:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz und Datennutzung in der Cloud Grundlagen der Cloud Access Security Broker (CASB)
Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Cloud Access Security Broker (CASB) sind unter anderem dazu in der Lage, die Compliance mit behördlichen Vorgaben auch dann sicher zu stellen, wenn die genutzten Cloud-Dienste sich der direkten Kontrolle des betroffenen Unternehmens entziehen. Außerdem können sie den IT-Administratoren vor Augen führen, wie Cloud Anwendungen genutzt werden, und das bei Bedarf sogar über mehrere Cloud-Plattformen hinweg. Damit sorgen sie für Transparenz bei den Kosten und helfen sogar bei der Abrechnung.
Abgesehen davon lassen sie sich auch dazu verwenden, die im Inneren geltenden Security Policies auch bei externen Diensten durchzusetzen, was insbesondere bei streng regulierten Wirtschaftsbereichen eine wichtige Rolle spielt und die mit der Nutzung von Cloud-Services verbundenen Risiken verringert. Das hat heute eine große Bedeutung, da die Nutzung der Cloud-Dienste zunimmt und gleichzeitig immer mehr externe Institutionen, wie zum Beispiel Geschäftspartner oder auch Außendienstmitarbeiter, auf die Cloud-Services eines Unternehmens zugreifen müssen. Das Grundkonzept, das hinter jedem CASB-Einsatz steht, besagt, dass die Daten, die es zu schützen gilt, immer dem Unternehmen gehören, aber nicht notwendigerweise auch immer auf unternehmenseigenen Systemen liegen. Dieser Beitrag geht auf die Technik der Broker und ihren Funktionsumfang ein. Außerdem stellt er die wesentlichen Produktanbieter vor.
:quality(80)/images.vogel.de/vogelonline/bdb/1435200/1435278/original.jpg "Das Dashboard des CASB von Palo Alto.")
:quality(80)/images.vogel.de/vogelonline/bdb/1435200/1435279/original.jpg "Die Konfiguration der Policies bei der Bitglass-Lösung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1435200/1435280/original.jpg "Die Zusammenfassung der Policy-Ereignisse bei McAfee (Skyhigh Networks).")
:quality(80)/images.vogel.de/vogelonline/bdb/1435200/1435281/original.jpg "Eine grafische Darstellung der Nutzung bei Symantec.")
Manche Lösungen, wie beispielsweise die von Bitglass, realisieren das Policy Management auf Anwendungsbasis, was dafür sorgt, dass die Policies so ähnlich aussehen und funktionieren wie die Regeln einer Firewall, was wiederum die Arbeit mit ihnen relativ einfach macht. McAfee tritt nach der Übernahme von Skyhigh Networks ebenfalls im CASB-Markt auf und hat eine Lösung im Angebot, der alle Policy-Änderungen vorhält und es so einfach macht, sie bei Bedarf wieder zurückzunehmen.
Da die CASB genaue Kenntnis über den Datenverkehr zwischen den intern arbeitenden Cloud Nutzern und den externen Cloud Diensten haben, eigenen sie sich unter anderem auch dazu, die unerwünschte Nutzung von Cloud Services herauszufinden und zu unterbinden, was der Schatten-IT im Unternehmen einen Riegel vorschiebt. Um die benutzten Cloud-Dienste zu erkennen, setzen die CASB in der Regel Auto Discovery-Funktionen ein.
Der Einsatz von CASB ergibt auch in Umgebungen Sinn, in denen jede Abteilung oder Niederlassung die Möglichkeit hat, ihre eigenen Cloud-Services einzurichten und zu nutzen. Nur mit einem CASB besteht hier die Option, ein konsistentes Sicherheitsniveau zu schaffen.
Konkrete Einsatzbeispiele
In der Praxis kommen CASB unter anderem zum Einsatz, um die Richtlinien für die zu verwendende Verschlüsselung und die Protokollierung der Datenübertragungen sowie die Authentifizierung der Nutzer durchzusetzen. Außerdem lassen sich über sie auch die Endgeräte, die zum Zugriff Verwendung finden, überprüfen. Oft besteht auch die Option, über Device-Profiling bestimmte Zugangsvoraussetzungen zu erzwingen, wie zum Beispiel das Vorhandensein bestimmter Patches oder Sicherheitslösungen wie Antivirenprogrammen. CASB sorgen also nicht nur für eine bessere Datensicherheit, sondern auch einen besseren Überblick und Bedrohungsschutz. Viele Produkte erkennen nicht nur potentiell gefährliche Applikationen, sondern identifizieren, wie die Lösungen von Microsoft und Oracle, auch „Risk User".
