CASB с первого взгляда. Как работает брокер безопасного доступа к облачным сервисам

Небольшой компании, которая имеет дело с целым зоопарком онлайн-сервисов, не всегда удается осмысленно подойти к формированию общих политик безопасности для используемых облачных услуг и приложений. Всё получается стихийно и вразнобой. Скажем, если для облачной разработки применяются максимально суровые политики (вплоть до разрешения доступа к средам с конкретных компьютеров и шифрования передаваемых данных), то доступ к базе клиентов защищен по минимуму — хотя как раз база (а не продукт труда разработчиков) оказываются главным активом организации.

Правильная политика

Как быть? Совершенно точно, возвращать ИТ-обвязку бизнеса в периметр компании смысла не имеет. В нынешних реалиях это шаг назад. Облачные сервисы быстрее в развертывании и проще в масштабировании, для их содержания не нужно нанимать больше квалифицированных и дорогих айтишников, да и в плане развития функциональности клаудные решения почти всегда не уступают аналогам on premise. Поэтому отказываться от них — не вариант. При этом есть проверенный способ распространить на клауд-услуги единые политики безопасности и с помощью автоматизации обеспечить их соблюдение для всех сервисов и приложений. Имя этому способу — CASB, или Cloud Access Security Broker.

По сути CASB — это приложение-”зонтик”, раскрывающееся над совокупностью облачных сервисов, используемых в компании, и защищающее учетные записи и данные от разных типов угроз. В CRM ломится незнакомый пользователь? Слетело шифрование трафика между компьютером и контейнером, где ведется разработка новой функциональности? Кто-то из сотрудников устанавливает в свое облачное рабочее пространство новый софт? Зафиксирована попытка слива базы на личный облачный диск сотрудника? CASB предпринимает меры по предотвращению неправильных действий пользователей и незамедлительно оповещает администратора о самом фактах нарушения политик.

Что умеет CASB

Функциональные возможности CASB обусловлены особенностями облачного ИТ-ландшафта и нюансами рабочих процессов, принятых в каждой конкретной компании. Для облегчения понимания объединим функциональность решений в несколько групп.

• Защита от угроз и предотвращение потери данных, включая утрату информации в результате запуска в облачном воркспейсе вредоносного ПО и несанкционированного доступа к информации

• Поведение пользователей и контроль устройств. Разрешает доступ только с “правильных” компьютеров и только авторизованным сервисам вашей облачной среды.

• Контроль приложений SaaS и оценка рисков для ваших данных со стороны этих приложений.

• Соблюдение порядка обращения с данными для соответствия нормативно-правовой базе. В нашей стране это главным образом работа с персональными данными в рамках 152ФЗ.

Прокси или API?

Существует два основных типа решений CASB - на основе API и на базе прокси (также известных как межсетевой экран). Давайте разберемся в нюансах применения и поймем, какой тип CASB подойдет именно вам.

Прокси-серверы CASB образуют автономный шлюз, который отслеживает трафик между вашими пользователями и облаком. Брокеры на основе прокси-серверов обеспечивают мониторинг в реальном времени для выявления нарушений политик. Прокси-CASB управляют заранее определенным набором устройств и подключенных облачных сервисов, что не всегда удобно и быстро, особенно когда ряд облачных сервисов задействованы единомоментно и при этом скорость передачи данных к каждому из них и обратно на пользовательское устройство критически важна.

Если применить бытовую аналогию, то прокси-CASB — это небольшой магазинчик около дома с единственной кассой. “Покупателей” (они же пользователи) в таком магазине обычно немного, поэтому они не создают очередей и не перегружают CASB.

Безопасный доступ к облачным сервисам в компаниях покрупнее — от ста сотрудников и более — требует иного подхода. Для его реализации применяют CASB на основе API. Он контролирует трафик, пользователей и устройства в контексте корпоративной облачной рабочей среды и предоставляет лучшую масштабируемость, оптимальное быстродействие за счет отсутствия программной прослойки в виде прокси-сервера.

Продолжая ту же бытовую аналогию, скажем, что это супермаркет со множеством касс самообслуживания и постоянным контролем за поведением “покупателей” в кассовой зоне. Обилие терминалов исключает очереди, а неусыпный мониторинг не даст шанса “покупателю” (он же пользователь) пронести товары (или данные) мимо кассы. Вот почему CASB на основе API кроме скорости работы позволяет продуктивно решать проблему “теневых ИТ”, с которой прокси-CASB не справляется.

Попробуйте CASB для Google Workspace 

Несмотря на то, что сегмент решений CASB достаточно молод, он неплохо диверсифицирован. Есть что выбрать как крупным корпорациям, так и небольшим компаниям. В своем выборе мы рекомендуем отталкиваться от особенностей существующего ИТ-ландшафта. Если в вашей компании работа отдельных сотрудников и целых команд организована на базе Google Workspace, целесообразно рассмотреть SpinOne, где функциональность CASB реализовано на базе API наилучшим образом. Этот вендор с самого начала взял курс на реализацию максимально полезной функциональности как раз для пользователей платформы Google, поэтому мы смело можем рекомендовать решение к применению.

>>>Выбрать лицензию и купить<<<

Затрудняетесь с выбором? Остались вопросы по развертыванию? Задайте их нам через форму ниже.