{"id":1054,"date":"2020-10-09T10:40:52","date_gmt":"2020-10-09T10:40:52","guid":{"rendered":"https:\/\/www.all4sec.es\/blog\/?p=1054"},"modified":"2020-11-17T12:48:45","modified_gmt":"2020-11-17T12:48:45","slug":"casb-les-suena","status":"publish","type":"post","link":"https:\/\/all4sec.es\/blog\/index.php\/2020\/10\/09\/casb-les-suena\/","title":{"rendered":"CASB, \u00bfles suena?"},"content":{"rendered":"\n

La cada vez m\u00e1s extendida adopci\u00f3n de servicios en la nube<\/strong> ha dado lugar a nuevos retos de ciberseguridad. Las organizaciones comienzan a hacer uso de servicios localizados y gestionados por infraestructuras externas, con lo que eso supone en cuanto a riesgos telem\u00e1ticos.<\/p>\n\n\n\n

Uno de los conceptos que toma mayor protagonismo en los \u00faltimos tiempos es el que se recoge bajo las siglas de CASB \u2014Cloud Access Security Broker<\/em><\/strong>. Pero\u2026<\/p>\n\n\n\n

\u00bfQu\u00e9 es un CASB?<\/strong><\/h3>\n\n\n\n

La respuesta puede ser tan sencilla o compleja como queramos. De forma resumida podr\u00edamos decir que un CASB <\/strong>es un dispositivo o aplicaci\u00f3n que se ubica entre los usuarios de los servicios y las aplicaciones en la nube, y monitoriza la actividad entre ambas partes haciendo cumplir las pol\u00edticas de seguridad definidas por la organizaci\u00f3n<\/em>. En definitiva, y de forma simplista, podr\u00edamos decir que se trata de un firewall para los servicios en la nube.<\/em><\/p>\n\n\n\n

Los CASB <\/strong>protegen a una organizaci\u00f3n del intento de acceso de usuarios no autorizados a servicios que la compa\u00f1\u00eda tiene localizados en la nube<\/a>; restringen el acceso a determinadas aplicaciones e informan del uso inadecuado que un usuario irresponsable pueda estar haciendo de los datos que la compa\u00f1\u00eda tiene alojados fuera de sus infraestructuras.<\/p>\n\n\n\n

\u00bfCu\u00e1l es el mercado?<\/strong><\/h3>\n\n\n\n

El mercado de los CASB <\/strong>crece de manera exponencial, tal y como indican los informes de las grandes consultoras. Las razones para un futuro tan prometedor se encuentran en la progresiva adopci\u00f3n de servicios compartidos, el creciente entorno regulatorio al que los sistemas de informaci\u00f3n se ven sometidos y la proliferaci\u00f3n en el uso cotidiano de dispositivos externos para el acceso a los servicios<\/a> \u2014BYOD.<\/p>\n\n\n\n

En 2018, cerca de un 20% de las grandes compa\u00f1\u00edas ten\u00edan implantado un sistema CASB para la gesti\u00f3n de una parte de sus servicios en la nube<\/a>. Una gesti\u00f3n que actualmente incluye (1) la supervisi\u00f3n de los usuarios y dispositivos que acceden a sus servicios, (2) el control y la seguridad de los datos que utilizan, (3) la protecci\u00f3n frente a amenazas de cualquier usuario, dispositivo o aplicaci\u00f3n y (4) el soporte a actividades de cumplimiento normativo a trav\u00e9s de informes y controles de riesgo.<\/p>\n\n\n\n

Arquitecturas de un CASB<\/strong><\/h3>\n\n\n\n

Un CASB habitualmente se proporciona en modo SaaS<\/strong> \u2014en consonancia con los servicios que debe gestionar\u2014, aunque casi siempre debe ir acompa\u00f1ado de un entorno virtual o f\u00edsico localizado en las oficinas del cliente<\/a>. <\/p>\n\n\n\n

Habitualmente se configura de dos formas diferentes: Proxy inverso<\/em> (Reverse Proxy) o Proxy directo<\/em> (Forward proxy). Cada una de estas configuraciones tiene sus particularidades<\/a>.<\/p>\n\n\n\n

