Die Cloud-Akzeptanz wächst kontinuierlich. Derzeit werden weltweit etwa 40% der IT-Budgets von Unternehmen für cloudbasierte Lösungen ausgegeben. Die Investitionen in SaaS-Anwendungen werden Schätzungen zufolge bis zum Jahr 2022 auf 75 Milliarden Dollar anwachsen, bei einer jährlichen Wachstumsrate von rund 19%. Umfangreiche Cloud-Migrationen und der kontinuierliche Übergang von einzelnen Anwendungen in die Cloud verändern die digitale Zukunft. Verlässliche Sicherheitslösungen sind daher so gefragt wie nie und gewinnen stetig an Bedeutung. Die Herausforderung den Zugang zur Cloud zu überwachen, ist eine sehr anspruchsvolle Aufgabe, wenn man bedenkt, dass vielfältige Zugriffsrechte und diverse Geräte mit unterschiedlichen Rollen der Nutzer koordiniert und kontrolliert werden müssen. Darüber hinaus verbreiten sich die Daten in der Cloud in einem so hohen Tempo, dass Unternehmen Schwierigkeiten haben, mitzuhalten. Schnell verliert die IT den Überblick, wo sich welche Daten befinden und wer Zugang zu vertraulichen Informationen erhalten darf und wer nicht. Dieser Informationsüberfluss und die Verwendung nicht verwalteter Geräte setzen Unternehmen erheblichen Sicherheitsrisiken aus. Ein Cloud Access Security Broker (CASB) ist eine einheitliche und flexible Lösung für die Absicherung der verschiedensten Cloud Services.
Was ist ein CASB?
Cloud Access Security Broker (kurz CASB) sind lokale oder cloudbasierte Anwendungen, die zwischen Cloud-Service-Nutzern und Cloud-Serviceanbietern platziert werden, um Cloud-Sicherheitsrichtlinien für Unternehmen beim Zugriff auf cloudbasierte Ressourcen zu überprüfen und anzuwenden. Der Zugang zu Anwendungen in der Cloud wird durch den CASB genau gesteuert.
Die Aufgabe eines Cloud Access Security Brokers
Cloud Access Security Broker konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien. Beispiele für Sicherheitsrichtlinien sind:
- Authentifizierung
- Single Sign-On
- Autorisierung
- Berechtigungszuordnung
- Geräteprofilerstellung
- Verschlüsselung
- Tokenisierung
- Protokollierung
- Alarmierung
- Malware und Ransomware-Erkennung / Prävention.
Ein wichtiger Anwendungsfall für einen CASB ist die Erkennung, Überwachung und Absicherung von Schatten-IT. Apps für Notizen, File-Sharing oder zum Projektmanagement werden von Mitarbeitern ohne weitere Bedenken heruntergeladen und direkt auf mehreren Endgeräten genutzt, ohne dass die IT darüber informiert wurde und die Administratoren eine Absicherung der Daten gewährleisten können. CASBs können hier Abhilfe schaffen, indem Benutzeraktivitäten überwacht und gesteuert werden, wenn Benutzer über eine Mobile-App, eine Desktop-App oder einen anderen Client auf Cloud-Services zugreifen. Darüber hinaus können sie den Zugriff auf öffentliche Cloud-Services nach Gerätebesitzklassen regeln, privilegierte Accounts überwachen und nicht autorisierte Aktivitäten in der Cloud blockieren.
Ein CASB stellt somit sicher, dass die IT-Abteilung eines Unternehmens Einblick in alle Cloud-Programme, Apps, Dateien, Daten und Benutzer hat. Ein CASB bietet eine Reihe von Sicherheitsfunktionen, die plattform- und cloudfähig sind, aber alle von einem einzigen Zugangspunkt verwaltet werden. Ein Cloud Access Security Broker fungiert als eine Kontrollinstanz, die dafür sorgt, dass der Datenverkehr zwischen dem Cloud-Anbieter und den Usern ausschließlich nach den vom Unternehmen definierten Regeln erfolgt. Cloud Access Security Broker ermöglichen bei Bedarf über mehrere Cloud-Plattformen hinweg einen Einblick in die Nutzung der Cloud-Anwendungen. Unerwünschte Zugriffe und Nutzungen werden so schnell erkannt.
Möglichkeiten der Implementierung eines Cloud Access Security Broker
Es gibt grundsätzlich zwei Möglichkeiten, wie Cloud Access Security Broker implementiert werden können: Als API-basierter CASB oder als zentrales Gateway / Proxy basierter Ansatz.
