:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud Access Security Broker Datenschutz und Security für die Cloud
Robert Arandjelovic, Director of Security Strategy bei Blue Coat, erläutert, wie moderne Cloud Access Security Broker kritische Daten in Cloud-Anwendungen schützen – und der Schatten-IT einen Riegel vorschieben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ob Office-Anwendung, CRM-Software oder Storage: Die Anwendungslandschaften der Unternehmen verschieben sich unaufhaltsam in die Cloud. Und angesichts der enormen Einsparpotenziale und der hohen Flexibilität, die SaaS-Lösungen im Vergleich zu On-Premise-Produkten bieten, scheint auch für viele weitere Dienste der Weg in die Wolke bereits vorgezeichnet.
Das heißt aber nicht, dass er einfach sein wird. Nach wie vor bleiben viele kritische Fragen beim Einsatz von Cloud-Anwendungen unbeantwortet: Wie lässt sich gewährleisten, dass die Mitarbeiter nur von der IT genehmigte Apps verwenden? Wie verhindert man, dass kritische Daten über private Dropbox- oder Box-Accounts mit der ganzen Welt geteilt werden? Wie steht es um die Sicherheit, Integrität und Vertraulichkeit der Daten in der Cloud? Und: Wie stellt man die Einhaltung von Data-Residency-Vorgaben sicher?
Mit dem klassischen Security-Stack aus AV, Firewall, NGFW, WAFs oder IPS lassen sich all diese Fragen nicht beantworten – schließlich werden die Cloud-Anwendungen außerhalb des Perimeters betrieben und bereitgestellt. Unternehmen sind somit auf dedizierte Cloud-Security-Lösungen angewiesen. Eine Schlüsselrolle kommt in diesem Zusammenhang dem Cloud Access Security Broker, kurz CASB, zu.
CASB sind meist Cloud-basierte Security-Plattformen, mit denen Unternehmen gezielt die Zugänge in die Cloud kontrollieren können. In der Praxis kommen sie vorrangig in zwei Szenarien zum Einsatz: Im ersten Schritt nutzen viele Unternehmen den CASB als Audit- oder Visibility-Lösung, um sich einen Überblick über die Cloud-Umgebung (und die Schatten-IT) zu verschaffen. Im zweiten Schritt kommt er dann als Policy-Enforcement- oder Cloud-Data-Protection-Lösung zum Einsatz, um die Durchsetzung der Sicherheits-Richtlinien und den Schutz der Unternehmens-Daten in der Cloud zu gewährleisten.
Der CASB als Visibility- und Intelligence-Lösung
Bevor Unternehmen damit beginnen können, ihre Cloud-Umgebungen zu reglementieren und abzusichern, benötigen die Entscheider zunächst einen klaren Überblick über die Ist-Situation – sprich: darüber, welche legitimen Cloud-Anwendungen vorhanden sind und welche Apps die Mitarbeiter darüber hinaus ohne Wissen der IT verwenden („Schatten-IT“).
CASB-Lösungen wie das CloudSOC von Blue Coat Elastica greifen hierfür einfach auf die Log-Files der vorhandenen Security-Systeme zu und analysieren diese gezielt mit Blick auf den Cloud-Traffic. Die gesammelten Logs werden dann mit einer Cloud-Datenbank von über 10.000 bekannten Cloud-Apps abgeglichen, kategorisiert und nach Risiken bewertet. Auf diese Weise erhalten die Verantwortlichen einen aussagekräftigen Side-by-Side-Vergleich der unternehmensweit eingesetzten Apps – inklusive Traffic-Volumen-Analyse, Anzahl der Zugriffe und vieler weiterer Parameter.
Die Ergebnisse der Analyse sind häufig ernüchternd: In fast allen Unternehmen machen die Schatten-Anwendungen den Löwenanteil der Cloud-Nutzung aus. Laut dem aktuellen „Shadow Data Report 2H 2015“ von Elastica stehen vor allem soziale Apps wie Twitter und Youtube sowie File-Sharing-Plattformen wie Box und Dropbox bei den Anwendern hoch im Kurs. Sie werden mit oder ohne Genehmigung der IT genutzt – auch auf die Gefahr hin, kritische Daten ungeschützt zu übermitteln und zu exponieren.
