"Entrégame tu tráfico y yo me encargo de limpiártelo en la nube" (Netskope)

Netskope nació para proteger el SaaS, pasó al IaaS y la navegación web y apunta ahora hacia las aplicaciones legacy. Reconocida en el cuadrante de Gartner en la categoría de Cloud Access Security Brokers, o CASB, Netskope quiere ir un paso más allá. “Queremos posicionarnos como un proveedor de seguridad en la nube que pueda absorber la carga de tráfico de los clientes, ya sea web, SaaS, o IaaS y aplicar políticas de control de una forma unificada”; lo dice Alain Karioty, Regional Sales director de Netskope, primer responsable de la compañía en España hasta el nombramiento de Samuel Bonete como director de Netskope para la región de Iberia.

Este contenido fue publicado en el número de Enero de la revista IT Digital Security, disponible desde este enlace.

CASB es un tecnología que nació ante la necesidad de proteger los servicios en la nube y el acceso a ellos por parte de los usuarios dentro y fuera del perímetro. Los CASB proporcionan una ubicación central para la política y la gobernanza al mismo tiempo en múltiples servicios en la nube tanto para usuarios como para dispositivos, además de visibilidad granular y control sobre las actividades del usuario y los datos confidenciales. Fundada en 2012, Netskope ha sido, desde sus comienzos, un jugador importante de este mercado. Durante estos años ha visto cómo algunos de sus principales clientes eran adquiridos por grandes empresas: Adallom era comprado por Microsoft, CloudLock por Cisco, Palerra por Oracle, Elastica por BlueCoat, FireLayers por Proofpoint o Skyhigh Networks por McAfee; durante estos años, Netskope se ha mantenido como una compañía independiente, y privada; durante estos años, la empresa ha conseguido más de 400 millones de dólares en sucesivas rondas de financiación, la última en noviembre de 2018 por valor de 168,7 millones de dólares. También ha comprado una empresa, Sift Security, para avanzar en la seguridad cloud de próxima generación. Porque la compañía quiere ir más allá del CASB, quiere convertirse en un proveedor de seguridad cloud con una propuesta diferencial que no sólo tenga en cuenta en Saas, el IaaS y la navegación web, sino las aplicaciones legacy y avances como el Edge o la 5G.

La cuestión, explica Alain Karioty, es cómo ha ido evolucionando la adopción de la tecnología por parte de los clientes junto con la evolución del tráfico de internet en las empresas; “el tráfico pasa de ser un 30% generado por las aplicaciones cloud versus un 70% tráfico web, para ser un 85% de cloud SaaS, un 7% de cloud IaaS y un 8% tráfico web”. Este cambio hace que los clientes, con las tecnologías que tienen, no tengan visibilidad de ese tráfico.

Con las tecnologías tradicionales, explica Alain Karioty, se va a poder controlar el 8% de tráfico web haciendo filtrado de navegación, haciendo control de amenazas, etc., pero, lógicamente, eso no resuelve el problema porque lo que se necesita es controlar el 100% de ese tráfico. “Los clientes poco a poco se están dando cuenta, y eso es un cambio que ya estamos viendo”, dice el responsable regional para Latinoamérica de Netskope.

Con un firewall y un proxy una compañía puede detectar, y bloquear, una página con contenido inapropiado, infectada por malware, pero cuando llegamos al tráfico SaaS, al mundo IaaS, no puede diferenciar si un Gmail es corporativo o personal, no pueden saber si los atacantes están aprovechándose de una vulnerabilidad y están creando una cuenta falsa modificando una letra del apellido de un empleado; el 99% de la gente ve un documento que envía un colega de la misma empresa, y pincha y abre el documento, e inicia una infección. “Son ataques muy dirigidos, complejos, pero lo que ve el firewall es Office 365, y el firewall lo que sabe es que Office 365 está permitido, y como Office 365 genera una cantidad enorme de sesiones, y los proxy no están preparados para eso, se opta por un bypass y se deja pasar ese tráfico sin revisar”, dice Karioty.

Preguntado si las empresas empiezan a entender la nueva situación, si entienden que tienen una parte de responsabilidad de la seguridad en el mundo de la nube, dice Alain Karoity que algunas sí, pero a otras todavía les cuesta entender el modelo de responsabilidad compartido; “no saben que en SaaS tú eres el responsable de los datos”.

Entrégame tu tráfico

Si la realidad es que del total de tráfico empresarial un 8% es web, un 85% es de aplicaciones cloud, y un 7% es generado por las propias infraestructuras cloud, “¿para qué sigues invirtiendo en perímetro?”, pregunta Alain Karioty. La propuesta de Netskope, sigue diciendo el directivo, es: “entrégame tu tráfico y yo me encargo de limpiártelo en la nube”.

