Blitzableiter : Wie Unternehmen mit einem Cloud-Access-Security-Broker (CASB) die Risiken der Cloud-Nutzung reduzieren können
Mit einem Cloud-Access-Security-Broker (CASB) können Unternehmen eine sichere und compliancekonforme Cloud-Nutzung ermöglichen und Schatten-IT beseitigen. Bei seiner Implementierung sollten sie sich an einigen bewährten Best-Practices orientieren.
Von Carsten Hoffmann, München
Die zunehmende Verbreitung von Cloud-Anwendungen in Unternehmen stellt die klassische IT-Security vor eine große Herausforderung. Mit klassischen IT-Sicherheitstools, die auf den Schutz geschlossener Firmennetzwerke ausgelegt sind, lässt sich die Nutzung von Diensten wie Microsoft Office 365, Salesforce oder Dropbox durch Mitarbeiter nicht überwachen und steuern. So bieten etwa Web-Security-Gateways vor allem die Möglichkeit, unerwünschte oder potenziell gefährliche Webseiten zu blockieren – ein Compliance-konformer Einsatz von Cloud-Diensten lässt sich damit aber nicht gewährleisten.
Cloud-Anwendungen deshalb einfach zu verbieten und zu blockieren, ist aber natürlich nicht wirklich eine Alternative, denn sie werden schließlich aus guten Gründen genutzt. Zum einen treiben Unternehmen den Cloud-Einsatz selbst voran, um von Vorteilen wie Flexibilität, Skalierbarkeit oder ortsunabhängigem Zugriff zu profitieren. Zum anderen forcieren aber auch die großen Anbieter wie Microsoft, SAP oder Salesforce diese Tendenz: Sie stellen den Support für ihre On-Premises-Lösungen peu à peu ein und lassen Unternehmen dadurch oft gar keine andere Wahl mehr, als auf Cloud-Angebote auszuweichen.
Ein weiterer Treiber für Cloud-Anwendungen in Unternehmen ist die zunehmende Zahl mobiler und Remote-Mitarbeiter. Dieser Trend hat durch die Coronakrise noch einmal einen deutlichen Schub erhalten, der von Dauer sein dürfte. Zum „New Normal“ gehört, dass erheblich mehr Menschen mobil und in den eigenen vier Wänden arbeiten werden als früher – und da ist es schlichtweg praktikabler, Software-as-a-Service-Plattformen (SaaS) zu nutzen.
Damit gehen aber oft noch zusätzliche Herausforderungen für die IT-Sicherheit einher: Nicht wenige Mitarbeiter nutzen unterwegs und zu Hause Plattformen wie Zoom oder Slack einfach auf eigene Faust und schaffen damit eine Schatten-IT in der Cloud. Dabei verwenden sie zudem häufig auch eigene, private Endgeräte, die sich komplett außerhalb der Kontrolle durch die Unternehmens-IT befinden.
Cloud überwachen und steuern
Bewältigen lassen sich solche Herausforderungen mithilfe eines sogenannten Cloud-Access-Security-Broker (CASB). Dabei handelt es sich um eine On-Premises-Software oder einen cloudbasierten Service, der zwischen Nutzer und Cloud-Anwendungen geschaltet wird, um den Datenverkehr zu protokollieren, zu analysieren und zu steuern. Ein CASB überwacht die Kommunikation, unterbindet unerwünschten Traffic und alarmiert bei verdächtigen Aktionen die Sicherheitsverantwortlichen. So erhalten Unternehmen die Möglichkeit, ihre Richtlinien auch in MultiCloud-Umgebungen durchzusetzen.
Für das Einbringen eines CASB in den Datenfluss gibt es im Wesentlichen zwei Möglichkeiten: via Application-Programming-Interface (API) und via Proxy. Ein API-basierter CASB dockt über die entsprechende Schnittstelle direkt an die Cloud-Applikation an und erhält vom API Informationen über die verbundenen Anwender und ihr Nutzungsverhalten (vgl. Abb. 1). Bei der proxybasierten Variante durchläuft der Datenverkehr hingegen ein zentrales Gateway, das zwischen Anwender und Cloud-Anwendung geschaltet wird (vgl. Abb. 2). Mit Software-Agenten lassen sich dabei sowohl Endgeräte, die vom Unternehmen gestellt werden, als auch private Devices der Mitarbeiter einbinden.
Die zentralen Features eines CASB werden im Folgenden näher beleuchtet.
Abbildung 1: Bei einem Proxybasierten CloudAccess-SecurityBroker (CASB) durchläuft der Datenverkehr ein zentrales
Gateway, das zwischen Anwender und Cloud-Anwendung geschaltet wird (im Bild mithilfe verschiedener Forcepoint-Produkte).
Abbildung 2: Durch die Integration von CASB-Funktionalität in DLP-Lösungen können Administratoren übergreifende Richtlinien für On-Premises und die Cloud festlegen.
