CASB: контроль и защита данных в облачных сервисах

CASB (Cloud Access Security Broker) — это брокер безопасного доступа к облачным сервисам. Он встаёт между сотрудниками компании и облачными приложениями и даёт службе ИБ то, чего обычно нет: видимость, контроль и защиту данных в SaaS, которыми пользуется бизнес.

Какую проблему решает

Сотрудники работают в десятках облачных сервисов — почта, файловые хранилища, CRM, мессенджеры, таск-трекеры. Часть из них компания внедрила официально, а часть люди подключили сами, без согласования с ИТ. Это явление называют shadow IT (теневые ИТ — сервисы вне контроля компании). Корпоративный файл может оказаться в личном облаке, доступ к проекту — открыт по публичной ссылке, а уволенный сотрудник — продолжать заходить в SaaS со своего аккаунта.

Классический межсетевой экран и антивирус этого не видят: трафик в облако зашифрован, а данные хранятся за периметром компании. CASB возвращает контроль над тем, что происходит между пользователем и облаком.

Как это работает

CASB строится вокруг четырёх функций.

Видимость (discovery) — анализ трафика и журналов показывает, какими облачными сервисами реально пользуется компания, кто и сколько данных туда отправляет. Так выявляется теневой ИТ.

Контроль доступа — политики определяют, кто, с какого устройства и из какой сети может работать с облаком. Можно запретить вход с непроверенных устройств или из-за рубежа, потребовать многофакторную аутентификацию.

Защита данных — CASB проверяет содержимое: блокирует выгрузку документов с персональными данными или коммерческой тайной, запрещает публичные ссылки на чувствительные файлы. Здесь CASB пересекается с задачами DLP.

Защита от угроз — выявление аномального поведения: массовое скачивание файлов, вход из двух стран за час, заражённые файлы в общих папках.

Режимы подключения

• API-режим — CASB подключается к облачному сервису по его API, анализирует уже загруженные данные и настройки доступа. Не влияет на скорость работы, но видит события постфактум.
• Inline (прокси) — весь трафик в облако идёт через CASB, который проверяет и блокирует операции в реальном времени. Даёт мгновенный контроль, но требует аккуратной настройки.

На практике используют гибрид: API — для аудита и контроля настроек, inline — для критичных операций с данными.

Когда нужен компании

• Бизнес активно использует облачные сервисы и SaaS, а службе ИБ не видно, какие данные туда уходят
• Есть требования по защите персональных данных или коммерческой тайны в облаке
• Растёт теневой ИТ — сотрудники сами подключают сервисы вне контроля
• Нужно единое окно для политик доступа ко всем облачным приложениям сразу

Подробнее о практике защиты данных от утечек мы разбираем в материале как защитить компанию от утечек данных — CASB там один из инструментов контура.

Что включает наша услуга

• Аудит используемых облачных сервисов и выявление теневого ИТ
• Подбор и внедрение CASB-решения (с учётом доступных на дату проекта платформ)
• Настройка политик доступа и защиты данных под задачи заказчика
• Интеграция с системой управления доступом и DLP
• Сопровождение и разбор инцидентов из нашего центра мониторинга

Связанные термины

• DLP — защита от утечек данных — контроль содержимого, тесно работает с CASB при выгрузке данных в облако
• Zero Trust — модель «никому не доверяй» — подход, в котором CASB проверяет каждый доступ к облаку
• IAM — управление идентификацией и доступом — основа для политик доступа CASB к облачным сервисам