CASB

CASB (ang. Cloud Access Security Broker) – działający w chmurze broker zabezpieczeń dostępu. Jest to nowoczesne pod względem technologicznym zabezpieczenie, które uzupełnia funkcjonujące już zapory bezpieczeństwa takie jak: NextGen Firewalls (NGFW), ochrona przed wyciekami informacji (DLP-Data Loss Prevention), tożsamość jako usługa (IDaaS-Identity as a Service), zapory sieciowe aplikacji (WAF-Web Application Firewall) oraz inne^[1]. Z założenia CASB ma rozwiązywać pojawiające się problemy przedsiębiorstw, które zaczynają korzystać z chmur internetowych^[1]. Broker został opracowany w 2012 r. przez amerykańskie przedsiębiorstwo Gartner, którego działalność opiera się na strategicznym wykorzystaniu technologii informacyjnych^[2].

Jak działa CASB?

Broker bezpieczeństwa dostępu do chmury (CASB) jako narzędzie programowe ma na celu zabezpieczenie danych przychodzących oraz wychodzących na linii przedsiębiorstwo – dostawca chmury. W praktyce odnosi się do ochrony systemów informatycznych przed szeroko pojętymi cyberatakami. Broker CASB szyfruje dane, dzięki czemu złośliwe oprogramowanie nie może przedostać się do serwerów przedsiębiorstw, a z drugiej strony strumienie danych są nieczytelne dla wszystkich zewnętrznych podmiotów^[3]. CASB ma za zadanie zapewnić, że ruch sieciowy pomiędzy urządzeniami a dostawcą chmury jest zgodny z polityką bezpieczeństwa organizacji. Oznacza to, ze każdy zidentyfikowany ruch zewnętrzny, który jest obarczony wysokim ryzykiem zostaje wykrywany oraz blokowany^[4].

CASB zapewnia funkcjonalność oraz bezpieczeństwo przesyłu danych w organizacji za pośrednictwem następujących czterech filarów:

1. Widoczność – zapewnia wgląd a aktywność (kto używa aplikacji, jaka jest lokalizacja oraz jakie urządzenia biorą udział w tym procesie) użytkowników podczas korzystania z konta aplikacji w chmurze.
2. Spełnienie – w momencie przenoszenia danych do chmury, organizacje chcą zapewnić zgodność przepisów o prywatności i bezpieczeństwie danych. CASB może pomóc skonfigurować wymogi bezpieczeństwa z takimi regulacjami jak PCI DSS czy ISO 27001 oraz egzekwować zasady DLP^[3].
3. Ochrona danych – gwarantem jest szyfrowanie, tokenizacja, kontrola dostępu oraz zarządzanie dostępem do informacji.
4. Ochrona przed zagrożeniami – wykrywanie niezidentyfikowanych oraz złośliwych zagrożeń wewnętrznych i zewnętrznych^[5].

Dlaczego organizacje potrzebują CASB?

Gartner uważa, że „do 2025 r. 99% awarii zabezpieczeń w chmurze będzie wina klienta”^[6], dlatego priorytetem dyrektorów IT w organizacjach powinno być wdrażanie oraz egzekwowanie zasad dotyczących własności chmury, jej bezpieczeństwa oraz szacowania ryzyka. Dalej, analitycy przewidują do 2025 r. 90% organizacji, które nie kontrolują korzystania z chmury publicznej, będą w niewłaściwy sposób udostępniać wrażliwe dane^[6] co w znaczący sposób narazi przedsiębiorstwa na zbędne niebezpieczeństwa związane z danymi. Tutaj, zadaniem dyrektorów IT jest opracowanie oraz wdrożenie kompleksowej strategii związanej z funkcjonowaniem chmury^[6].

Typy wdrażania CASB

Brokery CASB są oferowane w wielu trybach, których specyfikacja oraz zestaw korzyści i ograniczeń są inne. Można wymienić brokery zabezpieczenia dostępu:

• Opartych na interfejsie API lub opartych na proxy: do przodu i do tyłu.
• Niektórzy dostawcy oferują CASB w trybie tylko API, inni oferują tryb proxy lub oba^[7].