Cloud-Anwendungen erkennen
Durch den Abgleich von Protokolldateien mit einem Katalog für Cloud-Anwendungen können Unternehmen automatisiert ermitteln, welche Applikationen von welchen Mitarbeitern an welchen Standorten und mit welchen Endgeräten genutzt werden. Regelmäßige automatische Updates des Katalogs sorgen dafür, dass sie dabei immer auf dem aktuellen Stand sind.
Risiken bewerten und Daten klassifizieren
Basierend auf gesetzlichen Anforderungen, Branchenzertifizierungen oder eigenen internen Maßstäben lässt sich das Risiko jeder Cloud-Anwendung kategorisieren. Vertrauliche und regulierte Daten können identifiziert und katalogisiert werden. Dadurch können Unternehmen Compliance zu Verordnungen wie PCI, SOX oder HIPAA sicherstellen.
Zugriffe gerätebasiert steuern
Zugriffe auf Cloud-Anwendungen lassen sich mit feingranularen Richtlinien gezielt steuern. So können Unternehmen beispielsweise generell verhindern, dass Mitarbeiter persönliche Daten, die nicht in der Cloud gespeichert werden sollen, dort ablegen. Durch gerätespezifische Richtlinien können die Zugriffe aber auch abhängig davon gesteuert werden, welche Devices die Mitarbeiter benutzen. So ist es etwa möglich, auf privaten Endgeräten zwar die Erstellung von Dokumenten in Microsoft Office 365 zu erlauben, das Herunterladen der Dokumente auf diese Geräte aber zu unterbinden.
Freigaben sensibler Daten steuern
Mithilfe von Richtlinien können Unternehmen zudem verhindern, dass Mitarbeiter versehentlich kritische Dateien mit sensiblen Informationen wie personenbezogenen Daten, Finanzdaten oder geschütztem geistigem Eigentum zugänglich machen. Damit können sie in SaaS-Umgebungen eine produktive aber dennoch sichere Zusammenarbeit mit Dritten realisieren.
Sicherheits- und Compliance-Lücken schließen
Unternehmen können die Sicherheitskonfigurationen für ihre Cloud-Anwendungen mit bewährten branchenüblichen Verfahren und gesetzlichen Vorgaben wie PCI, DSS, NIST oder DSGVO vergleichen. Das ermöglicht es, Lücken in Sicherheits- und Compliance-Richtlinien ausfindig zu machen und zu schließen.
Bedrohungen erkennen
Durch die Überwachung und Analyse des Datenverkehrs können Unternehmen potenzielle Gefahren erkennen. Dabei lässt sich der Traffic nach unterschiedlichsten Kriterien auswerten, etwa Benutzer (normale Anwender, privilegierte Nutzer, Administratoren), Gruppen, Standorte, Geräte oder Anwendungsaktionen. Durch die Erstellung üblicher Nutzungsmuster und den Abgleich mit dem tatsächlichen Userverhalten offenbart ein CASB Insider-Bedrohungen oder fahrlässiges Verhalten von Mitarbeitern. Auch ehemalige Mitarbeiter, die immer noch Zugriff auf Cloud-Anwendungen mit geschäftskritischen Daten haben, kann man so aufdecken.
Schadsoftware abwehren
Mit fortgeschrittener Malware-Detection kann ein CASB bösartige ausführbare Dateien automatisch erkennen und verhindern, dass sie in Cloud-Anwendungen gespeichert werden.
Risiken beseitigen
Mit speziellen integrierten Workflows lassen sich Aufgaben zur Risikobeseitigung zuweisen und ausführen. Alternativ besteht oft zudem die Möglichkeit, den CASB hierzu in Ticketsysteme zu integrieren. Darüber hinaus sollte er sich auch in Lösungen zum Security-Information-und -Event-Management (SIEM), für die Identitäts- und Zugriffsverwaltung (IAM) sowie die Verwaltung mobiler Geräte (MDM) integrieren lassen, um eine nahtlose, ganzheitliche Lösung zum Schutz von Cloud-Anwendungen zu ermöglichen.
Ein CASB reduziert mit all diesen Features also vor allem die Risiken der Cloud-Nutzung, sodass Unternehmen ihren Mitarbeitern damit guten Gewissens eine breitere Nutzung von Cloud-Anwendungen ermöglichen können. Ein aktuelles Beispiel ist etwa die Video-Conferencing-Plattform Zoom: Sie wird von vielen Mitarbeitern im Homeoffice eingesetzt, bringt aber einige Probleme in Sachen Sicherheit und Governance mit sich. Mit einem CASB können Unternehmen diese Probleme lösen – indem sie etwa Fileuploads, Chats oder Aufnahmen blockieren – und ihren Mitarbeitern den Einsatz von Zoom dadurch dennoch erlauben können.
