[31/08/2016] Cloud Access Security Brokers, CASB, son productos que se pueden describir como firewalls con gestión de identidad, anti malware, DLP, control de encriptado/implementación y gestión de amenazas.
Los productos CASB se han vuelto cada vez más importantes, ya que las empresas buscan extender sus políticas de seguridad en las instalaciones, a sus activos basados en la nube. Nos fijamos en tres productos -CipherCloud, Bitglass, y Netskope. Cada uno toma un enfoque diferente, pero ingenioso, para la tarea de detener el acceso no autorizado, inapropiado o incontrolado a los activos de la nube y su manipulación.
Los brokers de seguridad requieren diferentes grados de trabajo, que encontramos en nuestra revisión, y son efectivos de manera importante. Si bien es imposible poner a prueba todos los casos de uso y escalar tan alto como las reclamaciones de proveedores, hemos sido capaces de conseguir un buen ambiente tanto para las características de estos productos, como para la escalabilidad potencial.
* Si es parte de una gran organización, una multinacional, con muchos usuarios en lugares difíciles, elegiría CipherCloud por su gran profundidad y la potencia de sus técnicas de cifrado.
* Bitglass también tiene características interesantes y una gran cantidad de control para realizar copias de seguridad específicas de aplicaciones SaaS populares. También puede generar marcas de agua en los archivos de tal manera que se trace un exfiltración forense.
* Netskope obtuvo el puntaje más alto en nuestra revisión, superando a CipherCloud y Bitglass. Tiene una configuración compleja, pero cubre de forma amplia y profunda sancionando fuentes SaaS de marca, utilizando gradientes de metodología de múltiples facetas.
Otra cosa a tener en cuenta: CASB es un recurso crítico de seguridad, por lo que requiere administración, supervisión y personal de asistencia, junto con una instalación astuta. Adoptar una es importante, pero no trivial.
Resultados netos
| PRODUCTO | Netskope Active Platform | CipherCloud Trust Platform | Bitglass |
| EMPRESA | Netskope | CipherCloud | Bitglass |
| PRECIO | Comienza en ocho dólares por usuario al mes para Discovery, 15 dólares mensual para la plataforma activa. Las Opciones tales como DLP, cifrado y protección contra malware se venden por separado. | Los costos comienzan en dos dólares por mes hasta 30 dólares/mes + gastos de mantenimiento de usuario / help desk + aquellos que utilizan una puerta de enlace en las instalaciones, puede costar de 30 dólares-150K dependiendo de la complejidad. | Descubrimiento de brechas + análisis de registro, dos dólares/usuario/mes. Añada sólo protección móvil, cinco dólares/usuario/mes. Edición estándar (móvil + web + DLP) 10 dólares mes/usuario. Enterprise (incluye encriptación y control de aplicación específica) 30 dólares/usuario/mes). |
| PROS | Plataforma detallada con muy buenos análisis y seguimiento administrativo; inteligencia de la aplicación en la nube flexible y profunda, alta capacidad de programación potencial | La flexibilidad extrema de cifrado y, con ella, el control DLP para las grandes organizaciones que necesitan cumplimiento de la normativa internacional | Control de aplicaciones amplios, graduados y bien detallados |
| CONTRAS | Docs podría utilizar el trabajo; precios a la carta y configuración potencialmente incómoda | Requiere plataforma dedicada de costos laborales; posibles costos de cobertura de aplicación de aditivos en la nube | Comparativamente menos capacidad de programación. |
Estas son las revisiones individuales:
CipherCloud Trust Platform
CipherCloud proporciona un dispositivo gateway hipervisado que cuesta por usuario. En el interior del aparato son tres componentes funcionales, administrativos, de seguridad y conectores específicos a los recursos gestionados de CASB. Los precios, al igual que los demás productos de esta revisión, se basan en los gradientes de los servicios prestados.
CipherCloud es una construcción de conjunto con muchas piezas prefabricadas, y requiere una planificación significativa para implementarse, con el fin de obtener plena eficacia. La utilizan algunas de las mayores instituciones financieras del mundo.
La fuerte ventaja es su capacidad para establecer una fuerte encriptación flexible para el nivel de grabación/campo; y con ella, fuertes controles de DLP para su lista de las aplicaciones que cubre. Un costo oculto es la integración y adaptación de plataformas de aplicaciones de nube específicas, como Salesforce. Con un poco de trabajo, se puede llegar a adaptar a una aplicación específica como ninguna otra, debido a sus esquemas de protección de datos.