Einige CASB bringen Funktionen zur Data Loss Prevention (DLP) mit. In diesem Zusammenhang sind beispielsweise Netskope, sowie die Cloudlock-Produkte von Cisco zu erwähnen. Letztere setzen Selektoren für exaktes Data Matching ein. Sie sind deswegen nicht darauf angewiesen, ihre Daten an den Hersteller zu schicken, sondern senden nur die Ergebnisse des Matchings. Die Daten bleiben also da, wo sie hingehören. CASB sind übrigens nicht in allen Fällen ein Ersatz für DLP-Produkte, es ergibt in manchen Umgebungen durchaus Sinn, beides zu verwenden.
:quality(80)/images.vogel.de/vogelonline/bdb/1392500/1392551/original.jpg "Um die Nutzung von Cloud-Anwendungen im Unternehmensumfeld sicherer zu machen, wurden Cloud Access Security Broker (CASBs) entwickelt. (Pixabay)")
Cloud Access Security Broker
CASB als Bestandteil der Cloud-Security-Strategie
Geschützte Anwendungen
Von CASB werden in der Regel vor allem Anwendungen abgesichert, die die Produktivität eines Unternehmens garantieren, wie beispielsweise Box, Dropbox, Office 365 oder auch Salesforce. Dazu kommen noch Software as a Service-Applikationen (SaaS) sowie CRM- und Helpdesk-Lösungen und ähnliches. Manche Produkte sind auch dazu in der Lage, IaaS-Umgebungen (Infrastructure as a Service) und PaaS-Lösungen (Platform as a Service) wie beispielsweise AWS abzusichern.
Technische Hintergründe
Es existieren zwei unterschiedliche Arten von CASB. Zum einen finden die Lösungen als zentrales Gateway Verwendung, zum anderen als API-Anwendung. Als Gateway arbeitet der CASB direkt im Datenstrom und kann im Falle von Sicherheitsproblemen oder Angriffen direkt Abwehrmaßnahmen ergreifen. Dazu muss er allerdings leistungsfähig genug sein, sämtliche für ihn relevanten Datenübertragungen in Echtzeit zu analysieren. Die Gateway-Konfiguration eignet sich für alle Einsatzbereiche, in denen das Datenvolumen beherrschbar bleibt. Es gibt inzwischen übrigens auch CASB – etwa von CipherCloud oder Netskope – die sich als virtuelle Appliances implementieren lassen. Viele Lösungen, dazu gehören bspw. die von Oracle und Saviynt, laufen auch als Software as a Service-Implementierungen (SaaS) oder – wie das Produkt von McAfee (Skyhigh Networks) – direkt in Infrastructure as a Service-Clouds (Iaas).
Die zweite CASB-Variante sind die genannten CASBs auf API-Basis. Diese werden – wie es der Name vermuten lässt – über ein API mit der Cloud-Anwendung verbunden. Das bedeutet, sie befinden sich nicht direkt im Datenstrom, sondern beziehen ihre Informationen von der Cloud-Applikation. Damit haben sie keinen Einfluss auf die Leistung der Datenübertragungen, können aber im Angriffsfall auch keine Abwehrmaßnahmen treffen. Diese Konfiguration eignet sich folglich vor allem für Umgebungen mit einer großen Zahl an Anwendungen und Benutzern. Ein typischer CASB auf API-Basis ist Aperture von Palo Alto Networks.
