CASB: Paradigmenwechsel für die Cloud-Sicherheit

Die Migration von IT und Geschäftsprozessen in die Cloud entwickelt sich immer rasanter. Gängige Varianten sind Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Natürlich bringt dieses neue Paradigma neue Herausforderungen mit sich, insbesondere im Hinblick auf die Informationssicherheit. Das Risikomanagement in dieser neuen Umgebung ist noch wichtiger als in herkömmlichen On-Premises-Setups. Die Cloud-Migration verändert das Konzept des Perimeters eines Unternehmens. IT-Systeme befinden sich nicht mehr ausschließlich unter der Kontrolle des eigenen IT-Teams. Dies bedeutet, dass die Struktur der Cybersicherheits-Verteidigungslinie des gesamten Unternehmens betroffen ist. Von der Bestandsaufnahme und Transparenz darüber, wer was und wie tut, in IT-Systemen, Datenschutz, Bedrohungsprävention und -erkennung sowie Informationssicherheits-Governance muss alles neugestaltet und neue geeignetere Tools bereitgestellt werden. Eine der wichtigsten Tools in diesem Kontext sind laut Gartner Cloud Access Security Broker (CASB).

Cloud Access Security Broker als neue Kontrollinstanz

Leider kann man die Cybersicherheit nicht direkt mit der Migration in die Cloud auslagern. Anbieter von Cloud-Anwendungen verpflichten sich, die Integrität der Anwendungen und Infrastruktur zu schützen. Cloud-Dienste können die Mitarbeiter der Unternehmen jedoch nicht kontrollieren und wissen nicht genug über die Benutzer oder das Unternehmen, um abnormales Verhalten zu erkennen oder geltenden Richtlinien für die Sicherheit und Einhaltung gesetzlicher Vorschriften anzuwenden.

Ein CASB ist eine Software, die lokal oder in einer privaten Cloud gehostet oder als SaaS-Anwendung genutzt werden kann. Seine Rolle besteht darin, als Sicherheitsgateway zwischen Benutzern und Cloud-Service-Providern (CSPs) zu fungieren. Mit CASB können Organisationen:

• Sicherheitslücken auf Cloud-Anwendungs- (SaaS-), PaaS- und IaaS-Ebene erkennen.
• Schatten-IT besser kontrollieren, die über nicht genehmigte Anwendungen auf Unternehmensgeräte innerhalb oder außerhalb des Unternehmensnetzwerks zugreift.
• Den Kontext besser berücksichtigen, in dem eine bestimmte Operation stattfindet, unabhängig davon, ob es sich um den Zugriff auf oder die Manipulation von Informationen handelt. In diesem Kontext kann ein Unternehmen die Reaktion entsprechend anpassen, anstatt starre Regeln und Richtlinien anzuwenden.
• Den Zugriff auf die Informationsressourcen des Unternehmens von nicht verwalteten Geräten (BYOD-Bring Your Device) sicher verwalten.

Die wichtigsten Funktionen von CASB

CASB bietet Funktionen, die in vier Bausteine unterteilt sind, darunter:

Datensicherheit
Bei der Verwendung von Cloud-Speicher können reguläre Tools zur Verhinderung von Datenverlust (DLP- Data Lost Prevention) nicht nachverfolgen oder kontrollieren, wer Zugriff auf die Daten hat. Der CASB bringt datenzentrierte Sicherheit in die Cloud, indem es Verschlüsselung, Tokenisierung, Zugriffskontrolle und Verwaltung von Informationsrechten kombiniert.

Compliance
Wenn Unternehmensdaten in die Cloud verschoben werden, verlangt die Regulatorik, dass Daten sicher und vertraulich behandelt werden. CASB definiert und erzwingt DLP-Richtlinien für sensible Daten in Cloud-Bereitstellungen.

Transparenz
Ein CASB verschafft Transparenz über alle Cloud-Anwendungen und deren Nutzung. Einschließlich wichtiger Informationen darüber, wer die Plattform nutzt, seine Abteilung, seinen Standort und die verwendeten Geräte.

Schutz vor Datenverlust und -Spionage
Der CASB kann böswillige oder unaufmerksame interne Bedrohungen, privilegierte Benutzer und kompromittierte Konten in der Cloud-Infrastruktur erkennen und darauf reagieren.

Wie funktionieren CASBs?​

Ein CASB fungiert als zentrale Plattform für die Durchsetzung von Sicherheitsrichtlinien, indem es verschiedene Regeln kombiniert und sie für alle Ressourcen durchsetzt, die das Unternehmen in der Cloud verwendet, unabhängig vom Standort der Benutzer oder den Geräten, die sie für den Zugriff auf die Cloud-Umgebung verwenden.

