CASB: assegurar a ligação entre utilizadores e a cloud

Visibilidade e controlo é uma necessidade de todas as organizações. Numa altura em que a cloud ganha cada vez mais importância, proteger a ligação entre os utilizadores empresariais e os fornecedores de serviços na cloud ganha outra relevância.

O CASB – Cloud Access Security Broker, ou mediador de segurança de acesso à nuvem, numa tradução livre – é o “ponto de aplicação de políticas de segurança posicionado entre os utilizadores empresariais e os fornecedores de serviços em nuvem”, escreve a Microsoft.

À IT Security, Bruno Duarte, Security Engineer Team Leader da Check Point Software Technologies em Portugal, explica que o CASB atua como “intermediária” e “permite que sejam aplicadas políticas de controlo de acesso exigindo a autenticação e autorização contínua de utilizadores e/ou dispositivos numa ótica Zero-Trust”.

Sendo uma “componente importante da infraestrutura de segurança de uma organização”, permite que a política de segurança seja estendida para ambientes cloud, tendo quatro principais capacidades: visibilidade, segurança de dados na cloud, proteção contra ameaças e conformidade.

“Ao monitorizar de perto as atividades dos utilizadores em serviços cloud, o CASB identifica comportamentos suspeitos e implementa políticas de controlo de acesso rigorosas. Além disso, realiza a descoberta de serviços cloud não geridos, evitando que dados confidenciais sejam armazenados em locais não autorizados” Bruno Duarte, Security Engineer Team Leader da Check Point Software Technologies em Portugal

No caso da visibilidade, diz Bruno Duarte, o CASB disponibiliza “capacidades de monitorização e em tempo real e auditoria aos utilizadores, ao modo a como acedem e utilizam as aplicações baseadas na cloud. Os registos de acesso fornecem uma compreensão de como a infraestrutura da cloud funciona e visibilidade das tentativas de ataque. Além disso, o CASB pode fornecer informações shadow IT, onde a utilização de aplicações SaaS não aprovadas corre o risco de fugas de dados e outras ameaças à segurança”.

O CASB também permite “implementar não só políticas de controlo de acesso, garantindo que apenas utilizadores autorizados tenham permissão para aceder a determinados dados e aplicações; para isto podem ainda ser utilizadas integrações com soluções de Identity and Access Management (IAM), mas também a gestão de acesso e a prevenção de perda de dados (DLP) para ajudar a controlar o acesso e proteger os ativos baseados na cloud, garantindo que o acesso a estes ativos é feito através de canais seguros e que estes estejam encriptados”.

Como referido, o CASB oferece prevenção avançada contra ameaças, incluindo, como diz o representante da Check Point, “a capacidade de identificar e bloquear a distribuição de malware através da infraestrutura baseada na cloud. Todos os ficheiros carregados, partilhados e descarregados da cloud podem ser inspecionados quanto a potenciais ameaças antes de chegarem ao seu destino”.

Por último, este tipo de soluções ajuda as empresas a alcançar e a demonstrar a conformidade com os regulamentos existentes através da definição de controlos de acesso rigorosos, que ajudam a garantir que apenas os utilizadores legítimos têm acesso a dados protegidos. Os registos de acesso e relatórios podem demonstrar o sucesso destes controlos de segurança aos auditores.

Desafios na implementação

Bruno Duarte alerta que a implementação de um CASB numa organização apresenta desafios específicos. Entre os desafios está a integração com os serviços na cloud, políticas de segurança coerentes ou a adoção por parte dos utilizadores.

“Integrar efetivamente o CASB com os serviços cloud utilizados pela organização pode ser desafiante devido à diversidade de plataformas e protocolos”, explica, acrescentando também que “estabelecer políticas de segurança coesas que abranjam todos os serviços na cloud, garantindo consistência nas práticas de segurança, pode ser complexo”.

Depois, é necessário “identificar e proteger os dados sensíveis” ao migrar para a cloud, que um “desafio importante” é a “classificação adequada e a aplicação de políticas de prevenção contra perda de dados”. Ao mesmo tempo, é necessário garantir que “os utilizadores compreendem e adotam as medidas de segurança associadas ao CASB” que, diz, “pode enfrentar resistência e precisar de esforços educacionais eficazes”. Por último, um “desafio constante” é a colocação de uma “monitorização eficaz das atividades na cloud” para identificar e responder a eventos de segurança em tempo real.

Para ultrapassar estes desafios, o Security Engineer Team Leader da Check Point Software Technologies em Portugal afirma que é necessário “desenvolver um plano estratégico abrangente antes da implementação, considerando os requisitos específicos da organização”, assim como “fomentar a colaboração entre as equipas de segurança, IT e utilizadores finais” para garantir “uma implementação holística e alinhada” com os objetivos da organização.

Também é necessário optar por soluções CASB flexíveis, investir em programas de formação e implementar “uma abordagem de avaliação contínua para garantir que as políticas e medidas de segurança evoluem em resposta às mudanças nas ameaças e nas necessidades da organização”.

Melhores práticas

Uma solução de CASB implementada pelas organizações tem de ter “flexibilidade” e “ser interoperável” para “garantir que pode ser integrada de maneira eficaz” com os ambientes cloud utilizados pela organização. “Independentemente dos fornecedores de serviços cloud utilizados”, esta flexibilidade é conseguida “através da utilização de API, agentes, integração com sistemas de Identity and Access Management, redireccionamento de tráfego para controlo e até mecanismos de inteligência artificial e análise de comportamento”.

Assim, é preciso que exista uma familiarização com as API fornecidas pela cloud em questão e um entendimento “dos pontos de integração e as capacidades oferecidas pelas API” para aplicar políticas de segurança “de maneira eficaz”. Ao mesmo tempo, é preciso “aplicar políticas de segurança consistentes e granulares que abranjam os requisitos específicos da plataforma de cloud e que cumpram os padrões de conformidade” e monitorizar “de forma contínua para identificar comportamentos suspeitos ou anomalias, promovendo uma resposta rápida a ameaças em tempo real”.

Por fim, aconselha-se a realizar “testes regulares de segurança para validar a eficácia das políticas implementadas e identificar possíveis falhas” e que as organizações se mantenham “a par das atualizações e mudanças nas plataformas de cloud e ajustar as configurações do CASB conforme necessário” para “garantir uma proteção contínua” dos ambientes.

Lidar com as ameaças

Bruno Duarte indica que é necessário ter uma abordagem por camadas para “enfrentar a natureza dinâmica e em constante evolução” das ameaças, nomeadamente ataques de ransomware. “A integração com outras soluções de segurança e threat intelligence permite que esta defesa por camadas seja mais abrangente”, acrescenta.

“Ao monitorizar de perto as atividades dos utilizadores em serviços cloud, o CASB identifica comportamentos suspeitos e implementa políticas de controlo de acesso rigorosas. Além disso, realiza a descoberta de serviços cloud não geridos, evitando que dados confidenciais sejam armazenados em locais não autorizados”, afirma Bruno Duarte.

Através da aplicação de políticas de prevenção de fuga de dados, o CASB “identifica e bloqueia tentativas de transferência de informações sensíveis para fora do ambiente autorizado. A utilização de criptografia e tokens reforça a proteção dos dados, assegurando que, mesmo em caso de acesso não autorizado, as informações permanecem ininteligíveis”, explica.