Der Leistungsumfang des CASB geht daher häufig weit über die reine Erfassung des Ist-Zustands und die Risikobewertung hinaus: Als Security-Analytics-Lösung überwacht er die Infrastruktur durchgehend, um sicherheitsrelevante Vorfälle frühzeitig zu identifizieren. Leistungsfähige DLP-Analysen informieren das IT-Security-Team, wenn kritische Daten gestohlen werden oder das Unternehmen verlassen.
Um eine Strategie für die Verwendung von Cloud-Diensten zu erstellen, sollten die Verantwortlichen zunächst definieren, welche Cloud-Funktionalitäten tatsächlich gewünscht und benötigt werden. In der Regel lässt sich dies gut aus der Analyse der Shadow-IT ableiten: Wenn 80 Prozent der Mitarbeiter Firmendaten über ihre privaten Dropbox-Accounts teilen, ist dies ein guter Indikator dafür, einen offiziellen Filesharing-Dienst zu implementieren – und den unerwünschten Schatten-Anwendungen so den Boden zu entziehen.
Absicherung der Cloud-Zugriffe mit dem CASB
Im nächsten Schritt gilt es dafür zu sorgen, dass die bereitgestellten Cloud-Anwendungen auch Policy-konform verwendet werden. Die Mitarbeiter sollen nur noch die Daten teilen, die sie auch wirklich teilen dürfen, und zwar nur mit Anwendern, die dazu berechtigt sind. Moderne CASB nutzen hierfür oft die vom Provider für Kunden freigegebene API der Cloud-App. Über diese Schnittelle lassen sich für jede Anwendung feingranulare Policies festlegen und durchsetzen, um die Sicherheit der Daten in der Cloud zu gewährleisten. Ist für eine Cloud-Anwendung kein API-Zugang verfügbar, kann alternativ der Traffic der Anwender über ein dediziertes Proxysystem geleitet werden, das das Policy-Enforcement übernimmt. In der Praxis haben also sowohl API- als auch Proxy-basierte Cloud-Access-Security-Lösungen ihre Daseinsberechtigung. Moderne CASB unterstützen immer öfter beide Technologien, um die Policy je nach App flexibel durchsetzen zu können.
Zusätzliche Sicherheit durch Tokenisierung und Verschlüsselung
In besonders sicherheitskritischen Umgebungen kann es darüber hinaus sinnvoll sein, den Leistungsumfang des CASB um zusätzliche Komponenten zu ergänzen. Somit lassen sich kritische Daten in Cloud-Anwendungen wie salesforce.com oder Oracle bereits On-Premise verschlüsseln oder durch zufällig generierte Token ersetzen. Auf diese Weise verhindern Unternehmen unerwünschtes Speichern von sensiblen Daten in der Cloud und stellen die Einhaltung besonders rigider Datenschutz- und Data-Residency-Vorgaben sicher.
Fazit
Angesichts der zunehmenden Verbreitung von Cloud-Anwendungen nimmt auch die Nachfrage nach einem leistungsfähigen Security-Stack für die Generation Cloud rasant zu. Moderne Cloud Access Security Broker setzen auf lückenlose Transparenz, nahtlose Policy Integration und Technologien wie Tokenisierung und Verschlüsselung, um die Sicherheit von Daten in der Cloud jederzeit zu gewährleisten. Jetzt steht die Security-Branche vor der Aufgabe, die neuen CASB in die bestehenden Produktportfolios einzubinden. Die Integration mit Proxy-Systemen, Security Gateways und Reputationsdiensten wird es Unternehmen künftig ermöglichen, ihre Cloud-Anwendungen noch besser zu schützen – und über einheitliche Managementsysteme wesentlich effizienter zu betreiben.
(ID:43935003)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951811/original.jpg "Der Fokus des neuen Anbieters Skyhigh Security liegt auf Security Service Edge (SSE). (Skyhigh Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")