Was ist eine Cloud Access Security Broker (CASB)?

Die Entwicklung des CASB

Vor dem Aufkommen von Cloud Computing und BYOD-Richtlinien existierte die Unternehmenssicherheit im gleichen "Walled Garden"-Modell wie schon seit mehr als einem Jahrzehnt. Als jedoch Dienste aus der Cloud kamen und in die Cloud verlagert wurden und Mitarbeiter diese Cloud-Dienste mit oder ohne vorherige Kenntnis oder Genehmigung der IT-Abteilung nutzten, suchten Unternehmen nach einer Möglichkeit, konsistente Sicherheitsrichtlinien über mehrere Clouds hinweg durchzusetzen und sowohl Benutzer als auch Unternehmensdaten zu schützen.

Die Entwicklung der CASB ermöglichte es Sicherheitsexperten in Unternehmen, Einblick in die Cloud zu erhalten, insbesondere in die nicht genehmigte Nutzung von Software-as-a-Service (SaaS) oder Schatten-IT. Die Einblicke, die ihr CASB gewährte, waren für viele IT-Manager schockierend. Sie entdeckten bald, dass die Cloud-Nutzung in ihrem Unternehmen viel tiefgreifender und allgegenwärtiger war, als sie es sich vorgestellt hatten.

Die Abwehr der Bedrohungen, die von der Schatten-IT ausgingen, war zwar ein Hauptanwendungsfall, aber nicht der einzige Grund für die breite Einführung von CASBs. In dieser Zeit verlagerten viele Unternehmen ihre Datenspeicherkapazitäten von lokalen Rechenzentren in die Cloud. Dies machte CASB, die sowohl die Bewegung von Daten (durch Einschränkung von Dingen wie Zugriff und gemeinsame Nutzung von Berechtigungen) als auch den Inhalt der Daten (durch Verschlüsselung) schützen, noch wichtiger.

Während dieser Wandel stattfand, veränderte sich auch die Bedrohungslandschaft. Heute ist Malware allgegenwärtig, Phishing ist sowohl eleganter als auch gezielter, und kleine Fehler - wie z. B. das Öffnen eines AWS S3-Buckets für die Öffentlichkeit - können eine Sicherheitslücke schaffen, die Millionen kosten kann.

Da die CASB-Sicherheitsmaßnahmen Funktionen umfassen, die speziell für die Bewältigung dieser Probleme entwickelt wurden, wird der Einsatz einer CASB inzwischen als wesentliches Element der Unternehmenssicherheit angesehen.

Was CASBs bieten

Viele CASB-Sicherheitsfunktionen sind im Vergleich zu anderen Sicherheitskontrollen wie Unternehmens-/Webanwendungs-Firewalls und sicheren Web-Gateways einzigartig und können Folgendes umfassen:

• Cloud Governance und Risikobewertung
• Data loss prevention
• Kontrolle über native Funktionen von Cloud-Diensten, wie Zusammenarbeit und gemeinsame Nutzung
• Vorbeugung von Bedrohungen, oft Analyse des Benutzer- und Entitätsverhaltens (UEBA)
• Überprüfung der Konfiguration
• Erkennung von Malware
• Datenverschlüsselung und Schlüsselverwaltung
• SSO und IAM-Integration
• Kontextabhängige Zugriffskontrolle

Vier Säulen des CASB

Von den Anfängen als Antwort auf die Schatten-IT hat sich CASB zu einem Funktionsumfang entwickelt, der sich in vier Säulen beschreiben lässt:

