momius - Fotolia

Cloud Access Security Broker: Sichere Cloud-Nutzung gewährleisten

Mit Hilfe eines Cloud Access Security Brokers können Unternehmen Sicherheitsrichtlinien für die Nutzung von Cloud-Diensten realisieren und erzwingen.

Es gibt viele gute Gründe, um Cloud-Dienste in Unternehmen zu nutzen: das flexible Abrechnungsmodell, die Skalierbarkeit, sowie die Möglichkeit, neue Lösungen und Technologien relativ einfach und schnell zu implementieren. Hier seien beispielsweise Big-Data-Analyse oder maschinelles Lernen genannt, die so von Unternehmen unterschiedlichster Größe genutzt werden können.

Sieht man von den Vorteilen der Cloud-Services ab, stehen die Firmen bei der Nutzung der Dienste in Sachen Sicherheit und Compliance vor großen Herausforderungen. Insbesondere, wenn es um den Umgang mit unternehmenskritischen Daten geht. Mit dem Einsatz von Cloud-Diensten werden die Anforderungen bezüglich des Schutzes und der Sicherheit sensibler Daten komplexer. Zudem sind die Möglichkeiten der eigenen IT-Abteilung im Hinblick auf die Vermeidung von Datenverlusten oder unberechtigtem Abfluss von Daten begrenzt.

Firmen sehen sich immer häufiger Zero-Day-Attacken ausgesetzt, mit deren Hilfe Cyberkriminelle an die Daten des Unternehmens gelangen wollen. Der traditionelle Sicherheitsansatz mit dem Fokus auf externe Bedrohungen genügt an dieser Stelle oft nicht. Wenn zudem im Unternehmen von Mitarbeitern nicht genehmigte Cloud-Dienste genutzt werden, stellt dies ein großes Sicherheitsrisiko dar.

Die Cloud-Sicherheitsrisiken zu bewältigen und stets für die Sicherheit und Compliance der Unternehmensdaten zu sorgen, ist für Unternehmen eine der größten Herausforderungen in den heutigen gemischten Infrastrukturen. Zahlreiche Studien haben gezeigt, dass keineswegs alle Business-Cloud-Anwendungen den Standards vieler Unternehmen in Sachen Sicherheit gerecht werden. Andererseits ist gerade die Sicherheit, die Cloud-Provider garantieren, auch für viele Anwenderunternehmen ein Grund, diese Dienste zu wählen.

Dem Bedürfnis die Cloud-Sicherheit zu gewährleisten, verdankt der Markt für Cloud Access Security Broker (CASB) seine Aufmerksamkeit und das Wachstum. Ein CASB hilft Unternehmen dabei, in einer Art Gateway die Richtlinien in Sachen Sicherheit durchzusetzen. Damit sitzt der CASB zwischen Anwenderunternehmen und Cloud-Provider, um die Einhaltung der Richtlinien zu gewährleisten, wenn auf Cloud-Ressourcen oder -Dienste zugegriffen wird. So können CASB dabei helfen, die Sicherheitslücken zu schließen, die durch die zunehmende Cloud-Nutzung und die mobilen Anbindung im Unternehmen entstanden sind. Dabei bieten Cloud Access Security Broker einige Fähigkeiten, die sich mit herkömmlichen Lösungen wie Web Application Firewalls, Intrusion-Prevention-Lösungen und sicheren Web Access Gateways nicht so einfach abbilden lassen.

Einsatzgebiete für CASB

So kann Microsofts Office 365 beispielsweise ein Anwendungsfall für einen CASB sein. Sowohl CIOs wie IT-Abteilungen schätzen dieses SaaS-Modell. Einerseits, um die Kosten zu senken beziehungsweise zu flexibilisieren und um die Produktivität der Mitarbeiter zu erhöhen. Dennoch ist es ohne entsprechende Verwaltungsmöglichkeiten für den CISO schwierig, festzulegen, welche geschäftskritischen Daten auf Microsofts OneDrive oder in SharePoint in der Cloud landen dürfen.

Trotz der Tatsache, dass viele Unternehmen über eine bestehende Sicherheitsarchitektur mit Web Proxies und Next Generation Firewalls verfügen, ist es schwierig für die neuen Rahmenbedungen, die Sicherheit der Unternehmensdaten zu gewährleisten. Mitarbeiter greifen von überall und unterschiedlichsten Geräten auf kritische Daten in der Cloud zu. In diesem Szenario kommt der CASB-Ansatz ins Spiel und Unternehmen sollten diese Möglichkeit bei ihrer Sicherheitsstrategie berücksichtigen.

Seitens der Mitarbeiter erlaubt Microsoft Office 365 den Zugriff auf geschäftskritische Daten, ohne dass diese sich explizit um die Sicherheit kümmern müssen. Ein CASB bietet hier ausreichende Kontrollmöglichkeiten und gewährleistet die Zugriffskontrolle für sensible Inhalte, die sich innerhalb der Office-365-Infrastruktur befinden oder von außerhalb dort hineingeladen werden. Die kann beispielsweise Funktionen wie Verschlüsselung, DLP (Data Loss Prevention), zusätzliche Zugriffsrichtlinien oder auch einen erweiterten Schutz vor Bedrohungen bedeuten.

