CASB - Agente de seguridad de acceso a la nube
Lectura de 2 min aprox.
Un CASB (Cloud Access Security Broker) es una solución de seguridad que se sitúa entre los usuarios de una organización y los servicios en la nube, y se encarga de forma centralizada de la visibilidad del acceso, la aplicación del cumplimiento, la protección de datos y la detección de amenazas. El concepto fue propuesto por Gartner en 2012 y se difundió rápidamente ante el creciente riesgo de la TI en la sombra a medida que se aceleraba la migración a la nube. Como medio para cerrar las brechas de seguridad en el uso de SaaS que los cortafuegos y proxies tradicionales no pueden cubrir por completo, desempeña un papel central en las estrategias de seguridad en la nube de las empresas.
La propuesta de Gartner y el desarrollo del mercado
En un informe de 2012, Gartner señaló que el uso empresarial de la nube se estaba expandiendo más allá del control de los departamentos de TI y propuso la necesidad de colocar un «intermediario (broker)» entre la nube y los usuarios. Al principio, startups como Netskope, Skyhigh Networks (ahora McAfee Enterprise) y Bitglass lideraron el mercado, pero a partir de aproximadamente 2020, grandes actores como Microsoft, Palo Alto Networks y Zscaler entraron mediante adquisiciones y desarrollo propio, y el mercado se está consolidando rápidamente.
Los cuatro pilares del CASB
Detecta de forma exhaustiva los servicios en la nube que utilizan los empleados. Ofrece una vista de panel del uso de todo el SaaS, incluida la TI en la sombra.
Supervisa el cumplimiento de los requisitos normativos. Comprueba automáticamente las ubicaciones de almacenamiento de datos, el estado de cifrado y los registros de acceso.
Evita la fuga externa de datos confidenciales con capacidades de DLP (Data Loss Prevention). Protege los datos en la nube mediante cifrado y tokenización.
Detecta patrones de inicio de sesión anómalos, descargas masivas, configuraciones de uso compartido sospechosas y similares, y los bloquea o emite alertas en tiempo real.
Comparación de los modos de despliegue
| Modo | Cómo funciona | Ventajas | Desventajas |
|---|---|---|---|
| Proxy de reenvío | Enruta el tráfico del usuario a través del CASB | Control en tiempo real; también puede bloquear servicios no autorizados | Requiere la implementación de un agente; aumenta la latencia |
| Proxy inverso | Coloca el CASB delante del servicio en la nube | No requiere agente; también es compatible con BYOD | Gama limitada de servicios compatibles |
| Modo API | Analiza los datos a través de la API del servicio en la nube | Fácil de implementar; puede inspeccionar datos ya almacenados | Sin bloqueo en tiempo real; solo detección a posteriori |
La tendencia hacia la integración en SASE
En los últimos años, los CASB han evolucionado de ser productos independientes a convertirse en un componente de SASE (Secure Access Service Edge). SASE es una plataforma de seguridad nativa de la nube que integra el acceso a la red de confianza cero (ZTNA), SD-WAN, cortafuegos y CASB. Gartner predijo que para 2025 el 80 % de las grandes empresas adoptaría una estrategia SASE, y se está convirtiendo en algo habitual que las funciones del CASB se ofrezcan como parte de SASE. La integración con IAM permite un control de acceso detallado basado en la identidad del usuario.
Casos de uso reales
«Cuando implementamos un CASB y ejecutamos el primer escaneo, descubrimos que dentro de la empresa se usaban más de 350 servicios en la nube no autorizados. De ellos, 15 almacenaban datos con información personal, por lo que realizamos de inmediato una migración de datos. Mediante el modo API, también inspeccionamos de forma retroactiva los datos de nuestros Microsoft 365 y Google Workspace existentes, detectando y corrigiendo más de 200 archivos confidenciales que se habían compartido externamente.»
Las medidas de seguridad para el almacenamiento en la nube se explican en detalle en nuestro artículo sobre la seguridad del almacenamiento en la nube, y la protección de los entornos de trabajo remoto se aborda en nuestro artículo sobre la seguridad del trabajo remoto.libros sobre seguridad en la nube (Amazon) también son útiles en la práctica.
¿Te resultó útil este artículo?