Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Cloud Access Security Broker (CASB) helfen beim Erreichen der Compliance, beim Abwehren von Malware-Angriffen und beim Alerting.
Cloud Access Security Broker (CASB) helfen beim Erreichen der Compliance, beim Abwehren von Malware-Angriffen und beim Alerting. (© peshkov - stock.adobe.com)

Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud.

Cloud Access Security Broker (CASB) sind unter anderem dazu in der Lage, die Compliance mit behördlichen Vorgaben auch dann sicher zu stellen, wenn die genutzten Cloud-Dienste sich der direkten Kontrolle des betroffenen Unternehmens entziehen. Außerdem können sie den IT-Administratoren vor Augen führen, wie Cloud Anwendungen genutzt werden, und das bei Bedarf sogar über mehrere Cloud-Plattformen hinweg. Damit sorgen sie für Transparenz bei den Kosten und helfen sogar bei der Abrechnung.

Abgesehen davon lassen sie sich auch dazu verwenden, die im Inneren geltenden Security Policies auch bei externen Diensten durchzusetzen, was insbesondere bei streng regulierten Wirtschaftsbereichen eine wichtige Rolle spielt und die mit der Nutzung von Cloud-Services verbundenen Risiken verringert. Das hat heute eine große Bedeutung, da die Nutzung der Cloud-Dienste zunimmt und gleichzeitig immer mehr externe Institutionen, wie zum Beispiel Geschäftspartner oder auch Außendienstmitarbeiter, auf die Cloud-Services eines Unternehmens zugreifen müssen. Das Grundkonzept, das hinter jedem CASB-Einsatz steht, besagt, dass die Daten, die es zu schützen gilt, immer dem Unternehmen gehören, aber nicht notwendigerweise auch immer auf unternehmenseigenen Systemen liegen. Dieser Beitrag geht auf die Technik der Broker und ihren Funktionsumfang ein. Außerdem stellt er die wesentlichen Produktanbieter vor.

Manche Lösungen, wie beispielsweise die von Bitglass, realisieren das Policy Management auf Anwendungsbasis, was dafür sorgt, dass die Policies so ähnlich aussehen und funktionieren wie die Regeln einer Firewall, was wiederum die Arbeit mit ihnen relativ einfach macht. McAfee tritt nach der Übernahme von Skyhigh Networks ebenfalls im CASB-Markt auf und hat eine Lösung im Angebot, der alle Policy-Änderungen vorhält und es so einfach macht, sie bei Bedarf wieder zurückzunehmen.

Da die CASB genaue Kenntnis über den Datenverkehr zwischen den intern arbeitenden Cloud Nutzern und den externen Cloud Diensten haben, eigenen sie sich unter anderem auch dazu, die unerwünschte Nutzung von Cloud Services herauszufinden und zu unterbinden, was der Schatten-IT im Unternehmen einen Riegel vorschiebt. Um die benutzten Cloud-Dienste zu erkennen, setzen die CASB in der Regel Auto Discovery-Funktionen ein.

Der Einsatz von CASB ergibt auch in Umgebungen Sinn, in denen jede Abteilung oder Niederlassung die Möglichkeit hat, ihre eigenen Cloud-Services einzurichten und zu nutzen. Nur mit einem CASB besteht hier die Option, ein konsistentes Sicherheitsniveau zu schaffen.

Konkrete Einsatzbeispiele

In der Praxis kommen CASB unter anderem zum Einsatz, um die Richtlinien für die zu verwendende Verschlüsselung und die Protokollierung der Datenübertragungen sowie die Authentifizierung der Nutzer durchzusetzen. Außerdem lassen sich über sie auch die Endgeräte, die zum Zugriff Verwendung finden, überprüfen. Oft besteht auch die Option, über Device-Profiling bestimmte Zugangsvoraussetzungen zu erzwingen, wie zum Beispiel das Vorhandensein bestimmter Patches oder Sicherheitslösungen wie Antivirenprogrammen. CASB sorgen also nicht nur für eine bessere Datensicherheit, sondern auch einen besseren Überblick und Bedrohungsschutz. Viele Produkte erkennen nicht nur potentiell gefährliche Applikationen, sondern identifizieren, wie die Lösungen von Microsoft und Oracle, auch „Risk User".

