demonishen - Fotolia

Cloud Access Security Broker: Die passende Architektur auswählen

Cloud Access Security Broker lassen sich auf verschiedene Arten einrichten und in die bestehende IT integrieren. Aber welche ist die richtige?

Die Entscheidung für eine Architektur will wohl überlegt sein. In den einzelnen Modi stehen verschiedene Features zur Verfügung und sie eignen sich für unterschiedliche Nutzergruppen, Geräte und Anwendungsszenarien. Der folgende Artikel gibt einen Überblick über die gängigen CASB-Einsatzmöglichkeiten und zeigt, worauf IT-Verantwortliche achten sollten.

Cloud Access Security Broker machen die Cloud-Nutzung im Unternehmen sicherer, denn sie ergänzen bestehende IT-Security-Systeme um wichtige Cloud-Features. Grundsätzlich bestehen vier Einsatzmöglichkeiten:

  • Im Log-Collection-Modus: In dieser Funktion übernimmt der CASB Event-Log-Daten aus bestehenden IT-Security-Systemen wie Firewalls, Secure Web Gateways (SWG) oder Security Information and Event Management (SIEM). Diese Logs geben Aufschluss über Nutzeraktivitäten, aber nicht über Inhalte.
  • Als Forward Proxy: Der CASB ist zwischen Cloud-Service und Endgerät oder Netzwerk geschaltet. Der ausgehende Datenverkehr vom Endgerät oder Netzwerk zum Cloud-Service erfolgt über den CASB. 
  • Als Reverse Proxy: Der CASB fungiert für den Cloud-Service als vermeintliches Zielsystem und leitet den eingehenden Datenverkehr weiter an das Endgerät oder Netzwerk.
  • Per API integriert: Der CASB wird direkt über eine Schnittstelle im Cloud-Service angebunden. Je nachdem, was der Cloud-Provider über die Schnittstelle erlaubt, kann er dort Aktivitäten und/oder Content überwachen sowie Policies umsetzen.

Um zu entscheiden, welcher Anwendungsmodus am besten geeignet ist, muss man die jeweiligen Vorteile und Einschränkungen kennen und abwägen, wie sich der Sicherheitsbedarf im Unternehmen sinnvoll abdecken lässt. In der Regel ist eine Kombination aus verschiedenen Modi empfehlenswert.

Der Log-Collection-Modus

Viele Unternehmen möchten mit Hilfe eines CASB Licht in ihre Schatten-IT bringen. Dafür eignet sich der Log-Collection-Modus. In dieser Funktion übernimmt der CASB Logdaten von anderen Security-Systemen im Unternehmen und analysiert sie im Hinblick auf die Cloud-Nutzung. Er zeigt genau an, welche Cloud-Apps eingesetzt werden, und gleicht diese Informationen mit einer umfangreichen Datenbank ab. So kann er eine fundierte Risikobewertung der einzelnen Services vornehmen. Außerdem erhalten Unternehmen einen Überblick über das Datenvolumen, das in die Cloud hochgeladen wird. Wer SSL entschlüsselt, für den können diese Logs auch detaillierte Informationen über die Aktivitäten innerhalb der Cloud-Apps liefern.

Die analysierten Daten geben jedoch keinen Aufschluss darüber, welche Inhalte zwischen Cloud und Netzwerk oder Endgeräten hin und her fließen. Dafür wäre ein Application Level Proxy oder eine direkte API-Anbindung an die App nötig. Außerdem dient Log Collection vorwiegend dem Monitoring. Wenn der CASB an einen Sicherheits-Proxy oder eine Firewall angebunden ist, kann er in diesem Modus zwar grobe Policies umsetzen und Applikationen blockieren. Für eine feingranulare Regulierung im Hinblick auf Datentypen oder Aktivitäten muss er aber zusätzlich noch in einem anderen Modus eingerichtet werden.

Der Forward- und Reverse-Proxy-Modus

Ob als Forward Proxy oder Reverse Proxy eingesetzt: In beiden Modi bietet der CASB dieselben Funktionen. Unterschiede gibt es aber in Nutzergruppen, Geräten und Zugangsszenarien. Dazu später mehr.

Als Application Level Proxy kann der CASB Inhalte auf dem Weg in die Cloud oder aus ihr heraus inspizieren und in Echtzeit Policies anwenden – etwa einen Upload in eine App blockieren, einen Download auf ein nicht gemanagtes Gerät beenden oder Ähnliches. Außerdem kann er verschlüsselte Daten in der Cloud wieder für die Nutzer entschlüsseln, damit sie beim Zugriff im Klartext angezeigt werden.

Der API-Modus

Für den vorangegangenen Verschlüsselungsprozess in der Cloud muss der CASB per API in die App integriert sein. Nur in diesem Modus kann er Aktionen direkt in der App durchführen – zum Beispiel Inhalte überprüfen, die schon vor seiner Installation in der Cloud-App gespeichert wurden und jetzt dort ruhen. Als Proxy überwacht er dagegen die Daten, die sich im Fluss befinden. Da viele Unternehmen bereits große Datenmengen in der Cloud liegen haben, benötigen sie den API-Modus, um dort Richtlinien anzuwenden oder zu scannen, welche Zugriffsrechte Dateien und Ordner haben. Das ist entscheidend, um sensible Unternehmensdaten vor unerwünschten Blicken zu schützen. Außerdem kann der CASB nur per API integriert die interne Sicherheitskonfiguration der App überprüfen und bessere Einstellungen vorschlagen.