1. Sichtbarkeit
   Große Unternehmen haben möglicherweise eine beliebige Anzahl von Mitarbeitern, die auf viele Anwendungen in vielen verschiedenen Cloud-Umgebungen zugreifen. Wenn die Cloud-Nutzung außerhalb des Blickfelds der IT-Abteilung liegt, sind die Unternehmensdaten nicht mehr an die Governance-, Risiko- oder Compliance-Richtlinien des Unternehmens gebunden. Um Benutzer, vertrauliche Daten und geistiges Eigentum zu schützen, bietet eine CASB-Lösung einen umfassenden Einblick in die Nutzung von Cloud-Anwendungen, einschließlich Benutzerinformationen wie Geräte- und Standortinformationen. Die Cloud-Discovery-Analyse liefert eine Risikobewertung für jeden genutzten Cloud-Service, so dass die Sicherheitsexperten des Unternehmens entscheiden können, ob sie den Zugriff auf die App weiterhin zulassen oder sie sperren sollen. Diese Informationen sind auch nützlich, um detailliertere Kontrollen zu entwickeln, wie z.B. die Gewährung unterschiedlicher Zugriffsstufen auf Apps und Daten auf der Grundlage des Geräts, des Standorts und der Arbeitsfunktion einer Person.
2. Compliance
   Unternehmen können zwar alle ihre Systeme und Datenspeicher in die Cloud auslagern, sind aber weiterhin für die Einhaltung von Vorschriften zum Schutz und zur Sicherheit von Unternehmensdaten verantwortlich. Cloud Access Security Broker können dabei helfen, die Compliance in der Cloud aufrechtzuerhalten, indem sie eine Vielzahl von Compliance-Vorschriften wie HIPAA sowie regulatorische Anforderungen wie ISO 27001, PCI DSS und andere erfüllen. Eine CASB-Lösung kann die Bereiche mit dem höchsten Risiko in Bezug auf die Einhaltung von Vorschriften ermitteln und dem Sicherheitsteam Hinweise geben, worauf es sich konzentrieren sollte, um diese zu beheben.
3. Datensicherheit
   Die Einführung der Cloud hat viele der Hindernisse beseitigt, die einer effektiven Zusammenarbeit aus der Ferne im Wege standen. Doch so vorteilhaft die nahtlose Bewegung von Daten auch sein mag, sie kann für Unternehmen, die ein Interesse am Schutz sensibler und vertraulicher Informationen haben, auch mit enormen Kosten verbunden sein. Lokale DLP-Lösungen sind zwar auf den Schutz von Daten ausgelegt, aber ihre Fähigkeit, dies zu tun, erstreckt sich oft nicht auf Cloud-Dienste und es fehlt der Cloud-Kontext. Durch die Kombination von CASB mit ausgefeilter DLP kann die IT-Abteilung erkennen, wann sensible Inhalte in die oder aus der Cloud, innerhalb der Cloud und von Cloud zu Cloud übertragen werden. Durch den Einsatz von Sicherheitsfunktionen wie data loss prevention, Kontrolle der Zusammenarbeit, Zugriffskontrolle, Verwaltung von Informationsrechten, Verschlüsselung und Tokenisierung können Datenlecks im Unternehmen minimiert werden.
4. Schutz vor Bedrohungen
   Ob durch Fahrlässigkeit oder böswillige Absicht, Mitarbeiter und Dritte mit gestohlenen Zugangsdaten können sensible Daten aus Cloud-Diensten durchsickern lassen oder stehlen. Um anomales Nutzerverhalten zu erkennen, können CASBs einen umfassenden Überblick über regelmäßige Nutzungsmuster erstellen und diese als Vergleichsgrundlage verwenden. Mit der auf maschinellem Lernen basierenden UEBA-Technologie können CASBs Bedrohungen erkennen und beheben, sobald jemand versucht, Daten zu stehlen oder sich unrechtmäßig Zugang zu verschaffen. Zum Schutz vor Bedrohungen, die von Cloud-Diensten ausgehen, kann die CASB Funktionen wie adaptive Zugriffskontrolle, statische und dynamische Malware-Analyse, priorisierte Analyse und Threat Intelligence nutzen, um Malware zu blockieren.

Warum brauche ich eine CASB?

Da Dienste, die früher vor Ort angeboten wurden, immer weiter in die Cloud verlagert werden, ist die Aufrechterhaltung von Transparenz und Kontrolle in diesen Umgebungen von entscheidender Bedeutung, um Compliance-Anforderungen zu erfüllen, Ihr Unternehmen vor Angriffen zu schützen und Ihren Mitarbeitern die sichere Nutzung von Cloud-Diensten zu ermöglichen, ohne zusätzliche hohe Risiken für Ihr Unternehmen einzugehen.

Der Einsatz einer CASB ist zwar für Unternehmen, die die Cloud-Nutzung in ihrem Unternehmen sichern wollen, von entscheidender Bedeutung, aber sie ist nur ein Teil der gesamten Sicherheitsstrategie, die Unternehmen anwenden sollten, um den Schutz vom Gerät bis zur Cloud sicherzustellen. Für einen umfassenden Schutzplan sollten Unternehmen auch in Erwägung ziehen, die Funktionen ihrer CASB zu erweitern, indem sie eine secure web gateway (SWG) zur Sicherung der Internetnutzung und eine Lösung für Geräte data loss prevention (DLP) zum Schutz des geistigen Eigentums und zum Schutz sensibler Unternehmensdaten im gesamten Netzwerk einsetzen.

Wie funktioniert ein CASB?

