Le vulnerabilità delle VPN ti preoccupano? Scopri come usufruire della nostra offerta per eliminare le VPN che include 60 giorni di prova gratuiti.

Parla con un esperto

Cosa si intende per CASB (Cloud Access Security Broker)?

Un CASB (Cloud Access Security Broker) è un punto di applicazione delle policy che si colloca tra gli utenti delle app cloud e i servizi cloud al fine di fornire servizi di protezione dati e di tutela dalle minacce. I CASB prevengono in automatico la fuga dei dati sensibili, bloccano malware e altre minacce, rilevano e controllano lo shadow IT, bloccano la condivisione rischiosa, applicano le policy di sicurezza, come l'autenticazione e la segnalazione, e assicurano la conformità.

Cloud Access Security Broker (CASB)
Guarda

Perché oggi un CASB è fondamentale?

Con la crescente adozione del cloud, i CASB sono diventati un elemento fondamentale per la sicurezza aziendale. Oltre a offrire varie funzioni di sicurezza informatica, controllo degli accessi e protezione dei dati, questi strumenti consentono di recuperare il controllo sui dati aziendali in movimento e inattivi che s trovano su piattaforme e app cloud. Ecco perché i CASB sono essenziali:

  • La diffusione delle piattaforme e delle applicazioni cloud (ad esempio, Microsoft 365 e Salesforce) ha reso gli strumenti tradizionali di sicurezza di rete, come i firewall dei data center, molto meno efficaci.
  • I team IT non hanno più il controllo che avevano un tempo. Praticamente chiunque può acquistare e utilizzare una nuova app cloud, e l'IT non è in grado di gestire manualmente i controlli granulari degli accessi degli utenti su tale scala.
  • Possono applicare le policy per il controllo dello shadow IT, la prevenzione della perdita di dati cloud (DLP), la gestione del profilo di sicurezza SaaS (SSPM) e la protezione dalle minacce avanzate.

Il ruolo dei CASB nelle imprese

In quanto guardiani delle attività interne ed esterne agli ambienti cloud, e offrendo visibilità sulle attività, applicazione delle policy, rilevamento delle minacce e protezione dei dati, i CASB consentono alle aziende di adottare con sicurezza il cloud mantenendo al contempo il controllo e la conformità.Approfondiamo alcuni dei vantaggi concreti di un CASB.

I vantaggi del CASB

Nell'ambito di una strategia di sicurezza cloud olistica, un CASB efficace offre vantaggi importanti:

Visibilità su shadow IT e rischi

Con la diffusione del lavoro remoto e il sempre maggiore utilizzo dei dispositivi personali (BYOD), le organizzazioni hanno bisogno della massima visibilità sugli utenti, i dispositivi e le applicazioni SaaS che accedono ai loro ambienti cloud. In questo contesto, il rischio associato agli accessi non autorizzati aumenta cresce esponenzialmente.Un CASB rileva l'utilizzo delle app cloud nell'organizzazione, genera report sulla spesa per il cloud e valuta i rischi, per aiutare a creare e mantenere policy di accesso sempre adeguate.

Gestione dell'utilizzo del cloud

L'utilizzo del cloud può essere soggetto a una serie di obblighi di conformità, soprattutto in settori altamente regolamentati, come i servizi finanziari, la sanità e la pubblica amministrazione. Un CASB è in grado di identificare i principali fattori di rischio specifici di un settore e impostare rigorose policy per la protezione dati, per garantire l'ottemperanza alle normative e preservare la conformità in tutta l'organizzazione.

Sicurezza dei dati e DLP

Il volume dei dati a livello mondiale raddoppia ogni due anni, e il relativo rischio che questi dati generano aumenta di pari passo. La combinazione di un CASB con una soluzione di DLP cloud consente di rilevare e mitigare i potenziali rischi. Sfruttando la massima visibilità sui contenuti sensibili che viaggiano verso, da o tra gli ambienti cloud, si hanno maggiori possibilità di identificare gli incidenti, applicare le policy e preservare la sicurezza dei dati.

Prevenzione delle minacce

Nell'ecosistema IT di oggi, le risorse cloud sono solitamente le più vulnerabili. Con l'analisi del comportamento e l'intelligence sulle minacce offerte da un CASB efficiente, è possibile identificare e correggere rapidamente le attività sospette, preservare la sicurezza di applicazioni e dati cloud e potenziare a livello generale il profilo di sicurezza sul cloud dell'organizzazione.

Secondo vari analisti, tra cui quelli di Gartner, ogni azienda con una presenza significativa sul cloud necessita di un CASB per proteggere i propri dati con base cloud.