Geeignete Modi für genehmigte und nicht genehmigte Apps

In den meisten Unternehmen nutzen Mitarbeiter sowohl Cloud-Applikationen, die von der IT-Abteilung genehmigt und bereitgestellt wurden, als auch solche, von denen die IT-Abteilung gar nichts weiß. Unter Letzteren befinden sich Apps, die man zulassen könnte, und andere, die nicht für den Unternehmenseinsatz geeignet sind. Um sensible Daten in der Cloud bestmöglich abzusichern, muss man also sowohl sanktionierte als auch nicht sanktionierte Apps berücksichtigen und die jeweils passende Architektur wählen.

Für nicht genehmigte Applikationen ist eine möglichst umfassende Sicherheitsstrategie erforderlich, und zwar schon ab der ersten Meile, bevor Daten in die Cloud hochgeladen werden. Dafür eignet sich der Log-Collection- und Forward-Proxy-Modus. Im Log-Collection-Modus überprüft der CASB alle Cloud-Services, die Mitarbeiter im Unternehmen nutzen, und kann sie gegebenenfalls blockieren. Als Forward-Proxy scannt er die Inhalte, die in die Cloud übertragen werden, und kann unerwünschte Uploads verhindern.

„Ob Log Collection, Forward Proxy, Reverse Proxy oder API: Jeder CASB-Modus hat seine Vorteile und eignet sich für spezielle Einsatzszenarien. Einer alleine kann nie alle Funktionen abdecken.“

Daniel Wolf, Skyhigh Networks

 

Für sanktionierte Cloud-Services ist dagegen vor allem die Absicherung auf der letzten Meile wichtig – also was mit den Daten in der Cloud oder auf dem Weg aus der Cloud passiert. Dafür bieten sowohl der API- als auch der Reverse-Proxy-Modus gute Möglichkeiten. Während der CASB im API-Modus Richtlinien auf in der Cloud ruhende Daten anwenden kann, setzt der Reverse Proxy diese für Daten um, die aus der Cloud zum Endnutzer oder ins Unternehmensnetzwerk fließen. In der Regel ist eine Kombination aus beiden Modi empfehlenswert.

Geeignete Modi für verschiedene Endgeräte und Zugangsszenarien

Welcher CASB-Modus am besten geeignet ist, hängt auch davon ab, ob Mitarbeiter vom Unternehmensnetzwerk aus auf Cloud-Applikationen zugreifen oder von außerhalb – und ob sie dabei gemanagte oder nicht gemanagte Endgeräte verwenden. Gerade im Hinblick auf die Bring-your-own-Device-Strategie, die sich zunehmend in Unternehmen durchsetzt, wird auch die Absicherung von privaten Smartphones, Tablets und Notebooks außerhalb des Unternehmensnetzwerks immer wichtiger.

Im Log-Collection- und Forward-Proxy-Modus deckt der CASB gemanagte Endgeräte sowohl im Unternehmensnetz als auch außerhalb ab. Wenn Mitarbeiter mit ihrem administrierten Firmen-Notebook unterwegs sind und von extern auf Cloud-Applikationen zugreifen, kann der Datenverkehr zum Beispiel über einen in der Cloud gehosteten SWG geleitet werden, der wiederum mit dem CASB kommuniziert.

Es gibt verschiedene Möglichkeiten, wie sich der Traffic über den CASB im Forward-Proxy-Modus routen lässt. Statt eines SWG kann man auch einen Agenten am Endpunkt installieren oder das Netzwerk so konfigurieren, dass der ausgehende Datenverkehr über den CASB führt. Unternehmen, die bereits ein Secure Web Gateway betreiben, werden den Traffic nicht am Endpunkt splitten wollen, sondern vom SWG an den Upstream CASB Proxy weiterleiten. Dieses Proxy-Chaining hat den Vorteil, dass der Cloud-Traffic nicht am Kontrollsystem des SWG vorbeigeht.

Weder im Forward-Proxy- noch im Log-Collection-Modus deckt der CASB jedoch nicht gemanagte Geräte außerhalb des Unternehmensnetzwerks ab. Dafür muss er als Reverse-Proxy eingerichtet oder direkt per API in die Cloud-App integriert sein. In seiner Funktion als Reverse Proxy überwacht der CASB den eingehenden Datenverkehr, nachdem sich ein Nutzer bereits bei der Cloud-App authentifiziert hat. Mit welchem Endgerät und von welchem Netzwerk aus er das tut, ist dafür unerheblich. Per API angebunden arbeitet der CASB direkt mit der Cloud-App zusammen. Auch dabei interessiert ihn nicht, woher der User kommt. Mit beiden Modi können Unternehmen die Cloud-Nutzung sowohl für gemanagte als auch nicht gemanagte Endgeräte absichern – ob sich ein Mitarbeiter vor Ort im Büro befindet, unterwegs im Zug oder irgendwo im Café.

Auf die richtige Kombination kommt es an

Ob Log Collection, Forward Proxy, Reverse Proxy oder API: Jeder CASB-Modus hat seine Vorteile und eignet sich für spezielle Einsatzszenarien. Einer alleine kann nie alle Funktionen abdecken. Um die Cloud-Nutzung im Unternehmen umfassend abzusichern, ist eine Kombination aus verschiedenen Modi nötig. IT-Verantwortliche sollten daher zunächst eine detaillierte Analyse der Ausgangssituation durchführen. Gibt es Schatten-IT? Liegen bereits Daten in der Cloud? Nutzen Mitarbeiter auch private Endgeräte geschäftlich? Wer die jeweiligen Charakteristika der verschiedenen CASB-Modi kennt, kann anschließend eine Architektur entwerfen, die optimal auf den Bedarf im Unternehmen abgestimmt ist.

Über den Autor:
Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit.

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM.

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit.

Cloud-Sicherheit: Darauf sollten Sie achten.

Artikel wurde zuletzt im Dezember 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close