:quality(80)/images.vogel.de/vogelonline/bdb/1359000/1359091/original.jpg "Unternehmen verstehen noch nicht, dass der Zugriff auf Cloud-Daten von einem mobilen Endgerät oder einer App aus fundamental anders ist als der über einen PC-Browser auf einem Laptop. (Pixabay)")
CASB vs. Cloud-Gateway
Endpoint-Schutz für sicheren Zugang zur Cloud
Dashboards
Die CASB liefern den zuständigen Mitarbeitern üblicherweise leistungsfähige Dashboards zu den ablaufenden Aktivitäten, die unter anderem Aufschluss über die Geräte und Nutzer im Haus und die verwendeten Cloud-Dienste geben. Treten Probleme auf, etwa weil ein Endpoint nicht über die aktuellsten Virendefinitionen verfügt, so machen die Dashboards die IT-Administratoren in der Regel direkt darauf aufmerksam.
Um das alles zu realisieren, müssen die CASB die Kommunikation mit Security-Produkten beherrschen, um Risikobewertungen durchzuführen und Policies durchzusetzen. Neben Authentifizierungs- und Verschlüsselungslösungen unterstützen sie im Idealfall auch noch die Kooperation mit SIEM-Systemen, damit alle für die Sicherheit relevanten Informationen an einer zentralen Stelle verfügbar gemacht werden können. Manche Lösungen, wie etwa CloudSOC von Symantec, arbeiten sogar mit im Unternehmen vorhandenen Hardware Security Modules (HSM) zusammen. Viele Produkte, wie unter anderem auch die von CipherCloud, lassen sich zudem in Management-Lösungen integrieren, die im Unternehmen sowieso schon vorhanden sind.
Ebenso wichtig in diesem Zusammenhang ist das Reporting. Der CASB von Saviynt beispielsweise sammelt detaillierte Ereignisinformationen sowie Telemetridaten von Anwendungen und erzeugt daraus Reports, die Empfehlungen für Sicherheitsadministratoren enthalten und so dabei helfen, das Sicherheitsniveau zu verbessern.
Player
Gartner stuft im Magic Quadrant for Cloud Access Security Brokers vom November 2017 die Anbieter CensorNet, Microsoft, Oracle, Palo Alto Networks und Saviynt als Nischenplayer für CASB ein. CensorNet verfügt übrigens über ein einfach verständliches Preismodell und eignet sich damit auch für den Einsatz in mittelgroßen Unternehmen. Die "Challengers" sind laut Gartner CipherCloud und Cisco, der einzige "Visionary" ist Bitglass. Als "Leader" gelten schließlich McAfee (Skyhigh Networks), Netskope und Symantec.
:quality(80)/images.vogel.de/vogelonline/bdb/1419800/1419836/original.jpg "Eine moderne Cloud-Security-Lösung verschafft Unternehmen Transparenz darüber, welche Cloud-Anwendungen von welchen Mitarbeitern mit welchen Geräten angesteuert werden. (Pixabay)")
Cloud Security
Cloud-Sicherheit durch CASB und Verhaltensanalyse
Fazit
CASB sorgen dafür, dass sich Compliance-Vorgaben auch in der Cloud effizient umsetzen lassen. Außerdem erhöhen sie durch die Durchsetzung der Security Policies, beispielsweise in Bezug auf Authentifizierung und Verschlüsselung, das Sicherheitsniveau. Da sämtliche Zugriffe auf die Anwendungen in der Cloud über die Sicherheitsregeln ganz genau steuerbar sind, helfen die CASB darüber hinaus auch beim Abwehren der Zugriffsversuche nicht berechtigter Nutzer.
Es verfügen aber nicht alle CASB auf dem Markt über den gleichen Funktionsumfang, sondern das Feature Set unterscheidet sich teilweise sogar erheblich. Deswegen müssen die IT-Verantwortlichen sich vor der Anschaffung einer solchen Lösung zunächst ein genaues Bild in Bezug auf ihre Anforderungen machen und dann ein Produkt auswählen, das ihre Anforderungen bestmöglich erfüllt.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45431526)
:quality(80)/images.vogel.de/vogelonline/bdb/1918600/1918670/original.jpg "BeyondTrust Cloud Privilege Broker ist eine zentrale Visualisierungs- und IT-Management-Plattform für alle Berechtigungen und Privilegien in Multi-Cloud-Umgebungen. (©jozsitoeroe - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951300/1951358/original.jpg "Die F5 Distributed Cloud Services sind ab sofort verfügbar. (Mint_Fotos / F5)")