Instalamos la puerta de entrada como una máquina virtual, MV, de Amazon Web Services. Se pueden utilizar múltiples instancias del dispositivo gateway de MV en casos redundantes como un gateway proxy inverso entre los usuarios y recursos de la nube. Una vez establecidas, y con las plataformas codificadas, de tal manera que rendericen la algarabía de AES-256 de cualquier acceso que no utilice el gateway y sus recursos de descifrado. Una vez que se accede a través de los controles establecidos a la plataforma de confianza de CipherCloud, es posible configurar el cifrado que permite la prevención de la pérdida de datos (DLP, por sus siglas en inglés) en las búsquedas y en el campo.
Nos gusta CipherCloud para su control de claves certificado, variedades asombrosas de cifrado de estado/sin estado, las posibilidades de 'tokenización' y la amplitud de la cobertura de la popular aplicación SaaS. (CipherCloud no cubre todas las aplicaciones que se encuentran en la nube).
También nos gusta por su fuerte flexibilidad para variar los diseños de implementación para las grandes organizaciones. Los servicios de BitDefender están disponibles como intermediario adicional para los streams que fluyen, aunque el examen de la transmisión de datos no es totalmente perfecto.
Arquitectónicamente, la máquina virtual es una puerta de entrada inversa del aparato de proxy que está licenciado por el número de usuarios, por lo que varias instancias pueden ser generadas y desplegadas sin costo adicional. El gateway, o puerta de enlace, que requiere recursos sanos del servidor, sirve como un inspector a profundidad, incluso con muchos flujos de filtrado de cifrado de datos preestablecidos, mediante el cifrado AES-256.
Cada gateway supuestamente debe dar servicio a unos cinco mil usuarios, y advertimos que esto es un número no probado; podría ser más o menos.
Podríamos añadir redundancia del aparato de puerta de enlace en nuestro centro de operaciones de red, o distribuirlo a las sucursales o lugares en los que su existencia tenga sentido desde una perspectiva de las necesidades de control, gestión y comunicación. La máquina virtual se coloca desde una ruta de red detrás de donde los usuarios acceden al recurso de nube deseado; es decir, a través de VPN y a través de la puerta de enlace. A menos que uno lo haga, lo que sucede es que pueden acceder directamente al recurso SaaS/nube, pero los datos se cifran en el destino SaaS/nube, y no se puede utilizar, hasta que alguien se dé cuenta de cómo descifrar AES-256.
Hay varios niveles de funcionarios del personal que deben juntarse para hacer que CipherCloud -o cualquier otro sistema de gestión CASB funcione-, incluyendo redes, seguridad, DLP/gestión de activos, gestión de instancias de producción y soporte de escritorio. El mecanismo de proxy inverso busca exfiltraciones y violaciones de la política. Hay gran cantidad de opciones de acción/condición, que van desde la parada en frío a proporcionar acceso stub como un reemplazo para los datos almacenados de manera inadecuada.
CCTP no necesita encriptar todo, si lo desea, solo los campos pertinentes. Si se configura para cifrar archivos discretos enteros, los datos de este tipo de cifrado no se pueden utilizar para las búsquedas. Utilice sus propias claves, y CipherCloud no las guardará. Esto significa generar sus propias claves, y/o hacer uso de una autoridad de certificación para generar las claves adecuadas.
Una vez instalado, las teclas cifran lo que ha elegido. A modo de ejemplo, cuando probamos Salesforce a través del gateway de MV que reside en AWS, pudimos abrir el esquema de base de casos de Salesforce, y elegir los campos a cifrar. Cuando tratamos el acceso directo a los datos, que van deliberadamente alrededor del gateway, el resultado fue jerga sin sentido. Ordenar la jerga produjo aún más sin sentidos, ya que el texto cifrado es dictado en caracteres UTC-8. Si hubiéramos tenido las llaves fuera de la puerta de entrada del almacén de claves, habríamos sido capaces de descifrar los datos -si también hubiéramos tenido tokens opcionales necesarios para reconstruir los datos en algo significativo. Por lo tanto, los dominios y aplicaciones de Salesforce podrían recibir tratamiento quirúrgico en términos de DLP.
