Un approccio alla sicurezza del cloud più efficace: NGFW per Inline CASB
Le applicazioni cloud hanno cambiato il modo in cui le organizzazioni fanno affari, introducendo nuovi rischi per la sicurezza. Queste applicazioni sono facili da configurare e da utilizzare per la collaborazione e, di conseguenza, il volume e la sensibilità dei dati trasferiti, archiviati e condivisi in questi ambienti cloud continuano ad aumentare. Contemporaneamente, gli utenti si spostano costantemente in luoghi fisici diversi e utilizzano più dispositivi, sistemi operativi e versioni di applicazioni per accedere ai dati di cui hanno bisogno.
Si tratta di cambiamenti significativi nelle abitudini di lavoro e nella tecnologia, e gli strumenti di sicurezza tradizionali non sono stati in grado di tenere il passo. La spinta ad affrontare queste lacune di sicurezza ha portato a nuove tecnologie e modi di descriverle, tra cui la categoria dei cloud access security broker (CASB).
Secondo Gartner, "i CASB sono punti di applicazione dei criteri di sicurezza locali o basati sul cloud, collocati tra i consumatori di servizi cloud e i fornitori di servizi cloud per combinare e interporre i criteri di sicurezza aziendali quando si accede alle risorse basate sul cloud. I CASB consolidano diversi tipi di applicazione dei criteri di sicurezza".
I CASB forniscono alle organizzazioni tre funzioni chiave di sicurezza SaaS e di conseguenza hanno visto una rapida evoluzione e adozione: (1) visibilità sull'utilizzo di SaaS; (2) controllo granulare sull'accesso a SaaS e (3) conformità e sicurezza per i suoi dati basati sul cloud. Esistono diverse modalità di distribuzione con cui un CASB può fornire le sue funzioni, tra cui la modalità inline e la modalità API. Qui di seguito li analizzeremo in modo più dettagliato, oltre a evidenziare un approccio più semplice ed efficace: NGFW per CASB in linea.
Rispondere all'esigenza del CASB
La definizione di CASB al momento della sua nascita, con l'uso del termine "broker", implicava che i CASB si trovassero nel percorso del traffico cloud. Da allora, la tecnologia CASB si è evoluta e oggi comprende due componenti chiave: la modalità inline e la modalità API. Vediamo brevemente queste due modalità.
CASB in linea
Il CASB in linea può essere ulteriormente suddiviso in due modalità: forward proxy e reverse proxy. Con il forward proxy, i venditori di CASB devono inoltrare il traffico del cloud a un'appliance o a un servizio in grado di fornire funzionalità di visibilità e controllo delle app. È anche importante notare che le funzionalità di forward proxy non sono limitate ai soli proxy. Le potenti funzionalità di controllo delle app di prossima generazione possono essere applicate anche tramite l'appliance o i servizi NGFW. Questo è ideale per molteplici ragioni, in quanto molti clienti hanno già distribuito l'NGFW come gateway internet per gli utenti locali o remoti. Se i clienti preferiscono utilizzare un vero e proprio proxy (offerto dalla maggior parte dei fornitori di CASB), spesso questo introduce un sovraccarico e una complessità di gestione aggiuntivi. È importante che i clienti valutino se il loro NGFW esistente risolve già le loro esigenze di CASB in linea senza costi aggiuntivi. Nel caso di un reverse proxy, i fornitori di CASB utilizzano l'SSO (o talvolta il DNS) per reindirizzare gli utenti verso un servizio CASB in linea, per garantire l'applicazione delle politiche.
CASB basato su API
L'approccio basato su API consente ai fornitori di CASB di accedere ai dati del cliente all'interno dell'applicazione cloud, senza essere "in mezzo" al traffico cloud. Si tratta di un approccio fuori banda per svolgere diverse funzioni, tra cui l'ispezione granulare della sicurezza dei dati su tutti i dati a riposo nell'applicazione o nel servizio cloud, oltre al monitoraggio continuo dell'attività degli utenti e delle configurazioni amministrative. L'esperienza dell'utente dell'applicazione cloud viene preservata, poiché l'API non è intrusiva e non interferisce con il percorso dei dati verso l'applicazione cloud. Oltre all'applicazione di politiche per eventuali violazioni future, un CASB basato su API è l'unico modo per effettuare il crawling dei dati esistenti archiviati nel cloud e rimediare a eventuali violazioni DLP e minacce. Questo è particolarmente importante perché le aziende finiscono per 'sanzionare' un'app prima di aver capito come proteggerla, e quasi sempre ci sono contenuti esistenti che devono essere analizzati. Tratteremo il CASB basato su API in modo molto più dettagliato in un prossimo post del blog.
Abbiamo un approccio più semplice: NGFW per CASB in linea<
Un firewall di nuova generazione combina le funzioni di ispezione di utenti, contenuti e applicazioni all'interno dei firewall per abilitare le funzioni CASB. La tecnologia di ispezione è poi in grado di mappare gli utenti sulle applicazioni, per offrire un controllo granulare sull'utilizzo delle applicazioni cloud, indipendentemente dalla posizione o dal dispositivo. Le funzioni rilevanti per il CASB all'interno dell'NGFW includono il controllo granulare delle applicazioni (comprese le applicazioni SaaS e locali), il controllo delle funzioni specifiche delle applicazioni, il filtraggio degli URL e dei contenuti, i criteri basati sul rischio delle applicazioni, il DLP, i criteri basati sull'utente e la prevenzione del malware noto e sconosciuto.
I clienti che scelgono un approccio basato sul NGFW devono avere una certa flessibilità di distribuzione, utilizzando uno o una combinazione dei seguenti scenari:
- NGFW come appliance: Al di là delle appliance fisiche che possono essere già presenti, i firewall virtuali possono agire come gateway nel cloud per garantire la massima copertura globale agli utenti remoti, eliminando l'overhead di distribuire hardware aggiuntivo. La maggior parte dei clienti ha già distribuito questo componente per gli utenti locali.
- NGFW come servizio cloud: In questo scenario, l'infrastruttura di sicurezza multi-tenant, basata su cloud, dovrebbe essere gestita e mantenuta dal fornitore di sicurezza. Ad esempio, Palo Alto Networks Prisma™ Access (ex GlobalProtect™ cloud service) consente ai clienti di utilizzare le capacità preventive di Palo Alto Networks Next-Generation Security Platform per proteggere reti remote e utenti mobili. Il servizio può essere una semplice estensione della distribuzione NGFW esistente, per impedire l'esfiltrazione di dati sensibili in tutte le applicazioni, basate su SaaS o meno. I clienti possono ridurre la complessità e i costi di gestione delle distribuzioni globali e ottenere una protezione coerente negli ambienti cloud.
Inoltre, quando un approccio NGFW inline viene utilizzato come parte di una piattaforma di sicurezza integrata, orientata alla prevenzione e di nuova generazione - che include un NGFW, un cloud di intelligence sulle minacce, un servizio di sicurezza SaaS basato su API e una protezione avanzata degli endpoint - i clienti possono bloccare le fughe di dati dalle loro applicazioni cloud; ridurre l'esposizione alle minacce controllando l'uso delle applicazioni autorizzate e non autorizzate; prevenire le minacce note e sconosciute all'interno del traffico consentito e garantire che l'adozione delle loro applicazioni cloud rimanga conforme.
Una piattaforma di sicurezza di nuova generazione, infatti, offre una protezione completa del cloud a un costo totale di proprietà inferiore rispetto ai tipici CASB di nuova generazione.
Per saperne di più, consulti le seguenti risorse:
