Was ist ein Cloud Access Security Broker (CASB)?

Ein Cloud Access Security Broker (CASB) ist eine zwischengeschaltete Stelle zur Durchsetzung von Sicherheitsrichtlinien zwischen Cloud-Nutzern (Nutzer, Geräte) und Cloud-Anbietern. In der heutigen digitalen Wirtschaft, in der sich die Geschäftsabwicklung zunehmend in die Cloud verlagert, erweitert ein CASB die Sicherheitsrichtlinien eines Unternehmens, um Cloud-Ressourcen sowie die Transaktionen und Daten abzudecken, die beim Zugriff der Benutzer auf diese Ressourcen offengelegt werden.

CASB ist ein wesentlicher Bestandteil Ihrer übergreifenden SASE Strategie (Secure Access Service Edge). CASB schützt Benutzer und Geräte – einschließlich nicht verwalteter Geräte wie privater Smartphones und Laptops oder IoT-Geräte – auf granularer Ebene und transaktionsweise, wenn sie von jedem beliebigen Standort aus auf Cloud-Anwendungen oder -Daten zugreifen.

Warum wurde CASB entwickelt?

Herkömmliche Sicherheitsdienste sicherten den Rand des Unternehmensnetzwerks und konzentrierten sich auf Benutzer, Zugriff und Datenspeicherung vor Ort. Sicherheitslücken entstanden, als sich die Netzwerkgrenzen auflösten, weil Unternehmen Anwendungen, Datenzugriff und Datenspeicherung in die Cloud verlegten. CASB entwickelte neue, auf die Cloud ausgerichtete Produkte und Dienste, die vor Ort oder in der Cloud eingesetzt werden können, um diese neuen Sicherheitsrisiken bei der Nutzung von Cloud-Diensten durch ein Unternehmen zu beseitigen.

CASB ermöglicht den sicheren Zugriff auf Cloud-Dienste von Benutzern innerhalb und außerhalb der traditionellen Unternehmensgrenzen, unterstützt den sicheren Cloud-to-Cloud-Zugriff, ermöglicht sicheres Arbeiten von überall aus, sichert den Cloud-Zugriff von nicht verwalteten persönlichen Geräten und erweitert die Sicherheit über Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) Umgebungen. CASB schützt Unternehmensdaten bei der Übertragung und im Ruhezustand in der Cloud.

Wie funktioniert der CASB?

CASB-Produkte und -Services bieten Transparenz und Kontrolle über Daten und Bedrohungen in der Cloud, um die Sicherheits- und Regulierungsanforderungen des Unternehmens zu erfüllen. Eine CASB-Lösung mit vollem Funktionsumfang hilft Ihnen:

  • Entdecken Sie eine Liste der Cloud-Dienste, auf die Ihre Nutzergemeinschaft zugreift, und erfahren Sie, wer auf sie zugreift.
  • Bestimmen Sie eine Risikostufe für jede Cloud-Anwendung, indem Sie die Anwendung und die darin verwendeten und freigegebenen Daten analysieren.
  • Durchsetzung unternehmensweiter Sicherheitsrichtlinien auf der Grundlage von Risikostufen und Verhinderung von Verstößen.
  • Implementieren Sie zusätzliche Schutzmaßnahmen wie Malware-Prävention und Datenverschlüsselung.

Zu den vier zentralen Funktionsbereichen einer CASB gehören:

  • Sichtbarkeit: Erkennen Sie genutzte Cloud-Dienste; erkennen Sie, wer diese Cloud-Dienste nutzt; bieten Sie finanzielle Einblicke in Cloud-Ausgaben, mögliche Redundanzen und Lizenzkosten.
  • Einhaltung von Vorschriften: Bewahren, verbessern und berichten Sie über die Einhaltung von Vorschriften, wenn Anwendungen und Daten in die Cloud verlagert werden.
  • Datensicherheit: Im Zusammenspiel mit ausgefeilten Cloud-DLP-Erkennungsmechanismen werden ruhende und bewegte Daten durch Methoden wie Verschlüsselung geschützt.
  • Schutz vor Bedrohungen: Schützen Sie Ihr Unternehmen vor Malware und anderen Bedrohungen, die über Cloud-Anwendungen und -Zugang in das Unternehmen gelangen.
Diagramm der CASB-Netzwerk- und Sicherheitsstruktur

CASB bietet fünf wichtige Sicherheitsfunktionen: Erkennung von Cloud-Anwendungen, Datensicherheit, adaptive Zugriffskontrolle, Malware-Erkennung und Analyse des Benutzer- und Entitätsverhaltens.

