Cloud Access Security Broker (CASB)
Cos’è Cloud Access Security Broker (CASB)?

Un Cloud Access Security Broker, spesso abbreviato in CASB, è una soluzione di sicurezza posta tra i consumatori e i provider di servizi cloud che agisce da intermediario per una connessione sicura alle applicazioni SaaS. Evita la perdita dei dati e protegge quelli sensibili, oltre a ridurre le possibilità di un cyberattacco.

Indice
    Funzioni di un diagramma CASB.
    Funzioni di un diagramma CASB.
    TOCCA L'IMMAGINE PER INGRANDIRLA

    Descrizione del CASB

    Secondo Gartner%3Ca%20href%3D%22https%3A%2F%2Fwww.gartner.com%2Fen%2Finformation-technology%2Fglossary%2Fcloud-access-security-brokers-casbs%23%3A%7E%3Atext%3DCloud%2520access%2520security%2520brokers%2520%28CASBs%29%2520are%2520on%252Dpremises%252C%2Ccloud%252Dbased%2520resources%2520are%2520accessed.%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3EGartner%20IT%20Glossary%2C%20%E2%80%9CCloud%20Access%20Security%20Broker%2C%E2%80%9D%20agosto%202024.%3C%2Fa%3E,  "I Cloud Access Security Broker (CASB) sono punti di applicazione delle policy di sicurezza on-premise o basate su cloud posti tra i consumatori e i provider di servizi cloud per combinare e inserire le policy di sicurezza enterprise in fase di accesso alle risorse basate sul cloud”.

    In un mondo in cui i dati aziendali riservati sono distribuiti in più data center, cloud pubblici (IaaS, PaaS) o applicazioni SaaS, il CASB garantisce la protezione dei dati, la compliance alle normative e la protezione dalle minacce, aiutando al contempo i team di sicurezza a estendere la protezione della rete Zero Trust oltre i data center on-premise, fino al cloud e al SaaS. Una soluzione CASB offre le quattro funzioni che seguono.

    • Visibilità: visibilità su tutto il traffico degli utenti e sulle applicazioni SaaS utilizzate dai dipendenti.
    • Compliance: rispetto di normative quali GDPR, PCI DSS, HIPPA ecc., limitando l'accesso ai dati sensibili ospitati su più ambienti cloud.
    • Sicurezza dei dati: policy di sicurezza dei dati, possibilità di evitarne la condivisione non autorizzata e monitoraggio e analisi dell'utilizzo da e verso i provider SaaS.
    • Protezione dalle minacce: correzioni ogni volta che vengono rilevati comportamenti insoliti nelle applicazioni cloud, riducendo i rischi di minaccia derivanti da ransomware, malware o utenti compromessi.

    Dove si colloca il CASB nel SASE?

    Il SASE (Secure Access Service Edge) è una combinazione di SD-WAN e del servizio di sicurezza edge fornito dal cloud o SSE. SSE è composto da servizi di sicurezza chiave, tra cui il Cloud Access Security Broker o CASB, che consente alle aziende di proteggere i dati sensibili nel cloud pubblico e realizzare una parte della visione di sicurezza del SASE.

    Diagramma del funzionamento di CASB.
    Diagramma del funzionamento di CASB.
    TOCCA L'IMMAGINE PER INGRANDIRLA

    Perché considerare il CASB?

    I dati aziendali sensibili non risiedono più dietro un firewall nei server, ma sono distribuiti in più data center, cloud pubblici o applicazioni SaaS. E con il lavoro ibrido, i dipendenti accedono ai dati e alle applicazioni tramite reti non protette, creando una serie di problematiche critiche di protezione per le aziende e i loro team di sicurezza, a cominciare da quelle che seguono.

    1. Come impedire ai dipendenti di condividere (caricare/scaricare) dati sensibili sulle applicazioni cloud gestite e non gestite (dall'IT).

    2. Come controllare l'uso di applicazioni e servizi non esplicitamente approvati dall'IT (shadow IT).

    3. Come soddisfare le diverse normative di compliance che impongono una rigorosa privacy dei dati.

    4. Come proteggere i dati sensibili nel cloud pubblico e limitare l'accesso ai dispositivi nello scenario BYOD.

    5. Come monitorare i dati nel cloud pubblico per rilevare malware, ransomware ecc. ed evitare che i dipendenti scarichino questi software dannosi.