Toda la base de datos de Salesforce podría ser encriptada, pero no es realmente necesario, a menos que cada campo se encripte para el cumplimiento regulatorio. Si hay diferentes Orgs Salesforce, cada Org -o instancia de la organización- puede ser encriptada, incluyendo aplicaciones online de Salesforce. Para inicio de sesión único, se utilizó CipherCloud directamente, pero es posible conectarse a través de Servicios de federación de Active Directory u otros mecanismos de SSO.
CCTP logra esto con lo que creemos que son claves astutas de depósito bancario y de gestión, de modo que las múltiples aplicaciones se pueden manejar simultáneamente. Las claves se gestionan en la puerta de entrada CCTP de la MV después de la instalación, y como tal, permiten la partición por jurisdicción de los datos. Se admite a KeySecure de SafeNet como un tercer almacén de claves, pero no lo probamos. Ya que los administradores están separados en administradores de sistemas, administradores de clave, y los administradores de aplicaciones en la nube, una función de gerente puede mantenerse ideológicamente distinta en función. Esto viene muy bien.
La separación de claves se utiliza para la geo-localización de datos en imperios separados. Por ejemplo, una rama europea puede utilizar la encriptación de datos de manera diferente que los datos en Chicago. Esto viene a bajo costo, porque una vez más, la redundancia de lo(s) gateway(s) no cuesta más, ya que la fijación de precios está relacionada por usuario, por lo que las sucursales, unidades de negocio, o entidades gestionadas de otros países, pueden tener cada una su propia puerta de enlace.
La distribución de claves inicial y renovación/reemplazo significa ir a cada gateway para replicar la infraestructura. Las actualizaciones posteriores (que no probamos) permiten un simulacro de cambios antes de su despliegue dentro de(los) aparato(s).
Los datos que se ejecutan a través de la puerta de entrada pueden tener un tratamiento específico de la aplicación, como los siguientes: cifrado AES de dirección de correo electrónico, cifrado AES de relay de email, cifrado AESpara filtrado alfabético, cifrado AES de archivo continuo, cifrado AES de la restricción de longitud, cifrado AES del número de teléfono, encriptación AES de búsqueda y clasificación, (también en modo FIPS), cifrado AES de web URL, token de filtro alfabético, token de dirección de correo electrónico, token de relay de correo electrónico, token de nombre de archivo, token de restricción de longitud, token de número de teléfono, token de búsqueda y clasificación, cifrado alfanumérico sin estado AES, cifrado chatter sin estado AES, cifrado sin estado AES de búsqueda, cifrado sin estado AES sin búsqueda, cifrado de preservación de prefijo de AES sin estado, AFPE sin estado, AFPE sin estado para filtro alfabético, cifrado de Chatter URL sin estado, cifrado de dirección de correo electrónico sin estado, cifrado de relay de correo electrónico sin estado, cifrado de la función de preservar AES híbrido sin estado, cifrado de la restricción de longitud sin estado, cifrado de la preservación del orden Hash sin estado, cifrado de un elemento parcial sin estado, cifrado parcial de campo de un AES híbrido sin estado, cifrado de un número telefónico sin estado, cifrado de URL de la Web sin estado, token Chatter estático, token Chatter estático de URL, token estático de fecha, token estático de dirección de correo electrónico, token estático de restricción, token estático de número, token estático de campo parcial, token estático por palabra, token estático de númerod e teléfono, token estático de dirección URL, token URL.
No, no probamos todos. También está disponible el anti-malware y el examen anti-virus del stream.
Los tokens son los hashes de tokenización, diseñados para mantener los datos en el local, por lo que uno tiene que utilizar una única clave de cifrado, pero hay que tener datos divididos a efectos jurisdiccionales, por lo que las sucursales internacionales pueden cumplir con las restricciones de exportación de datos a través de tokens de origen administrativo.
Las políticas pueden basarse en estos campos para distintas filtraciones. Hay una aplicación en línea de antivirus/antimalware que funciona bien, o no hay. El gateway y sus claves son totalmente fundamentales para el uso de los recursos SaaS protegidos de la organización, y esto significa que la puerta de entrada tiene que ser a la vez de réplica y copia de seguridad -y desde una perspectiva de comunicación, constituye un paso fundamental clave para las organizaciones. Sin acceso al gateway significa que los escritorios de ayuda se incendian.
