CASB от Cloudflare: не просто находите угрозы, а мгновенно устраняйте риски в облачных приложениях

Начиная с сегодняшнего дня, клиенты Cloudflare CASB могут не только видеть рискованный общий доступ к файлам в своих SaaS-приложениях: они могут исправлять это напрямую из панели управления Cloudflare One.

Этот запуск знаменует огромный прогресс для Cloud Access Security Broker (CASB) от Cloudflare. С момента выпуска CASB от Cloudflare, основанный на API, был сосредоточен на предоставлении надежной, всеобъемлющей видимости и обнаружении. Он также подключается к SaaS-инструментам, на которых работает ваш бизнес, выявляя ошибочные конфигурации и помечая избыточно открытые данные до того, как они станут завтрашним инцидентом.

С сегодняшним выпуском функции Remediation (Устранение) – нового способа исправлять проблемы одним кликом прямо со страницы CASB Findings (Результаты проверки CASB) – CASB начинает свою следующую главу и переходит от информирования о проблемах к помощи в их исправлении.

_{Пример действия по устранению (Удаление публичного доступа к файлу) в результатах проверки CASB.}

В рамках Cloudflare One, нашей платформы SASE, CASB подключается к SaaS-инструментам и облачным сервисам, которые уже используют ваши команды. Общаясь с провайдерами через API, CASB предоставляет командам безопасности и IT:

• Единое представление о неправильных конфигурациях, файлах с избыточным доступом и рискованных моделях доступа в таких приложениях, как Microsoft 365, Google Workspace, Slack, Salesforce, Box, GitHub, Jira и Confluence (Интеграции CASB).

• Непрерывное сканирование на наличие новых проблем по мере того, как пользователи сотрудничают, делятся файлами и внедряют новые инструменты.

• Результаты проверки, которые структурированы, доступны для поиска и экспорта для анализа и отчетности.

Но до сих пор фактическое исправление обычно происходило в другом месте – либо в интерфейсе администратора каждого приложения, либо через обращение к команде, ответственной за этот инструмент. Функция Remediation (Устранение) замыкает этот круг.

Запуск CASB Remediation знаменует собой серьезный шаг вперед для продукта и Cloudflare One, и в следующем году у нас запланировано множество крупных обновлений.

В сегодняшнем выпуске мы сосредоточились на исправлении проблем с общим доступом к файлам в Microsoft 365 и Google Workspace.

С помощью Remediation вы можете исправить наиболее значительные и распространенные риски, связанные с файлами, которые мы наблюдаем у клиентов, включая:

• Публичные ссылки, которые позволяют любому пользователю в Интернете просматривать или редактировать файл.

• Файлы, открытые для всей компании в рамках вашего тенанта или домена, даже когда доступ должен быть только у нескольких человек.

• Файлы, доступ к которым предоставлен за пределами вашей организации – личным аккаунтам и внешним доменам.

• Все вышеперечисленное, когда это также соответствует профилю DLP. Например, документ, полный записей о клиентах, учетных данных или финансовых деталей.

Когда вы запускаете действие по устранению 'Remove sharing' (Удалить доступ) для поддерживаемого результата проверки, CASB немедленно начинает удалять рискованную конфигурацию общего доступа (например, публичную ссылку или доступ на уровне всей организации) с рассматриваемого файла. И что особенно важно, Remediation удаляет только рискованный доступ; он не удаляет файлы и не меняет их владельцев.

_{Новая страница для отслеживания хода и успешности устранения результатов проверки CASB.}

Мы решили начать с Microsoft 365 и Google Workspace, потому что для многих организаций именно там хранится основная масса бизнес-критичных документов: внутренняя финансовая отчетность, продуктовые дорожные карты, клиентские контракты, кадровые записи и многое другое.

Это также места, где «временный» общий доступ имеет тенденцию задерживаться слишком долго:

• Таблица, открытая по ссылке «Любой, у кого есть ссылка, может редактировать» для быстрой проверки.

• Документ, открытый для всей компании для общего собрания, а затем тихо забытый.

• Лист с записями о клиентах, доступ к которому предоставлен на личную почту подрядчика.

Для Microsoft 365 это означает очистку рискованного доступа в таких местах, как OneDrive и SharePoint. Для Google Workspace это означает ужесточение настроек общего доступа к Документам, Таблицам, Презентациям и другим файлам, хранящимся на Диске.

