Was ist ein Cloud Access Security Broker (CASB)?

Herkömmliche Sicherheitsdienste sicherten den Rand des Unternehmensnetzwerks und konzentrierten sich auf Benutzer, Zugriff und Datenspeicherung vor Ort. Sicherheitslücken entstanden, als sich die Netzwerkgrenzen auflösten, weil Unternehmen Anwendungen, Datenzugriff und Datenspeicherung in die Cloud verlegten. CASB entwickelte neue, auf die Cloud ausgerichtete Produkte und Dienste, die vor Ort oder in der Cloud eingesetzt werden können, um diese neuen Sicherheitsrisiken bei der Nutzung von Cloud-Diensten durch ein Unternehmen zu beseitigen.

CASB ermöglicht den sicheren Zugriff auf Cloud-Dienste von Benutzern innerhalb und außerhalb der traditionellen Unternehmensgrenzen, unterstützt den sicheren Cloud-to-Cloud-Zugriff, ermöglicht sicheres Arbeiten von überall aus, sichert den Cloud-Zugriff von nicht verwalteten persönlichen Geräten und erweitert die Sicherheit über Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) Umgebungen. CASB schützt Unternehmensdaten bei der Übertragung und im Ruhezustand in der Cloud.

CASB-Produkte und -Services bieten Transparenz und Kontrolle über Daten und Bedrohungen in der Cloud, um die Sicherheits- und Regulierungsanforderungen des Unternehmens zu erfüllen. Eine CASB-Lösung mit vollem Funktionsumfang hilft Ihnen:

• Entdecken Sie eine Liste der Cloud-Dienste, auf die Ihre Nutzergemeinschaft zugreift, und erfahren Sie, wer auf sie zugreift.
• Bestimmen Sie eine Risikostufe für jede Cloud-Anwendung, indem Sie die Anwendung und die darin verwendeten und freigegebenen Daten analysieren.
• Durchsetzung unternehmensweiter Sicherheitsrichtlinien auf der Grundlage von Risikostufen und Verhinderung von Verstößen.
• Implementieren Sie zusätzliche Schutzmaßnahmen wie Malware-Prävention und Datenverschlüsselung.

Zu den vier zentralen Funktionsbereichen einer CASB gehören:

• Sichtbarkeit: Erkennen Sie genutzte Cloud-Dienste; erkennen Sie, wer diese Cloud-Dienste nutzt; bieten Sie finanzielle Einblicke in Cloud-Ausgaben, mögliche Redundanzen und Lizenzkosten.
• Einhaltung von Vorschriften: Bewahren, verbessern und berichten Sie über die Einhaltung von Vorschriften, wenn Anwendungen und Daten in die Cloud verlagert werden.
• Datensicherheit: Im Zusammenspiel mit ausgefeilten Cloud-DLP-Erkennungsmechanismen werden ruhende und bewegte Daten durch Methoden wie Verschlüsselung geschützt.
• Schutz vor Bedrohungen: Schützen Sie Ihr Unternehmen vor Malware und anderen Bedrohungen, die über Cloud-Anwendungen und -Zugang in das Unternehmen gelangen.

CASB bietet fünf wichtige Sicherheitsfunktionen: Erkennung von Cloud-Anwendungen, Datensicherheit, adaptive Zugriffskontrolle, Malware-Erkennung und Analyse des Benutzer- und Entitätsverhaltens.

Vorteile von CASB

Der Einsatz eines CASB-Produkts oder -Dienstes in Ihrem Unternehmen bietet zahlreiche Sicherheits- und Verwaltungsvorteile:

• Ein zentraler Ort für konsistente Richtlinien und Governance über mehrere Cloud-Dienste hinweg, sowohl für Benutzer als auch für Geräte (einschließlich BYOD).
• Detaillierter Einblick in und Kontrolle über Benutzeraktivitäten, Anwendungen, sensible Daten und SaaS-Aktivitäten.
• Ermöglicht sichere Mitarbeitermobilität.
• Überwacht und regelt die Nutzung von Cloud-Anwendungen wie Office 365.
• Ermöglicht Unternehmen einen granularen Ansatz für den Schutz sensibler Daten, die Einhaltung von Vorschriften und die Durchsetzung von Richtlinien - und damit die sichere Nutzung zeitsparender, produktivitätssteigernder und kostengünstiger Cloud-Services.
• Schützt alle Geräte, die auf SaaS-Anwendungen zugreifen, da sich die Branche von herkömmlichen Geräten und Gerätemanagementpraktiken wegbewegt, um BYOD zu ermöglichen.
• Untersucht und analysiert das Daten-, Anwendungs- und Nutzerverhalten in Cloud-Diensten, einschließlich des Vorhandenseins von nicht genehmigter Cloud-Nutzung durch Mitarbeiter und Schatten-IT.
• Lässt sich in den bestehenden Identitätsanbieter, das SIEM-Tool (Security Information and Event Management) und das UEM-Produkt (Unified Endpoint Management) eines Unternehmens integrieren.
• Verschlüsseln oder Tokenisieren Sie sensible Inhalte, um den Datenschutz zu gewährleisten.
• Erkennen und blockieren Sie ungewöhnliches Verhalten, das auf bösartige Aktivitäten hinweist.
• Integration von Cloud-Transparenz und -Kontrollen in bestehende Sicherheitslösungen.
• Betrieb in einer Multi-Tenant-Cloud-Umgebung.
• Unterscheidung zwischen Unternehmens- und privaten Instanzen von Cloud-Diensten und Möglichkeit, den Datenaustausch zwischen ihnen zu beschränken oder zu blockieren.

