I Cloud Access Security Broker (CASB) sono tra i principali candidati a diventare parte integrante delle moderne infrastrutture di sicurezza informatica a livello enterprise. La capacità di controllo capillare degli accessi consente ai Cloud Access Security Broker (CASB) di implementare dei veri e propri sistemi di governance IT nel comparto sicurezza, per assicurare la totale visibilità tra le interazioni che gli utenti effettuano con i servizi in cloud.
Si tratta di un’esigenza più che mai viva, considerando che lo smart working e le nuove modalità di collaborazione previste dal lavoro ibrido stanno comportando un progressivo allargamento del perimetro di sicurezza aziendale, rendendo sempre più difficile la sua difesa su un fronte di minacce informatiche sempre più ampio e variegato.
Vediamo dunque in cosa consiste a tutti gli effetti un Cloud Access Security Broker (CASB), quali sono le sue funzioni fondamentali e quali sono le ragioni per cui oggi un’azienda dovrebbe almeno prendere in considerazione la configurazione di un’architettura di sicurezza IT di moderna concezione, per garantire la sicurezza lato cloud e lato utenti delle proprie infrastrutture ibride e multicloud.
Cos’è un Cloud Access Security Broker (CASB)
Secondo la definizione offerta da Gartner, il mercato dei Cloud Access Security Broker (CASB) è costituito da un insieme di prodotti e servizi utili a identificare i gap di sicurezza di un’azienda nell’utilizzo dei servizi in cloud. Un CASB si colloca pertanto tra gli utenti e il cloud per monitorare e verificare che i servizi utilizzati siano a tutti gli effetti conformi con le policy di sicurezza aziendali, ed intervenire qualora venissero rilevate delle criticità.
Quella che ad un primo impatto potrebbe sembrare un’alternativa ai vari sistemi anti intrusione già esistenti nell’ambito della sicurezza aziendale, e pertanto un’inutile complicazione aggiuntiva per il reparto IT chiamato a gestirlo, ad una più attenta analisi si rivela quale uno strumento fondamentale dal punto di vista strategico e organizzativo per aumentare il controllo della sicurezza in azienda.
I CASB si pongono infatti ad un differente livello operativo rispetto alle tradizionali infrastrutture di sicurezza, come i firewall hardware e software, piuttosto che gli SWG (Secure Web Gateways) che regolano il comportamento dei vari punti di accesso alla rete. Considerazione che potremmo rilevare anche nei confronti di un antivirus tradizionale.
La ragione di questa sostanziale ambiguità è molto semplice da comprendere, se si considera come il reparto IT aziendale non abbia di fatto alcun controllo sulla sicurezza intrinseca di un SaaS (Software as a Service) cui gli utenti si connettono per lavorare.
La sicurezza delle web app native cloud fa capo ai CSP (Cloud Service Provider) che erogano il servizio, così come lo storage dei dati in cloud e tutte le possibili applicazioni nella nuvola, che le aziende utilizzano in misura crescente in quanto maggiormente sostenibili a livello di costi iniziali, scalabili in funzione degli andamenti dei carichi di lavoro e semplici da mantenere, dal momento che la loro gestione rientra pienamente in carico del fornitore di servizi.
Si tratta di uno scenario decisamente allettante, con un prezzo importante da pagare, che non si riferisce tanto alla fattura emessa dal CSP, quanto piuttosto al fatto di doversi fidare ciecamente del suo operato in termini di sicurezza. Un errore da parte del gestore dei servizi in cloud potrebbe comportare seri danni ad un’azienda cliente, qualora i malintenzionati riuscissero a venire in possesso di dati sensibili o segreti industriali.
Un Cloud Access Security Broker (CASB) è quindi concepito nativamente per il cloud, così come le applicazioni e le risorse che è chiamato a monitorare. Il suo obiettivo non è quello di sostituirsi alla tradizionale infrastruttura di sicurezza IT, ma di integrarla con nuove funzioni, per gestire le policy relative a tutte le attività in cloud, per potenziare la governance IT supportando nello specifico tutte le azioni di controllo relative alla sicurezza di dati, utenti e applicazioni.
