Cloud Access Security Broker: контроль данных за пределами периметра

от

«Всё больше процессов переходит в облако, а безопасность при этом застревает где-то между внутренним политиками и договором об уровне услуг с провайдером. CASB, это попытка вернуть контроль над тем, что на самом деле происходит с корпоративными данными за пределами периметра»

.

Безоблачных инфраструктур практически не осталось. Однако переход на облачные сервисы не отменяет требований регуляторов, будь то 152-ФЗ о персональных данных или отраслевые стандарты. Контролировать данные на своём сервере относительно просто, но как быть, когда они распределены по десяткам SaaS-приложений, IaaS-платформам и хранилищам, доступ к которым идёт прямо с устройств сотрудников? Именно эту проблему призван решать Cloud Access Security Broker, или CASB.

Что такое CASB на практике

Формально CASB, это программный шлюз или прокси-агент, который становится посредником между пользователями организации и облачными сервисами. Его ключевая задача — обеспечить видимость и контроль над тем, как эти сервисы используются, какие данные в них передаются и кто к ним имеет доступ. В отличие от традиционных межсетевых экранов или систем предотвращения вторжений, CASB работает на уровне приложений и данных, понимая контекст облачных операций.

CASB не заменяет собой провайдера облачных услуг и не снимает с компании ответственность за безопасность данных. Вместо этого он даёт инструменты для выполнения этой ответственности в условиях, когда инфраструктура частично или полностью управляется сторонним поставщиком. Это особенно критично для соблюдения требований 152-ФЗ, где оператор ПДн обязан обеспечить безопасность данных независимо от того, где они физически обрабатываются.

Основные функциональные возможности CASB

Архитектура CASB обычно строится вокруг четырёх ключевых столпов, которые часто называют «четырьмя китами» облачной безопасности.

Видимость (Discovery)

Первый и фундаментальный шаг — узнать, что вообще используется. Отделы часто подключают облачные сервисы в обход ИБ-службы. CASB сканирует сетевой трафик, анализирует журналы прокси-серверов и, используя API провайдеров, составляет полную карту «облачной тени» организации. Он не только перечисляет сервисы, но и оценивает их рискованность с точки зрения утечек данных, соответствия стандартам и корпоративным политикам.

Соответствие требованиям (Compliance)

На основе данных о видимости CASB помогает оценить, насколько использование каждого облачного сервиса соответствует внутренним правилам и внешним регуляторным требованиям, таким как 152-ФЗ. Система может автоматически генерировать отчёты о рисках, отслеживать конфигурации безопасности в облачных средах на предмет ошибок и проверять наличие необходимых сертификатов у провайдеров.

Защита данных (Data Security)

Это ядро функционала. CASB позволяет применять политики к данным, покидающим корпоративный периметр. Ключевые механизмы включают:

  • Шифрование данных перед отправкой в облако с сохранением контроля над ключами шифрования у компании.
  • Токенизация — замена чувствительных данных (например, номеров паспортов) на уникальные токены, что позволяет работать с данными в облаке, не раскрывая их содержимого.
  • Предотвращение потери данных (DLP) на уровне облачных приложений. Система может блокировать загрузку файлов с определёнными шаблонами (номера карт, паспортов) в публичные облачные хранилища или отправку их через корпоративную почту в SaaS.

Защита от угроз (Threat Protection)

CASB анализирует поведение пользователей и приложений в облаке для выявления аномалий, которые могут указывать на компрометацию учётной записи или внутреннюю угрозу. Например, массовая скачка данных необычным пользователем, входы с географически несовместимых локаций или подозрительная активность в нерабочее время.

Архитектурные модели развёртывания

CASB может внедряться несколькими способами, выбор зависит от требований к производительности, контролю и типу защищаемых сервисов.

Модель Принцип работы Плюсы Минусы
Прокси-шлюз (Forward/Reverse Proxy) Весь трафик к облачным сервисам перенаправляется через CASB, который выступает в роли прозрачного шлюза. Максимальный контроль, возможность блокировки в реальном времени, применение DLP. Может создавать узкие места, требует тонкой настройки сетевой маршрутизации, не работает с мобильными приложениями без агента.
API-ориентированная (API-based) CASB подключается напрямую к API облачных провайдеров (например, Yandex Cloud, VK Cloud Solutions) для мониторинга и управления. Не влияет на производительность пользовательского трафика, обеспечивает глубокую аналитику постфактум. Контроль не в реальном времени, ограничен возможностями API провайдера, не может предотвратить некоторые типы инцидентов до их завершения.
Гибридная (Hybrid) Комбинация прокси для критичных операций в реальном времени и API для мониторинга и аналитики. Баланс между контролем и производительностью, наиболее гибкий подход. Наиболее сложная в настройке и поддержке архитектура.

CASB и российская регуляторика

В контексте российского законодательства CASB становится не просто удобным инструментом, а практически необходимым для легитимной работы в облаке. Основные точки пересечения:

  • 152-ФЗ «О персональных данных»: Требует от оператора обеспечить безопасность ПДн при их обработке. CASB помогает выполнить это требование в облаке, предоставляя средства для шифрования, контроля доступа, аудита и предотвращения утечек, тем самым снижая риски, связанные с использованием стороннего провайдера.
  • Требования ФСТЭК России: Ряд документов ФСТЭК, особенно касающихся защиты информации в информационных системах персональных данных (ИСПДн) и государственных информационных системах (ГИС), предъявляет требования к контролю доступа, регистрации событий и защите от утечек. Функции CASB по аудиту, DLP и управлению доступом могут быть использованы для частичного выполнения этих требований в облачных контурах.
  • Работа с импортозамещённым ПО: При переходе на отечественные облачные платформы и SaaS CASB может помочь стандартизировать политики безопасности и управлять ими централизованно, снижая операционные риски миграции.

Ограничения и на что обратить внимание

CASB — мощный, но не всесильный инструмент. Его внедрение сопряжено с рядом вызовов.

  • Производительность: Прокси-модель может замедлять работу с облачными приложениями, что критично для бизнес-процессов.
  • Шифрование сквозного типа: Многие современные приложения и протоколы используют сквозное шифрование. CASB не может инспектировать такой трафик без разрыва TLS-соединения, что требует установки корневых сертификатов на устройства пользователей и raises вопросы о приватности.
  • Поддержка сервисов: Эффективность CASB напрямую зависит от глубины интеграции с API конкретного облачного сервиса. Для нишевых или новых SaaS-решений поддержка может быть ограниченной.
  • Не подменяет другие меры: CASB не заменяет классические средства защиты периметра, системы SIEM для корреляции событий или программы обучения сотрудников. Это элемент общей стратегии облачной безопасности.

Выбор и внедрение CASB должны начинаться не с оценки вендоров, а с аудита текущего облачного ландшафта и чёткого понимания, какие данные, в каких сервисах и для защиты от каких именно рисков требуют контроля. В условиях, когда облако стало новой нормой, CASB превращается из опционального решения в критический компонент архитектуры, позволяющий компаниям пользоваться гибкостью облаков, не поступаясь безопасностью и соответствием требованиям регуляторов.

Оставьте комментарий