« Březen 2021 »
POÚTSTČTSONE
1234567
891011121314
15161718192021
22232425262728
2930311234

Efektivnější přístup k zabezpečení cloudu: NGFW jako inline CASB

Efektivnější přístup k zabezpečení cloudu: NGFW jako inline CASB

Cloudové aplikace radikálně změnily způsob podnikání, ale současně s sebou přinášejí nová bezpečnostní rizika. Tyto aplikace se snadno nasazují a používají, což vede k tomu, že objem a citlivost dat umístěných v cloudových prostředích neustále roste. Současně si uživatelé zvykli na práci odkudkoliv, z různých zařízení a operačních systémů.

To jsou výrazné změny v pracovních návycích a technologiích s nimiž nemohou tradiční bezpečnostní nástroje držet krok. Tlak na řešení těchto mezer v zabezpečení vedl ke vzniku nových technologií. Jednou z nich je kategorie Cloud Access Security Broker (CASB).

Gartner definuje CASB jako: „Prostředek pro vynucení bezpečnostní politiky umístěný mezi konzumentem a poskytovatelem cloudové služby, který kombinuje a vkládá bezpečnostní politiky při přístupu ke cloudovým zdrojům. CASB konsolidují vícero typů vynucení bezpečnostních politik. Mohou být nasazeny jako dedikované on-premises zařízení nebo ve formě cloudové služby.“

CASB poskytují organizacím tři klíčové bezpečnostní funkce SaaS a v důsledku vidíme jejich rapidní vývoj a adopci:

  1. viditelnost do využití SaaS aplikací
  2. granulární kontrola přístupu k SaaS
  3. zabezpečení cloudových dat a kontrola souladu s předpisy

Existují různé režimy nasazení, ve kterých může CASB poskytovat své služby. Nejčastější jsou režimy inline a API. Každý režim má své výhody i nevýhody. V textu níže se na ně trochu podrobněji podíváme a představíme také jednodušší a efektivnější přístup, použití NGFW jako inline CASB.

Jak je řešena potřeba CASB

Původní myšlenka při vzniku technologie CASB byla založena na tom, že je umístěna v cestě cloudového provozu (proto výraz „broker = zprostředkovatel“ v názvu). Nicméně od té doby se technologie CASB vyvinula a nyní zahrnuje dva klíčové přístupy: inline a API.

Inline CASB

Jak už název napovídá, inline CASB stojí v cestě provozu. To je možné implementovat ve formě dopředné (forward) nebo reverzní proxy. V případě forward proxy je potřeba zajistit přesměrování cloudového provozu na CASB zařízení nebo službu, která má poskytuje funkce viditelnosti a kontroly aplikací. Je důležité zmínit, že stejné schopnosti jako forward proxy nemusí poskytovat pouze dedikované zařízení. Nezapomínejme na to, že viditelnost a kontrola aplikací je základní vlastností NGFW. Pokud tedy již máte nasazen NGFW jako internetovou bránu, můžete jej s výhodou použít také jako CASB, a to bez dodatečných nákladů. Pokud preferujete použití skutečné proxy (tak jak to nabízí většina výrobců CASB), musíte počítat s komplikovanější architekturou a složitější správou.

V případě nasazení ve formě reverzní proxy se zpravidla používá SSO nebo jen DNS pro přesměrování uživatelů na inline CASB službu, aby bylo zajištěno vynucení politik.

CASB založené na API

V případě přístupu založeném na API nesleduje CASB provoz v reálném čase, ale přistupuje až k datům v cloudu. Jedná se o přístupu typu „out-of-band“, který umožňuje granulární bezpečnostní kontrolu všech dat umístěných v chráněné cloudové službě. Vedle toho může také průběžně monitorovat aktivitu uživatelů i administrátorské konfigurační zásahy. Z pohledu uživatele nedochází k žádné změně přístupu, rozhraní API nezasahuje do datové cesty cloudové aplikace. Přístup přes API je jediný způsob, jak lze procházet existující data uložená v cloudu a napravit existující porušení a hrozby DLP. To je obzvláště důležité, protože společnosti mnohdy používají aplikace dřív, než přijdou na to, jak je zabezpečit, a téměř vždy již existuje obsah, který je třeba prozkoumat.

Jednodušší přístup: NGFW jako inline CASB

Next-generation firewall umožňuje CASB funkci díky kombinované inspekci uživatelů, obsahu a aplikací v rámci firewallu. Inspekční technologie je schopná mapovat uživatele a aplikace a tím poskytnout granulární kontrolu nad použitím cloudových aplikací – bez ohledu na umístění nebo zařízení. Funkce relevantní pro CASB v rámci NGFW zahrnují granulární kontrolu aplikací (zahrnující jak SaaS tak i on-premise aplikace), kontrola specifických funkcí aplikací, filtrování URL a obsahu, politiky založené na úrovni aplikačního rizika, DLP, politiky založené na identitě uživatele a ochrana před známými i neznámými hrozbami.

NGFW je možné nasadit flexibilně pomocí jednoho (nebo i kombinací) z následujících scénářů:

NGFW jako appliance: Nad rámec fyzických zařízení, které již pravděpodobně máte nasazené, můžete nasadit virtuální firewall jako brány v cloudu bez nutnosti nasazovat další hardware. Mnoho zákazníků již nasadilo tuto komponentu pro on-premise uživatele.

NGFW jako cloudová služba: V tomto scénáři by měla být multi-tenantní cloudová bezpečnostní infrastruktura spravována a udržována dodavatelem. Prisma Access od Palo Alto Networks je služba umožňující zákazníkům používat preventivní funkce bezpečnostní platformy Palo Alto Networks k zabezpečení vzdálených poboček a mobilních uživatelů. Tato služba může být jednoduchým rozšířením stávajícího nasazení NGFW pro prevenci exfiltrace citlivých dat napříč všemi aplikacemi, ať už se jedná o SaaS aplikace nebo jiné.

Bezpečnostní platforma nové generace ve skutečnosti poskytuje ochranu cloudu při nižších celkových nákladech na vlastnictví než typické CASB.

Další informace najdete v následujících zdrojích:

Prisma Access

Bezpečnostní služba Prisma ™ SaaS