Cosa si intende per CASB (Cloud Access Security Broker)? Un CASB (Cloud Access Security Broker) è un punto per la visibilità e il controllo che tutela le applicazioni cloud con servizi di protezione dei dati e di prevenzione delle minacce, per evitare la divulgazione di dati sensibili, bloccare malware e altre minacce, rilevare e controllare lo shadow IT e garantire la conformità. Dal momento che sono collocati tra gli utenti delle app cloud e i servizi cloud, i CASB sono in grado di monitorare il traffico e l'attività degli utenti, bloccare automaticamente le minacce e la condivisione rischiosa e applicare policy di sicurezza, come l'autenticazione e la segnalazione.

Perché oggi un CASB è fondamentale?

Con la sempre maggiore adozione del cloud, i CASB sono diventati delle soluzioni molto interessanti per la sicurezza aziendale, grazie alle loro varie funzioni di sicurezza informatica, controllo degli accessi e protezione dei dati. Offrono il controllo dei dati aziendali in movimento e di quelli inattivi sulle piattaforme e le app cloud. Oggi, i CASB sono fondamentali perché:

• La diffusione delle piattaforme e delle applicazioni cloud (ad esempio, Microsoft 365 e Salesforce) ha reso gli strumenti tradizionali di sicurezza di rete, come i firewall dei data center, molto meno efficaci.
• I team IT non hanno più il controllo che avevano un tempo. Praticamente chiunque può acquistare e utilizzare una nuova app cloud, e l'IT non è in grado di gestire manualmente i controlli granulari degli accessi degli utenti su tale scala.
• Possono applicare le policy per il controllo dello shadow IT, la prevenzione della perdita di dati cloud (DLP), la gestione del profilo di sicurezza SaaS (SSPM) e la protezione dalle minacce avanzate.

I quattro pilastri di una soluzione CASB

Una soluzione CASB efficace è costruita tenendo conto di quattro caratteristiche fondamentali:

1. Visibilità

Il lavoro da remoto e i dispositivi personali stanno aumentando il bisogno delle organizzazioni di sapere cosa accade nei loro ambienti cloud. I dispositivi non gestiti sono moltissimi e, senza un'adeguata visibilità sulle distribuzioni, si corre il rischio di consentire accessi indesiderati. Un CASB individua l'utilizzo delle applicazioni cloud dell'organizzazione, crea report sulla spesa per il cloud ed esegue valutazioni del rischio per consentire all'azienda di decidere se un'applicazione debba essere bloccata o meno.

2. Conformità

I servizi di cloud computing richiedono il rispetto di una quantità spropositata di normative sulla conformità per poter operare a livello di tutta l'organizzazione. Ciò è particolarmente vero per il settore pubblico, il settore dei servizi finanziari e quello dell'assistenza sanitaria. Con un CASB, è possibile identificare i principali fattori di rischio del proprio settore e impostare rigorose policy di protezione dei dati, in modo da garantire il rispetto delle normative e preservare la conformità in tutta l'organizzazione.

3. Sicurezza dei dati

Ogni due anni, il volume dei dati mondiali raddoppia. Questo aumento esponenziale ha reso gli utenti malintenzionati più audaci che mai. La combinazione di CASB e DLP cloud consente non solo di rilevare i potenziali rischi per i dati, ma anche di bloccarli. Inoltre, in questo modo ottieni visibilità sui contenuti sensibili che viaggiano da/verso il cloud o tra i vari cloud, e potrai migliorare la capacità di identificare gli incidenti, applicare le policy più appropriate e, soprattutto, mantenere i dati al sicuro.

4. Protezione dalle minacce

Negli ecosistemi IT moderni, le minacce cloud e i malware dilagano e, nella maggior parte dei casi, le risorse cloud sono le più vulnerabili. Un CASB offre l'analisi del comportamento e la raccolta di informazioni sulle minacce, due risorse fondamentali per potenziare la sicurezza sul cloud. Grazie a queste funzionalità avanzate, è possibile identificare e correggere rapidamente le attività sospette, mantenere al sicuro le applicazioni e i dati cloud e potenziare il profilo di sicurezza cloud dell'organizzazione.

Come funzionano i CASB?

Le soluzioni CASB possono assumere la forma di hardware o software on-premise, ma vengono distribuite al meglio sotto forma di servizio cloud, perché così possono garantire maggiore scalabilità, ridurre i costi e semplificare la gestione. Qualsiasi forma assumano, i CASB possono essere impostati per utilizzare il proxy (proxy di inoltro o reverse proxy), le API o entrambi (la cosiddetta "multimodalità", di cui parleremo più avanti).

