¿Qué es un
agente de seguridad de acceso a la nube
(CASB)?

¿Qué es un CASB?

Un agente de seguridad de acceso a la nube (CASB) es un punto de visibilidad y control que protege las aplicaciones en la nube y brinda protección de datos y servicios de protección contra amenazas para evitar fugas de datos confidenciales, detener el malware y otras amenazas, descubrir y controlar la TI en la sombra, y garantizar el cumplimiento normativo.

Ubicados entre los usuarios de aplicaciones en la nube y los propios servicios en la nube, los CASB pueden supervisar el tráfico y la actividad de los usuarios, bloquear automáticamente las amenazas y el uso compartido arriesgado, y aplicar políticas de seguridad como la autenticación y las alertas.

 

¿Por qué se necesita un CASB hoy en día?

Con una mayor adopción de la nube, los CASB se han vuelto atractivos para la seguridad empresarial por sus diversas funciones de ciberseguridad, control de acceso y protección de datos. Le brindan el control sobre los datos corporativos, tanto en movimiento como en reposo, en plataformas y aplicaciones en la nube. Hoy en día, los CASB son fundamentales porque:

  • El crecimiento de las plataformas y aplicaciones en la nube (por ejemplo, Microsoft 365, Salesforce) ha hecho que las herramientas tradicionales de seguridad de red, como los cortafuegos en los centros de datos, sean mucho menos eficaces.
  • Los equipos de TI no tienen el control que tenían antes. Casi todo el mundo puede elegir y utilizar una nueva aplicación en la nube, y el departamento de TI no puede gestionar manualmente los controles granulares de acceso de los usuarios a esa escala.
  • Pueden aplicar políticas para proporcionar control de la TI en la sombra, prevención contra la pérdida de datos en la nube (DLP), gestión de la postura de seguridad SaaS (SSPM) y protección contra amenazas avanzadas.

 

Los cuatro pilares de CASB

Una solución CASB eficaz se construye teniendo en cuenta cuatro elementos principales:
 

1. Visibilidad

El trabajo a distancia y el uso de dispositivos propios de los empleados están creando una mayor necesidad de que las organizaciones sepan qué está sucediendo en sus entornos en la nube. Los dispositivos no gestionados abundan y, sin una visibilidad adecuada de sus implementaciones, corre el riesgo de permitir un acceso no deseado. Un CASB descubre el uso de aplicaciones en la nube de su organización, crea informes sobre el gasto en la nube y realiza evaluaciones de riesgos para permitirle decidir si una aplicación debe bloquearse.
 

2. Cumplimiento

Los servicios de computación en la nube exigen el cumplimiento de una cantidad desmesurada de normas de conformidad para poder operar a nivel de organización. Esto sucede, sobre todo, en el sector público, así como en los sectores de los servicios financieros y la asistencia médica. Con un CASB, puede identificar los mayores factores de riesgo en su sector y establecer políticas estrictas de protección de datos para lograr y mantener el cumplimiento en toda su organización.
 

3. Seguridad de los datos

Cada dos años, el volumen de datos del mundo se duplica. Este aumento exponencial de los datos ha hecho que los ciberdelincuentes sean más taimados que nunca. Combinar un CASB con DLP en la nube le permite no solo ver los riesgos potenciales de los datos, sino también detenerlos. Además, tiene visibilidad del contenido confidencial que viaja hacia o desde la nube o entre nubes, lo que le da más oportunidades de identificar incidentes, aplicar la política adecuada y, sobre todo, mantener los datos seguros.
 

4. Protección frente a amenazas

Las amenazas en la nube y el malware abundan en el ecosistema de TI actual, y en la mayoría de los casos, los recursos en la nube son los más vulnerables. Un CASB le ofrece el poder de analizar el comportamiento y la inteligencia de amenazas para impulsar su seguridad en la nube. Con estas capacidades avanzadas, puede identificar y remediar rápidamente las actividades sospechosas, mantener seguras las aplicaciones y los datos en la nube, y reforzar la postura general de seguridad en la nube de su organización.