Implementierung des Cloud Access Security Broker als zentrales Gateway
Der Proxy basierte CASB-Ansatz, der webbasierten Datenverkehr zu Cloud-Diensten untersucht und zusätzlichen Netzwerkverkehr weiterleitet, bietet einen einzelnen Gateway- oder Inline-Mechanismus, über den Benutzer auf Cloud-Ressourcen zugreifen können. Dieser Ansatz ist jedoch nur eingeschränkt skalierbar und kann die Leistung von Benutzern, die auf öffentliche Cloud-Ressourcen zugreifen, infolge der zusätzlichen Netzwerklatenz beeinträchtigen. Geräte, die nicht über das Inline-CASB geleitet werden, können Sicherheitseinrichtungen und -richtlinien umgehen. Trotz der schnellen Reaktion eines Gateway / Proxy-basierten CASB sind die mangelnde Sichtbarkeit des nicht unterstützten Datenverkehrs und die von den Endbenutzern wahrgenommenen Leistungseinbußen große Nachteile in Bezug auf Sicherheit und Skalierbarkeit.
Implementierung als API-Anwendung
API-basierte CASBs sind der modernste Ansatz zur Instanziierung eines Cloud Access Security Broker. Die meisten der heutigen Software- und Public-Cloud-Ressourcen der großen Anbieter sind auf Automatisierung ausgerichtet, was eine programmatische Interaktion von Infrastruktursystemen mit code-basierten Mechanismen ermöglicht. Mithilfe des modernen API Ansatzes für die Interaktion mit öffentlichen Cloud-Ressourcen kann der API-basierte Cloud Access Security Broker nahtlos in die offenen APIs des öffentlichen Cloud-Anbieters integriert werden, die für den Verbrauch verfügbar gemacht werden. Dadurch kann das API-basierte CASB nativ die von Organisationen zugewiesenen Sicherheitsvorgaben und Richtlinien erzwingen.
API-basierte CASBs werden ein Teil der öffentlichen Cloud-Ressourcen, im Gegensatz zu einem eigenständigen einzelnen Gateway oder „Add-On“, das durchlaufen werden muss, bevor Richtlinien angewendet werden. Es ermöglicht ein dynamisches „Lernen“, sodass Daten rückwirkend analysiert und basierend auf der Analyse Maßnahmen ergriffen werden können. Darüber hinaus werden diese Richtlinien und Sicherheitsprotokolle ungeachtet des Netzwerkpfads, den ein Endbenutzer zum Erreichen der öffentlichen Cloud-Ressourcen des Unternehmens verwendet, angewendet. Auf dem Endbenutzergerät muss kein Proxy konfiguriert werden. Es gibt keine Auswirkungen auf die Leistung für den Anwender, da sich der Cloud Access Security Broker nativ in den Public Cloud-Anbieter integriert. Es kann nicht durch VPNs oder andere Netzwerkmittel umgangen werden. Die API-basierte CASB-Lösung ist einfacher zu integrieren und besser zu skalieren als eine Firewall / Proxy-basierte CASB-Lösung.
Fazit zum CASB
Aufgrund der stetig wachsenden Zahl von Cloud-Anwendungen und Internetanschlüssen sind die klassischen Lösungen zur Data Loss Prevention nicht mehr zeitgemäß. Cloud Access Security Broker entwickeln sich zu einem Muss für Sicherheitslösungen in Unternehmen, die mit cloudbasierten Anwendungen arbeiten oder diese einführen möchten. Mit einem Cloud Access Security Broker werden die zu schützenden Daten flexibel und entsprechend ihrer Einstufung behandelt. Administratoren erhalten durch den Cloud Access Security Broker in Echtzeit eine detaillierte Übersicht über die verwendeten Applikationen und Informationen darüber, auf welche Daten zugegriffen wurde. Cloud Access Security Broker ermöglichen zudem eine individuelle Steuerung der Zugänge zur Cloud und sind ein wirksames Mittel, um das Entstehen einer Schatten-IT zu verhindern. Eine umfassende Cloud-Sicherheit wird jedoch erst mittels der Kombination verschiedener Lösungen bestmöglich gewährleistet.
Bildquellen:
- Bild 1: © ambercoin | pixabay.com
- Bild 2: © Tumisu | pixabay.com
- Bild 3: © TheDigitalArtist | pixabay.com