Suchen

Definition CASB Was ist ein Cloud Access Security Broker (CASB)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Der Cloud Access Security Broker (CASB) ist ein Service oder eine Anwendung, die Cloud-Applikationen absichert. Der CASB befindet sich zwischen dem Anwender und der Cloud und ist in der Lage, die Kommunikation zu überwachen, zu protokollieren und zu steuern.

Der Cloud Access Security Broker (CASB) steht als Wächter zwischen Anwender und Cloud und kann so feststellen, ob ein Anwender berechtigt ist auf die Anwendung zuzugreifen.
Der Cloud Access Security Broker (CASB) steht als Wächter zwischen Anwender und Cloud und kann so feststellen, ob ein Anwender berechtigt ist auf die Anwendung zuzugreifen.
(Bild: Pixabay / CC0 )

Der Cloud Access Security Broker soll die in die Cloud verlagerten Anwendungen eines Unternehmens oder einer Organisation schützen. Es handelt sich um eine spezielle Software oder einen Service, der die Kommunikation zwischen dem Anwender und der Cloud-Applikation analysieren, steuern und protokollieren kann. Dadurch ist der CASB in der Lage, die Kommunikation zu überwachen, unerwünschten Datenverkehr zu verhindern und bei verdächtigen Aktionen zu alarmieren.

Dank der Verwendung eines Cloud Access Security Brokers lassen sich die intern einzuhaltenden Sicherheitsrichtlinien auf externe Services ausweiten und durchsetzen. Dies kann beispielsweise notwendig werden, um die Compliance Richtlinien einer Organisation oder eines regulierten Wirtschaftsbereichs zu erfüllen. Unerwünschte Nutzung von Cloud-Services, wie sie durch eine Schatten-IT entstehen kann, wird durch den CASB verhindert.

Der CASB ermöglicht es darüber hinaus, sichere Zugangsvoraussetzungen zu schaffen, indem User sich authentifizieren und sämtlichen Verkehr verschlüsseln. Diese Security-Policies werden im Vorfeld definiert und anschließend vom Cloud Access Security Broker durchgesetzt. Weitere Anwendungsbereiche sind das Logging sämtlicher Aktionen in der Cloud und die Überprüfung der Cloud-Nutzung zu Abrechnungszwecken mit dem Provider.

Die verschiedenen Implementierungsarten eines Cloud Access Security Brokers

Die technische Implementierung des Cloud Access Security Brokers kann unterschiedlich sein. Eine Vielzahl der Systeme basiert auf einer der zwei grundsätzlichen CASB-Architekturen. Diese sind:

  • der Cloud Access Security Broker als zentrales Gateway
  • der Cloud Access Security Broker als API-Anwendung

Ist der Cloud Access Security Broker als zentrales Gateway realisiert, befindet er sich zwischen den Cloud-Applikationen und den Anwendern. Er kann sich direkt vor der Cloud befinden und sämtliche Kommunikation mit den Diensten überwachen oder am Rand des On-Premise-Netzwerks eines Unternehmens installiert sein und sämtlichen Verkehr nach außen analysieren. Er ist in den Datenstrom eingeschaltet und kann den Zugriff auf die Cloud-Services kontrollieren und beeinflussen. Unerwünschte Cloud-Nutzung lässt sich direkt durch den CASB blockieren. Nachteil dieser Architektur ist, dass die Performance der Kommunikation unter Umständen leiden kann und der CASB mit der Anzahl der Anwender und Applikationen skaliert werden muss.

Der API-basierte Cloud Access Security Broker befindet sich außerhalb der eigentlichen Kommunikation zwischen Anwender und Applikation. Er ist über ein Application Programming Interface (API) an die Cloud-Anwendung angebunden. Über diese erhält er Informationen über die Nutzung der Services und die verbundenen Anwender. Ein direktes Blockieren von Daten ist in der Regel nicht möglich. Vorteil dieser Konfiguration ist, dass die Performance der Cloud-Anwendungen nicht durch den CASB beeinflusst ist. API-basierte Cloud Access Security Broker eignen sich für Installationen mit sehr vielen Anwendern und Applikationen.

Typische Funktionen des CASB

Die typischen Funktionen eines Cloud Access Security Brokers sind:

  • Analyse und Überwachung
  • Durchsetzung von Sicherheits-Policies
  • Alarmierung zur Einleitung von Incident-Maßnahmen
  • Monitoring und Reporting

Dank der Überwachung und Analyse der Kommunikation weiß der CASB, welche Anwender welche Cloud-Applikationen nutzen. Er kann feststellen, ob ein User für die Anwendung berechtigt ist. Gemäß der zuvor festgelegten Sicherheits-Policies lässt er die Anwender zu oder schließt sie von den Cloud-Anwendungen aus. Darüber hinaus lassen sich Userrechte innerhalb der Anwendung überprüfen oder das Senden und Empfangen von unverschlüsselten Daten verbieten. Per Monitoring und Reporting stehen umfangreiche Berichte zur Verfügung, die für Kapazitätsplanungen, Abrechnungen von Services oder nachträgliche Analysen der Cloud-Nutzung verwendet werden können. Bei verdächtigen Aktionen oder erkanntem Fehlverhalten alarmiert der CASB automatisch. Dadurch werden Administratoren in die Lage versetzt, manuelle Incident-Maßnahmen zu ergreifen und Security-Policies anzupassen oder gefährlichen Verkehr zu blockieren.

(ID:44802348)

Über den Autor