Vorteile von CASB

Der Einsatz eines CASB-Produkts oder -Dienstes in Ihrem Unternehmen bietet zahlreiche Sicherheits- und Verwaltungsvorteile:

  • Ein zentraler Ort für konsistente Richtlinien und Governance über mehrere Cloud-Dienste hinweg, sowohl für Benutzer als auch für Geräte (einschließlich BYOD).
  • Detaillierter Einblick in und Kontrolle über Benutzeraktivitäten, Anwendungen, sensible Daten und SaaS-Aktivitäten.
  • Ermöglicht sichere Mitarbeitermobilität.
  • Überwacht und regelt die Nutzung von Cloud-Anwendungen wie Office 365.
  • Ermöglicht Unternehmen einen detaillierten Ansatz beim Schutz sensibler Daten, bei der Einhaltung von Vorschriften und der Durchsetzung von Richtlinien, wodurch sie zeitsparende, produktivitätssteigernde und kosteneffiziente Cloud-Dienste sicher nutzen können.
  • Schützt alle Geräte, die auf SaaS-Anwendungen zugreifen, da sich die Branche von herkömmlichen Geräten und Gerätemanagementpraktiken wegbewegt, um BYOD zu ermöglichen.
  • Untersucht und analysiert das Daten-, Anwendungs- und Nutzerverhalten in Cloud-Diensten, einschließlich des Vorhandenseins von nicht genehmigter Cloud-Nutzung durch Mitarbeiter und Schatten-IT.
  • Lässt sich in den bestehenden Identitätsanbieter, das SIEM-Tool (Security Information and Event Management) und das UEM-Produkt (Unified Endpoint Management) eines Unternehmens integrieren.
  • Verschlüsseln oder Tokenisieren Sie sensible Inhalte, um den Datenschutz zu gewährleisten.
  • Erkennen und blockieren Sie ungewöhnliches Verhalten, das auf bösartige Aktivitäten hinweist.
  • Integration von Cloud-Transparenz und -Kontrollen in bestehende Sicherheitslösungen.
  • Betrieb in einer Multi-Tenant-Cloud-Umgebung.
  • Unterscheidung zwischen Unternehmens- und privaten Instanzen von Cloud-Diensten und Möglichkeit, den Datenaustausch zwischen ihnen zu beschränken oder zu blockieren.

Wie man CASB einsetzt

CASBs können entweder vor Ort, an einem anderen Standort oder in einer öffentlichen Cloud angesiedelt sein, um Sicherheitsrichtlinien durchzusetzen. Sie werden zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern platziert, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Daten oder Anwendungen umzusetzen. Die CASB-Architektur ist auf Flexibilität ausgelegt, d. h. ein CASB kann wahlweise als virtuelle oder physische Appliance betrieben werden.

Die Bereitstellung der richtigen CASB-Architektur für die Anforderungen Ihres Unternehmens ist entscheidend, um die Nutzung aller Funktionen und Anwendungsfälle zu ermöglichen, die Sie sich vorstellen. Einige Funktionen sind nur in bestimmten Bereitstellungsmodellen verfügbar. Wenn Sie einen Cloud Access Security Broker evaluieren, sollten Sie sich vergewissern, dass der Anbieter und die Lösung die von Ihnen benötigten Bereitstellungsmodelle unterstützen. Unternehmen kombinieren oft mehrere Bereitstellungsmodelle, um ihre Anforderungen vollständig zu erfüllen.