Si cree en las salsas secretas, la salsa más fuerte de CipherCloud en nuestra estimación es el hecho de que utiliza variaciones sin estado/con estado de cifrado AES. Esto significa que CipherCloud puede utilizar técnicas de inspección profunda de tráfico y de filtro para la disfunción basada en políticas que indican la exfiltración/mal uso de datos -política de violaciones. Numerosos tipos de campos pueden ser examinados para que coincida un patrón, y cuando se encuentran los números de aciertos, CipherCloud registra lo que está sucediendo y por política puede detener, o colocar lápidas que representan los datos, mientras que los datos se almacenan en caché en otro lugar.
Aquí es donde entran en juego los costos adicionales: si no se ocupan de las advertencias, el cumplimiento de su organización está en peligro. Como cada organización se ocupa de las advertencias y las políticas depende de las mejores prácticas de la organización, y CipherCloud nos dio recomendaciones sobre cómo distintas situaciones se tratan desde una perspectiva administrativa y política.
El inconveniente es que todavía es posible que los streams de datos pre-encriptados para los que CipherCloud no tiene claves, puedan ser infiltrados/exfiltrados dentro de una organización, y así CipherCloud no es un servidor de seguridad perfecto, pero la mayoría de los firewalls no pueden detener dicha actividad. También creemos que CipherCloud puede ser excesivo para las organizaciones más pequeñas.
En total, CipherCloud presagia una relación íntima entre los usuarios, los administradores y las aplicaciones SaaS. Es una plataforma compleja, y no es una tarea sencilla. Nos gusta su infraestructura de cifrado, y su capacidad para inspeccionar los flujos encriptados. No cubre un número ilimitado de posibles aplicaciones SaaS, pero la lista de aplicaciones cubiertas es impresionante.
Bitglass
Bitglass es un portal en línea CASB que está preconfigurado para utilizarse con una variedad de fuentes de SaaS, como Google Apps, Microsoft Office 365, Box, Dropbox, ServiceNow, Concur, Evernote, Egnyte, Exchange y Jive, aunque los dispositivos móviles están limitados a una lista más pequeña.
Bitglass tiene un fuerte conocimiento situacional para tomar decisiones de acceso. Con el uso de la inteligencia del navegador, Bitglass sabe mucho sobre quién está accediendo a qué y cuándo.
Bitglass también deja una marca de agua en los datos que fluyen a través de él, incluyendo los archivos adjuntos de correo electrónico, y proporciona un seguimiento/controles basados en el comportamiento del usuario de archivos/datos que se envían a través de su portal de proxy de avanzada. Bitglass tuvo la configuración inicial más rápida de los tres productos analizados, pero eso no quiere decir que Bitglass sea poco profundo, sino que se beneficia de sus propios controles del portal.
Bitglass ha hecho muchas tareas en función de la lista de tareas de los artículos necesarios para migrar a sus servicios, pero la administración del portal BitGlass requiere trabajo por encima de los detalles administrativos promedio para lograr la profundidad que tiene su competidor CipherCloud en términos de control de cifrado y DLP. Después de la prueba, estuvimos de acuerdo: no es trivial, pero sin duda factible.
Bitglass encripta, y hace algo más allá que CipherCloud: puede dejar marcas de agua en archivos de una manera tal que traza la exfiltración forense. Geo localiza usuarios y establece la base para monitorear el comportamiento raro de los usuarios. ¿Está registrado en Santa Mónica y una hora más tarde accede a algo desde Londres? Sí, Bitglass puede detectar esto y lanzar una señal de alerta. La característica de geolocalización puede ser frustrante, pero se necesita gran talento y tiempo para sacar provecho de esta característica.
Encontramos que Bitglass podría dar cabida a otros portales de SaaS si hubiéramos hecho el trabajo, y el único soporte de sesión puede ser activado también. Elegimos Servicios de federación de Active Directory con Bitglass como proveedor de SAML. También se puede utilizar Okta, un servicio de SSO-
Otro punto fuerte de Bitglass es que tiende a dispositivos tanto dentro como fuera del "perímetro de seguridad" de la organización, aunque los teléfonos inteligentes (probamos Android e iOS) tienen un control relativamente limitado en comparación con Windows o Mac OSX.
La configuración inicial fue sencilla, e incluyó las direcciones a las secuencias de comandos correctos para unirse a nuestro pequeño dominio Active Directory de prueba. Un circuito de Active Directory de una organización es necesario para la autenticación.
