¿Qué es un CASB (agente de seguridad de acceso a la nube)?

Un agente de seguridad de acceso a la nube (CASB) es un intermediario de seguridad entre los usuarios de la nube y las aplicaciones basadas en la nube. Los CASB gestionan y aplican todas las prácticas y directivas de seguridad de los datos, incluidas la autenticación, la autorización, las alertas y el cifrado. Ofrecen visibilidad sobre el uso de las aplicaciones en la nube, monitorizan el comportamiento de los usuarios y ayudan a garantizar el cumplimiento a través de directivas de seguridad, protegiendo los datos confidenciales y gestionando los riesgos asociados a los servicios en la nube en todos los dispositivos y endpoints.

Los CASB protegen a las organizaciones al combinar técnicas de prevención, monitorización y mitigación. Además de revisar la actividad de los usuarios, los CASB pueden alertar a los administradores de posibles actividades maliciosas, bloquear la instalación de malware u otras amenazas, y detectar problemas de cumplimiento. También son capaces de revisar el firewall o los logs del proxy de una organización para entender mejor el uso de las aplicaciones de la nube y detectar comportamientos anómalos.

Los CASB son especialmente útiles dada la proliferación de servicios basados en la nube y la creciente popularidad de las directivas que animan a los empleados a llevar su propio equipo al trabajo. En conjunto, estas dos tendencias han ampliado enormemente el entorno de datos, lo que dificulta que el departamento de TI supervise el uso de la red y garantice la protección de los datos de la empresa.

Dado que los CASB acceden a dispositivos personales, es importante que cumplan las normas de privacidad vigentes y que solo inspeccionen datos corporativos.

Comparativa: CASB, CSPM y CWPP

Los elementos centrales de la gestión de la posición de seguridad en la nube (CSPM) se comparan a menudo con los de las plataformas de protección de cargas de trabajo en la nube (CWPP). La CSPM se centra en proteger las API en la nube y evitar errores de configuración, y se integrar en la canalización de integración continua/entrega continua (IC/EC). Por otro lado, las CWPP se centran en la protección del tiempo de ejecución y la gestión continua de vulnerabilidades en los contenedores de la nube. Ahora bien, tanto la CSPM como la CWPP están diseñadas para proteger la información confidencial almacenada en la nube.

Mientras que la CSPM y la CWPP se centran en proteger los datos, el cometido de la CASB es mejorar la visibilidad en los endpoints, lo que incluye quién accede a los datos y cómo se utilizan.

Tanto los CASB, como las CSPM y las CWPP funcionan conjuntamente para proteger los datos en la nube y el acceso a ellos. Se recomienda a las organizaciones que implementen los tres métodos de seguridad para optimizar su infraestructura de seguridad en la nube.

Comparación de los modelos CASB tradicionales y de última generación

Si comparamos los diferentes modelos de CASB, observamos los aspectos positivos y las limitaciones de los enfoques tradicionales y los de última generación. Los CASB tradicionales suelen centrarse en proteger los servicios de la nube al proporcionar visibilidad, protección de datos y cumplimiento normativo a través de métodos como implementaciones basadas en API y en proxy. Estos modelos son eficaces para cubrir las necesidades básicas de seguridad de la nube, ya que ofrecen control sobre los flujos de datos y la actividad de los usuarios dentro de las aplicaciones de la nube. Sin embargo, suelen tener problemas para adaptarse a la naturaleza dinámica y compleja de los entornos modernos de la nube, especialmente en lo relativo a la detección y la respuesta a amenazas en tiempo real. Los CASB tradicionales pueden tener dificultades para gestionar el tráfico cifrado y las ciberamenazas avanzadas, y para hacer frente a la escalabilidad que requieren las infraestructuras de la nube y su rápida evolución.

Por otro lado, los CASB de última generación están diseñados para superar esas limitaciones, ya que integran capacidades avanzadas como el aprendizaje automático, el análisis del comportamiento y la integración profunda con otras herramientas de seguridad. En estos modelos, la detección de amenazas es mejor, las directivas se aplican de manera más detallada y las capacidades de protección cubren a una gama más amplia de aplicaciones en la nube, incluidas aquellas que son menos tradicionales o más complejas. Además, los CASB de última generación están mejor equipados para gestionar las demandas de los entornos multinube y de nube híbrida, ya que incorporan soluciones de seguridad más escalables y adaptables. A través de estas funciones avanzadas, las organizaciones pueden lograr una protección más sólida y completa en todos los servicios de la nube, y garantizar que su posición de seguridad responde a los cambios constantes que se producen en el panorama de amenazas.

