Seguridad en la nube: por qué necesita management de dispositivos


Con el trabajo remoto, BYOD, los empleados que usan sus propios dispositivos y el acceso compartido a las aplicaciones de colaboración en la nube de los socios comerciales, debemos incluir el regulate del dispositivo al permitir el acceso a nuestros servicios en la nube.

Muchos servicios en la nube tienen opciones de administrador para restringir el acceso y la funcionalidad, lamentablemente muchas de estas características no se utilizan, ya sea porque parecen complejas o no importantes en comparación con otros aspectos del servicio. Uno que a menudo se ignora es establecer políticas por dispositivo.

Los servicios en la nube a menudo permiten la colaboración entre diferentes usuarios y su fortaleza es la amplia compatibilidad de dispositivos que ofrecen se supone que se puede acceder a la mayoría a través de aplicaciones específicas o la mayoría de los navegadores en la mayoría de los sistemas operativos. Los usuarios pueden ser empleados o socios comerciales y pueden estar utilizando dispositivos administrados, no administrados, confiables o no confiables con las últimas actualizaciones de seguridad o sistemas antiguos sin seguridad del dispositivo, por lo que ahora es el momento de revisar y establecer políticas basadas en la información del dispositivo.

Estos son algunos de los posibles escenarios de riesgo diferentes que deberíamos controlar.

  • Un empleado que utiliza dispositivos BYOD o no administrados y descarga información confidencial en un dispositivo inseguro que posteriormente se pierde o se infecta para extraer datos.
  • Un empleado que inicia sesión desde el dispositivo de un amigo de un miembro de la familia y nuevamente descarga información o edita un documento en ese dispositivo y lo carga, posiblemente cargando malware.
  • Un socio comercial que usa su propio dispositivo, cargando malware inadvertidamente porque su dispositivo no estaba protegido.

Las políticas para abordar estos y otros escenarios de riesgo podrían incluir:

  • Permitir a los usuarios ver pero no descargar contenido a dispositivos no administrados.
  • No permitir cargas de dispositivos desconocidos.
  • Implemente políticas de DLP en todos los dispositivos que descarguen datos cuando estén fuera de la organización.

Los administradores de la nube deben considerar cada uno de estos escenarios y decidir las políticas apropiadas y definirlas en el servicio en la nube. Hay muchas condiciones posibles, aunque obviamente no todos los servicios en la nube admiten cada condición. Al usar la lógica booleana, se pueden comparar muchos conjuntos diferentes de criterios para considerar cada una de las condiciones

  • Dispositivo administrado / no administrado
  • Sistema operativo en uso
  • Actividad (subir, publicar, descargar)
  • Agente (McAfee MCP, Zscaler, otros)
  • Gestionado por sistemas EMM como MobileIron y AirWatch
  • Dirección IP para ubicación geográfica
  • Usuario / grupo como se determine en el sistema de autenticación (LDAP, and many others.)
  • Clasificador de solicitud (que permite profundizar en los servicios en la nube)
  • Dominio de usuario

Las acciones basadas en las condiciones que podrían ser compatibles incluyen:

  • Permitir acceso / Denegar acceso
  • Comprobar certificado en el dispositivo
  • Aumento de autenticación para volver a autenticar al usuario
  • Proxy todo el tráfico posterior de este dispositivo para habilitar otros controles
  • Redirigir el tráfico
  • Implementar una política específica de DLP

No todos los servicios en la nube ofrecen políticas basadas en cada condición, vale la pena verificar lo que se admite antes de comprar un servicio en la nube en particular, o use esta lista para presionar por capacidades de políticas más fuertes en su servicio favorito. Cada servicio tiene capacidades de administrador para definir estos servicios, aunque a menudo es mucho más fácil configurarlo una vez y enviarlo a todos los servicios en la nube utilizando un Soluciones CASB como MVISION Cloud.

Para profundizar en el «clasificador de solicitudes», esto puede referirse a partes de un servicio en la nube que permite a los administradores definir políticas más detalladas, como permitir que dispositivos no administrados accedan a OneDrive pero no SharePoint o bloquear un dispositivo que no está en la crimson corporativa para que no acceda a O365 Portal de administración.

El manage del dispositivo es solo una fila de Cloud Protection 360 Modelo de responsabilidad compartida: hay nueve filas en total, el documento completo está disponible en aquí.





Enlace a la noticia primary