Es gibt zwei primäre CASB-Lösungen:

Out-of-Band

Die CASB befindet sich nicht im Datenverkehr zwischen Nutzer und Cloud oder zwischen Cloud und Cloud. Die CASB überwacht und protokolliert die Aktivitäten und kann über den API-Zugang Richtlinienaktionen (z. B. Zulassen, Verweigern, Löschen, Anfechten der Genehmigung) einleiten.

Out-of-Band-CASB-Lösungen können zwar Ereignisse und Aktivitäten überwachen und darüber berichten, haben aber keinen Einblick in den Inhalt der Interaktionen.

Inline

Diese CASB-Lösungen verwenden einen Proxymodus, der den Datenverkehr zwischen dem Benutzer und der Cloud oder von Cloud zu Cloud abschließt bzw. umleitet. Der CASB kann entweder als Reverse-Proxy (nahe an der Cloud) oder als Forward-Proxy (nahe am Benutzer) eingesetzt werden.

Inline-CASB-Lösungen können überwachen und Bericht erstatten sowie alle Richtlinienentscheidungen treffen und haben außerdem volle Einsicht in den Inhalt der Interaktionen (und die Möglichkeit, diesen zu entschlüsseln und/oder abzufangen).

Multimodus-CASB-Anbieter sind diejenigen, die eine Kombination aus einer API und einem Inline-Betriebsmodus anbieten. Während einige der bekanntesten Anbieter von Cloud-Anwendungen und -Diensten öffentliche APIs veröffentlichen, bieten die meisten SaaS-Anwendungen dies nicht an, so dass eine CASB-Lösung mit mindestens einer Inline-Funktion erforderlich ist.

Ist CASB die richtige Wahl für Ihr Unternehmen?

Da Dienste, die zuvor vor Ort angeboten wurden, immer weiter in die Cloud migriert werden, ist die Aufrechterhaltung von Transparenz und Kontrolle in diesen Umgebungen von entscheidender Bedeutung, um die Compliance-Anforderungen zu erfüllen, Ihr Unternehmen vor Angriffen zu schützen und Ihren Mitarbeitern die sichere Nutzung von Cloud-Diensten zu ermöglichen, ohne zusätzliche hohe Risiken für Ihr Unternehmen einzugehen.

Versa Cloud-gehostete Sicherheit als Service als Teil des SASE sowohl in lokalen als auch in providerbasierten Modellen Versa . Diese Dienste bieten eine globale Präsenz an Standorten, an denen die CASB-Software-Knoten bereitgestellt werden. Unternehmen können den nächstgelegenen oder günstigsten Point of Presence (POP) als Zugangspunkt für einen schnellen und sicheren Netzwerk- und Anwendungszugriff auf ihre Cloud-Infrastruktur nutzen.

Zusätzliche Ressourcen

CASB ist ein integraler Bestandteil der SASE Versa, einschließlich Gateways und Cloud-gehosteten Bereitstellungsmodellen. Zu SASE und -Technologien, die mit CASB kompatibel sind, gehören:

Die 4 Säulen des CASB

Um einen effektiven CASB zu schaffen, müssen vier Grundpfeiler vorhanden sein. CASB-Anbieter müssen sicherstellen, dass ihr Cloud Access Security Broker über Transparenz, Compliance, Datensicherheit und Schutz vor Bedrohungen verfügt. Was ist ein Cloud Access Security Broker ohne diese Funktionen? Ein unsicheres System, das dem Risiko ausgesetzt ist, gehackt oder mit Malware infiziert zu werden.

Sichtbarkeit

Unternehmen brauchen Transparenz darüber, welche Systeme und Software in ihrem Unternehmen richtig genutzt werden. Glücklicherweise ist die Transparenz eine Schlüsselfunktion der führenden CASB-Architektur. Effektive CASBs bieten vollständige Transparenz sowohl bei verwalteten als auch bei nicht verwalteten Cloud-Systemen. Dadurch werden nicht nur nützliche Cloud-Systeme identifiziert, sondern die Unternehmensleitung kann auch fundierte Entscheidungen über die Cloud-Nutzung treffen.