Best Practices
Um die Möglichkeiten eines CASB voll auszuschöpfen, gilt es bei der Implementierung einige zentrale Best Practices zu beachten – Unternehmen sollten …
- … ein Team für Cloud-Governance bilden: In ihm sollten folgende Key-Stakeholder vertreten sein – die IT Management und Wissen Cloud-Access-Security-Broker
- … die Cloud-Anwendungen identifizieren, die am meisten von den Mitarbeitern genutzt werden und für das Geschäft des Unternehmens am wichtigsten sind: Das kann eine Anwendung sein, die der CEO einsetzt oder eine Applikation, die hunderte Mitarbeiter im Kundenservice nutzen.
- … regulatorische und unternehmensspezifische Risiken identifizieren, die sich mit einem CASB beseitigen lassen: Das können etwa das Teilen sensibler Daten in FileSharing-Systemen über öffentliche Links sein, Fehler von Cloud-Administratoren oder auch Mitarbeiter, die von ihren privaten Endgeräten aus auf Cloud-Anwendungen zugreifen.
- … sich auf bewährte UseCases konzentrieren, die bereits bewiesen haben, dass sie die Risiken der Cloud-Nutzung reduzieren können: In hochregulierten Branchen wie dem Finanzwesen ist das etwa die Kontrolle über die Bewegung von Finanzdaten, bei Unternehmen aus dem Gesundheitswesen oder Behörden die Kontrolle über persönliche Daten.
- … priorisieren, welche UseCases den größten Wert versprechen und sich mit geringem Aufwand umsetzen lassen – in einem Pilotprojekt können Unternehmen dann einen ersten Use-Case realisieren und ausgiebig testen.
- … sich auf die „Lessons Learned“ aus dem Pilotprojekt konzentrieren und die Roll-outs der nächsten wichtigen Use-Cases entsprechend korrigieren.
- … erzielte Resultate kontinuierlich messen – den Maßstab hierfür liefert die Frage, wieviel CloudNutzung der CASB im Unternehmen ermöglicht.
Abteilung, die Verantwortlichen für IT-Sicherheit und Datenschutz, die Fachabteilungen, das Finanzwesen sowie die Rechtsabteilung.
Von Stand-alone bis Konvergenz
Für die Zukunft ist zu erwarten, dass CASBs als Stand-alone-Lösungen eher die Ausnahme als die Regel sein werden. Um die Evolution der Cloud-Access-Security-Brokers zu verstehen, lohnt sich ein Blick zurück an die Anfänge.
Entstanden sind CASBs mit dem Aufkommen von Cloud-Anwendungen zu Beginn der 2010er-Jahre. Dabei bildeten sich vor allem zwei „Hot Spots“ heraus, die unterschiedliche Ansätze verfolgten: die USA (genauer gesagt Kalifornien) und Israel. Der US-amerikanische Ansatz hatte vor allem das Motiv, Schatten-IT zu bekämpfen. Die dort entwickelten CASBs verschafften Unternehmen Transparenz darüber, welche Cloud-Applikationen ihre Mitarbeiter nutzen und ermöglichten es, unerwünschte, weil zu riskante Anwendungen zu verbieten und risikolose Applikationen zu erlauben. Die in Israel entwickelten Lösungen konzentrierten sich hingegen vor allem darauf, die Nutzung von Cloud-Anwendungen durch die Mitarbeiter zu kontrollieren, indem sie deren Verhalten in den Anwendungen analysierten.
Mit dem exponentiellen Wachstum der Cloud-Anwendungen in der Mitte der 2010er Jahre stieg die Bedeutung von CASBs enorm an. Die Folge: Viele der CASB-Start-ups aus Kalifornien und Israel wurden von großen etablierten Software- und IT-Sicherheitsunternehmen akquiriert. Diese Anbieter haben dann die beiden unterschiedlichen Ansätze in ihren CASBs zusammengeführt.
Heute steht der CASB-Markt am Anfang einer dritten Welle, die man mit „Konvergenz“ typisieren könnte – Anbieter haben damit begonnen, ihre CASBs mit anderen bestehenden Produkten zu integrieren. Dabei bilden sich im Wesentlichen zwei neue Richtungen heraus: Einerseits werden CASBs in „Secure-Access-Service-Edge“-Plattformen (SASE) aufgehen. Mit dem SASE-Konzept formulierte der Marktforscher Gartner 2019 ein neues Architekturmodell für Networking und Security: Sicherheits- und Netzwerkfunktionen sollen in einem ganzheitlichen, Cloud-nativen Service zusammengeführt werden. Eines der zahlreichen Sicherheitstools, die Gartner als Bestandteil dieses konvergenten Services aufführt, ist ein CASB.
Nicht alle Unternehmen werden aber SASE-Plattformen einführen – zumindest nicht in der unmittelbaren Zukunft. Sie können von der zweiten Richtung der Konvergenz profitieren: der Integration von CASB-Funktionen in Lösungen für Data-Leakage/Loss-Prevention (DLP). Legen Administratoren im DLP-System Sicherheitsrichtlinien für die On-Premises-Umgebung fest, werden diese automatisch auch auf die Cloud angewendet – einen eigenständigen, separaten CASB benötigen sie dadurch nicht mehr.
Carsten Hoffmann ist Manager Sales Engineering bei Forcepoint.