Auch beim Thema Schatten-IT kann ein CASB zusätzliche Sicherheit bieten. Die Nutzung von ungenehmigten Cloud-Diensten gehört in vielen Firmen zum Alltag. Aufgrund der vielfältigen, verfügbaren attraktiven Cloud-Lösungen für Fachabteilungen und der Einfachheit diese zu buchen, ist deren Nutzungsverhalten kaum verwunderlich. IT-Sicherheitsbedenken stehen da oft hintenan. Mit Hilfe eines CASB kann die Transparenz im Hinblick auf die genutzten Cloud-Anwendungen erhöht werden. Ebenso lässt sich leichter nachvollziehen, welche Dienste über welche Kontrollmöglichkeiten verfügen.

Mit Hilfe eines Cloud Access Security Broker lassen sich Sicherheitsrichtlinien auch bei der Nutzung von Cloud-Diensten durchsetzen.
Abbildung 1: Mit Hilfe eines Cloud Access Security Broker lassen sich Sicherheitsrichtlinien auch bei der Nutzung von Cloud-Diensten durchsetzen.

Da ja auch die nicht genehmigten Cloud-Dienste mehr oder minder direkt mit der IT-Infrastruktur verbunden sind und dort Unternehmensdaten verarbeitet werden, muss die IT-Abteilung das damit verbundene Risiko einschätzen können. Durch entsprechende Überwachsungsfunktionen im Netzwerk können CASB der IT-Abteilung dabei helfen, die entsprechenden Cloud-Anwendungen zu ermitteln. Da ein Cloud Access Security Broker auch bei der Risikobeurteilung und der Sicherheit der einzelnen Cloud-Dienste Hilfestellung bieten kann, lässt sich so leichter entscheiden, welche Dienste man eventuell ins offizielle Programm aufnehmen möchte.

CASB – Funktionen und Fähigkeiten

Ein Cloud Access Security Broker kann bei der Umsetzung der Sicherheitsrichtlinien Unterstützung bieten. Dazu gehören Richtlinien auf Anwendungsebene ebenso wie eine sehr granulare Steuerung einzelner Aktivitäten. Die vier wichtigen Fähigkeiten beziehungsweise Eigenschaften, mit denen ein CASB die Sicherheit unterstützt, sind:

Transparenz und Sichtbarkeit: Dies hilft dabei, alle genutzten Cloud-Anwendungen im Unternehmen zu erkennen und entdecken. Dies gilt sowohl für genehmigte als auch für nicht genehmigte Dienste. Zudem lässt sich die Cloud-Nutzung überwachen: Welcher Nutzer greift auch welche Daten mit welchen Geräten oder von welchem Standort aus zu?

Compliance: Hilft bei der Identifizierung von riskanten Cloud-Services sowie bei der Einhaltung von Standards wie HIPAA, PCI-DSS oder anderen Vorschriften.

Datensicherheit: Es lassen sich datenbezogene Sicherheitsrichtlinien über Gerätetypen hinweg erzwingen. Aus Basis der Datenklassifizierung lassen sich so Datenverluste vermeiden. Der Zugriff auf sensible Daten kann so entdeckt und auch überwacht werden.

Schutz vor Bedrohungen und Malware: Nicht berechtigten Nutzern und Geräten kann der Zugriff auf Cloud-Dienste und unternehmenskritische Daten verwehrt werden. Hierüber lässt sich auch feststellen, ob veraltete Lösungen im Einsatz sind. Zudem erfolgt ein Schutz vor Cloud-Bedrohungen sowie eine dynamische Malware-Analyse.

Ein CASB auswählen und bereitstellen

Cloud Access Security Broker lassen sich auf unterschiedliche Art und Weise im Unternehmen implementieren. Etwa als SaaS-Lösung oder als virtuelle Appliance im eigenen Rechenzentrum oder auch in einem hybriden Ansatz. Dies richtet sich unter anderem nach den Compliance-Anforderungen des Unternehmens. Die Bereitstellungsoptionen sind ebenfalls vielfältig, sowohl agentenlos als auch mit Softwareagenten auf den Endpunkten. Zudem stehen hinsichtlich der Architektur unterschiedliche Ansätze zur Auswahl: Log-Collection-Modus, Forward Proxy, Reverse Proxy oder die Integration via API. Ausführliche Informationen dazu finden Sie in dem Beitrag „Cloud Access Security Broker: Die passende Architektur auswählen“.

Da sich der Markt für CASB noch entwickelt, ist es für Anwenderunternehmen noch schwierig, die Angebote der Anbieter auf einfache Art und Weise miteinander zu vergleichen. Die Sicherheitsverantwortlichen müssen die Fähigkeiten der jeweiligen Lösung, die unterstützten Anwendungsfälle und die Funktionalitäten sehr genau mit den eigenen Anforderungen abgleichen.

Die Anbieter unterscheiden sich durchaus in der Vielzahl der unterstützten Anwendungsfälle oder auch in der Unterstützung der Cloud-Anwendungen. Zudem sollten Unternehmen bei der Auswahl berücksichtigen, wie gut sich die Lösung in die bestehende Sicherheitsarchitektur integrieren lässt. Hier ist beispielsweise das Zusammenspiel mit eine existierenden SIEM-Lösung gemeint. Cloud Access Security Broker sollten problemlos mit den vorhandenen Management-Tools des Unternehmens zusammenarbeiten.

Zudem unterscheiden sich die Angebote häufig in Bezug auf die Verschlüsselungsoptionen. Entweder werden die Schlüssel vom Anwenderunternehmen selbst gehostet, ohne dass der CASB darauf Zugriff hat, oder es erfolgt genau umgekehrt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM

Cloud-Sicherheit in bestehende Infrastrukturen integrieren

Die Klassifizierung von Daten in der Cloud erhöht die Sicherheit

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close