Funkcjonujące z interfejsem programowania aplikacji (API)

CASB oparty na API z reguły cechuje łatwość wdrożenia, a rozwiązania nie znajdują się w bezpośredniej ścieżce między przedsiębiorstwami a aplikacjami w chmurze. CASB zaczyna działać w momencie, kiedy dane trafią do chmury na podstawie wyzwalacza API. Cała operacja jest asynchroniczna, więc użytkownik nie musi się obawiać o wydajność oraz opóźnienia w działaniu. API jest gwarantem zasięgu na urządzeniach zarządzanych, niezarządzanych oraz może oddziaływać na dane, które są transmitowane oraz, które znajdują się „w spoczynku”. CASB funkcjonujący z interfejsem programowania aplikacji ma dwie wady:

1. wsparcia API nie mają wszyscy dostawcy usług w chmurze.
2. całość działania jest retrospektywna, więc dane do momentu załączenia CASB pozostają niezabezpieczone^[7].

Oparte na serwerze pośredniczącym (proxy)

CASB oparty na proxy jest umiejscowiony bezpośrednio między przedsiębiorstwem a aplikacją chmurową. Tryb ten jest „wbudowany”, więc działania są podejmowane w czasie rzeczywistym, co jest gwarantem zabezpieczenia danych przed trafieniem do chmury. W przeciwieństwie do wdrażania opartego na API, proxy może wpływać na wydajność działania^[7].

Rozwiązania proxy posiadają dwa warianty:

• Przekazywanie proxy: ten tryb wymaga instalacji „agenta” na każdym urządzeniu użytkownika w celu przesyłania ruchu proxy do wszystkich aplikacji w chmurze. Tego typu wdrożenie może być kosztowne oraz czasochłonne, a także prawidłowo działa tylko w przypadku zarządzanych urządzeń.
• Mobile Connect: typ opisywany jest jako „odwrotny proxy”, ponieważ gwarantuje zadowalającą, a przede wszystkim bezpieczną łączność bez „agentów” dla urządzeń mobilnych oraz niezarządzanych^[7].

Dostawcy oraz zasoby CASB

Rynek funkcjonujących w chmurach brokerów zabezpieczeń dostępu rozwija się sukcesywnie, w związku z czym można spotkać się z wieloma zróżnicowanymi oraz konkurencyjnymi projektami. Organizacje, które zastanawiają się czy CASB w sposób znaczący wpłynie na bezpieczeństwo organizacji w chmurze muszą się liczyć z tym, że systemy CASB nie są sobie równe – często oferują inne możliwość, których skuteczność działania również jest bardziej lub mniej zadowalająca. Wspólnymi mianownikami oraz zasadami, dla których warto się zdecydować na jakiegokolwiek brokera są:

• Zintegrowanie zabezpieczeń w chmurze.
• Poprawa zgodności z przepisami mówiącymi o funkcjonalności zabezpieczeń w chmurze.
• Spójne zarządzanie dostępem i tożsamością^[1].

Oto najlepsi dostawcy CASB według firmy Gartner z wyróżnieniem ich mocnych stron:

• Bitglass CASB – możliwość wdrażania brokera na kilka sposobów, ponadto cechuje go silna funkcjonalność AAC i DLP.
• McAfee MVISION – ma możliwość sprawnego oraz dynamicznego profilowania grup użytkowników w celu wykrycia anomalii zachowania wśród nich.
• Microsoft Cloud App Security – macierzyste integracje z Azure AD, Azure Information Protection i Microsoft Intune.
• Netskope CASB – silna koncentracja na ochronie użytkowników mobilnych.
• Symantec CloudSOC Cloud Access Security Broker (CASB) – silne oprogramowanie DLP w całej infrastrukturze Symantec^[8].

Przypisy

1. Rozwiązania CASB | Infradata [online], www.infradata.pl [dostęp 2020-04-15] .
2. Gartner: Fueling the Future of Business [online], Gartner [dostęp 2020-04-15]  (ang.).
3. What is a Cloud Access Security Broker (CASB)? | Forcepoint [online], www.forcepoint.com [dostęp 2020-05-11]  (ang.).
4. What is a CASB (Cloud Access Security Broker)? Definition from WhatIs.com [online], SearchCloudSecurity [dostęp 2020-04-15]  (ang.).
5. What is a CASB? McAfee’s Guide to Cloud Access Security Brokers [online], Skyhigh [dostęp 2020-04-15]  (ang.).
6. Is the Cloud Secure? [online], www.gartner.com [dostęp 2020-04-15]  (ang.).
7. What is CASB | Guide to Cloud Access Security Broker [online], CipherCloud [dostęp 2020-04-15]  (ang.).
8. Jeff Petters Updated: 3/29/2020, What is CASB? All About Cloud Access Security Brokers | Varonis [online], Inside Out Security, 18 września 2019 [dostęp 2020-04-15]  (ang.).