O que é o CASB e como funcionam estes serviços?

Em português, designa-se normalmente o CASB como mediador ou corretor de segurança de acesso à nuvem. O termo corretor tende a ser mais utilizado, mas o mais correto será mesmo “mediador de segurança de acesso à nuvem”, sendo o termo “mediador” adotado pela Microsoft. Porque é disso que se trata: de um mediador ou intermediário entre:

• a empresa, de um lado, com a sua infraestrutura de hardware (computadores de funcionários, servidores, etc.); e
• o fornecedor de serviços na nuvem (cloud), do qual a empresa é cliente.

Também se usam os termos “gatekeeper” ou “porteiro” para designar o CASB, um serviço que executa protocolos de segurança nas ligações entre a empresa (e nomeadamente os seus funcionários e responsáveis), os serviços da empresa na nuvem e também os clientes e utilizadores finais dos serviços prestados pela empresa. Trata-se de todo um ecossistema online que corre riscos, devendo estes ser minimizados.

É certo que os fornecedores de serviços na nuvem contam com a sua estrutura de segurança própria, mas um serviço CASB ajuda a “tapar buracos” e cria camadas de segurança adicionais.

Imagine um segurança ou guarda de um edifício encarregue de proteger a infraestrutura contra acessos externos e contra usos indevidos por parte de pessoas internas ao mesmo. Isto apesar de já estarem postas em prática outras medidas de segurança, como fechaduras, barras nas janelas, câmaras de vigilância. De uma forma simples, o CASB é este segurança que traz proteção extra.

Os serviços CASB baseiam-se em quatro elementos ou princípios fundamentais, que no conjunto garantem a integridade da infraestrutura, dos dados guardados e das atividades de quem os opera. Vejamos quais são.

Proteção contra ameaças

Um CASB defende uma organização contra malware e outras ameaças na nuvem. Algumas ameaças podem ter origem em serviços na nuvem ou serem facilmente propagadas através deles; uma proteção contra ameaças adequadas funciona como um escudo. Até porque não é difícil encontrar informação na dark web que facilite a tarefa de explorar vulnerabilidades nas ligações cloud de uma empresa.

As organizações devem garantir que os seus colaboradores, involuntariamente ou até propositadamente, não espalham malware através dos serviços em rede na nuvem, contaminando a totalidade da empresa, os clientes, etc. Quando um funcionário tenta partilhar ou fazer upload de um arquivo infetado com malware, ou quando alguém tenta aceder a dados ou serviços sem autorização, deverá existir uma proteção em tempo real.

Conformidade

Os mediadores de segurança de acesso à nuvem podem ajudar a garantir padrões de conformidade na nuvem, mantendo as regulamentações de dados estabelecidas pelo setor em que atua. Poderá, por exemplo, facilitar o trabalho do encarregado de proteção de dados responsável por verificar a conformidade das atividades com o Regulamento Geral de Proteção de Dados (RGPD). Ignorar estas preocupações pode gerar situações de incumprimento da lei, de queixas por parte de clientes ou até de perdas ou vazamentos de informação confidencial da organização, por exemplo.

Segurança de dados

A implementação de mecanismos DLP (Prevenção contra Perda de Dados), tais como a identificação de impressões digitais de documentos, combinados com a minimização da área de deteção de violações (reduzindo em função do utilizador, da localização, etc.) ajudam a evitar problemas. Um sistema de monitorização e vigilância em profundidade ajuda a sua empresa a identificar e interromper atividades maliciosas antes que o problema ganhe uma dimensão incontrolável. Por exemplo, quando o conteúdo confidencial está a ser transmitido na nuvem, o CASB pode ajudar a equipa de informática a detetar e isolar situações suspeitas para análise posterior.

Visibilidade

Imagine um guarda noturno que precisa de deixar entrar um funcionário da empresa que está a guardar mas é instruído para estar alerta contra intrusos. No exterior, a noite é escura. Se vir chegar alguém, poderá barrar rudemente a passagem ou até impedir a entrada do colega. Naturalmente, precisa de luz para identificar a pessoa e confirmar se se trata ou não do colega.