 

Según los analistas de Gartner y otros, toda empresa con una presencia significativa en la nube necesita un agente de seguridad de acceso a la nube (CASB) para proteger sus datos basados en la nube.

Tom Henderson, Computerworld

¿Cómo funcionan los CASB?

Las soluciones de CASB pueden adoptar la forma de hardware o software local, pero se entregan mejor como servicio en la nube para una mayor escalabilidad, menores costes y una administración más sencilla. Independientemente de esto, los CASB se pueden configurar para usar proxy (proxy de reenvío o proxy inverso), API o ambos (que se denomina "multimodo". Más información al respecto más adelante).

 

Proxy

Los CASB necesitan operar en la ruta de datos, por lo que el CASB ideal se sitúa en una arquitectura de proxy en la nube. Los proxies de reenvío se utilizan más comúnmente con CASB y garantizan la privacidad y seguridad de los usuarios desde el lado del cliente. Los proxies inversos, por otro lado, se sitúan en los servidores de Internet y son propensos a degradación de rendimiento y a errores de solicitud.

Un proxy de reenvío intercepta las solicitudes de servicios en la nube en ruta a su destino. A continuación, según su política, el CASB aplica funciones como asignación de credenciales y autenticación de inicio de sesión único (SSO), perfil de postura del dispositivo, registro, alertas, detección de malware, cifrado y tokenización.

 

API

Mientras que un proxy en línea intercepta los datos en movimiento, se necesita seguridad fuera de banda para los datos en reposo en la nube, que los proveedores de CASB proporcionan a través de integraciones con las interfaces de programación de aplicaciones (API) de los proveedores de servicios en la nube.

 

¿Qué dice Gartner sobre el CASB?

Gartner definió por primera vez el CASB en 2012 y las organizaciones lo utilizaron principalmente para controlar la TI en la sombra. Los CASB han evolucionado desde entonces, yendo más allá de la seguridad de las aplicaciones SaaS, para ser ampliamente aplicables a los modelos de entrega de plataforma (PaaS) e infraestructura como servicio (IaaS) en diversos nuevos casos de uso.

Con el tiempo, los beneficios y las capacidades de CASB comenzaron a superponerse más con las capacidades de la puerta de enlace web segura (SWG). En parte, esta es la razón por la que Gartner definió un nuevo término en 2019: el perímetro de servicio de acceso seguro (SASE), un marco de servicios prestados en la nube que proporcionan "capacidades WAN integrales con funciones de seguridad de red completas (como SWG, CASB, FWaaS y ZTNA) para apoyar las necesidades de acceso seguro dinámico de las empresas digitales".

En 2021, Gartner sintetizó este concepto aún más, identificando la parte de SASE centrada en la seguridad como el perímetro de servicio de seguridad (SSE). Esto refleja los crecientes esfuerzos en todo el mundo para racionalizar pilas de seguridad complejas y desarticuladas, y Gartner predice que el 30 % de las empresas habrán adoptado capacidades de SWG, CASB, ZTNA y cortafuegos como servicio (FWaaS) del mismo proveedor para 2024.

 


Zscaler es líder y se sitúa en primer puesto en “Capacidad de ejecución" en el Cuadrante Mágico de Gartner para Security Service Edge de 2022".

Más información sobre Zscaler SSE.


 

un diagrama que muestra que Zscaler CASB forma parte del completo Zero Trust Exchange

 

Principales casos de uso para CASB

1. Descubrir y controlar la TI en la sombra

Cuando sus usuarios almacenan y comparten archivos y datos corporativos en aplicaciones en la nube no autorizadas, la seguridad de sus datos se ve afectada. Para contrarrestar esto, es necesario entender y asegurar el uso de la nube en su organización.

Zscaler CASB descubre automáticamente la TI en la sombra, revelando las aplicaciones de riesgo que visitan los usuarios. Las políticas automatizadas y fácilmente configurables aplican diversas acciones (por ejemplo, permitir o bloquear, impedir la carga, restringir el uso) en aplicaciones individuales y categorías de aplicaciones.