In attesa di entrare nel dettaglio nel corso dei successivi paragrafi, possiamo anticipare i principali benefici operativi che derivano da una consapevole adozione di un CASB:
- Rilevamento delle minacce: consente di ottenere la completa visibilità ed effettuare un’analisi dinamica sui comportamenti delle applicazioni in cloud, con la possibilità di identificare o addirittura di prevedere le minacce, grazie al rilevamento attivo di quelle anomali che potrebbero corrispondere al verificarsi di azioni malevole. Questo avviene grazie all’impiego di strumenti basati sul machine learning, che consentono di analisi in tempo reale l’enorme flusso di dati che si genera ad esempio tra gli utenti e le applicazioni.
- Protezione degli utenti: il sistema di analisi consente di monitorare tutti gli aspetti relativi al comportamento degli utenti per consentire il provisioning sicuro delle applicazioni. La possibilità di integrare i sistemi di directory consente al CASB di verificare tutte le correlazioni possibili tra gli utenti attivi e le varie applicazioni cloud abilitate, ai fini di rilevare le possibili anomalie e le conseguenti minacce che potrebbero essere attive all’interno o all’esterno del perimetro aziendale.
- Configurazione sicura e monitoraggio delle applicazioni: un Cloud Access Security Broker (CASB) consente di avere una visibilità sulle applicazioni in cloud utilizzare, per garantirne il provisioning sicuro sin dalla loro implementazione, forti di tutte le configurazioni di sicurezza indispensabili per garantire la conformità con le policy aziendali. Il monitoraggio delle applicazioni rientra nelle attività da prevedere per rilevare in tempo reale i possibili attacchi informatici. Nel corso del successivo paragrafo vedremo cosa si intende nello specifico per visibilità e conformità nell’ambito della sicurezza dell’IT aziendale.
I 4 pillar del CASB
Ormai consci delle definizioni e dell’inquadramento generale, possiamo affrontare l’argomento successivo. La letteratura IT, tramite alcune definizioni originariamente formulate da Gartner, è infatti solita riconoscere ai Cloud Access Security Broker (CASB) alcuni punti di riferimento, altrimenti noti come i quattro pillar del CASB. Prendiamo spunto da queste definizioni per osservare quali sono i quattro elementi portanti su cui le aziende dovrebbero cercare di costruire un assetto sicuro in merito alla loro attività in cloud.
Visibility
I sistemi CASB garantiscono una visibilità completa di quello che viene definito shadow IT, per fare luce sulle zone d’ombra che potrebbero verificarsi dato il crescente ricorso alle architetture multi-cloud, che vedono moltiplicarsi quotidianamente le applicazioni SaaS utilizzate in azienda.
Un Cloud Access Security Broker (CASB) implementato in maniera efficace deve permettere ai responsabili IT di avere un unico pannello di controllo, in grado di sintetizzare tutte le applicazioni in cloud, cui gli utenti sono registrati e connessi, con una lista dettagliata dei device utilizzati. Soltanto in questo modo è possibile avere una visibilità completa dei software utilizzati dai dipendenti e fare le opportune valutazioni in termini di sicurezza, relativamente alla natura stesse delle applicazioni cloud native, alle modalità di accesso, di trattamento e archivio dei dati, ecc.
In altri termini, un CASB deve rispondere alla seguente domanda: “Chi sta facendo cosa in cloud?”. Si tratta di un quesito fondamentale per classificare le applicazioni in uso come valide o meno ai fini degli obiettivi di business, in conformità con le policy di sicurezza aziendali. Oltre al fatto che, esulando da questioni che riguardano nello specifico soltanto gli aspetti legati alla sicurezza, tali informazioni possono consentire una razionalizzare del parco software, con un relativo risparmio in termini di costi per le sottoscrizioni ai servizi.
