Cloud Access Security Broker

CASB als Bestandteil der Cloud-Security-Strategie

| Autor / Redakteur: Eduard Meelhuysen / Peter Schmitz

Um die Nutzung von Cloud-Anwendungen im Unternehmensumfeld sicherer zu machen, wurden Cloud Access Security Broker (CASBs) entwickelt.
Um die Nutzung von Cloud-Anwendungen im Unternehmensumfeld sicherer zu machen, wurden Cloud Access Security Broker (CASBs) entwickelt. (Bild: Pixabay / CC0)

Cloud-Anwendungen und mobile Geräte stellen IT-Abteilungen vor die Herausforderung, Unternehmensdaten zu sichern, die sich auf Servern von Drittanbietern befinden und über Netzwerke von Drittanbietern übertragen werden. Eine Aufgabe, die Technologien, die sich ausschließlich auf die Sicherung des Netzwerkperimeters konzentrieren, nicht zuverlässig bewältigen können.

Um die Nutzung von Cloud-Anwendungen im Unternehmensumfeld sicherer zu machen, wurden Cloud Access Security Broker (CASB) entwickelt. Diese bieten jenseits des Unternehmensnetzwerks umfassenden Datenschutz in der Cloud, im Internet sowie auf mobilen Geräten. Angesichts der steigenden Anforderungen an die Datensicherheit können CASBs einen wichtigen Beitrag zur IT-Sicherheitsstrategie von Unternehmen leisten.

Was ist ein CASB?

Mit CASBs lässt sich sicherstellen, dass der Netzwerkverkehr zwischen Cloud-Anwendungen und Benutzern den Sicherheitsrichtlinien des Unternehmens entspricht. CASBs laufen entweder on-premises oder Cloud-basiert und bieten umfangreiche Sicherheitsfunktionen für die Nutzung von Cloud-Anwendungen. Dazu gehören unter anderem Features wie Authentifizierung, Single Sign-On, Autorisierung, Berechtigungszuordnung, Geräteprofilierung, Verschlüsselung, Tokenisierung, Protokollierung, Warnung sowie Malware-Erkennung und -Prävention. Seit ihren Anfängen haben sich CASB-Lösungen stetig zu umfassenden Plattformen für Cloud-Sicherheit entwickelt.

CASBs entstanden ursprünglich als Reaktion auf die zunehmende Cloud-Nutzung in Unternehmen, um insbesondere in regulierten Branchen die Verwendung von Tools wie Office 365, Google Apps, Dropbox oder Salesforce im Blick behalten. CASBs der ersten Generation machten Cloud-Prozesse sichtbar und boten damit erstmals eine vollständige Übersicht der Unternehmensdaten. Die ersten erhältlichen CASB-Produkte ließen sich agentenbasiert einfach in bestehende Systeme integrieren. Damit wurden Probleme durch Schatten-IT gelöst, indem beispielsweise die unachtsame Verwendung von nicht genehmigten Cloud-Anwendungen, wie z.B. EFSS-Tools, durch Mitarbeiter ausfindig gemacht werden konnte.

Erweiterter Funktionsumfang mit API und Proxys

Ausgehend davon war es naheliegend, einen Schritt weiter zu gehen und neben diesen relativ einfachen Discovery-Tools auch Kontrollfunktionen für Prozesse und Daten in beliebigen Speicherorten oder Geräten zu entwickeln. Mit APIs wurde der Funktionsumfang von CASBs erweitert: API-Integrationen ermöglichten nicht nur Sichtbarkeit, sondern ein stärkeres Maß an Kontrolle über Daten in nicht genehmigten Cloud-Anwendungen. Um verfolgen zu können, wohin sich die Daten bewegen, werden zusätzlich zu den Discovery Tools Firewall-Logs eingespeist. Auf diese Weise decken die Lösungen nicht nur Schatten-IT-Prozesse auf, sondern warnen darüber hinaus, wenn sich sensible Daten außerhalb des Unternehmensnetzwerks bewegen.

API-basierte Lösungen bieten zwar Sichtbarkeit, ermöglichen jedoch keinen Echtzeitschutz. Dieser kann nur gewährleistet werden, solange Nutzer sich innerhalb des Unternehmensnetzwerks befinden. Allerdings entstanden in diesem Zusammenhang – vornehmlich bedingt durch die gestiegene Nutzung von Mobilgeräten – Bedenken, was die Privatsphäre der Nutzer anbelangt. Insbesondere im Zuge von BYOD in Unternehmen sind in diesem Zusammenhang Bedenken hinsichtlich der Privatsphäre der Nutzer aufgekommen. Wenn beispielsweise Mitarbeiter gezwungen sind, sich über VPN mit dem Unternehmensnetzwerk zu verbinden, wird der gesamte Webverkehr auf ihrem mobilen Endgerät über das Unternehmensnetzwerk geleitet. Dementsprechend entstand in Unternehmen zunehmend ein Bedarf an Lösungen, die sowohl Datensicherheit als auch Datenschutz miteinander in Einklang bringen. Das Ergebnis ist die aktuelle und am weitesten entwickelte CASB-Form: Proxy-basierte CASBs, die nicht nur volle Transparenz, sondern auch Kontrolle bieten, ohne in die Privatsphäre von Nutzern einzudringen.

Wie unterscheiden sich die verschiedenen CASB-Produkte?

Der Funktionsumfang von CASBs unterscheidet sich allerdings von Anbieter zu Anbieter. Für Unternehmen ist es deshalb wichtig, sich vorab damit auseinanderzusetzen, wie die einzelnen Architekturen implementiert und verwaltet werden, da sie große Auswirkungen auf die unterstützten Anwendungs- und Gerätetypen sowie auf den mit der Systemverwaltung verbundenen operativen Overhead haben können.