É neste sentido que as empresas precisam de visibilidade e controlo quanto aos seus serviços cloud. Por exemplo, o CASB pode autorizar o Microsoft 365 a utilizadores com computadores da empresa, mas limitar o acesso ao uso do webmail se o utilizador estiver a usar o seu computador pessoal.

Empresas e organizações que lidam com grandes quantidades de dados, próprios e de terceiros – nomeadamente de clientes – precisam de mais do que os instrumentos básicos de segurança informática. Utilizar firewalls e software antivírus é um “must”, e hoje em dia, para qualquer empresa, o próprio uso de uma VPN já se pode considerar um standard, pelo relativo baixo custo que representa tendo em conta os benefícios de privacidade que proporciona. A implementação de um serviço CASB vai além disso e traz benefícios específicos:

• Proteção de dados, nomeadamente contra vazamentos e perdas definitivas
• Encriptação de dados
• Proteção contra ameaças, nomeadamente contra malware, e remover vírus de computadores e da rede
• Controlo de acessos, através de um sistema de permissões
• Gestão e rastreamento de trabalho em rede/colaborativo, minimizando riscos associados a edição, substituição ou apagamento de dados
• Gestão de risco em geral

A função principal de um CASB é conceder visibilidade e controlo sobre os dados armazenados e contra ameaças na nuvem, em prol da segurança empresarial. Genericamente, o processo compreende três etapas:

• Identificação: A solução CASB identifica todos os serviços em nuvem fornecidos por terceiros, bem como o conjunto dos respetivos utilizadores.
• Classificação: Uma vez revelada a extensão total do uso da cloud, o CASB calcula o nível de risco associado a cada serviço, analisando a aplicação, o tipo de dados contidos na aplicação e como estão a ser partilhados.
• Prevenção: Calculado o risco, o CASB usa essa informação para definir políticas e regras para a gestão de dados e para o acesso dos utilizadores, bem como para tomar medidas automáticas e imediatas sempre que tais regras sejam violadas.

Os CASBs também oferecem camadas adicionais de proteção “clássica”, também prestada por outros serviços de segurança online, como a prevenção de malware e a encriptação de dados.

Apesar da aparente complexidade técnica até agora descrita, recorde-se que o CASB, na prática, não é mais que um “guarda” a proteger a “porta” entre a sua empresa e os serviços cloud que a sua empresa usa. Logo, não surpreende que a implementação de um CASB seja também muito mais fácil do que se possa pensar.

Todavia, devem ser considerados alguns aspetos:

• Localização da implementação. Um CASB pode ser implementado localmente (nas instalações da empresa) ou na nuvem. Atualmente, as versões SaaS (Software as a Service) são as mais habituais.
• Três modelos de implementação diferentes:
• API Control: Oferece visibilidade sobre dados e ameaças na nuvem, bem como uma execução mais rápida e uma cobertura abrangente.
• Proxy reverso: preferível para dispositivos que geralmente se encontram fora da rede.
• Forward Proxy: geralmente implementa-se juntamente com clientes VPN ou plataformas de proteção de endpoint.

As implementações de proxy são frequentemente usadas para executar controlos em tempo real.

Vejamos, de forma sintética, os principais cenários de utilização de um CASB.