I CASB moderni si avvalgono di feature basate sull’intelligenza artificiale per analizzare grandi quantità di dati e redigere una reportistica dettagliata in merito ai log attività delle varie applicazioni, con la possibilità di impostare degli auto-alert in caso in cui emerga il sospetto su alcune azioni malevole. Un caso classico è dato da un accesso simultaneo dello stesso utente da due luoghi diversi, il che dà luogo al sospetto di una compromissione delle sue credenziali di accesso. Allo stesso modo il Cloud Access Security Broker (CASB) è in grado di rilevare in tempo reale se un utente sta utilizzando un software ritenuto poco affidabile, ad esempio un’applicazione file sharing P2P, per procedere al suo eventuale ban.
Compliance
Una delle azioni del CASB consiste nel mettere in evidenza gli aspetti legati a quella che in gergo si definisce compliance, ossia la conformità con gli standard e le regole aziendali in merito a determinate funzioni, nello specifico quelle relative alla sicurezza. In sostanza, il CASB analizza le caratteristiche, ai fini di evidenziare le incoerenze e i possibili rischi derivanti dall’impiego di un SaaS o di altri servizi in cloud.
La maggior parte dei vendor SaaS non offrono di base una visibilità dettagliata e degli strumenti per la data protection in grado di assicurare la compliance. Il Cloud Access Security Broker (CASB) ha dunque il compito di colmare questa lacuna, con azioni specifiche in grado di garantire un livello di sicurezza ulteriori nei confronti di minacce come il data breach, piuttosto che garantire la totale conformità alle policy di accesso ai dati sensibili, scongiurando il più possibile il verificarsi di un data leak.
Data Security
I sistemi CASB contribuiscono a consolidare il rispetto delle policy relative alla sicurezza dei dati, mettendo in atto azioni di monitoraggio e analisi, utili a prevenire le azioni malevole sui dati stessi.
Il monitoraggio avviene mediante il controllo sugli accessi ai dati nelle varie situazioni in cui ciò può accadere e adottare in automatico azioni utili a salvaguardare la loro integrità, come la quarantena, il watermark o la crittografia, quali armi per contrastare un possibile data leak da parte dei malintenzionati, che potrebbero entrare in possesso delle informazioni riservate di un’azienda per rivenderle in maniera illegale ai suoi competitor, causando un danno che va ben oltre il fatto economico.
I Cloud Access Security Broker (CASB) risultano particolarmente efficaci nel controllare gli accessi che gli utenti effettuano sulla base del loro stato di autenticazione, del dispositivo utilizzato e del luogo di connessione. In particolare, il controllo dei device risulta essenziale nei regimi di lavoro remoto o agile (smart working) dove i dipendenti possono ricorrere al BYOD (Bring Your Own Device), una condizione che andrebbe se possibile sempre evitata, dal momento che contribuisce pericolosamente ad allargare il perimetro di sicurezza aziendale, rendendolo decisamente più complesso da controllare.
Un CASB può effettuare il controllo dei device connessi alla rete e identificare la loro interazione con i servizi in cloud. In questo modo, oltre ad escludere gli ID non autenticati dai propri sistemi, può anche prevenire determinati comportamenti con conformi alle policy, come scaricare o caricare file su applicazioni email / office tramite dispositivi ad utilizzo promiscuo, che il dipendente utilizza anche per attività personali, in un contesto del tutto estraneo all’IT aziendale.
Cloud Access Security Broker (CASB) per la Threat Protection
Il CASB è in generale uno strumento efficace per proteggere i sistemi aziendali dalle minacce informatiche che possono verificarsi all’interno, piuttosto che all’esterno del perimetro di sicurezza aziendale. Le azioni che può effettuare in tal senso sono davvero molte.
Sulla base di quanto evidenziato nei primi tre pillar, il Cloud Access Security Broker (CASB) può ad esempio impedire a determinati utenti, device e applicazioni l’accesso ai servizi in cloud. Inoltre può attivare una attività UEBA (User and Entity Behavior Analytics), piuttosto che il rilevamento avanzato dei malware e tutte quelle azioni che possono trarre un vantaggio dalle funzioni analitico-predittive di cui i moderni CASB sono dotati, grazie all’impiego di tecniche di intelligenza artificiale.