Características y funciones clave de un CASB

Los principales objetivos del CASB son proteger los datos confidenciales de la organización contra robos, pérdidas o filtraciones, y proporcionar visibilidad y control sobre el uso de los servicios en la nube por parte de una organización. Llenan el vacío de seguridad que genera el cambio a la nube y la explosión de endpoints. Entre las funciones principales del CASB se incluyen las siguientes:

Gobernanza de datos

El CASB es responsable de gobernar el uso de la nube de la organización al proporcionar visibilidad detallada y diversos controles basados en la identidad del usuario, el servicio, la aplicación, la actividad, la ubicación o el endpoint. El CASB también automatiza la gestión de las infracciones de las directivas de datos a través de acciones diversas, como el bloqueo, la anulación, el envío de alertas, el cifrado o la cuarentena. Además, esta solución ofrece al equipo de TI un resumen de las medidas tomadas para responder a las infracciones de directivas.

Seguridad de los datos

Los CASB buscan evitar el robo, la pérdida o la filtración de datos en todos los servicios y aplicaciones de la nube con técnicas como el cifrado o la tokenización, entre otras. Implementan herramientas y procesos de prevención de pérdida de datos (DLP) para datos en uso, en movimiento o en reposo desde cualquier servicio o aplicación de la nube hasta cualquier endpoint. Además, monitorizan proactivamente el entorno de seguridad de la nube en busca de infracciones de directivas. 

Protección contra amenazas

Los CASB proporcionan visibilidad y control totales de los datos de la organización en todos los servicios de la nube. Identifican y aíslan las amenazas basadas en la nube, incluidos malware y ransomware. Los CASB también aprovechan la IA, el aprendizaje automático (ML) y otras herramientas de automatización inteligente para detectar comportamientos anómalos. Evolucionan continuamente para responder a los cambios constantes del panorama de amenazas, y garantizar una protección continua contra estos riesgos. Además, los CASB alertan al equipo de seguridad de la nube de cualquier amenaza activa o actividad anómala.

Los modelos de implementación de CASB: enfoques basados en API, basados en proxy e híbridos

Los diferentes modelos de implementación de CASB que existen están diseñados para proporcionar a las organizaciones formas flexibles y eficaces de proteger sus entornos en la nube. Estos modelos suelen clasificarse en tres categorías: basados en API, basados en proxy y enfoques híbridos. El modelo basado en API se integra a la perfección con los proveedores de servicios en la nube (CSP) mediante el uso de sus API, lo que permite al CASB monitorizar y aplicar directivas de seguridad sin que la experiencia del usuario se vea afectada. Este modelo es especialmente útil para gestionar algunos de los servicios de la nube más populares, como Microsoft 365 y Google Workspace, ya que aporta visibilidad y control sobre los flujos de datos dentro de la capa de aplicación. Sin embargo, sus capacidades de detección y mitigación de amenazas en tiempo real pueden ser algo limitadas.

Por el contrario, la implementación basada en proxy ofrece seguridad en línea al enrutar el tráfico de la nube a través del CASB, lo que ofrece la posibilidad de llevar a cabo la inspección y la aplicación de directivas de seguridad en tiempo real. Para ello, se puede recurrir a un forward proxy y que las solicitudes de los usuarios se canalicen a través del CASB, o a un reverse proxy, para que el CASB intercepte el tráfico que entra y sale de la aplicación de la nube. Aunque esta estrategia ofrece una protección sólida y un control detallado, puede introducir cierta latencia y requerir una configuración más compleja. Los modelos de implementación híbrida combinan los puntos fuertes de los enfoques basados en API y los basados en proxy, para proporcionar una cobertura de seguridad integral que equilibra la perfecta integración de los modelos basados en API con la protección en tiempo real que ofrecen las soluciones basadas en proxy.

¿Cuáles son los cuatro pilares de los CASB?

Los CASB se basan en cuatro principios básicos: visibilidad, cumplimiento, seguridad de la nube y protección contra amenazas.

1. Visibilidad

El cambio a la nube ha hecho que sea mucho más difícil para las organizaciones de TI mantener la visibilidad de dónde y cómo se utilizan sus datos. Si una organización no puede "ver" sus datos, no puede garantizar que el uso que se hace de ellos cumpla con las directivas de datos pertinentes.

