Cloud Access Security Broker (CASB)

Was ist Cloud Access Security Broker (CASB)?

Vertrauliche Unternehmensdaten befinden sich nicht mehr hinter einer Firewall auf Ihren Servern, sondern sind auf Rechenzentren, Public Clouds und SaaS-Anwendungen verteilt. Und bei der hybriden Arbeit greifen Mitarbeiter über ungesicherte Netzwerke auf Daten und Anwendungen zu. Das bringt für Unternehmen und Sicherheitsteams kritische Sicherheitsherausforderungen mit sich, angefangen bei den Folgenden:

1. Wie verhindern Sie, dass Mitarbeiter vertrauliche Daten in verwalteten und nicht (von der IT) verwalteten Cloud-Anwendungen teilen (hoch-/herunterladen)?

2. Wie kontrollieren Sie die Nutzung von Anwendungen und Services, die nicht ausdrücklich von der IT genehmigt wurden (Schatten-IT)?

3. Wie erfüllen Sie verschiedene Compliance-Vorschriften, die strengen Datenschutz vorschreiben?

4. Wie sichern Sie vertrauliche Daten in der Public Cloud und beschränken den Zugriff auf BYOD?

5. Wie überwachen Sie Daten in der Public Cloud auf Malware, Ransomware usw. und schützen Mitarbeiter vor dem Herunterladen derartiger bösartiger Software?

Die Verfügbarkeit von Cloud-Services per Mausklick bietet Mitarbeitern einen einfachen und ungehinderten Zugriff. Kompliziert wird es, wenn Mitarbeiter bestimmte Anwendungen wie GitHub, Dropbox usw. sowohl für die berufliche als auch für die private Arbeit verwenden, oder Konten zur Datenanalyse oder zur Verwaltung von Projekt-Workflows bei nicht verwalteten Anwendungen erstellen. Aktionen wie diese stellen Sicherheitsteams vor ungeahnte Herausforderungen und setzen die Unternehmensdaten einem enormen Sicherheitsrisiko aus.

CASBs unterstützen die Sicherheitsteams dabei, ihre Kontrolle auf die Cloud auszudehnen, indem sie Einblick in alle von den Mitarbeitern verwendeten Cloud-Services bieten, SaaS-Anwendungen auf potenzielle Bedrohungen überwachen oder scannen, Daten vor Bedrohungen schützen, Compliance-Vorschriften einhalten und die Weitergabe vertraulicher Daten einschränken.  

Eine CASB-Lösung wird über Hardware oder Software vor Ort oder als Cloud-Service bereitgestellt. CASB verwendet Proxy- und API-Methoden, um strenge Sicherheitsprüfungen durchzusetzen: 

• Proxy-Workflow: zur Datenprüfung in Echtzeit.

1. Der Benutzer versucht, auf eine SaaS-Anwendung oder IaaS-Plattform zuzugreifen. Der Datenverkehr wird von CASB abgefangen und eine SSL-Prüfung durchgeführt.

2. CASB validiert die Identität und wendet Richtlinien über Inline-CASB- und Datensicherungskontrollen an, um Upload-, Download- und Freigabeaktivitäten einzuschränken. Die Konformität wird überprüft und der Zugriff wird basierend auf Kontextänderungen in Echtzeit automatisch angepasst.

3. Durch eingeschränkte Aktionen wird dem Benutzer ein sicherer SaaS-Zugriff gewährt, während gleichzeitig nicht autorisiertes Verhalten eingeschränkt wird, um Datenverlust zu verhindern und die Einhaltung von Vorschriften durchzusetzen.

4. Administratoren erhalten Einblick in sämtliche Benutzeraktivitäten beim Zugriff auf die SaaS-Anwendung. Wenn sich die Sicherheitslage ändert oder der Benutzer unbefugte Aktivitäten versucht, wird der Zugriff neu bewertet und die Administratoren werden benachrichtigt.

• API-Workflow: zum Scannen ruhender Daten.

CASB nutzt Out-of-Band-API-Sicherheit (Anwendungsprogrammierschnittstelle) zur Überwachung von Daten, die in Cloud-Services wie Microsoft Office 365, Salesforce, Workday, SharePoint usw. gespeichert sind. CASB lässt sich in die APIs dieser Cloud-Services integrieren und sucht nach Malware, Ransomware, bösartiger Software und anderen Arten von Cyberbedrohungen. 

• Inline-CASB: Setzen beim Verschieben von Daten in die Cloud und aus der Cloud Sicherheitsrichtlinien in Echtzeit durch. Dies kann Authentifizierung, Verschlüsselung und andere Sicherheitskontrollen umfassen.
• SSL-Prüfung zur CASB-Kontrolle: Prüfen Sie verschlüsselten SSL/TLS-Verkehr, um potenzielle Bedrohungen oder Datenlecks zu stoppen, bevor sie auftreten. Durch die Entschlüsselung des Datenverkehrs kann der CASB Sicherheitsrichtlinien zum Schutz vertraulicher Daten anwenden.
• Einblick in Anwendungen und Schatten-IT: Unter Schatten-IT versteht man die Nutzung von Anwendungen und Services ohne ausdrückliche Genehmigung der IT. Mit CASB erhalten Unternehmen Einblick in SaaS-Anwendungen und Schatten-IT, um die mit der genehmigten und nicht genehmigten App-Nutzung verbundenen Risiken besser zu verstehen und zu verwalten.
• Detaillierte Kontrolle eingeschränkter Aktionen: Administratoren können detaillierte Richtlinien festlegen, die bestimmte Aktionen wie das Hochladen, Herunterladen, Teilen von Daten usw. von jeglichen SaaS-Anwendungen aus einschränken. Dies ist eine wichtige Voraussetzung zum Schutz vor Datenverlust und zur Gewährleistung der Einhaltung verschiedener Vorschriften.
• DLP für SaaS-basierte Anwendungen: DLP (Data Loss Prevention) trägt zum Schutz vertraulicher Daten in SaaS-Anwendungen bei, indem potenzielle Datenschutzverletzungen oder unbefugte Zugriffe überwacht, erkennt und blockiert werden. DLP kann reguläre Ausdrücke (Regex) und Wörterbuchabgleich verwenden oder OCR (Optical Character Recognition) nutzen, um vertrauliche Daten zu identifizieren und zu schützen.
• Konformität mit vordefinierten und benutzerdefinierten Wörterbüchern: Es können vordefinierte und benutzerdefinierte Wörterbücher erstellt werden, um die Konformität mit bestimmten Vorschriften wie HIPAA, PCI DSS, DSGVO und NIST sicherzustellen. Diese Wörterbücher enthalten Begriffe und Muster, die für jede Verordnung einzigartig sind und Organisationen dabei helfen, ihren Compliance-Verpflichtungen nachzukommen.