• Gestão personalizada. Em vez de adotar uma abordagem unidimensional, bloqueando integralmente um determinado serviço, os CASBs permitem-lhe implementar uma utilização personalizada, em função da identidade, do serviço, do tipo de atividade, etc. Personalize o envio de e-mails configurando as definições associadas ao servidor SMTP, por exemplo. Além disso, pode definir políticas com base na categoria de serviço ou no risco calculado e optar por ações diversas: bloquear, alertar, colocar em quarentena, encriptar, etc. E também ajuda a equipa de TI relativamente às ações tomadas relativamente a qualquer política de segurança em vigor na organização.
• Proteção de dados. Proteja e evite a perda de dados confidenciais em todos os cenários de utilização da cloud nos quais a sua empresa se movimente. Implemente técnicas de DLP (Prevenção contra a Perda de Dados) para proteger dados em trânsito, independentemente de os utilizadores estarem nas suas instalações, em teletrabalho, em dispositivos móveis, a entrar através de um programa restrito ou de um navegador privado, etc. Use a encriptação e a tokenização para limitar perdas de dados.
• Proteção contra ameaças. Proteja-se contra perigos como o ransomware e o malware em geral. Obtenha visibilidade total de todos os seus serviços na nuvem, mesmo os que utilizam conexões SSL encriptadas. Saiba em tempo real quais dos seus utilizadores têm contas comprometidas e aja imediatamente. Transmita esta informação a toda a infraestrutura de segurança através de integrações e fluxos de trabalho prontos para uso. Os cibercriminosos continuarão a inovar nas suas abordagens, e o seu fornecedor de CASB também deve responder e acompanhar o desafio.

A capacidade de um serviço CASB de responder a problemas de segurança estende-se ao longo das três grandes categorias de serviço:

Infraestrutura como Serviço (IaaS)

Recursos básicos de computação virtual on demand, de que são exemplos a Google Cloud Infrastructure, os Amazon Web Services e o Microsoft Azure.

Software as a Service (SaaS)

Programas informáticos, aplicações e software operado online, evitando ao cliente a necessidade de instalar localmente e fazer a manutenção desse software. O Dropbox, o Office 365 e o Slack são bons exemplos.

Platform as a Service (PaaS)

Direcionado a programadores e empresas de desenvolvimento informático, este serviço oferece um ambiente completo de desenvolvimento e programação na cloud. O SAP Cloud e o Google App Heroku estão entre os mais conhecidos.

Ao escolher um CASB, tenha em conta o seguinte:

• Requisitos. Analise os serviços de computação em nuvem utilizados pela sua empresa e identifique o que você precisa num CASB. Consulte as partes interessadas (os diversos departamentos, os fornecedores mais próximos e com os quais precise de trocar informação numa base muito regular, etc.) e procure informações de especialistas em segurança cibernética ou consultores de negócios para ajudar a identificar as suas necessidades.
• Adaptabilidade. A segurança cibernética está em constante mudança devido aos rápidos avanços tecnológicos, especialmente no contexto do uso da nuvem. Recorde-se como há 15 anos a cloud era praticamente desconhecida e uma total novidade, bem como o facto de, na altura, grande parte das redes não serem ainda suficientemente fortes para comportar este tipo de infraestruturas. Os serviços de CASB mais conhecidos, como o Bitglass ou o Gartner, atualizam regularmente as suas políticas de segurança e conformidade para acompanhar a evolução.
• Proteção de IaaS. Embora a proteção de SaaS seja habitual, um serviço abrangente também deve proteger os ambientes de IaaS (Infraestrutura como Serviço). Considere um CASB que, além de proteger atividades e configurações em IaaS, ofereça proteção contra ameaças e monitorização aos clientes.

Com a gradual transferência da atividade das empresas para a nuvem, a tecnologia CASB deverá gradualmente tornar-se uma parte de um todo um pouco mais complexo. Combinada com outras tecnologias, como a prevenção de perda de dados (DLP) e gateways seguros da web de “next generation”, a CASB será uma parte do que é atualmente conhecido como “Secure Access Service Edge” (SASE, na sigla em inglês).

O conceito de SASE combina várias tecnologias de segurança e rede para fornecer segurança web e em nuvem de forma abrangente, contornando problemas tradicionais como a latência e a ausência de contexto na utilização de dados.

Na prática, o foco unicamente em CASB deixará de ser uma opção, passando estas tecnologias a ser um dos componentes de uma estratégia de segurança mais alargada.