Die Aufgabe von cloud access security broker ist es, Transparenz und Kontrolle über Daten und Bedrohungen in der Cloud zu bieten, um die Sicherheitsanforderungen des Unternehmens zu erfüllen. Dies geschieht durch einen dreistufigen Prozess:

1. Erkennung: Die CASB-Lösung nutzt die automatische Erkennung, um eine Liste aller Dritt-Cloud-Dienste zu erstellen und festzustellen, wer sie nutzt.
2. Klassifizierung: Sobald das gesamte Ausmaß der Cloud-Nutzung bekannt ist, bestimmt die CASB den jeweiligen Risikograd, indem sie feststellt, um welche Anwendung es sich handelt, welche Art von Daten in der Anwendung enthalten sind und wie sie gemeinsam genutzt werden.
3. Abhilfe: Nachdem das relative Risiko jeder Anwendung bekannt ist, kann die CASB diese Informationen nutzen, um Richtlinien für den Daten- und Benutzerzugriff des Unternehmens festzulegen, um die Sicherheitsanforderungen zu erfüllen, und automatisch Maßnahmen zu ergreifen, wenn ein Verstoß vorliegt.

CASBs bieten auch zusätzliche Schutzschichten durch Malware-Prävention und Datenverschlüsselung.

Wie kann ich eine CASB einrichten?

Die Einfachheit ist ein wichtiges Verkaufsargument für die CASB-Technologie. Neben der Benutzerfreundlichkeit ist ein weiterer großer Vorteil von CASB die einfache Bereitstellung. Dennoch gibt es einige Dinge zu beachten:

Einsatzort
Eine CASB kann entweder vor Ort oder in der Cloud implementiert werden. Derzeit ist die SaaS-Version am beliebtesten, und die meisten CASB-Implementierungen sind SaaS-basiert.

Bereitstellungsmodell
Es gibt drei verschiedene CASB-Einsatzmodelle, die Sie in Betracht ziehen können: API-Kontrolle, Reverse Proxy und Forward Proxy.

• API-Kontrolle: Bietet Einblick in Daten und Bedrohungen in der Cloud sowie eine schnellere Bereitstellung und umfassende Abdeckung.
• Umgekehrter Proxy: Ideal für Geräte, die im Allgemeinen nicht in den Bereich der Netzwerksicherheit fallen.
• Weiterleitungs-Proxy: Arbeitet normalerweise in Verbindung mit VPN-Clients oder Endpunktschutz.

Proxy-Implementierungen werden häufig verwendet, um Inline-Kontrollen in Echtzeit durchzusetzen und die Anforderungen an die Datenresidenz zu erfüllen.

Gartner empfiehlt Unternehmen, CASB-Produkte in Betracht zu ziehen, die eine Vielzahl von Architekturoptionen bieten, um alle Cloud-Zugriffsszenarien abzudecken. Die Flexibilität, die ein CASB mit mehreren Modi bietet, stellt sicher, dass Unternehmen ihre Cloud-Sicherheit erweitern können, wenn sich ihre Anforderungen weiterentwickeln.

Drei Überlegungen zur Auswahl einer CASB

1. Passt es gut? Vor der Auswahl eines CASB sollten Unternehmen ihre individuellen CASB-Anwendungsfälle identifizieren und gezielt nach der Lösung suchen, die ihre Ziele am besten erfüllt. Um sicherzustellen, dass die Lösung gut passt, sollten Unternehmen entweder detaillierte POCs durchführen, Recherchen von Cybersicherheitsanalysten anstellen oder ausführliche Referenzgespräche mit anderen Unternehmen ähnlicher Größe und mit ähnlichen Anforderungen führen.
2. Wird sie wachsen und sich an Ihre Bedürfnisse anpassen? Mit der zunehmenden Nutzung der Cloud in Unternehmen wird auch die Bedrohungslandschaft wachsen. Wenn Sie mit dem richtigen CASB-Anbieter zusammenarbeiten, können Sie Ihre Cloud-Compliance- und Cloud-Sicherheitsrichtlinien auf dem neuesten Stand halten und haben im Allgemeinen früher Zugang zu neuen Funktionen.
3. Schützt es IaaS? Der Schutz der SaaS ist zweifellos wichtig, aber für eine umfassende Unternehmenssicherheit müssen auch die IaaS-Umgebungen geschützt werden. Für Unternehmen, die diese Fähigkeit benötigen, sollte die CASB nicht nur Aktivitäten und Konfigurationen im IaaS schützen, sondern auch ihre Kunden durch Bedrohungsschutz, Aktivitätsüberwachung und DLP-Kontrollen verteidigen.