El CASB mejora la visibilidad que tiene la organización sobre los servicios, las aplicaciones y endpoints de la nube que acceden a los datos empresariales. Además, controla diferentes niveles de acceso basados en la identidad del usuario, la ubicación, la función laboral o el dispositivo. Por ejemplo, un CASB puede permitir que determinados archivos se compartan internamente con usuarios autorizados y bloquear el intercambio de los mismos archivos con terceros.

2. Cumplimiento

La creciente complejidad de los modelos de negocio basados en la nube no es un eximente para que las organizaciones cumplan con todas las regulaciones gubernamentales y sectoriales aplicables en materia de privacidad y uso responsable de los datos empresariales. Si el CASB está correctamente diseñado y configurado, simplificará el entorno normativo al automatizar la presentación de informes y detectar posibles infracciones de las normativas pertinentes, como el RGPD, la HIPAA y el PCI DSS.

3. Seguridad de la nube

Ahora que cada vez más empresas cuentan con plantillas que trabajan en remoto, la dependencia de la infraestructura basada en la nube es mayor y la protección de los datos confidenciales se ha vuelto más difícil. Por otro lado, la creciente sofisticación de los hackers y adversarios digitales pone de relieve la importancia de contar con capacidades de prevención. Las soluciones tradicionales de protección de datos están diseñadas para proteger los datos que se utilizan en los entornos locales, por lo que deben adaptarse y ampliarse para proteger los servicios en la nube.

El CASB complementa las capacidades de protección frente a pérdida de datos (DLP) existentes de la organización, lo que permite al departamento de TI aplicar los mismos principios a los datos en uso, en movimiento y en reposo dentro del entorno de la nube.

4. Protección contra amenazas

La creciente sofisticación de los adversarios digitales aumenta el riesgo de sufrir robos y filtraciones de datos. A su vez, la naturaleza relativamente compleja de la arquitectura de la nube aumenta la posibilidad de que se produzcan errores humanos. Por ejemplo, los buckets S3 de Amazon mal configurados que dejan puertos abiertos al público o cuentas o API inseguras pueden convertir las cargas de trabajo típicas de la nube en objetivos claros para los ciberdelincuentes, que pueden detectarlos fácilmente con un simple rastreador web.

Los CASB ayudan a las organizaciones a mejorar la visibilidad que tienen de los datos en el entorno de la nube. Para ello, emplean diversas herramientas de detección, monitorización y prevención. Así, pueden permitir, por ejemplo, que el equipo de seguridad de la información (InfoSec) analice y corrija las amenazas en las redes internas y externas en tiempo real. Los CASB también permiten a las organizaciones detectar y bloquear el acceso no autorizado de los usuarios a los servicios y datos en la nube.

¿Por qué necesitas un CASB?

La gran ventaja de la computación en la nube es, a la vez, su principal inconveniente: los usuarios pueden acceder a entornos en la nube desde cualquier lugar con una conexión a Internet y, por la misma regla de tres, también pueden hacerlo los ciberdelincuentes y los atacantes.

La seguridad es una de las principales preocupaciones para las empresas que deciden migrar a un modelo basado en la nube. Las empresas deben diseñar e implementar una solución de seguridad integral destinada a proteger el entorno en la nube frente a una serie de amenazas y ataques que van en aumento y son cada vez más sofisticados. Las estrategias de seguridad tradicionales destinadas a proteger las redes alojadas en los entornos locales y los recursos asociados deben actualizarse para hacer frente a las amenazas relacionadas con el entorno de la nube.

Es importante recordar que las redes en la nube se adhieren a lo que se conoce como "modelo de responsabilidad compartida". Esto significa que gran parte de la infraestructura subyacente está protegida por el proveedor de servicios en la nube (CSP). Sin embargo, todo lo demás, desde el sistema operativo hasta las aplicaciones y los datos, es responsabilidad del usuario. Por desgracia, esta premisa puede malinterpretarse y llevar a pensar que el CSP se encarga de proteger en su totalidad las cargas de trabajo en la nube. Como consecuencia, los usuarios ejecutan inadvertidamente cargas de trabajo en una nube pública que no están del todo protegidas, lo que implica que los adversarios pueden atacar el sistema operativo y las aplicaciones para obtener acceso. Incluso las cargas de trabajo configuradas de forma segura pueden convertirse en un objetivo durante el tiempo de ejecución, ya que son vulnerables a los exploits de día cero.