Es ir más allá de CASB, porque bajo este concepto se resolvía el problema de “voy a ir a Office 365 y quiero estar seguro, pero hoy el problema es diferente, el problema es que con mi proxy no tengo visibilidad de a dónde navegan mis usuarios; ni si las instancias son corporativas o personales; no puedo hacer control de malware en instancias que no son corporativas; tengo un problema con el tráfico SSL… Tengo muchos problemas y lo solucionamos de una manera simple: redireccióname tu tráfico y yo me encargo, sea del tipo que sea, incluso del tráfico cifrado SSL”.

Al margen de otras empresas que se mueven en el segmento del CASB, Netskope tiene como rivales a fabricantes de seguridad bien asentados en el mercado. La mayoría de los fabricantes de firewall, por ejemplo, están avanzando su estrategia hacia la seguridad del cloud, mientras que los proveedores de nube avanzan sus propios servicios de seguridad. ¿Cómo se posiciona Netskope? Dice Alain Karioty que los fabricantes de seguridad perimetral vienen del mundo del appliance y algunos han comprado tecnologías que les permiten controlar ciertas partes del cloud, pero la propuesta de Netskope es diferencial y única: reenvíanos tu tráfico más allá de tu perímetro corporativo, hacia la nube, sabiendo que estés donde estés te voy a aplicar control; hoy por hoy no lo ofrecen; no pueden procesar en línea cerca de los usuarios el tráfico SaaS, web, IaaS y hacer los controles que hacemos, no son capaces.

Inversión en centros de datos y acuerdos de peering

Pedir a las empresas que les entreguen su tráfico no es asunto baladí. Netskope lleva tiempo preparándose para ello. Durante el primer trimestre la compañía abrirá un datacenter en Madrid, pero además se están montando 50 puntos de presencia “de forma que la seguridad esté lo más cerca del usuario”.

Lo que no han entendido otros competidores, que se van al cloud público porque es más barato, es cuán importante es la latencia hoy en día, explica Alain Karioty. Dice el directivo que cuando se trabaja con un proveedor de cloud pública este proveedor te da el espacio y la conectividad, “y tú no puedes escoger las rutas” por las que pasa tu tráfico; “esa conectividad preselecciona las rutas más baratas, y hace peering con los proveedores de acceso menos costosos”.

Añade Karioty que la aproximación de Netskope es ir al cloud privado “y nosotros mismos cerrar acuerdos de peering con los proveedores de acceso local de forma de que en cuanto salgas a Internet ya estés directamente conectada con nosotros, estés en la red corporativa o en 4G, y luego hacemos también conexión directa con los tres principales proveedores de cloud. Eso no lo puedes hacer cuando estás en Amazon porque no controlas esa parte de ese tramo”.

Evolucionando hacia el legacy

Después de proteger el SaaS, el IaaS y la Web, ¿cuál es el siguiente paso? “El siguiente paso son las aplicaciones legacy privadas, que son client server y que están tanto en un datacenter tradicional o un datacenter en nube”, dice Alain Karioty. Explica el directivo que lo habitual es acceder a esas aplicaciones a través de VPN, pero que el problema de la VPN es que cuando le das acceso a un usuario, puede ser un usuario interno, o un colaborador externo; y cuando ese colaborar externo está dentro, no se sabe en realidad lo que está haciendo. “Y lo que vamos a lanzar en este primer trimestre se llama Netskope Private Access (Acceso privado seguro), que está basado en el modelo Zero Trust del que se habla tanto”.

El modelo Zero Trust se basa en dar acceso a un usuario solamente a lo que tiene que tener acceso, solamente en la franja horaria que tiene que tener acceso, para hacer lo que tiene que hacer y desde el dispositivo que tienes que usar exactamente. Este modelo de confianza cero sustituye esa VPN estableciendo una capa intermedia, Netskope Cloud, que es donde el usuario se conecta para acceder al recursos que tenga que acceder, que puede estar en un datacenter privado o en un nube pública, y bajo unas condiciones establecidas.

“Al final el motor es el mismo, lo que hemos hecho es ir ampliando el destino”, dice el responsable de Netskope para la región de Iberia. Y es que, si inicialmente el destino era solamente SaaS, y luego se evolucionó hacia el IaaS, para ampliarse posteriormente a la navegación web, “ahora lo vamos a ampliar en aplicaciones privadas eliminado las VPN, que es también una tecnología legacy, evitando el tener que darte una IP privada sobre la que no tengo control”.