nobeastsofierce - Fotolia

Cloud-Sicherheit: Cloud Access Security Broker ergänzen SIEM

SIEM-Lösungen sind in vielen Unternehmen etabliert. In Sachen Cloud-Sicherheit kann ein Cloud Access Security Broker noch offene Lücken schließen.

Eine SIEM-Lösung ist die Sammel- und Analysestelle für alle sicherheitsrelevanten Daten im Unternehmen. Log-Daten aus der Host-, Netzwerk- und Applikations-Infrastruktur, darunter Firewalls, Web Proxies, Active Directory und Mobile Device Management (MDM), laufen hier zentral zusammen und werden analysiert. So lassen sich ungewöhnliche Muster schnell erkennen und Sicherheitsvorfälle zeitnah aufdecken.

Auch die Log-Daten von Cloud-Services kann die SIEM-Lösung sammeln, sofern die Dienste User Activity Feeds via API zur Verfügung stellen. Die Daten lassen sich nach Zeit, Nutzer, URL, IP-Adresse und anderen Attributen filtern. Dadurch kann die Lösung Events über alle Systeme hinweg miteinander in Verbindung bringen und nach speziellen Vorfällen filtern.

All das sind wertvolle Funktionen – sie reichen jedoch nicht aus, um die Nutzung von Public Cloud Services wie Dropbox oder OneDrive im Auge zu behalten und sich vor den damit verbundenen Risiken zu schützen. Denn Mitarbeiter in Unternehmen nutzen heute eine Vielzahl an Cloud-Diensten, gerne auch ohne Wissen der IT-Abteilung. Dabei gehen sie oft sorglos vor und haben kein Bewusstsein für die lauernden Gefahren. So verlassen zum Beispiel sensible Daten unbemerkt das Unternehmensnetzwerk oder landen unverschlüsselt auf Plattformen, die nicht über ausreichende Sicherheitsfunktionen verfügen.

Eine SIEM-Lösung hat keine Möglichkeit, solche Vorfälle automatisch zu erkennen oder Compliance-Verletzungen aufzudecken. Sie kann Cloud-Dienste beispielsweise nicht anhand ihrer URL oder IP-Adresse identifizieren und bewerten, ob sie für den Unternehmenseinsatz geeignet sind.

Schutz vor Cloud-Risiken

Cloud Access Security Broker, oder kurz CASB, sind speziell auf die Absicherung von Cloud Services abgestimmt und bieten viele Funktionen, die ein SIEM sinnvoll ergänzen. Sie machen die komplette Cloud-Nutzung im Unternehmen transparent und zeigen genau auf, welche Dienste wann, wo und bei wem im Einsatz sind. Der CASB ist in der Lage, mithilfe von Cloud-Service-Signaturen zwischen herkömmlicher Browser-Nutzung und Cloud-Nutzung zu unterscheiden – etwa ob sich ein Mitarbeiter auf der Konsole von Amazon Web Services (AWS) einloggt oder ob er eine Webseite ansieht, die bei AWS gehostet ist. Anhand einer Datenbank mit URLs und IP-Adressen kann ein CASB die einzelnen Cloud-Services identifizieren und eine Risikobewertung abgeben. Dabei werden zum Beispiel die Sicherheitsfunktionen berücksichtigt, die der Dienst bietet, in welchem Land er sich befindet oder ob es in letzter Zeit Vorfälle von Datenschutzverletzungen gab.

„Cloud Access Security Broker machen die komplette Cloud-Nutzung im Unternehmen transparent und zeigen genau auf, welche Dienste wann, wo und bei wem im Einsatz sind.“

Daniel Wolf, Skyhigh Networks

Gilt ein Cloud-Service als bedenklich, kann ihn der CASB blockieren. Versucht ein Mitarbeiter den Dienst aufzurufen, wird er auf sichere Alternativen hingewiesen oder umgeleitet. Außerdem bietet der CASB die Möglichkeit, Daten vor dem Upload in die Cloud zu verschlüsseln oder ein Rechte-Management anzuwenden. Auch für Daten, die bereits in der Public Cloud liegen, lassen sich nachträglich noch Sicherheitsrichtlinien umsetzen. Man kann sie zum Beispiel verschlüsseln oder Zugriffsrechte widerrufen. Der CASB wendet maschinelle Lernverfahren und kontextbezogene Nutzungskontrollen an, um Gefahren und Sicherheitslücken aufzudecken. Durch Nutzungsanalysen im Abgleich mit historischen Daten kann die Technologie Abweichungen vom üblichen Verhaltensmustern erkennen – etwa wenn ein Nutzer eine ungewöhnlich große Menge an sensiblen Daten herunterlädt.

Ein CASB in SIEM integrieren

Mit seinen Cloud-spezifischen Sicherheitsfunktionen ist ein CASB ein wichtiger Baustein für eine umfassende Security-Lösung. Er ist kein Ersatz für eine SIEM-Lösung, sondern eine Ergänzung. CASBs arbeiten auf zwei Arten mit SIEM zusammen: Sie übernehmen und analysieren Netzwerk-Log-Daten, die bereits im SIEM gespeichert sind. Entdecken sie ungewöhnliche Vorfälle und Bedrohungen, können sie diese Informationen wieder an das SIEM übergeben, wo sie ins zentrale Reporting und weitere Auswertungen einfließen.

Damit CASB und SIEM miteinander interagieren können, kommt ein On-Premise-Connector zum Einsatz. Diese Software holt sich die Log-Daten, tokenisiert und komprimiert sie und lädt sie dann in die Cloud-Plattform des CASB hoch. Dort beginnt der Analyseprozess. Unternehmen haben meist viel in den Aufbau ihres Security-Workflows investiert und möchten ihr Reporting und Event-Management auch weiterhin zentral von ihrer SIEM-Lösung aus steuern. Daher sollten auch die Cloud-basierten Auswertungen des CASB wieder in das SIEM einfließen. Dort können sie mit anderen Vorfällen in Korrelation gesetzt werden.

Abbildung 1: So könnte die Kommunikation zwischen Cloud Access Security Broker und SIEM aussehen.

Es gibt zwei Wege, wie das SIEM Informationen vom CASB erhält: über einen Syslog Feed und über eine API. So lässt sich zum Beispiel ein Syslog Feed konfigurieren, der alle ungewöhnlichen Vorfälle, die der CASB aufdeckt, an das SIEM meldet. Benötigt ein Sicherheitsanalyst für eine umfassende Untersuchung weitere Informationen zur Cloud-Aktivität eines Users, kann er diese im SIEM via API vom CASB abrufen.

Fazit

SIEM und CASB: Beide haben ihre Stärken und sind zusammen ein schlagkräftiges Team. Ein SIEM bietet eine effiziente Möglichkeit, sicherheitsrelevante Log-Daten aus dem gesamten Unternehmen zu sammeln und auszuwerten. Ein CASB übernimmt die Log-Daten, analysiert sie auf Cloud-spezifische Risiken und Sicherheitsvorfälle und übergibt die Informationen wieder an das SIEM. Dort können sie weiter verarbeitet werden. Dadurch öffnet der CASB dem SIEM die Augen für Vorfälle, die ihm sonst verborgen geblieben wären.

Über den Autor:
Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen.

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen.

Cloud-Sicherheit: Darauf sollten Sie achten.

IT-Sicherheit erhöhen: Cloud-Daten klassifizieren.

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close