Tom Henderson, Computerworld

Come implementare un CASB

A livello generale, per implementare un CASB è necessario valutare le esigenze dell'organizzazione, abbinarle al prodotto giusto, configurarlo nel modo che meglio si adatta ai sistemi esistenti, ed eseguire monitoraggio e audit continui. Questo processo può essere suddiviso in cinque passaggi:

  1. Valutazione dell'ambiente e pianificazione: è necessario comprendere i servizi e le app cloud in uso, i rischi, le policy di sicurezza e i requisiti di conformità.

  2. Scelta della soluzione CASB più adatta alle esigenze dell'organizzazione: trovare il fornitore giusto è importante quanto individuare il prodotto giusto, e per questo è fondamentale scegliere un partner di cui potersi fidare.

  3. Integrazione del CASB con i servizi cloud e le directory degli utenti: l'SSO consente un accesso utente sicuro e un'autenticazione veloce.

  4. Configurazione di accesso, condivisione dei dati, DLP e policy di sicurezza:a seconda del settore, potrebbe essere necessario prestare particolare attenzione alle policy relative alla crittografia.

  5. Abilitazione del monitoraggio in tempo reale e del rilevamento delle minacce: le policy vanno riviste e aggiornate periodicamente al mutare delle esigenze dell'organizzazione.

Come funzionano i CASB?

Le soluzioni CASB possono assumere la forma di hardware o software on-premise, ma la modalità di distribuzione più efficace è come servizio cloud, perché così possono garantire maggiore scalabilità, ridurre i costi e semplificare la gestione. In qualunque forma, i CASB possono essere configurati per utilizzare il proxy (forward proxy o reverse proxy), e le API, o entrambi nel caso del CASB multimodale.

Proxy

I CASB devono operare al livello di percorso dei dati, quindi la soluzione ideale deve essere fondata su un'architettura proxy cloud. I forward proxy, o proxy di inoltro, sono quelli più comunemente utilizzati con il CASB, per garantire la privacy e la sicurezza degli utenti dal lato client.

Un forward proxy intercetta le richieste per i servizi cloud durante il percorso verso la relativa destinazione. Quindi, in base alla policy aziendale, il CASB esegue la mappatura delle credenziali e l'autenticazione SSO (Single Sign-On), la verifica del profilo del dispositivo, il logging, la segnalazione, il rilevamento dei malware, la crittografia e la creazione di token.

API

Un proxy inline intercetta i dati in movimento, ma è necessario disporre di una sicurezza fuori banda per i dati inattivi nel cloud, che i provider di soluzioni CASB forniscono attraverso integrazioni con le interfacce di programmazione delle applicazioni (API) dei provider di servizi cloud.

Cos'è un CASB multimodale?

In modalità proxy, i CASB forniscono l'applicazione inline delle policy per bloccare in tempo reale la divulgazione non autorizzata di dati e malware. Possono inoltre integrarsi con le API per eseguire la scansione dei contenuti delle app SaaS e individuare e rispondere a modelli di dati sensibili e a minacce come i ransomware. Ultimamente, le integrazioni API vengono utilizzate per l'SSPM (SaaS Security Posture Management), attraverso cui i CASB risolvono gli errori di configurazione all'interno delle applicazioni.

I CASB che offrono sia la modalità proxy che quella basata sulle API sono chiamati CASB multimodali. Oltre a proteggere le applicazioni SaaS, possono proteggere le infrastrutture IaaS, come Microsoft Azure e AWS S3. Inoltre, invece di distribuire il CASB come un altro prodotto indipendente, è possibile distribuirlo come parte di una piattaforma SSE, per garantire una sicurezza uniforme, prestazioni migliori e consolidare la gestione.

Cosa pensa Gartner del CASB?

Gartner ha definito per la prima volta il "CASB" nel 2012, quando questa tecnologia veniva usata dalle organizzazioni principalmente per controllare lo shadow IT.

Con il tempo, i vantaggi e le capacità del CASB hanno iniziato a sovrapporsi sempre più ai benefici e alle funzionalità dei Secure Web Gateway (SWG), e nel 2019 Gartner ha definito il Secure Access Service Edge (SASE), un framework di servizi forniti sul cloud che fornisce "tutte le funzioni della WAN, oltre a funzionalità complete di sicurezza della rete (come SWG, CASB, FWaaS e ZTNA), per supportare le esigenze dinamiche di accesso sicuro delle imprese digitali".

Nel 2021, Gartner ha approfondito questo concetto, definendo la parte del SASE incentrata sulla sicurezza come SSE (Security Service Edge). Questo riflette l'impregno crescente in tutto il mondo volto a semplificare stack complessi e disgiunti di soluzioni di sicurezza. Gartner prevede che, entro il 2024, il 30% delle aziende avrà adottato le funzionalità SWG, CASB, ZTNA e FWaaS (firewall come servizio) di un unico provider.

