Che cosa sono i CASB (Cloud Access Security Broker)? Sono tool on-premise o cloud-based, che idealmente si collocano tra i chi usa i servizi in cloud e chi li fornisce, combinando le diverse politiche di sicurezza aziendale rispetto alle risorse sulla nuvola rese accessibili in chiave on demand.
Il CASB consolida più tipi di applicazioni delle policy di sicurezza, includendo l’autenticazione, il Single Sign-On, le autorizzazioni, la mappatura delle credenziali, la profilazione dei dispositivi, la crittografia, la tokenizzazione, la registrazione, le segnalazioni, il rilevamento del malware, la prevenzione e così via.
Perché se ne parla? Perché quando si ha a che fare con il cloud proteggere i dati e le applicazioni aziendali non è semplice e nemmeno scontato. Oggi, segnalano gli esperti, i CASB (Cloud Access Security Broker) consentono di potenziare la moltitudine di politiche di sicurezza associate all’uso dei servizi sulla nuvola, qualsiasi essi siano.
Presi singolarmente, ognuno di questi strumenti non è equivalente, avvertono gli specialisti: per questo è importante che ogni azienda consideri quali sono le proprie necessità potenziali in modo da poter valutare ogni strumento con la giusta attenzione. Ecco quattro cose da considerare, prima di scegliere il proprio CASB.
1) Definire gli obiettivi prima di scegliere il vostro CASB
Uno dei problemi più ricorrenti quando le aziende devono scegliere i propri tool di riferimento è che ogni organizzazione deve avere ben chiari quali siano gli obiettivi a cui questo tipo di strumenti devono servire. Un Cloud Access Security Broker, infatti, non è la panacea per tutto e non risolve qualsiasi cosa. Quindi prima è necessario capire che cosa si vuole realizzare.
Un cloud access security broker come, ad esempio, Palerra, Elastica, Skyhigh Networks o Netskope, solitamente richiede un set indipendente di politiche di sicurezza tra l’impresa e il cloud provider come può essere AWS (Amazon Web Services) o GCP (Google Cloud Platform).
Talvolta l’obiettivo può essere far emergere tutte quelle operazioni associati allo shadow IT o anche solo di identificare le debolezze dei servizi o le inefficienze delle policy di sicurezza. In altri casi, ancora, i CASB può giocare un ruolo che va ben oltre il monitoraggio e la gestione, permettendo alle varie business unit di rendersi conto in che modo e quanto i servizi in cloud siano utilizzati, ottimizzando così i budget di spesa associati.
2) Rivedere impostazioni e requisiti dei sistemi in uso
I Cloud Access Security Broker offrono un ampio raggio di funzionalità tra cui offrire analisi di dettaglio agli amministratori dei sistemi rispetto ai servizi in cloud. I CASB, infatti, svolgono varie attività: consentono di utilizzare modelli pacchettizzati, personalizzare le policy, integrare soluzioni di machine learning per monitorare i comportamenti e far emergere attività rischiose. Non solo: i CASB generano log, mandano avvisi e creano una reportistica puntuale che aiuta i manager IT quando, addirittura, in certi casi riescono ad attuare azioni reattive per incrementare le policy di sicurezza. Un Cloud Access Security Broker può inoltre essere integrato con piattaforme IT preesistenti secondo LDAP (Lightweight Directory Access Protocol) così come con strumenti di gestione delle identità e degli accessi, sistemi di help desk o di trouble ticketing così come altri genere di tool di sicurezza come il single sign-on.
Revisionare le caratteristiche di settaggio dei CASB fa sì che questi siano calati sulle reali esigenze aziendali e possano intercettare proprio quei gap che richiedono misure di sicurezza addizionali.
3) Valutare la portata dei servizi in cloud attivi
Le organizzazioni possono adattare un CASB per soddisfare specifici servizi cloud o intere piattaforme. Questi strumenti specifici di servizio possono eseguire il loro lavoro in modo affidabile, ma solo per ciò che è stato previsto che facciano.
Ad esempio, se il software di sviluppo del business in cloud gira su AWS, potrebbe essere necessario uno strumento per AWS e un altro per il repository del software in cloud come, ad esempio, GitHub.
Inoltre, se un’azienda cambia piattaforma cloud, può darsi che sia necessario investire in un altro CASB. Questo significa che un’azienda deve preventivare a budget più strumenti CASB, nel caso si renda necessario diversificare le attività sulla nuvola.
I CASB ospitati a livello locale richiedono aggiornamenti, ma, in alcuni casi, gli aggiornamenti possono essere veramente disruptive. Le aziende che implementano un Cloud Access Security Broker in-house, invece, dovranno integrare la piattaforma con alcuni strumenti di gestione delle patch così come con i tool di change management.
Quando i CASB sono rilasciati da terze parti, invece, gli utenti devono prendere in considerazione la possibilità di avere disservizi o interruzioni di servizio che possono verificarsi con qualsiasi altro tipo di software as a service. Il fornitore deve allinearsi a delle SLA che soddisfa i requisiti di sicurezza e di conformità al business.
4) Considerare più modelli operativi di CASB
Le aziende possono rilasciare un CASB su diversi livelli. Ogni livello può offrire benefici e capacità peculiari per cui è molto importante capire dove il tool sia in grado di operare in modo più efficace. Implementare un CASB localmente è uno dei modelli di riferimento più frequenti perché consente di monitorare il traffico di rete, gestire identità e accessi per gruppi, dispositivi o aree geografiche o integrare una crittografia locale per prevenire accessi non autorizzati. Tuttavia rilasciare un Cloud Access Security Broker locale richiede risorse it per gestire e supportare un sistema in più da controllare.
I CASB sono piuttosto semplici da gestire, ma definire un controllo criptato può impattare sulle prestazioni applicative associate all’elaborazione dei dati in cloud. Ad esempio se un CABS cripta dei dati finanziari, una app deputata a gestire un processo finanziario in cloud può non essere in grado di decriptare questi dati.
Questo tipo di prodotti, infatti, ha gli stessi problemi di disponibilità che hanno altre applicazioni in cloud: se lo strumento non è più disponibile, le applicazioni in cloud che questi prodotti proteggono possono diventare indisponibili.
Alcuni CASB possono anche coinvolgere i dispositivi endpoint tramite la crittografia degli stessi, attraverso la definizione di una policy associata a un determinato link tra lo strumento e gli endpoint che adottano policy di sicurezza a livello centralizzato, inducendo la crittografia e consentendo una pulizia selettiva dei dati se il dipendente lascia l’azienda o il dispositivo endpoint risulta compromesso.