Cloud Access Security Broker (CASB) Qu’est-ce que le CASB (Cloud Access Security Broker) ?
Le CASB (Cloud Access Security Broker) est une solution de sécurité qui intervient entre les consommateurs et les fournisseurs de services cloud pour sécuriser la connexion aux applications SaaS. Elle garantit ainsi la protection des données sensibles, la prévention des pertes de données et la réduction des risques de cyberattaque.
- Comprendre le CASB
- Quelle est la place du CASB dans le SASE ?
- Pourquoi adopter une solution CASB ?
- Quel est le mode de fonctionnement du CASB ?
- Fonctionnalités du CASB
- HPE et le CASB
- Les avantages de HPE Aruba Networking CASB
Comprendre le CASB
Gartner
Dans un monde où les données d’entreprise confidentielles sont distribuées entre des datacenters, des clouds publics (IaaS, PaaS) ou des applications SaaS, le CASB garantit la protection des données, la conformité aux réglementations et la protection contre les menaces, et permet aux équipes de sécurité d’étendre la sécurité réseau zero trust au-delà des datacenters sur site pour l’appliquer aux plateformes cloud et SaaS. Une solution CASB offre les quatre fonctions suivantes :
- Visibilité : donner une visibilité sur l’ensemble du trafic utilisateur et des applications SaaS utilisées par les employés.
- Conformité : Garantir la conformité avec les réglementations telles que le RGPD, la norme PCI DSS, le HIPPA, etc., en limitant l’accès aux données sensibles hébergées dans plusieurs environnements cloud.
- Sécurité des données : Mettre en application les politiques de sécurité des données, empêcher le partage non autorisé des données et surveiller et analyser l’utilisation des données transmises et reçues par les fournisseurs SaaS.
- Protection contre les menaces : éliminer les menaces chaque fois que des comportements inhabituels sont détectés dans l’application cloud, pour réduire les risques liés aux attaques par ransomware, aux logiciels malveillants ou aux utilisateurs compromis.
Quelle est la place du CASB dans le SASE ?
Le SASE (Secure Access Service Edge) est la combinaison d’un réseau SD-WAN et d’une solution SSE (Security Service Edge) déployée dans le cloud. Le SSE comprend des services de sécurité clés comme le CASB, un courtier de sécurité d’accès au cloud qui permet aux entreprises de sécuriser les données sensibles présentes dans le cloud public et de concrétiser une partie de la promesse de sécurité du SASE.
Pourquoi adopter une solution CASB ?
Les données sensibles de l’entreprise ne résident plus derrière un pare-feu sur vos serveurs, mais sont réparties entre plusieurs datacenters, un cloud public ou des applications SaaS. Et avec le travail hybride, les employés accèdent aux données et aux applications via des réseaux non sécurisés, ce qui engendre une série de problématiques de sécurité critiques pour les entreprises et les équipes de sécurité :
1. Comment empêcher les employés de partager (téléverser/télécharger) des données sensibles vers où depuis des applications cloud gérées ou non gérées (par le département informatique) ?
2. Comment contrôler l’utilisation des applications et des services qui ne sont pas explicitement approuvés par le service informatique (« shadow IT ») ?
3. Comment respecter les différentes réglementations de conformité qui imposent une confidentialité stricte des données ?
4. Comment sécuriser les données sensibles présentes dans le cloud public et en restreindre l’accès depuis les appareils BYOD ?
5. Comment surveiller les données du cloud public pour détecter les logiciels malveillants (ransomware, etc.) et protéger les employés contre leur téléchargement ?
La disponibilité des services cloud en un clic offre un accès simple et non contrôlé aux employés. Les choses se compliquent lorsque ces employés utilisent certaines applications comme GitHub, Dropbox, etc., à la fois pour leur travail professionnel et pour leur usage personnel, ou créent des comptes sur des applications non gérées par le département informatique à des fins d’analyse de données ou de gestion des workflows de projet. Des actions comme celles-ci créent des défis inédits pour les équipes de sécurité et exposent les données de l’entreprise à un énorme risque de sécurité.
C’est là que les CASB entrent en jeu, afin d’aider les équipes de sécurité à étendre leur contrôle au cloud, d’offrir une visibilité sur tous les services cloud utilisés par les employés, de surveiller ou analyser les applications SaaS pour détecter les menaces, de sécuriser les données contre les menaces, d’assurer le respect des réglementations de conformité et de limiter le partage de données sensibles.
Quel est le mode de fonctionnement du CASB ?
Déployée sous forme de matériel/logiciel sur site ou de service cloud, une solution CASB met en œuvre des méthodes proxy et API pour appliquer des contrôles de sécurité rigoureux :
- Workflow de proxy : pour l’inspection des données en temps réel
1. L’utilisateur tente d’accéder à une application SaaS ou à une plateforme IaaS. Le trafic est intercepté par le CASB, qui procède à une inspection SSL.
2. Le CASB valide l’identité et applique la politique via des contrôles CASB et de protection des données en ligne pour restreindre les activités de téléversement, de téléchargement et de partage. La conformité est vérifiée et l’accès est automatiquement adapté en fonction des changements de contexte en temps réel.
3. Les actions restreintes étant mises en place, l’accès sécurisé au SaaS est accordé à l’utilisateur avec interdiction des comportements non autorisés pour éviter la perte de données et assurer la conformité.
4. Les administrateurs bénéficient d’une visibilité sur toutes les activités des utilisateurs accédant à l’application SaaS. Si la politique de sécurité change ou si l’utilisateur tente une activité non autorisée, l’accès est réévalué et les administrateurs sont alertés.
