CASB: VISIBILIDADE E CONTROLE EM APLICAÇÕES EM NUVEM E BYOD
2 de junho de 2017 Autonomia de departamentos e usuários abre caminhos de ganhos de produtividade, eficiência e agilidade nos negócios, ao mesmo tempo em que impõe estender a segurança de dados a um ambiente mais complexo, com distintos níveis de segurança tanto na infraestrutura dos provedores quanto nos dispositivos de acesso
A combinação de aplicações em nuvem e mobilidade já faz parte de praticamente qualquer rotina de trabalho. As informações relacionadas às atividades empresariais, na prática, circulam em condições diversas. Do lado das aplicações, usuários e departamentos acessam e trafegam dados em serviços com diferentes níveis de profissionalismo, de sites que usam o login do Facebook a sistemas de SaaS supervisionados pela TI, como Salesforce ou Office 365. Entre os endpoints, também coexistem os dispositivos gerenciados pela organização com PCs domésticos e smartphones dos próprios usuários. O CASB (cloud access security broker) é uma solução que dá visibilidade e controle sobre a segurança de dados em nuvem, conforme os riscos e as políticas aplicáveis a cada tipo de dado e situação de uso. A capacidade de um monitoramento mais abrangente e granular do uso de dados, junto à automação dos controles e contramedidas, dão a flexibilidade que demandam as áreas de negócios, sem comprometer as premissas de segurança e compliance das organizações.
As abordagens tradicionais de proteção continuam imprescindíveis, mas são insuficientes. Por exemplo, políticas de DLP, que antes mitigavam grande parte do risco apenas bloqueando transferências por USB e e-mail, hoje precisam contemplar diversas instâncias de compartilhamento. O BYOD (bring your own device, ou traga seu próprio dispositivo) pode vir a significar “bring your own disaster”, quando a facilidade de roubar credenciais em terminais não gerenciados, e de uso genérico, torna inócuas as medidas de criptografia e controle de acesso. Os provedores de aplicações em nuvem, por sua vez, têm sua responsabilidade restrita ao que ocorre em seu domínio.
A função do CASB é automatizar o controle e as permissões conforme o nível de segurança do provedor, a robustez do dispositivo de acesso, a confiabilidade da autenticação, além de critérios de compliance para o tráfego e armazenamento de dados críticos. Por meio de mecanismos abrangentes de monitoramento e inteligência de ameaças, podem-se estabelecer políticas que contextualizem usuário, geolocalização, segurança do endpoint, controle de conteúdo e a própria interação com a aplicação.
Nas duas pontas, da infraestrutura ao endpoint, a TI tem menos controle e as variáveis se ampliam. Entre os provedores de PaaS e SaaS, por exemplo, vulnerabilidades no banco de dados ou no SSL podem deixar aplicações críticas expostas. Portanto é fundamental monitorar as atividades nesses serviços, seja por parte de usuários ou mesmo por APIs expostas a parceiros da cadeia de valor.
No que se refere ao dispositivo de acesso, há organizações que implementam no CASB mecanismos para diferenciar o nível de segurança do terminal, a partir do qual se definem permissões como cache transacional ou armazenamento local. Há casos ainda em que o CASB identifica vulnerabilidades e orienta ajustes nas próprias aplicações.
Mais do que a elasticidade da infraestrutura e outros valores de TI, as aplicações de computação em nuvem já chegaram às organizações com interoperabilidade, facilidade e familiaridade por parte dos usuários. Como contrapartida a essa simplicidade, aumentam os riscos de engenharia social, alguns até tecnologicamente singelos. Por exemplo, um phishing de um fraudador se passando por um provedor de SaaS pode levar o administrador a revelar sua senha no CRM. Um malware em um terminal não gerenciado também pode ser usado para roubo de credenciais. E nesses casos, o gerenciamento do provedor, por mais maduro que seja o SLA, se limita a seu domínio, o que torna mais complexo o rastreamento de qualquer incidente.
Evidentemente, os aspectos relacionados a integridade e privacidade de dados críticos estão no centro das discussões sobre as transformações que a cloud computing traz às organizações. Contudo, a agilidade e autonomia que as ofertas de PaaS e SaaS proporcionam às áreas de negócios não devem implicar contratações desordenadas. Mesmo que a empresa queira encurtar o ciclo tradicional de TI, de homologação e implementação das aplicações, a falta de padronização e controle pode gerar problemas operacionais e mais custo a longo prazo.
CONTATO – www.forcepoint.com/contact – brasil@forcepoint.com
Forcepoint é uma marca comercial da Forcepoint LLC. Raytheon é uma marca comercial registrada da Raytheon Company. Todas as outras marcas comerciais e registradas pertencem aos respectivos detentores.