 

2. Asegurar a los usuarios de SaaS no corporativos

Los usuarios pueden utilizar simultáneamente instancias sancionadas y no sancionadas de aplicaciones como Google Drive. Responder con un enfoque único (permitir o bloquear la aplicación por completo) puede fomentar el intercambio inapropiado o dificultar la productividad, respectivamente.

Zscaler CASB puede distinguir entre sus usuarios SaaS sancionados y las instancias no sancionadas que pertenecen a partes externas, gestionando la aplicación de la política adecuada a cada uno. Los controles de tenencia de SaaS preconfigurados ofrecen una reparación automatizada en tiempo real.

 

3. Controlar el uso compartido de archivos arriesgado

Las aplicaciones en la nube permiten un intercambio y una colaboración sin precedentes. En consecuencia, sus equipos de seguridad necesitan saber quién comparte qué en las aplicaciones autorizadas, para no arriesgarse a que partes peligrosas se hagan con sus datos.

La gestión de la colaboración es una capacidad clave de cualquier CASB líder. Zscaler CASB rastrea archivos de forma rápida y repetida en sus inquilinos SaaS para identificar datos confidenciales, verificar a los usuarios con los que se comparten los archivos y responder automáticamente a las acciones de riesgo según sea necesario.

 

4. Solucionar los errores de configuración de SaaS

Al desplegar y gestionar una aplicación en la nube, la configuración precisa es clave para garantizar que la aplicación funcione correctamente y de forma segura. Los errores de configuración perjudican su higiene de seguridad y pueden exponer fácilmente datos confidenciales.

Zscaler SSPM se integra con sus usuarios de SaaS a través de la API para analizar en busca de configuraciones erróneas que podrían poner en peligro el cumplimiento de la normativa. Es un componente de Zscaler Workload Posture junto con CSPM y CIEM.

 

5. Evitar la fuga de datos

Además de las configuraciones erróneas de los recursos de la nube que podrían dar lugar a infracciones y fugas de datos, es necesario identificar y controlar los patrones de datos confidenciales en la nube. Una gran cantidad de estos datos están regulados por marcos como HIPAA, PCI DSS, RGPD y muchos otros.

Zero Trust Exchange, nuestra plataforma de seguridad nativa en la nube, brinda protección de datos unificada con capacidades de DLP y CASB en la nube. Garantiza que las aplicaciones en la nube estén correctamente configuradas para detener la pérdida de datos y el incumplimiento de la normativa, con el respaldo de técnicas avanzadas de clasificación de datos, como la coincidencia exacta de datos (EDM) y la coincidencia de documentos indexados (IDM), para identificar y proteger los datos confidenciales allá donde vayan.

 

6. Prevenir ataques exitosos

Una vez que un archivo infectado evita la seguridad de su organización en una de sus aplicaciones en la nube autorizadas, puede propagarse rápidamente a las aplicaciones conectadas y a los dispositivos de otros usuarios. Por eso necesita una forma de defenderse de las amenazas en tiempo real, tanto en la carga como en reposo.

Zscaler CASB frustra los avances del malware con capacidades de protección frente a amenazas avanzadas (ATP), que incluyen:

  • Proxy en tiempo real para evitar que se suban archivos maliciosos a la nube.
  • Análisis fuera de banda para identificar archivos en reposo y solucionar amenazas.
  • Sandboxing en la nube para identificar incluso el malware de día cero.
  • Aislamiento del navegador en la nube sin agente para proteger el acceso desde puntos finales no gestionados.

 

Visite nuestra página de Zscaler CASB para obtener más información.

Proteger sus datos en un mundo de trabajo desde cualquier lugar

Lea nuestro libro electrónico

Los beneficios de adoptar el CASB multimodo de Zscaler

Lea el artículo del blog

Zscaler Data Protection

Vea el vídeo

Cuadrante Mágico de Gartner para Security Service Edge de 2022

Ver el informe de Gartner

Infografía de Zscaler Security Service Edge

Eche un vistazo

Transformación de la seguridad: prevención de la exposición de datos

Visite nuestra página