    La disponibilità dei servizi cloud in un solo clic garantisce ai dipendenti un accesso facile e senza controlli. Le cose si complicano quando vengono utilizzate particolari app come GitHub e Dropbox per uso misto professionale/personale o vengono creati account su app non gestite a fini di analisi dei dati o gestione dei flussi di lavoro dei progetti: questi tipi di attività pongono problematiche inaspettate ai team di sicurezza e mettono enormemente a rischio la sicurezza dei dati aziendali.

    I CASB aiutano i team di sicurezza a estendere il loro controllo al cloud, fornendo visibilità su tutti i servizi cloud utilizzati dai dipendenti, monitorando o analizzando le applicazioni SaaS per individuare le potenziali minacce, proteggendo i dati, rispettando le normative sulla compliance e limitando la condivisione dei dati sensibili.  

    Come funziona il CASB?

    Una soluzione CASB viene fornita on-premise tramite hardware o software o come servizio cloud e utilizza metodi proxy e API per applicare rigorosi controlli di sicurezza. 

    • Flusso di lavoro proxy: per l'ispezione dei dati in tempo reale.

    1. L'utente tenta di accedere a un'applicazione SaaS o a una piattaforma IaaS. II CASB intercetta il traffico e viene eseguita l'ispezione SSL.

    2. Il CASB convalida l'identità e applica policy tramite controlli CASB e di protezione dei dati in linea per limitare le attività di upload, download e condivisione. La conformità viene verificata e l'accesso adattato automaticamente in base ai cambiamenti di contesto in tempo reale.

    3. Con la limitazione delle azioni possibili, l'accesso sicuro SaaS viene esteso all'utente, limitando al contempo i comportamenti non autorizzati per prevenire la perdita di dati e garantire la compliance.

    4. Gli amministratori ottengono visibilità su tutte le attività degli utenti mentre accedono all'applicazione SaaS. Se la situazione di sicurezza cambia o l'utente tenta un'attività non autorizzata, l'accesso viene rivalutato e gli amministratori avvisati.

    • Flusso di lavoro API: per la scansione dei dati inattivi.

    Il CASB sfrutta la sicurezza dell'interfaccia di programmazione delle applicazioni (API) fuori banda per monitorare i dati archiviati in servizi cloud quali Microsoft Office 365, Salesforce, Workday, SharePoint ecc. Si integra con le loro API ed esegue la scansione alla ricerca di malware, ransomware, software dannosi e altri tipi di minacce informatiche. 

    Caratteristiche del CASB

    • CASB in linea - Applicazione di policy di sicurezza in tempo reale durante il trasferimento dei dati da e verso il cloud; può includere autenticazione, crittografia e altri controlli di sicurezza.
    • Ispezione SSL per il controllo CASB - Ispezione del traffico SSL/TLS crittografato per bloccare potenziali minacce o perdite di dati prima che si verifichino: decifrando il traffico, può applicare policy di sicurezza per proteggere i dati sensibili.
    • Visibilità sulle app e sullo shadow IT - Shadow IT si riferisce all'uso di applicazioni e servizi senza l'approvazione esplicita dell'IT: con il CASB, le aziende ottengono visibilità sulle app SaaS e sullo shadow IT per comprendere e gestire al meglio i rischi associati all'utilizzo autorizzato e non autorizzato delle applicazioni.
    • Controllo granulare delle azioni limitate - Gli amministratori hanno la possibilità di impostare policy granulari che limitano determinate azioni, come l’upload, il download, la condivisione di dati ecc. da qualsiasi applicazione SaaS, un requisito importante per tutelarsi dalla perdita di dati e garantire la compliance alle varie normative.
    • DLP per app basate su SaaS: il Livello di protezione dei dati (DLP) contribuisce a proteggere i dati sensibili all'interno delle applicazioni SaaS monitorando, rilevando e bloccando le potenziali violazioni dei dati o gli accessi non autorizzati; può utilizzare espressioni regolari (regex) e corrispondenze di dizionari oppure l'OCR (riconoscimento ottico dei caratteri) per individuare e proteggere i dati sensibili.
    • Compliance con dizionari predefiniti e personalizzati: per garantire la compliance a normative specifiche come HIPAA, PCI DSS, GDPR e NIST è possibile creare dizionari predefiniti e personalizzati che contengono termini e modelli specifici per ciascuna normativa, aiutando le organizzazioni a ottemperare ai propri obblighi di compliance.