Einige CASB bringen Funktionen zur Data Loss Prevention (DLP) mit. In diesem Zusammenhang sind beispielsweise Netskope, sowie die Cloudlock-Produkte von Cisco zu erwähnen. Letztere setzen Selektoren für exaktes Data Matching ein. Sie sind deswegen nicht darauf angewiesen, ihre Daten an den Hersteller zu schicken, sondern senden nur die Ergebnisse des Matchings. Die Daten bleiben also da, wo sie hingehören. CASB sind übrigens nicht in allen Fällen ein Ersatz für DLP-Produkte, es ergibt in manchen Umgebungen durchaus Sinn, beides zu verwenden.

CASB als Bestandteil der Cloud-Security-Strategie

Cloud Access Security Broker

CASB als Bestandteil der Cloud-Security-Strategie

18.05.18 - Cloud-Anwendungen und mobile Geräte stellen IT-Abteilungen vor die Herausforderung, Unternehmensdaten zu sichern, die sich auf Servern von Drittanbietern befinden und über Netzwerke von Drittanbietern übertragen werden. Eine Aufgabe, die Technologien, die sich ausschließlich auf die Sicherung des Netzwerkperimeters konzentrieren, nicht zuverlässig bewältigen können. lesen

Geschützte Anwendungen

Von CASB werden in der Regel vor allem Anwendungen abgesichert, die die Produktivität eines Unternehmens garantieren, wie beispielsweise Box, Dropbox, Office 365 oder auch Salesforce. Dazu kommen noch Software as a Service-Applikationen (SaaS) sowie CRM- und Helpdesk-Lösungen und ähnliches. Manche Produkte sind auch dazu in der Lage, IaaS-Umgebungen (Infrastructure as a Service) und PaaS-Lösungen (Platform as a Service) wie beispielsweise AWS abzusichern.

Technische Hintergründe

Es existieren zwei unterschiedliche Arten von CASB. Zum einen finden die Lösungen als zentrales Gateway Verwendung, zum anderen als API-Anwendung. Als Gateway arbeitet der CASB direkt im Datenstrom und kann im Falle von Sicherheitsproblemen oder Angriffen direkt Abwehrmaßnahmen ergreifen. Dazu muss er allerdings leistungsfähig genug sein, sämtliche für ihn relevanten Datenübertragungen in Echtzeit zu analysieren. Die Gateway-Konfiguration eignet sich für alle Einsatzbereiche, in denen das Datenvolumen beherrschbar bleibt. Es gibt inzwischen übrigens auch CASB – etwa von CipherCloud oder Netskope – die sich als virtuelle Appliances implementieren lassen. Viele Lösungen, dazu gehören bspw. die von Oracle und Saviynt, laufen auch als Software as a Service-Implementierungen (SaaS) oder – wie das Produkt von McAfee (Skyhigh Networks) – direkt in Infrastructure as a Service-Clouds (Iaas).

Die zweite CASB-Variante sind die genannten CASBs auf API-Basis. Diese werden – wie es der Name vermuten lässt – über ein API mit der Cloud-Anwendung verbunden. Das bedeutet, sie befinden sich nicht direkt im Datenstrom, sondern beziehen ihre Informationen von der Cloud-Applikation. Damit haben sie keinen Einfluss auf die Leistung der Datenübertragungen, können aber im Angriffsfall auch keine Abwehrmaßnahmen treffen. Diese Konfiguration eignet sich folglich vor allem für Umgebungen mit einer großen Zahl an Anwendungen und Benutzern. Ein typischer CASB auf API-Basis ist Aperture von Palo Alto Networks.