El portal de administración Bitglass procesa gran cantidad de información, y es el nexo de control. El portal de administración dispone de filtros de objetos, incluyendo un conjunto de bibliotecas predefinidas de las pautas de cosas como los campos de datos de tarjetas de crédito como palabras clave, utilizados para contener el flujo de información en una coincidencia con el filtro de objetos.
DLP es bueno, pero quizá no tan bueno como CipherCloud o Netskope y tampoco es programable.
Iniciar una nueva instancia de Salesforce con Bitglass implicaba la creación de un subdominio de Salesforce; a continuación, modificarlo de modo que un certificado instalado (Bitglass autofirmado) se utiliza para forzar la reorientación del navegador a través del portal de Bitglass para el propósito de reglas/políticas, y el posterior encarcelamiento de datos. Esto bloquea a Bitglass como proveedor y circuito para los usuarios, permitiendo así que los clientes sin agente utilicen Bitglass para SSO, auditoría, y las características de DLP. Encontramos que esto es bastante fácil.
Lo que es menos trivial es la necesidad del personal para vigilar el manejo de excepciones, incluyendo el ruido generado por el alto volumen de la actividad de los usuarios a través de un potencial amplio espectro de SaaS y recursos de compatibles con la nube, pero esta es la misma tensión que CASB impondrá por cualquier buen nivel de actividad con cualquier producto CASB. El ruido, sin embargo, puede ser "suavizado" a un nivel manejable.
Aquí, el panel de control de Bitglass llegó a ser muy útil. Nos pareció que teníamos un mango sobre la actividad que necesita abordar, y que una variedad de actividades con un alto volumen de carga sería aceptable para nosotros, aunque carecemos de la capacidad de emular las travesuras de miles de usuarios que usan la nube además de Exchange, Google o aplicaciones Office365, Evernote -además de Salesforce. Es posible suponer que su base de usuarios se comporta bien, pero todos sabemos que los usuarios hacen cosas extrañas, y a veces tratan de eludir las normas. Esta es la razón por la cual la interfaz de usuario BitGlass nos hizo felices, ya que separa lo trivial de lo espantoso.
La desventaja potencial es que es necesario un circuito claro de comunicación para mantener al portal Bitglass basado en la nube, que no está bajo su control, a diferencia de los productos en las instalaciones basados en aparatos que hemos revisado en este artículo. BitGlass cumple con altos estándares para su propia seguridad, pero no tiene presencia en todo el mundo en sincronía con los demás.
Ningún producto de la revisión lo tiene, aunque la arquitectura CipherCloud utiliza una metodología de gateway interno autónomo de MV que atribuya la responsabilidad de protección del circuito estrictamente al personal de TI. Encontramos otros puntos débiles de menor importancia en su mayoría relacionados con nuestro sentido de acallar el ruido; nos gusta un paquete de seguridad que es nervioso. Que el cielo nos ayude si alguna vez Bitglass se ve comprometido, un pensamiento que nos molestaba.
Netskope
La plataforma Netskope utiliza Active Directory, mecanismos de inicio de sesión o de corretaje SSO individuales para dirigir el tráfico a través del aparato Nestskope de gateway en la nube del cliente. El Netskope CASB actúa ya sea como un proxy de avance, un señalizador y/o proxy inverso para los destinos de aplicaciones de la nube, dependiendo de cómo funcionan. Algunas aplicaciones de la nube, como Office365, pueden necesitar las tres interacciones, dependiendo del tipo de "sub-aplicación" elegida, dentro de la construcción de Netskope.
Esta funcionalidad se divide en gradientes progresivos de productos para fines de facturación. Puede comenzar con un simple descubrimiento de registro de lo que están utilizando las aplicaciones de la nube, por quién, cuándo, y tal vez lo que está haciendo. Puede imponer reglas como el siguiente gradiente. Puede agregar DLP significativa, a continuación, añadir funciones de cifrado y la filtración de malware. O puede comprar la oferta completa, que es la que probamos.
Netskope, al igual que otros productos CASB, se enlaza profundamente en su infraestructura. Hay tres componentes principales que se utilizan en el proceso de Netskope CASB, incluyendo un aparato de gateway en las instalaciones, un portal de administración de nube específica por parte de la organización, y los posibles agentes del cliente. Aunque no se requieren agentes de cliente, van a proporcionar un mayor acceso cuando están presentes. El portal trabaja con agentes de cliente y los complementos del navegador, o sin ellos.
