Was ist ein CASB? | Cloud Access Security Broker

Was ist ein Cloud Access Security Broker (CASB)?

Ein Cloud Access Security Broker (CASB) ist ein Unternehmen, das andere Unternehmen beim Schutz ihrer cloud-gehosteten Dienste unterstützt. CASBs helfen bei der Absicherung von Dienstleistungen wie Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) gegen Cyberangriffe und Datenlecks. In der Regel bieten CASBs ihre Dienste als Cloud-gehostete Software an, einige aber auch in Form lokal installierter Software oder lokaler Hardware.

Eine Reihe verschiedener Sicherheitstechnologien fallen unter den Begriff CASB, und ein CASB bietet diese Technologien in der Regel in einem Paket an. Zu diesen Technologien gehören u. a. die Erkennung von Schatten-IT, die Zugriffskontrolle und die Prävention von Datenverlusten (DLP).

Stellen Sie sich eine CASB wie eine physische Sicherheitsfirma vor. Anstelle eines einzigen Wachmanns schützt sie eine Einrichtung mit einer Reihe von Dienstleistungen (Überwachung, Fußpatrouille, Identitätsprüfung usw.). Ähnlich verhält es sich mit CASBs, die nicht nur einen, sondern eine Vielzahl von Diensten anbieten und damit den Schutz von Cloud-Daten vereinfachen.

Welche Bereiche werden durch CASBs hauptsächlich geschützt?

Das einflussreiche Branchenanalyseunternehmen Gartner definiert vier „Säulen“ für Cloud Access Security Broker:

1. Sichtbarkeit: CASBs helfen dabei, „Schatten-IT“ aufzuspüren, also Systeme und Prozesse, insbesondere Clouddienste, die nicht offiziell dokumentiert sind und unbekannte Sicherheitsrisiken mit sich bringen können.
2. Datensicherheit: CASBs sorgen dafür, dass vertrauliche Daten die von Unternehmen kontrollierten Systeme nicht verlassen, und schützen die Integrität dieser Daten. Die relevanten Technologien in diesem Bereich sind Zugriffskontrolle und Schutz vor Datenverlust (data loss prevention, DLP).
3. Schutz vor Bedrohungen: CASBs blockieren externe Bedrohungen und Angriffe und stoppen Datenlecks. Malware-Erkennung, Sandboxing, Paketinspektion, URL-Filterung und Browserisolierung sind Beispiele für Maßnahmen gegen Cyberangriffe.
4. Compliance: Die Cloud ist naturgemäß verteilt und kann nicht von einem einzelnen Unternehmen kontrolliert werden. Deshalb kann es für Unternehmen, die mit der Cloud arbeiten, schwierig sein, strenge gesetzliche Anforderungen wie SOC 2, HIPAA oder die DSGVO zu erfüllen. In bestimmten Branchen und Regionen riskieren Unternehmen bei Verstößen gegen diese Vorschriften Strafen und Bußgelder. Durch Einführung strenger Sicherheitskontrollen können CASBs Unternehmen mit Daten und Geschäftsprozessen in der Cloud bei der Einhaltung gesetzlicher Vorschriften unterstützen.

Welche Sicherheitsfunktionen bieten CASBs an?

Die meisten CASBs bieten einige oder alle der folgenden Sicherheitstechnologien an:

• Identitätsprüfung: Hiermit wird gewährleistet, dass ein Benutzer derjenige ist, für den er sich ausgibt. Dazu werden mehrere Identitätsmerkmale überprüft, z. B. ein Kennwort oder der Besitz eines physischen Erkennungszeichens.
• Zugriffskontrolle: Hiermit wird gesteuert, was ein Benutzer in Anwendungen des Unternehmens sehen und tun kann.
• Ermittlung von Schatten-IT: Erkennt Systeme und Dienste, die von internen Mitarbeitern ohne ausreichende Berechtigung dienstlich genutzt werden.
• Schutz vor Datenverlust (Data Loss Prevention, DLP): Schließt Datenlecks und verhindert, dass Daten die Plattformen des Unternehmens verlassen.
• URL-Filterung: Blockiert Websites, die von Angreifern für Phishing- oder Malware-Angriffe genutzt werden.
• Paketprüfung (Packet Inspection): Hiermit werden im Netzwerk ein- und ausgehende Daten auf böswillige Aktivitäten überprüft.
• Sandboxing: Hierbei werden Programme und Code in einer isolierten Umgebung ausgeführt, um festzustellen, ob sie schädlich sind oder nicht.
• Browserisolation: Hierbei wird der Browser auf einem Remote-Server ausgeführt und nicht auf den Geräten der Benutzer. Dadurch sind die Geräte vor potenziellem Schadcode geschützt, der im Browser ausgeführt werden könnte.
• Malware-Erkennung: Identifiziert Schadsoftware.