Endpoint-Schutz für sicheren Zugang zur Cloud

CASB vs. Cloud-Gateway

Endpoint-Schutz für sicheren Zugang zur Cloud

01.03.18 - Cloud-Computing birgt im Zusammenspiel mit mobilen Endpoints nicht nur ein großes Produktivitätspotenzial sondern auch viele Risiken für die Unternehmensdaten. Enterprise Mobility Management-Systeme sind ein notwendiges, aber noch kein hinreichendes Mittel, um die mobilen Endpunkte aus ihrem IT-Schatten zu holen. lesen

Dashboards

Die CASB liefern den zuständigen Mitarbeitern üblicherweise leistungsfähige Dashboards zu den ablaufenden Aktivitäten, die unter anderem Aufschluss über die Geräte und Nutzer im Haus und die verwendeten Cloud-Dienste geben. Treten Probleme auf, etwa weil ein Endpoint nicht über die aktuellsten Virendefinitionen verfügt, so machen die Dashboards die IT-Administratoren in der Regel direkt darauf aufmerksam.

Um das alles zu realisieren, müssen die CASB die Kommunikation mit Security-Produkten beherrschen, um Risikobewertungen durchzuführen und Policies durchzusetzen. Neben Authentifizierungs- und Verschlüsselungslösungen unterstützen sie im Idealfall auch noch die Kooperation mit SIEM-Systemen, damit alle für die Sicherheit relevanten Informationen an einer zentralen Stelle verfügbar gemacht werden können. Manche Lösungen, wie etwa CloudSOC von Symantec, arbeiten sogar mit im Unternehmen vorhandenen Hardware Security Modules (HSM) zusammen. Viele Produkte, wie unter anderem auch die von CipherCloud, lassen sich zudem in Management-Lösungen integrieren, die im Unternehmen sowieso schon vorhanden sind.

Ebenso wichtig in diesem Zusammenhang ist das Reporting. Der CASB von Saviynt beispielsweise sammelt detaillierte Ereignisinformationen sowie Telemetridaten von Anwendungen und erzeugt daraus Reports, die Empfehlungen für Sicherheitsadministratoren enthalten und so dabei helfen, das Sicherheitsniveau zu verbessern.

Player

Gartner stuft im Magic Quadrant for Cloud Access Security Brokers vom November 2017 die Anbieter CensorNet, Microsoft, Oracle, Palo Alto Networks und Saviynt als Nischenplayer für CASB ein. CensorNet verfügt übrigens über ein einfach verständliches Preismodell und eignet sich damit auch für den Einsatz in mittelgroßen Unternehmen. Die "Challengers" sind laut Gartner CipherCloud und Cisco, der einzige "Visionary" ist Bitglass. Als "Leader" gelten schließlich McAfee (Skyhigh Networks), Netskope und Symantec.

Cloud-Sicherheit durch CASB und Verhaltensanalyse

Cloud Security

Cloud-Sicherheit durch CASB und Verhaltensanalyse

12.07.18 - Im Zuge der Digitalisierung und steigender Datenmengen setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider. In einer digitalen Welt ohne klare Grenzen ist aber der Faktor Mensch als Schnittstelle zwischen Anwender, kritischen Daten und geistigem Eigentum ausschlaggebend für ein ganzheitliches Sicherheitskonzept. lesen

Fazit

CASB sorgen dafür, dass sich Compliance-Vorgaben auch in der Cloud effizient umsetzen lassen. Außerdem erhöhen sie durch die Durchsetzung der Security Policies, beispielsweise in Bezug auf Authentifizierung und Verschlüsselung, das Sicherheitsniveau. Da sämtliche Zugriffe auf die Anwendungen in der Cloud über die Sicherheitsregeln ganz genau steuerbar sind, helfen die CASB darüber hinaus auch beim Abwehren der Zugriffsversuche nicht berechtigter Nutzer.

Es verfügen aber nicht alle CASB auf dem Markt über den gleichen Funktionsumfang, sondern das Feature Set unterscheidet sich teilweise sogar erheblich. Deswegen müssen die IT-Verantwortlichen sich vor der Anschaffung einer solchen Lösung zunächst ein genaues Bild in Bezug auf ihre Anforderungen machen und dann ein Produkt auswählen, das ihre Anforderungen bestmöglich erfüllt.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45431526 / Cloud und Virtualisierung)