Durch die Transparenz aller genutzten Cloud-Dienste, die Erstellung von Berichten über die Cloud-Ausgaben, die Ermittlung der tatsächlich genutzten Systeme und die Feststellung von Überschneidungen bei Cloud-Funktionen und -Kosten bietet ein Cloud Access Security Broker unschätzbare Geschäftseinblicke.

Datensicherheit

CASBs fungieren als Torwächter eines Unternehmens, die Cyberrisiken erkennen, bevor sie zu einer ernsthaften Bedrohung werden. Da die CASB ständig nach Sicherheitslücken in der Cloud sucht, können sich Unternehmen bei ihren gespeicherten Daten sicherer fühlen. Dieses hohe Maß an Sicherheit, das die Inhalte von dem Moment an verfolgt, in dem sie sich in der Cloud befinden oder auf dem Weg dorthin sind, hilft den IT-Abteilungen bei der weiteren Analyse potenzieller Cyber-Bedrohungen. Darüber hinaus sind viele der besten CASB-Architekturen in der Lage, Daten zu verschlüsseln, den Zugriff auf Daten zu kontrollieren und sensible Informationen schnell zu erkennen.

Einhaltung der Vorschriften

Die Einhaltung von Datenvorschriften ist ein wichtiger Grundsatz für jedes System, doch kann ein Mangel an Compliance zu Datenschutzverletzungen und Cyberangriffen führen. Eine gute Cloud-Access-Security-Broker-Architektur kann genutzt werden, um die Compliance in einem Cloud-System unabhängig von der Branche sicherzustellen. So kann ein CASB beispielsweise Unternehmen des Gesundheitswesens dabei helfen, HIPPA- oder HITECH-konform zu bleiben, oder er kann sicherstellen, dass Finanzberater die Vorschriften von FFIEC und FINRA einhalten.

Schutz vor Bedrohungen

Da jeder Zugang zum Internet und zu Cloud-Diensten hat, müssen Unternehmen sicherstellen, dass ihre Mitarbeiter keine Malware und andere Cyber-Bedrohungen einschleppen. Viele CASBs bieten Echtzeit-Scans an, die sowohl interne als auch externe Netzwerke überwachen. Wenn Cloud-Dienste ungeschützt bleiben, können Mitarbeiter unwissentlich eine gefährliche Cyber-Bedrohung in das Unternehmen einschleusen. Mit einem CASB werden die IT-Abteilungen jedoch benachrichtigt, sobald eine Bedrohung entdeckt wird, so dass sie schnell auf gefährdete Cloud-Dienste reagieren können.

Kostenloses E-Book

SASE für Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, SASE Best Practices, realen Kundenimplementierungen und den Vorteilen, die eine SASE Organisation mit sich bringt.

Holen Sie sich das eBook
SASE Anfänger

Mehr erfahren

Hier finden Sie weitere Untersuchungen, Analysen und Informationen zu SASE (Secure Access Service Edge), Netzwerken, Sicherheit, SD-WAN und Cloud von Branchenvordenkern, Analysten und Experten.

On-Demand-Webinar: 55 min

SWG und SD-WAN: Gemeinsam besser

Secure Web Gateways müssen Ihre SD-WAN-Funktionen nativ integrieren und unterstützen, um Komplexität und Kosten zu reduzieren und gleichzeitig eine höhere Leistung und Sicherheit zu bieten.

Mehr erfahren

Lösung Brief

Versa Web Gateway

Als Teil von Versa SASE bietet Versa Web Gateway sicheren Internetzugang für Unternehmensstandorte, Home Offices und mobile Nutzer, ohne dabei die Leistung oder das Endnutzererlebnis zu beeinträchtigen.

Mehr erfahren

3:48 min Video

Versa Web Gateway

In diesem kurzen Tutorial erfahren Sie, wie Versa Web Gateways (SWG) Millionen von Kunden sicheres Surfen im Internet und sicheren Zugriff auf Internetanwendungen ermöglichen.

Mehr erfahren