El SSO puede ser un enlace de Active Directory, u otro servicio de SSO que entiende SAML 2.0 -y casi todos lo hacen. Netskope tiene relaciones con varios proveedores de SSO como "socios". El SSO está conectado a Netskope como autenticador proxy, y las conversaciones son gestionadas por la MV de SecureForwarder, basado en una plataforma de servidor de Ubuntu.
El control CASB se afirma en los gradientes que describimos a través de las directrices de mecanismos de tráfico. El tráfico es dirigido a través del dispositivo SecureForwarder (o aparatos, dependiendo de la arquitectura elegida). Utilizamos un gateway para las pruebas, pero los otros pueden trabajar de forma autónoma, de hecho, podría utilizar un cifrado diferente para los controles geográficos.
El acceso se puede lograr a través de los agentes habilitados por el explorador, o en los dispositivos móviles a través de una puerta de enlace Netskope. Cuando un dispositivo móvil está bajo control (por ejemplo, encaminado a través de un gateway), descubrimos que están disponibles las máximas características. Cuando se utiliza un dispositivo no administrado para el acceso, a los administradores les toca determinar por aplicación de la nube, si se permite el acceso, y si es posible (por las características del recurso de nube) qué accesibilidad será necesaria en términos de control y acceso.
Las interacciones de gateway normalmente vienen a través del aparato/software de máquina virtual SecureForwarder, pero ya que se basa en Ubuntu Server, también se pueden implementar como un servidor discreto. Instalamos el aparato SecureForwarder en nuestras pruebas. Encontramos los documentos un poco defectuosos, pero pudimos finalmente pudimos conectar SecureForwarder a nuestros recursos de pruebas en la nube a través de Active Directory Federation Services y WSAdmin de Windows. Dicho esto, Netskope parecía dispuesto a ayudarnos.
Muchas aplicaciones soportadas de la nube pueden tener reglas DLP adicionales aplicadas en ellas, incluyendo una muy importante: si no podemos inspeccionar los datos, invoquemos una regla para secuestrar/enjaular la carga útil que será tratada por un tipo administrativo (de los cuales hay tres niveles). Esto podría ser a nivel de archivos o a nivel de campo, o encontramos exploración de campo diseñada en REGFIN o HIPAA, incluyendo la lógica "algo como esto, cerca de algo como esto". Las posibilidades son muy amplias, y el tiempo administrativo sumergido en el diseño astuto probablemente pague bien. Encontramos filtros comprensibles para diseñar e implementar.
En la ejecución, la introspección de Netskope es un proceso de proxy bot-administrativo altamente programable que explora las aplicaciones compatibles para los datos utilizando reglas DLP antes mencionados, y apunta a las aplicaciones específicas soportadas por la nube. Ya que no tiene el poder de cifrado de CipherCloud, tiene reglas muy flexibles que serán familiares para los programadores de Unix/Linux.
Una vez instalada la máquina virtual SecureForwarder sobre un sustrato VMware, conectamos nuestro servicio Active Directory y también WSAdmin a los servicios en la nube Office365. Es un proceso simple de tres pasos. El acceso al cliente fue transparente; esto lo hicimos a través de un agente de navegador, que hizo una conexión de proxy Office365. Cuando instalamos los servicios seguros de reenvío, construimos la plataforma en una MV basada en Ubuntu con tres puertos: gestión, entrada/ingreso y salida/egreso. La infraestructura DNS tiene que estar en la mejor forma para que el sistema funcione.
Una vez que se comunica con el portal de Netskope, es normal y posible ver que Netskope examine los archivos de registro locales, de donde se extrae la información acerca de las comunicaciones de aplicaciones, las fuentes y la mayoría de los destinos. Es ahora un intruso, proxy reverso o delantero, según las necesidades de las aplicaciones de destino.
El tráfico dirigido puede ser "introspectivo" para las aplicaciones Box, Google Drive, One Drive, SharePoint, Dropbox, Salesforce, Egnyte y Service Now. No observamos ningún retraso, pero tampoco acertamos con dos mil usuarios avanzados diversos, y nuestras conexiones de red son rápidas. Sus proxis basados en la nube tienen carga balanceada, y pueden ser alojados en sitios de procesamiento GoSkope específicos en función de la velocidad, o por jurisdicción.