Proxy

I CASB devono operare nel percorso dei dati, quindi la soluzione ideale deve essere fondata su un'architettura proxy cloud. I proxy di inoltro, o forward proxy, sono quelli più comunemente utilizzati con il CASB, per garantire la privacy e la sicurezza degli utenti dal lato client. Al contrario, i proxy inversi, o reverse proxy, si collocano nei server Internet e sono soggetti a riduzioni delle prestazioni e a errori di richiesta.

Un proxy di inoltro intercetta le richieste di servizi cloud durante il percorso verso la relativa destinazione. Quindi, in base alla policy, il CASB applica delle funzioni, come la mappatura delle credenziali e l'autenticazione SSO (Single Sign-On), la profilazione del dispositivo, il logging, la segnalazione, il rilevamento dei malware, la crittografia e la creazione di token.

API

Un proxy inline intercetta i dati in movimento, ma è necessario disporre di una sicurezza fuori banda per i dati inattivi nel cloud, che i provider di soluzioni CASB forniscono attraverso integrazioni con le interfacce di programmazione delle applicazioni (API) dei provider di servizi cloud.

Cosa pensa Gartner del CASB?

Gartner ha definito per la prima volta il CASB nel 2012 e le organizzazioni l'hanno utilizzato principalmente per controllare lo shadow IT. Da allora i CASB si sono evoluti, andando oltre la semplice protezione delle applicazioni SaaS, e sono diventati ampiamente applicabili ai modelli PaaS (Piattaforma come servizio) e IaaS (Infrastruttura come servizio) in una serie di nuovi casi d'uso.

Nel corso del tempo, i vantaggi e le funzionalità del CASB hanno iniziato a sovrapporsi sempre di più a quelle del Secure Web Gateway (SWG). Ecco perché nel 2019 Gartner ha definito un nuovo termine: SASE (Secure Access Service Edge), un framework di servizi forniti sul cloud che offre funzionalità WAN e funzioni di sicurezza di rete complete (come SWG, CASB, FWaaS e ZTNA) per supportare le esigenze di accesso sicuro dinamico delle imprese digitali.

Nel 2021, Gartner ha approfondito questo concetto, definendo la parte del SASE incentrata sulla sicurezza come SSE (Security Service Edge). Questo riflette l'impregno crescente in tutto il mondo volto a semplificare stack complessi e disgiunti di soluzioni di sicurezza. Gartner prevede che, entro il 2024, il 30% delle aziende avrà adottato le funzionalità SWG, CASB, ZTNA e FWaaS (firewall come servizio) di un unico provider.

Cos'è un CASB multimodale?

In modalità proxy, i CASB forniscono l'applicazione inline delle policy per bloccare in tempo reale la divulgazione non autorizzata di dati e malware. Possono inoltre integrarsi con le API per eseguire la scansione dei contenuti delle app SaaS e individuare e rispondere a modelli di dati sensibili e a minacce come i ransomware. Ultimamente, le integrazioni API vengono utilizzate per l'SSPM (SaaS Security Posture Management), attraverso cui i CASB risolvono gli errori di configurazione all'interno delle applicazioni.

I CASB che offrono sia la modalità proxy che quella basata sulle API sono chiamati CASB multimodali. Oltre a proteggere le applicazioni SaaS, possono proteggere le infrastrutture IaaS, come Microsoft Azure e AWS S3. Inoltre, invece di distribuire il CASB come un altro prodotto indipendente, è possibile distribuirlo come parte di una piattaforma SSE, per garantire una sicurezza uniforme, prestazioni migliori e consolidare la gestione.

I principali casi d'uso del CASB

1. Rilevamento e controllo dello shadow IT

Se gli utenti archiviano e condividono file e dati aziendali sulle app cloud non autorizzate, la sicurezza dei dati ne risente. Per contrastare questo fenomeno, è necessario comprendere e proteggere l'utilizzo del cloud all'interno dell'organizzazione.

Zscaler CASB è in grado di rilevare automaticamente lo shadow IT individuando le app rischiose che vengono visitate dagli utenti. Le policy automatizzate e facilmente configurabili avviano quindi una serie di azioni (ad es. consentono o bloccano, prevengono l'upload, limitano l'utilizzo) per singole app e categorie di app.

2. Protezione dei tenant SaaS non aziendali

Gli utenti possono utilizzare contemporaneamente istanze autorizzate e non autorizzate di app come Google Drive. La risposta con un approccio sempre uguale, come l'autorizzazione o il blocco completo dell'app, può portare ad altre conseguenze: nel primo caso, può incoraggiare la condivisione inappropriata, mentre nel secondo può ostacolare la produttività.

Zscaler CASB è in grado di distinguere tra tenant SaaS autorizzati e istanze non autorizzate appartenenti a soggetti esterni, in modo da poter applicare le policy in modo appropriato. I controlli preconfigurati della tenancy SaaS offrono una correzione automatica e in tempo reale.