- Workflow d’API : pour analyser les données passives
Le CASB exploite la sécurité de l’interface de programmation d’application (API) hors bande pour surveiller les données stockées dans des services cloud tels que Microsoft Office 365, Salesforce, Workday, SharePoint, etc. Il s’intègre aux API de ces services cloud et recherche les logiciels malveillants et les autres types de cybermenaces.
Fonctionnalités du CASB
- CASB en ligne : appliquez les politiques de sécurité en temps réel lorsque les données se déplacent vers et depuis le cloud. Cela peut inclure l’authentification, le chiffrement et d’autres contrôles de sécurité.
- Inspection SSL pour le contrôle CASB : inspectez le trafic SSL/TLS chiffré pour contrer les menaces ou les fuites de données avant qu’elles ne se réalisent. En déchiffrant le trafic, le CASB peut appliquer des politiques de sécurité pour protéger les données sensibles.
- Visibilité sur les applications et la « shadow IT » : la « shadow IT » ou informatique fantôme fait référence à l’utilisation d’applications et de services sans l’approbation explicite du département informatique. Avec le CASB, les entreprises bénéficient d’une visibilité sur les applications SaaS et la « shadow IT », ce qui leur permet de mieux comprendre et gérer les risques associés à l’utilisation d’applications autorisées et non autorisées.
- Contrôle granulaire des actions restreintes : les administrateurs peuvent définir des politiques granulaires qui restreignent certaines actions telles que le chargement, le téléchargement, le partage de données, etc., à partir de n’importe quelle application SaaS. Il s’agit d’une mesure importante pour se protéger contre la perte de données et garantir la conformité aux diverses réglementations.
- DLP pour les applications SaaS : la DLP (prévention de la perte de données) aide à protéger les données sensibles au sein des applications SaaS en surveillant, détectant et bloquant les violations de données potentielles ou les accès non autorisés. Elle peut utiliser des expressions régulières (regex), la correspondance par dictionnaire et la reconnaissance optique de caractères (OCR) pour identifier et protéger les données sensibles.
- Conformité avec les dictionnaires prédéfinis et personnalisés : des dictionnaires prédéfinis et personnalisés peuvent être créés pour garantir la conformité à des réglementations spécifiques, telles que HIPAA, PCI DSS, RGPD et NIST. Ces dictionnaires contiennent des termes et des modèles propres à chaque réglementation, ce qui aide les entreprises à respecter leurs obligations de conformité.
HPE et le CASB
HPE Aruba Networking CASB est une solution de CASB moderne conçue pour améliorer la sécurité du cloud et sécuriser l’accès aux applications SaaS au sein des entreprises. En tant que médiateur de sécurité entre les utilisateurs et les applications SaaS, notre CASB offre une protection CASB en ligne pour les données en mouvement, régule efficacement les flux de données, détecte la « shadow IT » et prévient la perte de données.
HPE Aruba Networking CASB offre une visibilité de bout en bout qui permet une gestion centralisée de l’accès des utilisateurs, des téléchargements et des autorisations de partage. Le fonctionnement de notre CASB est simple : il gère le trafic comme un proxy pour éviter les connexions de transfert risquées, valide les identités, applique des politiques et connecte en toute sécurité les utilisateurs aux ressources tout en inspectant le trafic et en surveillant l’expérience utilisateur.
En mettant l’accent sur la facilité d’utilisation et l’évolutivité, HPE Aruba Networking CASB offre un accès sécurisé aux services et applications cloud modernes. Dans notre monde centré sur le cloud, le CASB intervient dans le cadre de la plateforme HPE Aruba Networking SSE pour offrir une valeur ajoutée avec un gain de visibilité, de conformité et de sécurité des données dès le départ.
Les avantages de HPE Aruba Networking CASB
HPE Aruba Networking CASB permet aux entreprises d’adopter le cloud et d’y appliquer le même niveau de sécurité des données qu’aux services sur site. Notre solution CASB offre les avantages suivants :
- Sécurité des données améliorée : fournit une analyse et une surveillance en temps réel de l’utilisation et du flux de données vers et depuis le fournisseur SaaS. Cela inclut les fonctionnalités DLP qui protègent les données sensibles en empêchant le partage non autorisé et en garantissant l’application des politiques de sécurité des données.
- Visibilité et contrôle : offre une visibilité et un contrôle détaillés sur les environnements cloud. Les équipes peuvent ainsi visualiser tout le trafic utilisateur, identifier les applications cloud utilisées par les utilisateurs et appliquer des contrôles granulaires pour gérer la manière dont les données sont consultées et utilisées.
- Conformité : prend en charge la conformité aux réglementations sur la confidentialité des données en appliquant les politiques de cybersécurité de l’entreprise dans plusieurs environnements cloud. Les évaluations des risques et les scores des utilisateurs et des applications aident à la gestion des exigences de conformité.
- Atténuation des menaces : protège contre les menaces connues et inconnues, avec notamment des solutions antimalware et antivirus. Détecte les comportements inhabituels dans les applications cloud, identifie les risques tels que les attaques par ransomware, les utilisateurs compromis et les applications malveillantes, et peut corriger automatiquement les menaces pour limiter les risques organisationnels.
- Efficacité opérationnelle : consolide plusieurs types de mise en application de politiques de sécurité en un seul point, pour des opérations de sécurité rationalisées et une gestion simplifiée des politiques de sécurité et de la sécurisation de plusieurs services cloud.
