Už ste počuli o CASB („kazbí“, ako ľudia v brandži skratku vyslovujú) – cloud access security brokeru – ktorý chráni dáta tečúce za firemný firewall do cloudových aplikácií? V tomto článku sa vrátime trochu ku koreňom a zhrnieme základné vlastnosti a technológie chrániace údaje, ku ktorým používatelia pristupujú zo zariadení mimo internú sieť.
Podľa definície spoločnosti Gartner je CASB riešenie, ktoré je umiestnené medzi užívateľov a poskytovateľov cloudových služieb, vynucuje cloudové bezpečnostnej politiky a vzájomne prepája zásady podnikovej bezpečnosti pri prístupe ku cloudovým zdrojom.
CASB konsolidujú niekoľko spôsobov vynútenia bezpečnostných politík. Príkladom takýchto pravidiel môže byť autentizácia, single sign-on (jednotné prihlásenie), mapovanie prihlasovacích údajov, profilovanie zariadení, šifrovanie, logovanie, zasielanie upozornení, detekcia a prevencia pred malwarom a ďalšie.
4 bezpečnostné medzery, ktoré CASB kryje
Celkovo vzaté CASB pomáha organizáciám chrániť dáta a znižovať riziká spojené s používaním cloudových aplikácií. Konkrétne ide o tieto bezpečnostné medzery:
Ochrana dát neprechádzajúcich cez firewall: Ak sa niekto z vašich zamestnancov pripojí z nespravovaného zariadenia k firemnému Office 365 z kaviarne, ktorý z vašich bezpečnostných produktov to pokryje?
Bežné bezpečnostné zariadenia kontrolujú dáta, ktoré aspoň v nejakom okamihu pretečú firemnou sieťou. To v cloudovom svete nemusí vôbec nastať. Zamestnanci bežne pristupujú k aplikáciám, ako sú Office 365, G Suite, Dropbox, Salesforce či Atlassian, a práve tu nastupuje CASB pre zabezpečenie ochrany dát.
Bring Your Own Device: Akonáhle si zamestnanci zvyknú na pohodlie prístupu k firemným informáciám v cloude, začnú k tomu používať aj osobné zariadenia (notebooky, smartphony, tablety atď.) Ako však umožniť ľuďom pracovať odkiaľkoľvek, a pritom neohroziť citlivé informácie na úplne nespravovaných zariadeniach? Odpoveďou môže byť CASB s reverznou proxy (viď ďalej).
Nespravované aplikácie: Taktiež nazývané ako shadow IT sú aplikácie, nad ktorými IT nemá kontrolu. Hoci nemusí ísť nutne o závadné aplikácie, umožňujú často nahrávanie a zdieľanie dát s neznámym prostredím (napr. Facebook Messenger). Toto je veľké porušenie predpisov a nočná mora pre akéhokoľvek CISO.
Záškodníci: Ak chcel v minulosti zamestnanec vyniesť firemné informácie, musel prekĺznuť množstvom podnikových bezpečnostných riešení. Ak sú dnes tieto dáta uložené v cloude, môže sa k nim, ako insider, tak ale aj iný útočník, ktorý získa prístupové údaje, dostať podstatne ľahšie.
Preto CASB umožňuje detekciu a nápravné opatrenia, geofencing (obmedzenie prístupu na základe lokality používateľa), šifrovanie, správu pripojenia a ďalšie.
4 zásadné technológie vnútri CASB
Reverzná proxy: Touto funkciou sú vybavené iba niektoré CASB. Umožňuje organizáciám dostať sa medzi zariadenie používateľa a dáta, ku ktorým pristupuje. Skúste si predstaviť, aké citlivé údaje sa môžu u vás nachádzať v aplikáciách ako Office 365, Workday, Salesforce alebo G Suite. CASB tu slúži v podstate ako firewall pre každé pripojenie používateľa z akéhokoľvek zariadenia odkiaľkoľvek.
Reverzná proxy poskytuje vizibilitu a kontrolu nad aktivitami užívateľa, ak pristupuje cez portál aplikácie a prihlasuje sa zvyčajne cez single sign-on (SSO). Kedykoľvek niekto pristupuje k niektorej z vašich spravovaných cloudových aplikácií, je bez vplyvu na užívateľské pohodlie presmerovaný na SSO vašej organizácie, kde sa môže prihlásiť svojím menom a heslom.
Forward proxy: Funkcia je podobná reverznej proxy v tom, že sleduje prevádzku na zariadeniu, z ktorého užívateľ pristupuje do cloudové aplikácie. Hlavný rozdiel je, že forward proxy vyžaduje inštaláciu klienta, ktorý monitoruje celú prevádzku na danom zariadení. Je to najlepšia voľba pre spravované zariadenia, ale tie ostatné (BYOD) ochráni iba bezagentová reverzná proxy.
API integrácia: CASB, ktoré sa vie pripojiť ku cloudové aplikácii cez API (Application Programming Interface), dokáže kontrolovať dáta uložené priamo v cloude. Príkladom môžu byť dáta uložené na OneDrive alebo Google Drive, prípadne v Salesforce. API integrácia umožňuje skenovať dokumenty, overovať, čo bolo zdieľané a prípadne zasiahnuť – typicky, ak sa v súbore objavia rodné čísla, zdravotné záznamy, platobné údaje/čísla kariet a pod. CASB môže také súbory presunúť do karantény, zašifrovať, označiť vodoznakom, a ochrániť tak pred únikom alebo zneužitím.
Shadow IT discovery: Viete s istotou, aké všetky aplikácie sa vo vašej organizácii používajú? Neobchádzajú tieto aplikácie vaše bezpečnostné opatrenia? Práve na tieto zistenia môžete CASB využiť. Funkcia poskytuje organizácii prehľad o tom, aké aplikácie sa používajú a či by mali byť sankcionované.
Čo keby ste mohli sledovať v reálnom čase všetky vaše dáta, ktorá tečú do cloudu a späť? Čo keby ste vedeli, aké aplikácie sa využívajú a poznali riziko ich použitie? Čo keby ste mohli skenovať všetky dokumenty, ktoré sú v cloude, a podniknúť potrebné kroky k ochrane dát? S CASB môžete. Bitglass v tom vie pomôcť.
Autor: Caleb
Mast, Bitglass
Preklad, úpravy a spojení článkov: Jan Mazal, VPGC
Zdroje: Bitglass – What is a CASB and How Do You Even Say It? A Sharing PHI, PII, and PCI in the Cloud?