Un classico errore, o vizio di forma che le aziende spesso commettono è quello di fidarsi a priori del cloud, in quanto i CSP (Cloud Service Provider) sono tenuti a rispettare le SLA previste dal contratto, in cui rientrano anche specifiche condizioni di sicurezza e resilienza. Il che non vuol dire che non sia vero, ma la cronaca quotidiana ci informa del fatto che i CSP siano tutto fuorché infallibili di fronte all’incredibile quantità e varietà di minacce che si verificano. Se un attacco coinvolgesse i dati di un’azienda cliente, è vero che questa potrà eventualmente rivalersi nei confronti del fornitore, ma nel frattempo la perdita o la fuga di informazioni può causare un danno anche fatale al business. E non c’è rivalsa che tenga.
Se, come abbiamo visto in precedenza, il Cloud Access Security Broker (CASB) può colmare le lacune di sicurezza tra azienda e cloud, può rivelarsi analogamente efficace per scongiurare determinate condotte interne. Grazie al suo monitoraggio potrebbe ad esempio accorgersi che un dipendente, anche senza particolari intenzioni malevole, ma ad esempio per godere di una presunta comodità, può provare a scaricare l’intero database dei clienti da un CRM. Anche se non si tratta di una manovra illecita, tale pratica causa la fuoriuscita di dati sensibili da un perimetro sicuro, con tutti i rischi del caso, per cui è auspicabile che il CASB prevenga il download da parte degli utenti che pur rimangono autorizzati ad accedervi anche da remoto.
Gli ambiti applicativi di un Cloud Access Security Broker
Il CASB contribuisce a ridurre in maniera sostanziale i rischi derivanti dalle minacce informatiche, grazie ad una maggior consapevolezza di quanto accade in azienda. A livello pratico l’implementazione di un Cloud Access Security Broker (CASB) può avvenire in-line, con il controllo real time dell’interazione tra utente e applicazione SaaS, piuttosto che off-line grazie all’impiego di una telemetria API disponibile attraverso i provider SaaS. Ad oggi i CASB vengono ad esempio impiegati per garantire il rispetto delle policy di sicurezza aziendali in moltissimi ambiti applicativi, tra cui:
- Cloud Governance e Risk Assessment
- Autenticazioni, Autorizzazioni e Single Sing-On
- Mappatura delle credenziali
- Profilazione dei dispositivi
- Prevenzione perdita dati (data loss)
- Controllo attività di collaborazione e condivisione con applicazioni cloud native
- Prevenzione delle minacce dovute al comportamento degli utenti (UEBA)
- Tokenizzazione e crittografia dei dati, con gestione delle chiavi di accesso
- Registrazioni e segnalazioni
- Rilevamento del malware
- Integrazioni SSO e IAM
La natura real-time e l’impiego di strumenti per l’analisi avanzata di grandi quantità di dati grazie a tecniche di intelligenza artificiale fa dei CASB moderni dei sistemi molto efficaci per salvaguardare la sicurezza aziendale. I CASB non possono tuttavia agire da soli, ma devono essere combinati ad altri apparati di sicurezza, on-premises piuttosto che in cloud, come i sistemi in grado di disaccoppiare l’hardware dai meccanismi di controllo per creare reti ibride (es. Software Defined WAN, Zero Trust Network Access, Firewall as a Service, Secure Web Gateway, ecc.), su connessioni VPN, come previsto ad esempio da un’architettura di rete moderna come il SASE (Secure Access Service Edge).
Va inoltre precisato che Cloud Access Security Broker (CASB) non costituisce in alcun modo un surrogato ad una cultura della sicurezza aziendale che si genera soltanto grazie alla formazione continua dei dipendenti. Utilizzando un’espressione tipicamente gergale, la tecnologia non consente agli utenti di fregarsene della sicurezza, ma aiuta i sistemi aziendali a lavorare in maniera più sicura. Guidare una vettura sicura non evita a priori il verificarsi di un incidente qualora intervenga una condotta scriteriata, né il furto dell’auto stessa qualora si ignorino le più basilari norme di buon senso, lasciando le chiavi inserite nel cruscotto.