CASB e SASE

Il CASB e il SASE si completano a vicenda: il primo protegge le interazioni e i flussi di dati sul cloud, mentre il secondo integra in modo più ampio la sicurezza sul cloud, il networking e il controllo degli accessi. Il SASE include il CASB per definizione, e consente alle organizzazioni di applicare policy e proteggere i dati nell'ambito della propria architettura di rete.

I principali casi d'uso del CASB

1. Rilevamento e controllo dello shadow IT

Se gli utenti archiviano e condividono file e dati aziendali sulle app cloud non autorizzate, la sicurezza dei dati ne risente. Per contrastare questo fenomeno, è necessario comprendere e proteggere l'utilizzo del cloud all'interno dell'organizzazione.

Zscaler CASB è in grado di rilevare automaticamente lo shadow IT individuando le app rischiose che vengono visitate dagli utenti. Le policy automatizzate e facilmente configurabili avviano quindi una serie di azioni (ad es. consentono o bloccano, prevengono l'upload, limitano l'utilizzo) per singole app e categorie di app.

2. Protezione dei tenant SaaS non aziendali

Gli utenti possono utilizzare contemporaneamente istanze autorizzate e non autorizzate di app come Google Drive. Rispondere con l'autorizzazione o il blocco completo di un'app può incoraggiare la condivisione inappropriata o ostacolare la produttività.

Zscaler CASB è in grado di distinguere tra tenant SaaS autorizzati e istanze non autorizzate, in modo da applicare le policy nel modo appropriato a seconda del caso. I controlli preconfigurati della tenancy SaaS offrono la correzione automatica e in tempo reale.

3. Monitoraggio della condivisione rischiosa dei file

Le applicazioni cloud favoriscono una condivisione e una collaborazione senza precedenti. Di conseguenza, i team addetti alla sicurezza devono sapere chi condivide cosa nelle app autorizzate, per evitare che soggetti pericolosi entrino in possesso dei dati.

Il controllo della collaborazione è una funzionalità chiave di un CASB efficiente. Zscaler CASB scansiona rapidamente e ripetutamente i file all'interno dei tenant SaaS per identificare i dati sensibili, verificare gli utenti con cui sono stati condivisi i file e rispondere in automatico alle condivisioni rischiose, se necessario.

4. Correzione degli errori di configurazione SaaS

Durante la distribuzione e la gestione di un'applicazione cloud, è fondamentale avere una configurazione accurata per garantire che l'app funzioni correttamente e in modo sicuro. Se ci sono errori di configurazione, l'igiene della sicurezza viene compromessa e i dati sensibili diventano facilmente vulnerabili all'esposizione.

Zscaler SSPM si integra con i tenant SaaS tramite API, per cercare gli errori di configurazione che potrebbero compromettere la conformità alle normative. È un componente di Zscaler Workload Posture, insieme alle soluzioni CSPM e CIEM.

5. Prevenzione della divulgazione dei dati

Oltre agli errori di configurazione delle risorse cloud, che potrebbero comportare violazioni e divulgazioni dei dati, è necessario individuare e controllare i pattern dei dati sensibili sul cloud. Molti di questi dati sono regolamentati da quadri normativi, come HIPAA, PCI DSS, GDPR e altri.

Zero Trust Exchange, la nostra piattaforma di sicurezza nativa del cloud, fornisce una protezione unificata dei dati con funzionalità cloud per la DLP e il CASB. Questa soluzione garantisce che le app cloud siano configurate correttamente, per bloccare la perdita dei dati e prevenire la mancanza di conformità; inoltre, impiega tecniche avanzate di classificazione dei dati per identificare e proteggere i dati sensibili ovunque.

6. Prevenzione di attacchi che vanno a buon fine

Se un file infetto riesce a eludere la sicurezza dell'organizzazione e a entrare in una delle app cloud autorizzate, può diffondersi rapidamente alle app connesse e raggiungere altri dispositivi degli utenti. Di conseguenza, le aziende devono potersi difendere dalle minacce in tempo reale, sia per i dati in upload che per i dati inattivi.

Zscaler CASB contrasta l'avanzamento dei malware, con funzionalità di protezione dalle minacce avanzate (ATP), tra cui:

  • Proxy in tempo reale, per impedire l'upload di file dannosi nel cloud
  • Scansione fuori banda, per identificare i file inattivi e correggere le minacce
  • Sandbox cloud, per identificare anche i malware 0-day
  • Cloud Browser Isolation senza agente, per proteggere l'accesso dagli endpoint non gestiti

Zscaler CASB

Zscaler offre il CASB multimodale come servizio, insieme a SWG, ZTNA e molto altro, all'interno della piattaforma completa Zero Trust Exchange™, per aiutare le organizzazioni a fare a meno dei prodotti singoli e isolati, ridurre la complessità dell'IT e ispezionare il traffico in un unico passaggio. Agli amministratori basta semplicemente configurare un'unica policy automatizzata per garantire una sicurezza uniforme su tutti i canali di dati cloud.