Wie man CASB einsetzt

CASBs können entweder vor Ort, an einem anderen Standort oder in einer öffentlichen Cloud angesiedelt sein, um Sicherheitsrichtlinien durchzusetzen. Sie werden zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern platziert, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Daten oder Anwendungen umzusetzen. Die CASB-Architektur ist auf Flexibilität ausgelegt, d. h. ein CASB kann wahlweise als virtuelle oder physische Appliance betrieben werden.

Die Bereitstellung der richtigen CASB-Architektur für die Anforderungen Ihres Unternehmens ist entscheidend, um die Nutzung aller Funktionen und Anwendungsfälle zu ermöglichen, die Sie sich vorstellen. Einige Funktionen sind nur in bestimmten Bereitstellungsmodellen verfügbar. Wenn Sie einen Cloud Access Security Broker evaluieren, sollten Sie sich vergewissern, dass der Anbieter und die Lösung die von Ihnen benötigten Bereitstellungsmodelle unterstützen. Unternehmen kombinieren oft mehrere Bereitstellungsmodelle, um ihre Anforderungen vollständig zu erfüllen.

Es gibt zwei primäre CASB-Lösungen:

Out-of-Band

Die CASB befindet sich nicht im Datenverkehr zwischen Nutzer und Cloud oder zwischen Cloud und Cloud. Die CASB überwacht und protokolliert die Aktivitäten und kann über den API-Zugang Richtlinienaktionen (z. B. Zulassen, Verweigern, Löschen, Anfechten der Genehmigung) einleiten.

Out-of-Band-CASB-Lösungen können zwar Ereignisse und Aktivitäten überwachen und darüber berichten, haben aber keinen Einblick in den Inhalt der Interaktionen.

Inline

Diese CASB-Lösungen verwenden einen Proxymodus, der den Datenverkehr zwischen dem Benutzer und der Cloud oder von Cloud zu Cloud abschließt bzw. umleitet. Der CASB kann entweder als Reverse-Proxy (nahe an der Cloud) oder als Forward-Proxy (nahe am Benutzer) eingesetzt werden.

Inline-CASB-Lösungen können überwachen und Bericht erstatten sowie alle Richtlinienentscheidungen treffen und haben außerdem volle Einsicht in den Inhalt der Interaktionen (und die Möglichkeit, diesen zu entschlüsseln und/oder abzufangen).

Multimodus-CASB-Anbieter sind diejenigen, die eine Kombination aus einer API und einem Inline-Betriebsmodus anbieten. Während einige der bekanntesten Anbieter von Cloud-Anwendungen und -Diensten öffentliche APIs veröffentlichen, bieten die meisten SaaS-Anwendungen dies nicht an, so dass eine CASB-Lösung mit mindestens einer Inline-Funktion erforderlich ist.

Sichtbarkeit

Unternehmen brauchen Transparenz darüber, welche Systeme und Software in ihrem Unternehmen richtig genutzt werden. Glücklicherweise ist die Transparenz eine Schlüsselfunktion der führenden CASB-Architektur. Effektive CASBs bieten vollständige Transparenz sowohl bei verwalteten als auch bei nicht verwalteten Cloud-Systemen. Dadurch werden nicht nur nützliche Cloud-Systeme identifiziert, sondern die Unternehmensleitung kann auch fundierte Entscheidungen über die Cloud-Nutzung treffen.

Durch die Transparenz aller genutzten Cloud-Dienste, die Erstellung von Berichten über die Cloud-Ausgaben, die Ermittlung der tatsächlich genutzten Systeme und die Feststellung von Überschneidungen bei Cloud-Funktionen und -Kosten bietet ein Cloud Access Security Broker unschätzbare Geschäftseinblicke.

Datensicherheit

CASBs fungieren als Torwächter eines Unternehmens, die Cyberrisiken erkennen, bevor sie zu einer ernsthaften Bedrohung werden. Da die CASB ständig nach Sicherheitslücken in der Cloud sucht, können sich Unternehmen bei ihren gespeicherten Daten sicherer fühlen. Dieses hohe Maß an Sicherheit, das die Inhalte von dem Moment an verfolgt, in dem sie sich in der Cloud befinden oder auf dem Weg dorthin sind, hilft den IT-Abteilungen bei der weiteren Analyse potenzieller Cyber-Bedrohungen. Darüber hinaus sind viele der besten CASB-Architekturen in der Lage, Daten zu verschlüsseln, den Zugriff auf Daten zu kontrollieren und sensible Informationen schnell zu erkennen.

Einhaltung der Vorschriften

Die Einhaltung von Datenvorschriften ist ein wichtiger Grundsatz für jedes System, doch kann ein Mangel an Compliance zu Datenschutzverletzungen und Cyberangriffen führen. Eine gute Cloud-Access-Security-Broker-Architektur kann genutzt werden, um die Compliance in einem Cloud-System unabhängig von der Branche sicherzustellen. So kann ein CASB beispielsweise Unternehmen des Gesundheitswesens dabei helfen, HIPPA- oder HITECH-konform zu bleiben, oder er kann sicherstellen, dass Finanzberater die Vorschriften von FFIEC und FINRA einhalten.

Schutz vor Bedrohungen

Da jeder Zugang zum Internet und zu Cloud-Diensten hat, müssen Unternehmen sicherstellen, dass ihre Mitarbeiter keine Malware und andere Cyber-Bedrohungen einschleppen. Viele CASBs bieten Echtzeit-Scans an, die sowohl interne als auch externe Netzwerke überwachen. Wenn Cloud-Dienste ungeschützt bleiben, können Mitarbeiter unwissentlich eine gefährliche Cyber-Bedrohung in das Unternehmen einschleusen. Mit einem CASB werden die IT-Abteilungen jedoch benachrichtigt, sobald eine Bedrohung entdeckt wird, so dass sie schnell auf gefährdete Cloud-Dienste reagieren können.