Die Migration von IT und Geschäftsprozessen in die Cloud entwickelt sich immer rasanter. Gängige Varianten sind Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Natürlich bringt dieses neue Paradigma neue Herausforderungen mit sich, insbesondere im Hinblick auf die Informationssicherheit. Das Risikomanagement in dieser neuen Umgebung ist noch wichtiger als in herkömmlichen On-Premises-Setups. Die Cloud-Migration verändert das Konzept des Perimeters eines Unternehmens. IT-Systeme befinden sich nicht mehr ausschließlich unter der Kontrolle des eigenen IT-Teams. Dies bedeutet, dass die Struktur der Cybersicherheits-Verteidigungslinie des gesamten Unternehmens betroffen ist. Von der Bestandsaufnahme und Transparenz darüber, wer was und wie tut, in IT-Systemen, Datenschutz, Bedrohungsprävention und -erkennung sowie Informationssicherheits-Governance muss alles neugestaltet und neue geeignetere Tools bereitgestellt werden. Eine der wichtigsten Tools in diesem Kontext sind laut Gartner Cloud Access Security Broker (CASB).
Leider kann man die Cybersicherheit nicht direkt mit der Migration in die Cloud auslagern. Anbieter von Cloud-Anwendungen verpflichten sich, die Integrität der Anwendungen und Infrastruktur zu schützen. Cloud-Dienste können die Mitarbeiter der Unternehmen jedoch nicht kontrollieren und wissen nicht genug über die Benutzer oder das Unternehmen, um abnormales Verhalten zu erkennen oder geltenden Richtlinien für die Sicherheit und Einhaltung gesetzlicher Vorschriften anzuwenden.
Ein CASB ist eine Software, die lokal oder in einer privaten Cloud gehostet oder als SaaS-Anwendung genutzt werden kann. Seine Rolle besteht darin, als Sicherheitsgateway zwischen Benutzern und Cloud-Service-Providern (CSPs) zu fungieren. Mit CASB können Organisationen:
CASB bietet Funktionen, die in vier Bausteine unterteilt sind, darunter:
Datensicherheit
Bei der Verwendung von Cloud-Speicher können reguläre Tools zur Verhinderung von Datenverlust (DLP- Data Lost Prevention) nicht nachverfolgen oder kontrollieren, wer Zugriff auf die Daten hat. Der CASB bringt datenzentrierte Sicherheit in die Cloud, indem es Verschlüsselung, Tokenisierung, Zugriffskontrolle und Verwaltung von Informationsrechten kombiniert.
Compliance
Wenn Unternehmensdaten in die Cloud verschoben werden, verlangt die Regulatorik, dass Daten sicher und vertraulich behandelt werden. CASB definiert und erzwingt DLP-Richtlinien für sensible Daten in Cloud-Bereitstellungen.
Transparenz
Ein CASB verschafft Transparenz über alle Cloud-Anwendungen und deren Nutzung. Einschließlich wichtiger Informationen darüber, wer die Plattform nutzt, seine Abteilung, seinen Standort und die verwendeten Geräte.
Schutz vor Datenverlust und -Spionage
Der CASB kann böswillige oder unaufmerksame interne Bedrohungen, privilegierte Benutzer und kompromittierte Konten in der Cloud-Infrastruktur erkennen und darauf reagieren.
Ein CASB fungiert als zentrale Plattform für die Durchsetzung von Sicherheitsrichtlinien, indem es verschiedene Regeln kombiniert und sie für alle Ressourcen durchsetzt, die das Unternehmen in der Cloud verwendet, unabhängig vom Standort der Benutzer oder den Geräten, die sie für den Zugriff auf die Cloud-Umgebung verwenden.
Eine der Hauptfunktionen ist die Überwachung des Zugriffs aller Benutzer, von allen verwalteten und nicht verwalteten Geräten auf alle Cloud-Anwendungen. Ein CASB ist jedoch viel mehr als ein passives Überwachungstool. Es kann die gesammelten Daten korrelieren und analysieren, um Schwachstellen und Risiken zu identifizieren, anomale Verhaltensweisen zu erkennen und die Einhaltung von Richtlinien und Vorschriften zu kontrollieren.
CASBs können Daten aus Firewall- und Geräteprotokollen über Anwendungs-APIs und mit einem Proxy erfassen, der den Netzwerkverkehr scannt. Die Daten können unter anderem aus folgenden Quellen gesammelt und analysiert werden:
CASBs sind anpassungsfähig und multifunktional. Sie können in der Cloud, in einem Rechenzentrum vor Ort oder als Hardwaregerät gehostet werden. Sie bieten Schutz für Software-as-a-Service (SaaS)-, Infrastructure-as-a-Service (IaaS)- und Platform-as-a-Service (PaaS)-Lösungen. Aufgrund seiner Unterstützung für viele Umgebungen ermöglicht ein CASB die Sicherheitsregeln des Unternehmens von der lokalen Infrastruktur auf die Cloud auszudehnen, wenn das Unternehmen in die Cloud migriert.
Die wichtigste Datenquelle für CASBs sind die Anwendungen selbst. SaaS-Anwendungen und intern entwickelte Anwendungen müssen dem CASB-Anbieter zur Integration in der CASB-Lösung vorgelegt werden. Einige CASBs haben Kataloge, in denen die Sicherheitskontrollen und Compliance-Zertifizierungen von Cloud-Anwendungen aufgeführt sind. Diese Informationen können helfen, die Risiken von nicht genehmigten Cloud-Anwendungen einzuschätzen. Es gibt zwei Bereitstellungsoptionen für CASBs – den API-Modus und den Proxy-Modus.
API-Modus
Ein im API-Modus bereitgestelltes CASB ist „out-of-band“. Benutzer kommunizieren direkt mit Cloud-Anwendungen und der CASB erhält Daten von den Anwendungen über APIs. Dieser Ansatz bietet einen sehr detaillierten Einblick in Daten und Benutzeraktivitäten, einschließlich Anmeldungen und Abmeldungen, Datei-Uploads und -Downloads, Informationsaustausch und Verwaltungsaktionen.
Proxy-Modus
Ein im Proxy-Modus bereitgestellter CASB ist „inline“. Der Netzwerkdatenverkehr zwischen Benutzern und Cloud-Anwendungen fließt über den CASB-Proxy. Im Proxy-Modus können CASBs sehr granulare Zugriffskontrollen implementieren. Der Proxy-Modus gibt dem CASB auch Einblick in die Datenbewegung und ermöglicht ihm, Richtlinien in Echtzeit durchzusetzen.
Wenn sich sensible Daten, Cloud-Anwendungen und Infrastruktur über das Internet erstrecken, ist es Zeit, den eigenen Sicherheitsansatz zu überdenken. Cloud Access Security Broker bieten eine breite Palette von Funktionen in den Bereichen Core-Compliance, Datensicherheit, Bedrohungsschutz und Transparenz. Die wachsende Popularität der Verwendung von Cloud Computing in Unternehmen und die Weiterentwicklung von Brokerage-Services für Cloud-Zugriffssicherheit haben zu einer zunehmenden Akzeptanz von Cloud Computing geführt. CASB wird in Kombination mit zusätzlichen Technologien wie Data Loss Prevention (DLP) und Next Generation Secure Web Gateways eine zentrale Komponente der Secure Access Service Edge (SASE)-Architektur sein. Eine integrierte Security-Service-Edge-Lösung in Kombination mit CASB steuert, wie Daten verwendet, geteilt und erstellt werden – egal, aus welcher Quelle sie stammen.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.