    HPE e il CASB

    HPE Aruba Networking CASB è una moderna soluzione Cloud Access Security Broker (CASB) progettata per migliorare la sicurezza del cloud e proteggere l'accesso alle applicazioni SaaS per le organizzazioni. La nostra soluzione funge da intermediario della sicurezza tra gli utenti e le applicazioni SaaS, fornendo protezione CASB in linea per i dati in movimento, regolando efficacemente i flussi di dati, portando alla luce lo shadow IT e prevenendo la perdita di dati.

    HPE Aruba Networking CASB fornisce visibilità end-to-end, consentendo la gestione centralizzata dell'accesso degli utenti, dei download e delle autorizzazioni di condivisione. Il funzionamento è semplice: il CASB esegue il proxy del traffico per evitare connessioni pass-through rischiose, convalida le identità, applica le policy e connette in modo sicuro gli utenti alle risorse, ispezionando il traffico e monitorando l'esperienza utente.

    Caratterizzato da facilità d'uso e scalabilità, HPE Aruba Networking CASB garantisce un accesso sicuro ai moderni servizi e applicazioni cloud. In un mondo sempre più incentrato sul cloud, il CASB si inserisce nella più ampia piattaforma HPE Aruba Networking SSE per fornire valore con maggiore visibilità, compliance e sicurezza dei dati fin dall'inizio.

    I vantaggi di HPE Aruba Networking CASB

    HPE Aruba Networking CASB consente alle aziende di adottare il cloud e di estendere lo stesso livello di sicurezza dei dati di cui dispongono per i servizi on-premise. La nostra soluzione CASB offre svariati vantaggi.

    • Maggiore sicurezza dei dati: scansione e monitoraggio in tempo reale dell'utilizzo dei dati e del flusso da e verso il provider SaaS, con funzionalità DLP che proteggono i dati sensibili impedendone la condivisione non autorizzata e garantendo l'applicazione delle policy di sicurezza. 
    • Visibilità e controllo: visibilità e controllo dettagliati sugli ambienti cloud con la possibilità di visualizzare tutto il traffico degli utenti, individuare le applicazioni cloud utilizzate e applicare controlli granulari per gestire le modalità di accesso e utilizzo dei dati. 
    • Compliance: migliore rispetto delle normative sulla privacy dei dati tramite l’applicazione delle policy aziendali di cybersicurezza in più ambienti cloud,  utilizzando anche valutazioni dei rischi e punteggi per utenti e applicazioni. 
    • Mitigazione delle minacce: protezione dalle minacce note e sconosciute, inclusi i sistemi anti-malware e anti-virus, rilevando comportamenti insoliti nelle applicazioni cloud, identificando rischi quali attacchi ransomware, utenti compromessi e applicazioni non autorizzate e ponendo automaticamente rimedio alle minacce per limitare il rischio per l’organizzazione. 
    • Efficienza operativa: consolidamento di più tipi di applicazione delle policy di sicurezza in un unico punto, per operazioni di sicurezza ottimizzate e una gestione semplificata delle relative policy e della protezione di più servizi cloud. 

    Soluzioni, prodotti o servizi correlati

    HPE Aruba Networking SSE

    Consenti l'accesso costante e sicuro per ogni utente, dispositivo e applicazione, ovunque, con Security Service Edge (SSE).

    Per saperne di più

    HPE Aruba Networking EdgeConnect SD-WAN

    Abilita l'accesso ai dati ovunque si trovino con una soluzione SD-WAN SASE sicura che produce sia la connettività sia la sicurezza necessarie per il cloud ibrido.

    Per saperne di più

    Argomenti correlati

    SSE (Security Service Edge)
         Zero Trust Network Access (ZTNA)
         Secure Access Service Edge (SASE)