CASB, el escudo de la nube
La cada vez más extendida adopción de servicios en la nube ha dado lugar a nuevos retos de ciberseguridad.
Es por eso que uno de los conceptos que ha tomado mayor protagonismo en los últimos tiempos ha sido el que se recoge bajo las siglas de CASB, Cloud Access Security Broker. De forma simplista se puede decir que se trata de un firewall para los servicios en la nube. Los CASB protegen a una organización del intento de acceso de usuarios no autorizados a servicios que la compañía tiene localizados en la nube.
El mercado de los CASB crece de manera exponencial debido principalmente a la progresiva adopción de servicios compartidos. A ello se une un entorno regulatorio en términos de SSII cada vez más restrictivo y la proliferación en el uso cotidiano de dispositivos externos para el acceso a los servicios—BYOD.
Sin embargo, un CASB por sí sólo resultará poco útil si no se implanta de la forma adecuada. Es por eso que All4Sec, empresa de ciberseguridad española, ofrece una explicación de cómo funciona y cuál es la mejor manera de configurarlo.
Servicios disponibles en la nube
Los Gestores de contenidos, aplicaciones de RRHH y ofimática, ERP, herramientas de Call Center, etc. son cada vez más habituales en el entorno empresarial externalizado. Para cada una de estas aplicaciones los CASB ofrecen funcionalidades de seguridad relacionadas con visibilidad de usuarios, dispositivos y servicios utilizados por una organización. Asimismo, blindan el acceso a los datos de acuerdo los privilegios que los usuarios tienen asignados. También proporcionan mecanismos de protección ante amenazas, provengan estas de usuarios o dispositivos no autorizados e información sobre los niveles de riegos asumidos por la compañía.
Cómo configurar un CASB
A la hora de configura un CASB para dar servicios a aplicaciones alojadas en la nube primero resulta indispensable diferenciar entre los centros, subredes o incluso servicios que serán gestionados. En función de su tipología, las recomendaciones en cuanto a los nodos o instancias de CASB que deben ser habilitados serán diferentes. Antes de plantearlo, conviene diferenciar los tipos de servicios que podemos encontrarnos en la nube. Podrían clasificarse en tres categorías:
• Servicios públicos. Llamamos públicos a aquellos servicios que solo son accesibles desde Internet y que por tanto están desconectados de cualquier servicio corporativo de la organización. Un buen ejemplo de este tipo de servicios públicos podría ser un servidor Web hospedado en un proveedor externo.
• Servicios internos. Se trata de servicios que, aunque están alojados en un proveedor de nube, solo se prestan a infraestructuras gestionadas por recursos corporativos. Entre esos servicios, pueden estar otros servicios alojados en una nube. Un buen ejemplo podría ser una aplicación hospedada en la nube que tuviera conexión con una base de datos alojada en la nube. En muchos de los casos, este es el tipo de servicio más habitual.
• Servicios mixtos. Se trata de aquel servicio que, aunque puede ser accedido desde fuera de la red corporativa interna, por su propia arquitectura puede o debe conectarse a servicios internos de la organización. Un claro ejemplo de esta situación puede ser una aplicación web que consulta datos alojados en una base de datos interna de la compañía.
Una vez establecida esta sencilla nomenclatura, nos encontraremos que una configuración apropiada para un entorno que hace uso de una arquitectura CASB podría ser la siguiente.
Unsupported image type.
Como puede verse, existen dos unidades de CASB que permiten gestionar diferentes tipos de servicios. El CASB-1 se encarga de controlar y gestionar las conexiones que proviene del exterior. También puede actuar sobre servicios mixtos que accedan a recursos corporativos internos. Por su parte, el CASB-2 se encarga de responder de la seguridad de aquellos servicios que son completamente privados y que, por tanto, solo son accesibles a través de la red corporativa, pese a estar situados en la nube.
En conjunto, ambas instancias deben ser gestionadas de forma integrada para establecer un modelo común y coherente respecto a todos los servicios proporcionados desde la nube. La forma de implementar este modelo estará en consonancia con los servicios proporcionados por el fabricante específicamente seleccionado, más aún si tenemos en cuenta que son muchos los actores que empiezan a aparecer y competir en este nuevo mercado.