Вместо того чтобы экспортировать из CASB CSV-файл с рискованными файлами, отправлять его владельцам приложений и надеяться, что все найдут время исправить настройки доступа, вы можете управлять очисткой напрямую из CASB и знать, когда эти риски были фактически устранены.

И когда вы и ваша команда используете CASB Remediation, каждое действие регистрируется в Журналах администратора Cloudflare One, так что вы можете видеть, кто предпринял действия, с какими файлами и когда, или экспортировать эту активность в свою систему управления событиями и информацией безопасности (SIEM).

При проектировании системы, поддерживающей CASB Remediation, мы знали, что она должна хорошо выполнять три задачи:

• Быть быстрой, даже в крупных масштабах

• Обеспечивать надежное выполнение для плавной обработки неожиданностей

• Быть простой в использовании для наших клиентов

Для достижения этих целей мы построили систему, используя несколько продуктов Cloudflare: Workers, Workflows, Queues, Workers KV, Secrets Store и Hyperdrive.

Когда инициируется задача устранения, выполняется API-вызов к Worker. Этот Worker записывает задачу в Queue, которую потребляет второй Worker, чтобы запустить Workflow. Workers KV и Secrets Store используются для безопасного распределения учетных данных для использования в Workflow. Workflow выполняет серию шагов для сбора информации и выполнения сторонних API-вызовов для завершения устранения. Конечный результат действия записывается в базу данных через Hyperdrive.

В масштабе мы гарантированно столкнемся с ошибками 429 от API поставщиков. Встроенные повторные попытки Workflows упрощают обработку этого, а встроенное логирование шагов дает видимость каждой повторной попытки. Это означает, что нам не пришлось создавать сложную, узкоспециализированную систему отслеживания состояния или десятки serverless-функций для каждого действия.

Результаты нагрузочного тестирования и работы с клиентами раннего доступа показали высокую производительность даже при высокой нагрузке. Среднее (p50) время выполнения задачи от начала до конца составляет 48 секунд, а p90 – 72 секунды. Надежное выполнение (через Workflows) сделало управление задачами полностью автоматическим для нашей команды, даже когда Workflow сталкивается с проблемами в API сторонних поставщиков. Простота финальной системы сделала устранение неисправностей быстрым и понятным.

Устранение проблем с общим доступом к файлам для Microsoft 365 и Google Workspace – это только первый шаг.

В ближайшей перспективе мы работаем над предоставлением нашим клиентам новых действий Quarantine (Карантин), которые могут перемещать или изолировать файлы с высоким риском в более безопасные места. Мы также представляем действия Custom Webhook (Пользовательский вебхук), которые позволяют запускать последующие процессы, такие как создание тикетов, уведомления в чате или вашу собственную автоматизацию.

И в более широком смысле, мы с энтузиазмом исследуем способы сделать CASB еще более активной плоскостью управления:

• Политики автоустранения (Autoremediation) для тщательно ограниченных, определяемых политикой исправлений, где вы готовы позволить CASB действовать автоматически.

• Пользовательские результаты проверки CASB, чтобы вы могли определять точные шаблоны, типы данных или условия доступа, которые наиболее важны для вашей организации.

• Массовое устранение (Bulk Remediation), позволяющее исправлять множество похожих результатов проверки за одну операцию.

• Расширение Remediation на дополнительные SaaS-интеграции помимо Microsoft 365 и Google Workspace, чтобы со временем тот же опыт применялся к таким инструментам, как Box, Dropbox, Salesforce, GitHub, Slack, Atlassian и другим.

Для использования CASB Remediation требуется платная лицензия CASB, но это не должно мешать вам попробовать CASB уже сегодня!

• Для существующих клиентов Cloudflare One / CASB: Интегрируйте свой тенант Microsoft 365 или Google Workspace (или обновите существующую интеграцию до режима Read-Write) и начните устранять рискованный доступ напрямую из боковой панели в рамках типов результатов проверки, связанных с общим доступом к файлам.

• Впервые знакомитесь с Cloudflare One? Зарегистрируйтесь сейчас и получите 50 бесплатных пользовательских мест, чтобы начать использовать CASB немедленно. Для крупных внедрений запросите консультацию с нашими экспертами.

После этого обсудите с нашей командой подключение CASB с функцией Remediation для ваших тенантов Microsoft 365 и Google Workspace, чтобы находить и исправлять файлы с излишне открытым доступом в одном месте.