fbpx
InicioActualidadCuando la ubicuidad es el gran enemigo de la seguridad

Cuando la ubicuidad es el gran enemigo de la seguridad

Antonio Marco. IT Infrastructure & Security Manager. LANACCESS

La digitalización se está acelerando y con ella la demanda de servicios en la nube que permitan llevar a la empresa a un nuevo nivel en la gestión de la información sin necesidad de hacer una inversión extraordinaria. La virtualización en la nube o el Cloud Computing generan un importante ahorro de costes al prescindir de soportes e infraestructuras físicas para almacenar y procesar los datos.

detección de amenazas en entornos cloud
Antonio Marco. IT Infrastructure & Security Manager. LANACCESS

No existe ninguna duda que actualmente y gracias a la escalabilidad y elasticidad en el aprovisionamiento de recursos que ofrecen las soluciones Cloud, las empresas han recortado gastos e incrementado significativamente sus beneficios. Sin embargo, estas mismas ventajas vienen acompañadas de una serie de inconvenientes que también debemos considerar. Es quizás por este motivo, que la tendencia entre las empresas ya consolidadas es decantarse hacia soluciones híbridas donde coexistan tanto los servicios en la nube como las tecnologías on-premise, es decir, aprovechar lo mejor de ambos mundos.

Y es en este punto donde la seguridad se encuentra ante un gran conflicto. Porque, por un lado, tenemos el control perimetral que delimita férreamente todos nuestros activos y servicios locales y por el otro lado, estarían las aplicaciones en la nube que si no se gestionan correctamente pueden acabar provocando una brecha de seguridad al estar delimitadas fuera de nuestra área de influencia.

detección de amenazas

Conocedoras de esta problemática, las plataformas prestadoras de servicios ofrecen herramientas para la detección de amenazas dentro de los propios entornos cloud. Es decir, antes de que la información llegue hasta nosotros. Este tipo de soluciones están pensadas para evitar ataques, amenazas y robo de información en servicios tan habituales como Microsoft 365 y Onedrive o Google Workspace y su repositorio Google Drive.

¿Pero es esta fórmula realmente segura o existen mejores alternativas? Pues sí, existen mejores soluciones, y una de ellas se denomina CASB.

CASB (Cloud Access Security Broker) es una solución con un enorme potencial debido a la exponencial demanda de aplicaciones y servicios en la nube. Su función primordial es la de establecer los puntos de aplicación de las políticas de seguridad entre los usuarios y los proveedores de servicios en la nube. Según distintas fuentes, pronto será tan importante como contar con un firewall. Una de las voces más reconocidas en este sentido Gartner, pronostica un gran crecimiento para esta tecnología estimando que en 2022 el 60% de las empresas estarán utilizando CASB para asegurar sus aplicaciones de tipo Software as a Service (SaaS).

Este nuevo nivel de protección, que antes solía ser opcional, se está transformando rápidamente en un elemento prioritario dentro de las estrategias de seguridad perimetral global. Las decenas de diferentes aplicaciones (SaaS), plataformas como servicio (PaaS) e infraestructuras como servicio (IaaS) utilizadas actualmente en la gran mayoría de las organizaciones necesitan una forma de administración centralizada para poder alinear las políticas de seguridad cloud con las políticas de seguridad corporativas.

detección de amenazas

¿Qué benéficos nos aporta CASB?

Gestión de identidad. El gran desafío en el control de acceso a la nube es integrar los distintos inicios de sesión a las diversas aplicaciones cloud junto con las políticas de seguridad locales existentes a través del inicio de sesión único. Es por este motivo que la gran mayoría de soluciones CASB incorporan un proveedor de Identidad como Servicio (IDaaS) en su oferta.

Visibilidad. Las empresas pueden controlar mejor todo el tráfico generado desde y hacia la nube para minimizar la posibilidad que el usuario sufra un ataque o se produzca una fuga de información.

Protección avanzada contra amenazas. Su función es la de impedir que el malware se expanda por las aplicaciones en la nube utilizando técnicas específicas contra amenazas desconocidas y especialmente para ataques de día cero.

Seguridad de última generación para el e-mail. Incluye soluciones avanzadas de seguridad para el correo electrónico como el sandboxing de archivos adjuntos, protección avanzada de URL y protección anti ataques BEC (Business Email Compromise) entre otros.

Protección de datos. Permite aplicar políticas específicas de seguridad de la información junto a diferentes sistemas de protección avanzados como DLP (Data Prevention Lost) que protegen la información mediante avanzadas técnicas de monitorización, que detectan y bloquean datos sensibles mientras están en movimiento (tráfico de red) o en reposo (repositorios de información).

Compliance. Las soluciones CASB también permite una mejor auditoría que nos permita cumplir con la normativa vigente de una forma mucho más granular.

¿Pero es realmente CASB la herramienta definitiva?

Pues para complicar aún más las cosas es posible que no sea así, porque existe una alternativa a CASB denominada SASE (Secure Access Service Edge)
SASE es una plataforma unificada que reemplaza a otros productos como los cortafuegos, las VPN o las puertas de enlace seguras. La diferencia fundamental se basa en ofrecer una orquestación más sencilla, mejor visibilidad, detección proactiva de amenazas y un modelo de arquitectura nativo que combina estas diferentes funciones de red y seguridad en una plataforma más simple. Las redes SASE permiten a los equipos de TI conectar fácilmente los recursos con los usuarios de una manera segura, ágil y sobre todo escalable.

¿Qué significa SASE para las empresas?

Una solución de software SASE brinda a las empresas la oportunidad de conectarse a una red única y segura donde pueden obtener acceso tanto a los recursos en la nube como a los físicos, sin importar la ubicación del usuario. SASE se implementa habitualmente sobre redes de área amplia definidas por software (SD-WAN) y el perfil de seguridad que ofrece permite un servicio más holístico y ágil de las redes empresariales ofreciendo funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, cortafuegos y acceso a la red de confianza cero.

sase

Lo que hace que SASE sea innovador y disruptivo es la idea de que un conjunto de herramientas fundamentales se pueda añadir de forma accesoria al núcleo del sistema, teniendo un impacto positivo sobre la productividad, la seguridad y los resultados de cualquier organización. Con una estrategia de privilegios mínimos y un control de acceso estricto, los equipos de TI podrán controlar las interacciones con los recursos en función de atributos relevantes como la identidad de usuario, del grupo y la sensibilidad de los datos a los que se accede.

deteccion

¿Pero entonces, cuál es la diferencia entre SASE y CASB?

Simplificando, podríamos decir que CASB es eficaz para ubicarse entre los recursos cloud y los usuarios, ayudando al departamento de TI a monitorizar su actividad y controlar el acceso a los activos de información.
Y aunque alternativamente SASE se base en CASB para la creación de políticas de acceso personalizadas basadas en la identidad, también ofrece funciones que se encuentran fuera de CASB, como es ZTNA/VPN + MFA (Multi Factor Autentication), seguridad DNS , FWaaS y otras muchas herramientas de seguridad.

Como contrapartida SASE requiere de un rediseño de red completo que obliga a prescindir de las soluciones de seguridad previas por lo que claramente acabará resultando más costoso. Por tanto y a la espera que en el mercado vayan irrumpiendo las nuevas soluciones SASE “completas”, es decir con todas las funcionalidades disponibles y además la economía de escala propicie una reducción de costes, CASB seguirá marcando tendencia, siendo durante un tiempo el ejemplo a seguir.

artículos relacionados