3. Monitoraggio della condivisione rischiosa dei file

Le applicazioni cloud favoriscono una condivisione e una collaborazione senza precedenti. Di conseguenza, i team addetti alla sicurezza devono sapere chi condivide cosa nelle app autorizzate, per evitare che soggetti pericolosi entrino in possesso dei dati.

Il controllo della collaborazione è una funzionalità chiave dei principali CASB. Zscaler CASB scansiona rapidamente e ripetutamente i file all'interno dei tenant SaaS, per identificare i dati sensibili, controllare gli utenti con cui sono stati condivisi e rispondere in automatico alle condivisioni rischiose, se necessario.

4. Correzione degli errori di configurazione SaaS

Durante la distribuzione e la gestione di un'applicazione cloud, è fondamentale avere una configurazione accurata per garantire che l'app funzioni correttamente e in modo sicuro. Se ci sono errori di configurazione, l'igiene della sicurezza viene compromessa e i dati sensibili diventano facilmente vulnerabili all'esposizione.

Zscaler SSPM si integra con i tenant SaaS tramite API, per cercare gli errori di configurazione che potrebbero compromettere la conformità alle normative. È un componente di Zscaler Workload Posture, insieme alle soluzioni CSPM e CIEM.

5. Prevenzione della divulgazione dei dati

Oltre agli errori di configurazione delle risorse cloud, che potrebbero comportare violazioni e divulgazioni dei dati, è necessario individuare e controllare i pattern dei dati sensibili sul cloud. Molti di questi dati sono regolamentati da quadri normativi, come HIPAA, PCI DSS, GDPR e altri.

Zero Trust Exchange, la nostra piattaforma di sicurezza nativa del cloud, offre una protezione dei dati unificata con funzionalità di DLP cloud e CASB. Questa soluzione garantisce che le app cloud siano configurate correttamente per bloccare la perdita dei dati e prevenire la mancanza di conformità; inoltre, impiega tecniche avanzate di classificazione dei dati, come l'EDM (Exact Data Match) e l'IDM (Indexed Document Matching), per identificare e proteggere i dati sensibili ovunque.

6. Prevenzione di attacchi che vanno a buon fine

Se un file infetto riesce a eludere la sicurezza dell'organizzazione e a entrare in una delle app cloud autorizzate, può diffondersi rapidamente alle app connesse e raggiungere altri dispositivi degli utenti. Di conseguenza, le aziende devono potersi difendere dalle minacce in tempo reale, sia per i dati in upload che per i dati inattivi.

Zscaler CASB contrasta l'avanzamento dei malware, con funzionalità di protezione dalle minacce avanzate (ATP), tra cui:

• Proxy in tempo reale, per impedire l'upload di file dannosi nel cloud
• Scansione fuori banda, per identificare i file inattivi e correggere le minacce
• Sandbox cloud, per identificare anche i malware 0-day
• Cloud Browser Isolation senza agente, per proteggere l'accesso dagli endpoint non gestiti

Zscaler CASB

Zscaler offre il CASB multimodale come servizio, insieme a SWG, ZTNA e molto altro, all'interno della piattaforma completa Zero Trust Exchange™, per aiutare le organizzazioni a fare a meno dei prodotti singoli e isolati, ridurre la complessità dell'IT e ispezionare il traffico in un unico passaggio. Agli amministratori basta semplicemente configurare un'unica policy automatizzata per garantire una sicurezza uniforme su tutti i canali di dati cloud.

Sicurezza inline per i dati cloud in movimento

Il proxy di inoltro ad alte prestazioni e l'ispezione SSL offrono una protezione critica in tempo reale:

• L'individuazione dello shadow IT e il controllo delle app cloud consentono di identificare e proteggere le app non autorizzate, senza che siano necessari i log dei dispositivi di rete
• Le misure di DLP non consentono l'upload di dati sensibili sulle app autorizzate e non autorizzate
• La protezione dalle minacce avanzate blocca in tempo reale i malware noti e quelli sconosciuti, sfruttando sandbox cloud basate sul machine learning
• Cloud Browser Isolation trasmette le sessioni ai dispositivi personali sotto forma di pixel, per prevenire la perdita di dati senza un proxy inverso

La sicurezza fuori banda per i dati inattivi

La scansione basata sulle API di applicazioni SaaS, piattaforme cloud e relativi contenuti, migliora automaticamente la sicurezza:

• I dizionari di DLP predefiniti e personalizzabili identificano i dati sensibili nelle app SaaS e nei cloud pubblici
• La funzionalità di gestione della collaborazione analizza le app per individuare la condivisione rischiosa di file e bloccarla in base alle policy
• Le sandbox cloud consentono di scansionare i dati inattivi per identificare e rispondere a malware e ransomware 0-day
• SSPM, CSPM e CIEM valutano le configurazioni SaaS e IaaS e le autorizzazioni per risolvere automaticamente i problemi