Eine der Hauptfunktionen ist die Überwachung des Zugriffs aller Benutzer, von allen verwalteten und nicht verwalteten Geräten auf alle Cloud-Anwendungen. Ein CASB ist jedoch viel mehr als ein passives Überwachungstool. Es kann die gesammelten Daten korrelieren und analysieren, um Schwachstellen und Risiken zu identifizieren, anomale Verhaltensweisen zu erkennen und die Einhaltung von Richtlinien und Vorschriften zu kontrollieren.

CASBs können Daten aus Firewall- und Geräteprotokollen über Anwendungs-APIs und mit einem Proxy erfassen, der den Netzwerkverkehr scannt. Die Daten können unter anderem aus folgenden Quellen gesammelt und analysiert werden:

• Cloud-basierte Anwendungen
• Benutzer, die auf die Anwendungen zugreifen
• Geräte, die für den Zugriff auf die Anwendungen verwendet werden
• Dateien und Daten, die in den Anwendungen erstellt und gespeichert werden
• Aktivitäten im Zusammenhang mit dem Zugriff auf Anwendungen und Dateien (z. B. Anmeldungen und Sitzungsdauer) in Bezug auf die Arbeit mit Anwendungen und Dateien sowie der Verwaltung von Zugriffs- und Freigabeberechtigungen

CASBs sind anpassungsfähig und multifunktional. Sie können in der Cloud, in einem Rechenzentrum vor Ort oder als Hardwaregerät gehostet werden. Sie bieten Schutz für Software-as-a-Service (SaaS)-, Infrastructure-as-a-Service (IaaS)- und Platform-as-a-Service (PaaS)-Lösungen. Aufgrund seiner Unterstützung für viele Umgebungen ermöglicht ein CASB die Sicherheitsregeln des Unternehmens von der lokalen Infrastruktur auf die Cloud auszudehnen, wenn das Unternehmen in die Cloud migriert.

Möglichkeiten zur Implementierung

Die wichtigste Datenquelle für CASBs sind die Anwendungen selbst. SaaS-Anwendungen und intern entwickelte Anwendungen müssen dem CASB-Anbieter zur Integration in der CASB-Lösung vorgelegt werden. Einige CASBs haben Kataloge, in denen die Sicherheitskontrollen und Compliance-Zertifizierungen von Cloud-Anwendungen aufgeführt sind. Diese Informationen können helfen, die Risiken von nicht genehmigten Cloud-Anwendungen einzuschätzen. Es gibt zwei Bereitstellungsoptionen für CASBs – den API-Modus und den Proxy-Modus.

API-Modus
Ein im API-Modus bereitgestelltes CASB ist „out-of-band“. Benutzer kommunizieren direkt mit Cloud-Anwendungen und der CASB erhält Daten von den Anwendungen über APIs. Dieser Ansatz bietet einen sehr detaillierten Einblick in Daten und Benutzeraktivitäten, einschließlich Anmeldungen und Abmeldungen, Datei-Uploads und -Downloads, Informationsaustausch und Verwaltungsaktionen.

Proxy-Modus
Ein im Proxy-Modus bereitgestellter CASB ist „inline“. Der Netzwerkdatenverkehr zwischen Benutzern und Cloud-Anwendungen fließt über den CASB-Proxy. Im Proxy-Modus können CASBs sehr granulare Zugriffskontrollen implementieren. Der Proxy-Modus gibt dem CASB auch Einblick in die Datenbewegung und ermöglicht ihm, Richtlinien in Echtzeit durchzusetzen.

Zusammenfassung und Ausblick

Wenn sich sensible Daten, Cloud-Anwendungen und Infrastruktur über das Internet erstrecken, ist es Zeit, den eigenen Sicherheitsansatz zu überdenken. Cloud Access Security Broker bieten eine breite Palette von Funktionen in den Bereichen Core-Compliance, Datensicherheit, Bedrohungsschutz und Transparenz. Die wachsende Popularität der Verwendung von Cloud Computing in Unternehmen und die Weiterentwicklung von Brokerage-Services für Cloud-Zugriffssicherheit haben zu einer zunehmenden Akzeptanz von Cloud Computing geführt. CASB wird in Kombination mit zusätzlichen Technologien wie Data Loss Prevention (DLP) und Next Generation Secure Web Gateways eine zentrale Komponente der Secure Access Service Edge (SASE)-Architektur sein. Eine integrierte Security-Service-Edge-Lösung in Kombination mit CASB steuert, wie Daten verwendet, geteilt und erstellt werden – egal, aus welcher Quelle sie stammen.