Sicurezza inline per i dati cloud in movimento

Il proxy di inoltro ad alte prestazioni e l'ispezione SSL offrono una protezione critica in tempo reale:

  • L'individuazione dello shadow IT e il controllo delle app cloud consentono di identificare e proteggere le app non autorizzate, senza che siano necessari i log dei dispositivi di rete
  • Le misure di DLP non consentono l'upload di dati sensibili sulle app autorizzate e non autorizzate
  • La protezione dalle minacce avanzate blocca in tempo reale i malware noti e quelli sconosciuti, sfruttando sandbox cloud basate sul machine learning
  • Cloud Browser Isolation trasmette le sessioni ai dispositivi personali sotto forma di pixel, per prevenire la perdita di dati senza un proxy inverso

La sicurezza fuori banda per i dati inattivi

La scansione basata sulle API di applicazioni SaaS, piattaforme cloud e relativi contenuti, migliora automaticamente la sicurezza:

  • I dizionari di DLP predefiniti e personalizzabili identificano i dati sensibili nelle app SaaS e nei cloud pubblici
  • La funzionalità di gestione della collaborazione analizza le app per individuare la condivisione rischiosa di file e bloccarla in base alle policy
  • Le sandbox cloud consentono di scansionare i dati inattivi per identificare e rispondere a malware e ransomware 0-day
  • SSPM, CSPM e CIEM valutano le configurazioni SaaS e IaaS e le autorizzazioni per risolvere automaticamente i problemi

un'illustrazione che indica come Zscaler CASB si inserisce nella soluzione completa Zero Trust Exchange

Risorse Suggerite

FAQs

Chi ha bisogno del CASB?

Tutte le organizzazioni che dispongono di dati e app importanti archiviati nei servizi cloud dovrebbero utilizzare un CASB per il monitoraggio e il controllo dei dati inviati tra la rete e il cloud, in modo da assicurare la conformità, prevenire le fughe di dati e bloccare l'accesso non autorizzato. I CASB aiutano inoltre a preservare la visibilità e il controllo sui dati sensibili, e rispondono a numerosi rischi per la sicurezza intrinseci del cloud.

Che cos'è una soluzione CASB?

Un CASB funge da punto di controllo tra la rete e i servizi cloud che monitora e gestisce il traffico dati da e verso le app cloud, fornisce la massima visibilità sulle attività degli utenti, applica le policy di sicurezza, rileva le minacce e protegge i dati sensibili. I CASB aiutano inoltre a preservare il controllo, la conformità e la protezione dei dati nell'ambiente di rete con base cloud.

Come si sceglie un CASB?

Per trovare il CASB giusto per un'azienda, è necessario iniziare valutando cosa deve essere protetto, su quale scala e quali sono i servizi cloud utilizzati. Il CASB giusto offrirà un rilevamento affidabile delle minacce, controlli granulari degli accessi e crittografia avanzata, integrandosi inoltre con l'infrastruttura di sicurezza esistente e l'ambiente cloud. Infine, deve essere individuato il giusto partner tecnologico, un provider di cui ci si fidi che collaborerà con l'organizzazione per rendere la soluzione CASB prescelta più adatta alle esigenze specifiche.

CASB e DLP

Molti CASB incorporano funzionalità di DLP, per impedire che i dati sensibili vengano spostati dalla rete al cloud (o viceversa) senza autorizzazione. Le funzioni di DLP monitorano il traffico dati, bloccano o cifrano i dati sensibili e inviano avvisi su potenziali violazioni o fughe di dati. Insieme, CASB e DLP aiutano a controllare lo spostamento dei dati e a proteggere le informazioni sensibili che viaggiano tra reti locali e servizi cloud.

Il CASB da solo è sufficiente per la sicurezza sul cloud?

Un CASB è essenziale per una  sicurezza sul cloud efficiente, ma da solo non basta. Una sicurezza sul cloud efficace combina il CASB con una rigorosa gestione delle identità e degli accessi, crittografia, sicurezza della rete, audit periodici della sicurezza e altro. Se da un lato il CASB si concentra sulla protezione dei flussi di dati tra la rete di un'organizzazione e il cloud, un'architettura completa di sicurezza sul cloud copre una gamma più estesa di potenziali minacce per tutti gli aspetti dell'infrastruttura e gli ambiti di utilizzo del cloud.