Ventajas de los CASB

Los CASB ofrecen a las organizaciones una visibilidad mucho más detallada de cómo se utilizan los datos en el entorno de la nube, incluidas las aplicaciones, los servicios y los usuarios de la nube. Están diseñados para ayudar a las organizaciones a protegerse contra los desafíos y debilidades de seguridad propios de la nube.

Por ejemplo, si el CASB está configurado correctamente, puede reducir el riesgo de que haya shadow IT, o aplicaciones e infraestructuras que se gestionan y utilizan sin el conocimiento del departamento de TI de la empresa. La shadow IT es una preocupación cada vez mayor para muchas organizaciones, debido al cambio a un modelo de software DevOps ágil. En este modelo, los desarrolladores suelen generar cargas de trabajo desde sus cuentas personales. Estos recursos no autorizados son una amenaza para el entorno, pues en general no están correctamente protegidos y, por ejemplo, pueden ser accesibles a través de configuraciones o contraseñas predeterminadas. Los CASB proporcionan a las organizaciones visibilidad en casos como este y les ofrecen recomendaciones automatizadas para que el equipo de TI pueda responder de manera adecuada.

Cómo escoger el CASB adecuado

Las organizaciones que tienen previsto adoptar un CASB deben ver esta solución como una herramienta única dentro de la estrategia de ciberseguridad general. Por ello, deben evaluar la capacidad del proveedor del CASB para integrarse con su infraestructura de seguridad existente, como la herramienta de DLP, la solución de gestión de eventos e información de seguridad (SIEM), los firewall y las puertas de enlace web seguras. Además, deben realizar lo siguiente:

Examinar la solución teniendo en mente casos de uso específicos. Las necesidades de seguridad de la nube de cada organización son únicas. Al analizar los distintos proveedores de CASB, las organizaciones deben definir qué casos de uso desean priorizar y evaluar a los proveedores en consecuencia, ya que así podrán garantizar que el proveedor seleccionado cuenta con la experiencia necesaria para satisfacer sus necesidades específicas.

Evaluar el panorama de proveedores de CASB. Apóyate en las publicaciones de medios de comunicación y en los informes de analistas para determinar qué proveedores tienen un historial sólido en la prevención de brechas y en la resolución rápida y eficaz de incidentes de seguridad. Como ya hemos mencionado, es importante identificar a los proveedores que pueden responder a los casos de uso específicos de tu organización. Si estás considerando varios casos de uso, asegúrate de conocer cualquier limitación potencial que pueda tener la solución.

Probar la solución. Muchos proveedores ofrecen a los clientes la posibilidad de probar una aplicación crítica antes de la implementación completa. De este modo, se garantiza que la solución de CASB es compatible con la infraestructura de nube actual de la organización y con sus recursos existentes.

Resumir las funcionalidades del CASB. Durante el periodo de prueba y evaluación, la organización también debe determinar el papel que tendrá el CASB en la autenticación, la autorización, el envío de alertas y el cifrado. El equipo de TI tendrá, por ejemplo, que determinar cuándo y cómo se aplicará la autenticación granular basada en el riesgo, y si el CASB ofrecerá esta funcionalidad. El equipo también puede necesitar determinar si la solución CASB se integrará con las herramientas existentes de identidad como servicio (IDaaS) o de inicio de sesión único (SSO).

Realizar auditorías periódicas. El panorama de amenazas puede cambiar con rapidez. Es importante realizar auditorías periódicas con tu proveedor de CASB una vez contratado para garantizar que tu organización y tus datos están protegidos como es debido.

Empezar a utilizar CrowdStrike Falcon Cloud Security

CrowdStrike ofrece soluciones integrales de seguridad de la nube diseñadas para proteger datos, aplicaciones y cargas de trabajo en todos los tipos de entornos de la nube. Tanto si utilizas una nube pública, privada o híbrida, CrowdStrike Falcon® Cloud Security ayudará a tu organización a conseguir una seguridad integral a través de una plataforma unificada​.

Al aprovechar las potentes herramientas de seguridad de la nube de CrowdStrike, las organizaciones pueden proteger sus entornos en la nube al tiempo que se benefician de la inteligencia sobre amenazas en tiempo real y de un enfoque proactivo en la respuesta a incidentes.