redseguridad 077

seguridad en cloud

monográfico

opinión

mundo del cloud , como Oracle, SAP o Microsoft. En el caso de Microsoft, Office365 y Azure son sus mayores apuestas tecnológicas y la mayoría de la pymes y grandes empresas las están adoptando. Si bien se trata de un servicio cloud bueno y una tendencia a seguir, el CIO verá un gran ahorro en los costes directos de las licencias (cambio de CAPEX por OPEX), así como otros ahorros de gestión de licencias y administración. Y el CISO qué, ¿qué opina? Pues nada bueno, tiene que acceder al Active Directory, deja de ver los datos de tráfico de los clientes, el Exchange se va a Microsoft, etc. Lo más importante es que muchos elementos de tecnología de seguri- dad se han desplegado con enormes costes –directos y de implantación– en estos últimos dos o tres años, como el DLP, IPS, SIEM, NFW, etc. Dejan de ver el tráfico a estos ser- vicios cloud porque la información va tunelizada directamente de extremo a extremo, pero no hacia nuestros firewalls , sino, en muchos casos, hacia el usuario final. Como se ve en la figura de abajo, nuestro perimetral deja de poder analizar el tráfico, lo cual es trágico. No todo está perdido, nuestras nuevas capacidades de CIO-CISO nos van a permitir descubrir las nue- vas tecnologías que surgen en el cloud para proteger y controlar: las

Los modelos de CASB son la base de los modelos de protección para el cloud y será nuestra la tarea decidir cuál es el mejor modelo y arquitectu- ra de implantación. Lo que se busca con las soluciones de CASB, es tener una solución inte- gral y que nos entregue: Visibilidad: ∂ Alcance del shadow IT . ∂ ¿Qué usuarios comparten datos, qué tipo de datos y con quién? ∂ ¿Qué certificaciones de seguri- dad tiene cada servicio SaaS? Cumplimiento normativo: ∂ Clasificación de los distintos tipos de datos (DLP en cloud ). ∂ ¿Quién accede a cada tipo de datos? ∂ ¿Desde dónde acceden? Prevención de amenazas: ∂ Monitorización del comporta- miento de los usuarios. ∂ Detección de insiders malicio- sos. ∂ Detección del robo de creden- ciales. ∂ Detección del malware . Seguridad de los datos: ∂ Limitar la exposición de ficheros. ∂ Restringir acceso a información por ubicación y dispositivo (copora- tivo o BYOD). ∂ Cifrado. ∂ Tokenizacion. ∂ Control centralizado de claves y token vault on-premise .

denominadas CASB ( Cloud Access Security Brokers ) o servicios de cloud para controlar el acceso; lo que nos permitirá monitorizar, con- trolar el tráfico, permitir acceder a las aplicaciones y a los datos del Active Directory que queramos, así como a monitorizar los ficheros creados y borrados, incluso en offline . Modelo CASB A continuación, veremos la imple- mentación que se realizó en una empresa del IBEX35 de la tecno- logía BlueCoat para el control de aplicaciones y servicios cloud sobre las más populares Dropbox, Google, Saleforce o Microsoft Office365.

red seguridad segundo trimestre 2017 69