Bei den meisten Herstellern ist die Architektur auf einem primären Proxy-Mechanismus aufgebaut - entweder ein Forward-Proxy oder ein Reverse-Proxy mit einer zusätzlichen API-Integration. Forward-Proxys kommen in der Regel für die Anwendung auf verwalteten Geräten zum Einsatz, während Reverse-Proxys für nicht verwaltete Geräte verwendet werden, da sie den Zugriff mit Single Sign On (SSO) regeln und keine Installation auf dem Gerät erfordern. Komplettlösungen schützen Unternehmensdaten während ihres gesamten Lebenszyklus - in der Cloud, während des Zugriffs, auf dem Gerät und im Unternehmensnetzwerk.

Bei der Wahl einer CASB-Lösung sollte außerdem darauf geachtet werden, dass diese neben der Überwachung des Web/HTTPS-Traffics auch alternative Zugangsarten, wie den Zugriff auf Cloud-basierte E-Mail-Systeme wie Office 365, MS Outlook oder Mac OS X Mail über Web oder mobile Endgeräte via Activesync. Die Lösung sollte die wichtigsten Cloud-Anwendungen für Unternehmen sowie SaaS-, IaaS- und benutzerdefinierte Anwendungen unterstützen. Die umfassendsten CASB-Lösungen ihrer Art sind agentenlos, mit Unterstützung für jede App und Geräteart, integriertem Identitäts- und Zugriffsmanagement (IAM) und agentenloser mobiler Datensicherung.

Digitalisierung: Agiler Datenschutz in digitalen Organisationen

Da die Datenmenge in Unternehmen durch die Digitalisierung immer mehr zunimmt, müssen langfristig auch die Schutzmechanismen agiler werden. das Identifizieren und Kategorisieren von Anwendungen während der Erstellung, wie es in manchen herkömmlichen Lösungen zu finden ist, ist zu reaktiv und stellt langfristig einen zu hohen Aufwand für IT-Abteilungen dar. Viele Anbieter entwickeln daher derzeit CASB-Funktionen zur proaktiven Identifizierung verdächtiger Aktivitäten, wie z.B. die zeitgleiche Anmeldung von mehreren Standorten oder das Herunterladen großer Mengen sensibler Daten, mit Hilfe von maschinellen Lernprozessen und künstlicher Intelligenz. Machine Learning unterstützt die IT mit automatisierten Funktionen zur Identifizierung und Sicherung sensibler Informationen. Dies kann zum Beispiel eingesetzt werden, um anhand bestimmter Muster Daten wie beispielsweise Sozialversicherungsnummern zu identifizieren und für diese automatischen Verschlüsselungsfunktionen anzuwenden.

Vor dem Hintergrund neuer Angriffsszenarien von Malware in Cloud-Anwendungen kommen Machine Learning und Künstliche Intelligenz auch in der Datensicherung zum Einsatz. Intelligente Lösungen sind mit maschinellem Lernen in der Lage, Malware in Dateien sowie in Echtzeit während des Up-oder Downloads in oder aus der Cloud zu erkennen und zu blockieren. Ebenso erfolgt ein Scan der in der Cloud abgelegten Daten (data at rest), um der Ausbreitung von Malware auf die angeschlossenen Cloud-Anwendungen vorzubeugen. Mit verhaltensbasierter Bedrohungserkennung durch maschinellem Lernen bieten CASBs Schutz vor bekannter als auch unbekannter Malware. Durch das automatische Erfassen und die Auswertung der Nutzung unautorisierter Cloud-Anwendungen ist vollständige Datentransparenz gewährleistet.

Cloud Access Security Broker entwickeln sich schnell zu einer unverzichtbaren Sicherheitslösung für Unternehmen, die bereits Cloud-basierte Anwendungen einsetzen oder diese einsetzen wollen. Diese Technologien schließen die Lücken, die Cloud Apps-Anbieter dem Unternehmen überlassen haben, um die Sichtbarkeit und Datensicherheit zu verbessern.

Ausblick: CASBs als fester Bestandteil der Cloud-Sicherheitsstrategie

Langfristig benötigen Unternehmen Lösungen, mit denen Cloud-Daten überall gesichert werden können - von der Cloud bis zum Endgerät. Im Rahmen ihrer Cloud-Sicherheitsstrategie sollten Unternehmen sicherstellen, dass die Einführung von Cloud-Anwendungen mit der Implementierung einer geeigneten CASB-Lösung flankiert wird. CASBs, die ausschließlich auf Grundlage von API operieren werden ins Hintertreffen geraten, da eine vollständige Palette von Funktionen einschließlich mobiler Sicherheit erforderlich ist. Der Markt für CASBs ist äußerst dynamisch, und derzeit ist die Wettbewerbslandschaft geprägt durch Fusionen und Übernahmen. Vor diesem Hintergrund sind die Anbieter dazu gezwungen, die Produktinnovation voranzutreiben, indem sie mehr Funktionen integrieren, um sich von der Konkurrenz abzuheben. Es ist zu erwarten, dass CASBs sich dadurch auch Nischenmärkte mit nur einer Kernkompetenz - wie Identity as a Service oder Enterprise Mobility Management - erschließen werden. Der Vorteil für Unternehmen besteht darin, dass sie statt vieler verschiedener Sicherheitslösungen für unterschiedliche Sicherheitsbedürfnisse nur eine einzige Lösung für die gesamte Cloud-App-Security kaufen können, die zudem kostengünstiger und einfacher zu bedienen ist.

Über den Autor: Eduard Meelhuysen ist VP Sales EMEA bei Bitglass.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45283377 / Benutzer und Identitäten)