Una característica llamada Skope-IT en el portal en línea contiene el sistema nervioso de informes de la plataforma. En el interior, podríamos ver los eventos de aplicación y de conexión, así como los registros de auditoría y de infraestructura. Los eventos o condiciones que requieren acción administrativa fueron fáciles de encontrar, y se pueden ordenar por fecha, usuario, ubicación del usuario o actividad.
Los eventos, alertas, elementos en cuarentena, retenciones legales, descubrimientos de malware, e incidentes (y su gravedad) se pueden encontrar fácilmente a través de la clasificación, o el resultado de una acción de consulta de campo. Ésta puede ser la "salsa secreta” más fina de Netskope -rápidamente utilizable y con obvias posibilidades productivas de acción administrativa.
En la licencia "completa", también tuvimos acceso a la investigación en curso de Netskope sobre las clasificaciones de aplicaciones específicas de la nube. Hay un gran número de aplicaciones de la nube (tomadas de los registros) que tienen calificaciones aplicadas por Netskope, como parte de su capacidad de auditoría. Esta lista también puede ser reclasificada en base a la reestimación de los valores utilizados de una organización, con el fin de obtener una calificación en base a la nueva evaluación.
Esto permite que se impongan bloques administrativos y restricciones sobre el acceso basados en las calificaciones derivadas del recurso. Es la fuente de gran orgullo por Netskope, y nos sorprendió ver el nombre de aplicaciones de la nube de marca calificadas en la forma en que las vimos -algunas de alta seguridad, otras que creíamos que serían muy valoradas no lo fueron. Puede profundizar en los valores y decidir cambiarlos. Si tuviéramos un departamento legal, podríamos estar discutiendo con ellos sobre calificaciones, y podrían ganar.
En general, Netskope es un menú cada vez más sofisticado, y toma todos los cursos ofrecidos por su camarero, piense en la arquitectura y luego prográmela para que se adapte a sus necesidades, es una excelente cena CASB, y el cheque podría ser considerable al final.
Resumen
CipherCloud representa la profundidad extrema en mecanismos de cifrado. Netskope tiene una alta capacidad de programación, y comparte con Bitglass muy buenos controles administrativos. Si tuviéramos que hacer una sugerencia en cuanto a cuál es más flexible con la mayor variedad de posibles protecciones de aplicaciones en la nube, Netskope apenas sobrepasa a sus competidores, pero fuera de la caja, Bitglass probablemente es la ruta más rápida para una protección razonable.
Cada producto depende también de plataformas de terceros, tales como SSO, proveedores externos DLP, y esquemas/protección ante amenazas IPS/firewall/IDS para trabajar en conjunto con los demás. ¿Los proveedores tradicionales de firewall y de seguridad asumirán CASB, o se harán realidad a la inversa? En este momento, no ofrecemos una conjetura. Con toda probabilidad, CASB es una categoría que debido a que debe evolucionar rápidamente para mantenerse al día con las aplicaciones de la nube, probablemente digiera a otras categorías.
¿Cómo probamos a los brokers de seguridad de acceso a la nube?
Utilizamos los recursos del servidor en nuestro NOC en Expedient en Indianápolis, que consiste en varios servidores de VMware e Hyper-V en las plataformas HP, Lenovo y Dell como huéspedes para la MV de gateway descrita en la revisión. A su vez, accedimos a cuentas de Salesforce (incluyendo algunas cuentas de productos patrocinadas por la nube de AWS), así como Office365 y Box para ser utilizados como ejemplos de prueba de concepto.
Nuestros circuitos incluyen máquinas virtuales de Windows en NOC, ejecutándose a través de nuestros conmutadores Extreme Summit Series 10GB, al núcleo de la red de Expedient. Estas conexiones también actuaron como proxis de nuestra VPN y clientes de Windows y Mac que se ejecutan en nuestro laboratorio, conectados a través de circuitos de banda ancha de Comcast a NOC.
Preparamos las configuraciones como prueba de concepto para entender los procedimientos administrativos necesarios para instalar y administrar las aplicaciones y almacenar al menos un registro de las aplicaciones elegidas. Examinamos y/o probamos muchas características en tantas configuraciones como fue posible, después de la instalación inicial.
Tom Henderson, Network World (EE.UU.)