduje instalaci klienta, který monitoruje veškerý provoz na daném zařízení. Je to nejlepší volba pro spravovaná zařízení, ale ta ostatní (BYOD) ochrání pouze bezagentová reverzní proxy.

API integrace: CASB, která se umí připojit ke cloudové aplikaci přes API (Application Programming Interface), dokážou kontrolovat data uložená přímo v cloudu. Příkladem mohou být data uložená na OneDrive nebo Google Drive, případně v Salesforce. API integrace umožňuje skenovat dokumenty, ověřovat, co bylo sdíleno a případně zasáhnout – typicky, pokud se v souboru objeví rodná čísla, zdravotní záznamy, platební údaje/čísla karet apod. CASB může takové soubory přesunout do karantény, zašifrovat, označit vodoznakem, a ochránit tak před únikem nebo zneužitím.

Shadow IT discovery: Víte s jistotou, jaké všechny aplikace se ve vaší organizaci používají? Neobcházejí tyto aplikace vaše bezpečnostní opatření? Právě k těmto zjištěním můžete CASB využít. Funkce poskytuje organizaci přehled o tom, jaké aplikace se používají a zda by měly být sankcionovány.

Co kdybyste mohli sledovat v reálném čase všechna vaše data, která tečou do cloudu a zpět? Co kdybyste věděli, jaké aplikace se využívají a znali riziko jejich použití? Co kdybyste mohli skenovat všechny dokumenty, které jsou v cloudu, a podniknout nezbytné kroky k ochraně dat? S CASB můžete. Bitglass v tom umí pomoci.

Autor: Caleb Mast, Bitglass
Překlad, úpravy a spojení článků: Jan Mazal,
VPGC
Zdroje: Bitglass – What is a CASB and How Do You Even Say It?
A Sharing PHI, PII, and PCI in the Cloud?