Proxy inverso<\/h4>\n\n\n\n

Cuando el CASB <\/strong>act\u00faa como proxy inverso<\/em><\/strong> su funci\u00f3n de intermediaci\u00f3n con cualquier servicio que la organizaci\u00f3n tenga instalado en forma de nube se articula a trav\u00e9s de un sistema de Gesti\u00f3n de Identidad<\/em> (IdM)<\/strong> que mueve el tr\u00e1fico entre la nube y el usuario\/dispositivo en funci\u00f3n de la autenticaci\u00f3n de los servicios y los privilegios asignados, sin que sea necesaria la instalaci\u00f3n de ning\u00fan elemento en el equipo que hace uso de la conexi\u00f3n (ver figura abajo).<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

El problema fundamental de este tipo de configuraciones se encuentra en lo que se define como el Shadow SaaS<\/em> <\/strong>o servicios en la nube no controlados por la organizaci\u00f3n. <\/p>\n\n\n\n

Al igual que existen empleados que instalan aplicaciones en dispositivos de la empresa sin su conocimiento y control \u2014es lo que hist\u00f3ricamente ha venido defini\u00e9ndose como Shadow IT<\/strong><\/em>\u2014 tambi\u00e9n existen empleados que hacen uso de servicios en nube que est\u00e1n fuera del control de la organizaci\u00f3n, lo que ocasiona no pocos problemas de seguridad<\/a>.<\/p>\n\n\n\n

Proxy directo<\/h4>\n\n\n\n

Un modo alternativo de configuraci\u00f3n es el modelo de arquitectura basado en proxy directo<\/strong>. <\/em>Bajo este modelo se encamina el tr\u00e1fico a trav\u00e9s de (a) un gateway<\/em> <\/strong>que la red del cliente tiene desplegado y que se conectar\u00e1 al servicio de CASB<\/strong>, o (b) a trav\u00e9s de la configuraci\u00f3n de los dispositivos que acceden a los servicios a la nube mediante la instalaci\u00f3n de un agente, tal y como se muestra en la siguiente figura.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Este modo de configuraci\u00f3n resuelve el problema del Shadow SaaS<\/em>, aunque tiene otras implicaciones en cuanto a flexibilidad de uso por la necesidad de instalar elementos adicionales en todos los dispositivos que interact\u00faan con los servicios en la nube.<\/p>\n\n\n\n

Integraci\u00f3n API<\/h4>\n\n\n\n

Existe un tercer modo de configuraci\u00f3n. En \u00e9l intervienen los propios servicios en la nube a trav\u00e9s de la integraci\u00f3n de sus mecanismos de seguridad y control con el CASB a trav\u00e9s de un API de conexi\u00f3n con los servicios externalizados<\/strong><\/em>. <\/p>\n\n\n\n

As\u00ed se consigue auditar las actividades de los usuarios, inspeccionar contenidos, analizar privilegios o la configuraci\u00f3n de seguridad de aplicaciones utilizando los servicios del proveedor.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Por \u00faltimo, y al igual que muchas otras configuraciones de redes, el CASB <\/strong>podr\u00e1 configurarse para actuar como recolector de logs<\/strong><\/em> para su an\u00e1lisis a trav\u00e9s de una sencilla modificaci\u00f3n en la infraestructura del cliente, habilit\u00e1ndolo para la identificaci\u00f3n de posibles eventos de seguridad frente a auditor\u00edas o para an\u00e1lisis forense.<\/p>\n\n\n\n

Configuraci\u00f3n de un CASB<\/strong><\/h3>\n\n\n\n

A la hora de configurar un CASB <\/strong>para dar servicios a aplicaciones alojadas en la nube resulta indispensable diferenciar entre centros, subredes o incluso servicios . En funci\u00f3n de su tipolog\u00eda, las recomendaciones de nodos o instancias de CASB <\/strong>que deber\u00edan habilitarse pueden ser diferentes. <\/p>\n\n\n\n

Antes de plantearlo, conviene diferenciar los tipos de servicios que podemos encontrarnos en la nube<\/a>. Vamos a clasificarlos en tres categor\u00edas:<\/p>\n\n\n\n