Cada vez es más necesario contar con herramientas de protección y control adecuadas para los entornos cloud. Estas, además, deben ser complementarias a las herramientas de control de navegación web. En este sentido, consolidar una solución Cloud Access Security Broker (CASB) y un proxy de navegación como un servicio único en la nube es una buena opción para un sector como el de retail.
Nuestra experiencia durante los últimos años nos muestra que la transformación digital que se está produciendo en los entornos de retail se apoya en dos tendencias relevantes: la evolución hacia servicios cloud y la adopción de tecnologías SD-WAN. Estos movimientos —ligados entre sí— tienen como objetivo un ahorro de costes y una mayor rapidez en el despliegue de nuevas sedes e infraestructuras.
Dado que cada vez se usan más servicios en cloud —correo electrónico, CRM o marketing entre otros— la necesidad de derivar todas la comunicaciones hacia la sede central y, desde ahí, proteger el acceso a Internet, va perdiendo importancia. Esta opción, además, implica obligatoriamente tener que aumentar los caudales de las redes MPLS internas. Por el contrario, las empresas de retail están optando por dar conexión directa a Internet a cada centro, de modo que las comunicaciones con las soluciones cloud se produzcan sin pasar por un punto central, limitando las comunicaciones hacia la sede central sólo para aquellos servicios aún no migrados a cloud.
Asegurando las comunicaciones
Lógicamente, esto plantea nuevos desafíos. El primero es evidente y va ligado a la seguridad de las comunicaciones hacia Internet desde las tiendas o sedes remotas. Si bien muchos fabricantes de seguridad están ofreciendo CPEs seguros, y esto es una buena opción, la realidad es que el coste de estas soluciones suele ser bastante superior al de los CPEs a los que el cliente está acostumbrado, basados normalmente en dispositivos de red sin seguridad.
Ante esta situación, algunos se plantean si existe una opción segura, abordable en precio y que permita aplicar seguridad a todas las sedes remotas desde una consola única. La respuesta es afirmativa. Es posible usar un servicio de proxy de navegación en la nube. De esta forma se define la política de seguridad en un punto central en Internet y el tráfico de navegación de todas las sedes se hace pasar por el mismo, pudiendo controlar en un punto único en Internet toda la navegación y comunicaciones tanto de las sedes remotas como de los usuarios en movilidad.
Siguiente paso: la importancia de proteger las aplicaciones cloud
Una vez el tráfico permanece ubicado en un sitio central en Internet, ¿no tendría sentido securizar desde ese sitio las aplicaciones cloud que está adoptando la empresa? Con esto se pretende habilitar de forma segura el uso de servicios cloud a los usuarios controlando las acciones que realizan en los mismos, el tipo de información que trasiegan, al mismo tiempo que se evita que el malware pueda aprovechar las aplicaciones corporativas para distribuirse.
Realmente, esta acción tiene todo el sentido del mundo; es más, en esta línea se están moviendo muchas empresas de retail en Estados Unidos. Sin embargo, diferenciar lo que es simplemente navegación web de lo que son aplicaciones cloud requiere tener una potente inteligencia sobre estas últimas, interpretando los dominios sobre los que trabajan y entendiendo las llamadas APIs que los usuarios intercambian con las mismas.
La importancia de una solución CASB
A diferencia de las herramientas de seguridad tradicionales, enfocadas en detectar ataques, las soluciones CASB deben ser capaces de entender las llamadas que se producen entre aplicaciones o bien entre aplicaciones y usuarios.
Estas llamadas se encaminan siempre a través de APIs, por lo que un potente control sobre las mismas permite identificar correctamente la aplicación cloud, la instancia a la que se está accediendo —si es la instancia corporativa o una instancia personal— o la acción que realiza el usuario sobre la misma. Asimismo, es posible conocer el tipo de dato que está moviendo o el dispositivo desde el que se realiza la conexión, para, y en base a esta información, decidir que se quiere hacer con esa conexión.
Por ejemplo, para un equipo semi-desatendido en una tienda remota, que accede a las aplicaciones corporativas en cloud con una conexión directa a Internet sin pasar por una red MPLD, haremos pasar toda su navegación web a través de un proxy de navegación en la nube, aplicándole una restricción sobre el tipo de dominios a los que puede navegar y securizando su tráfico. Así mismo, al acceder al correo corporativo en cloud estaremos registrando toda su actividad, limitando el tipo de información que puede descargarse en esa máquina y controlando que, por ejemplo, si el usuario levanta una instancia de correo personal en el mismo equipo pueda haber trasiego de información de una a otra.
Dicho esto, cada vez es más necesario contar con las herramientas de protección y control adecuadas en entornos cloud. Estas, además, deben ser complementarias a las herramientas de control de navegación web.
Disponer de ambas soluciones CASB y proxy de navegación como un servicio en la nube es una buena opción para el sector retail, dónde las sedes remotas demandan cada vez más de accesos directos a Internet y hacen uso de las soluciones cloud.
Samuel Bonete, Country Manager de Netskope para España y Portugal.
Artículo publicado en el número 14 de la emagazine.