Diese Liste ist nicht unbedingt vollständig. CASBs können neben den oben aufgeführten Sicherheitsprodukten noch viele weitere anbieten. Einige dieser Technologien sind auch in anderen Arten von Sicherheitsprodukten enthalten. So bieten viele Firewalls Paketinspektion an und viele Endpunkt-Sicherheitsprodukte Schutz vor Malware. CASBs stellen jedoch speziell für Cloud Computing Pakete aus diesen Technologien zusammen.

Zur Abrundung ihrer CASB-Dienstleistungen haben viele große CASBs irgendwann ein Produkt oder Unternehmen zugekauft und mit ihren bereits vorhandenen Produkten gebündelt, oder sie sind Partnerschaften mit externen Unternehmen eingegangen, um weitere Dienste anbieten zu können.

Warum verwenden Unternehmen CASBs?

Cloud Computing bedeutet, dass Daten remote gespeichert und über das Internet abgerufen werden. Unternehmen haben in der Cloud somit keine vollständige Kontrolle darüber, wo Daten gespeichert werden und wie Benutzer darauf zugreifen. Clouddaten und Cloudanwendungen sind über jedes mit dem Internet verbundene Gerät und von jedem Netzwerk aus erreichbar, nicht nur dem internen Unternehmensnetzwerk. Ein Nutzer könnte sich beispielsweise von einem ungesicherten Netzwerk aus mit seinem persönlichen Gerät bei einer vom Unternehmen verwalteten SaaS-Anwendung anmelden, was bei Anwendungen, die auf Computern und Servern vor Ort ausgeführt werden, in der Regel nicht möglich ist (es sei denn mit einem Remote-Desktop).

Die Nutzung der Cloud macht es auch schwieriger, Daten vertraulich und sicher zu halten, genauso wie es schwieriger ist, zu verhindern, dass Fremde unsere Unterhaltungen an einem öffentlichen statt an einem privaten Ort belauschen.

Um Daten in der Cloud vollständig zu schützen, nutzen Unternehmen in der Regel auch cloudbasierte Sicherheitsdienste. Manchmal beziehen sie diese Dienste von verschiedenen Anbietern: Sie nutzen eine Plattform für DLP, eine für Identität, eine für Anti-Malware und so weiter. Doch dieser Cloud-Sicherheitsansatz bringt auch Herausforderungen mit sich: Mehrere Verträge müssen separat ausgehandelt werden, Sicherheitsrichtlinien müssen mehrfach konfiguriert werden, die Implementierung und Verwaltung mehrerer Plattformen bedeutet Aufwand für die IT-Abteilung usw.

CASBs sind eine Lösung für diese Herausforderungen. Wenn Sie diese Sicherheitsmaßnahmen von einem Cloud Security Broker statt von mehreren verschiedenen Anbietern beziehen, bedeutet dies:

1. Alle beteiligten Technologien arbeiten gut zusammen.
2. Die Verwaltung von Cloud-Sicherheitstools wird dadurch einfacher. IT-Teams brauchen sich nur mit einem Anbieter auseinanderzusetzen und nicht mit einem halben Dutzend. Bei vielen CASBs kann der Kunde außerdem alle Cloud-Sicherheitsdienste über ein einziges Dashboard verwalten.

Was sind die Herausforderungen beim Einsatz einer CASB?

Skalierbarkeit: CASBs müssen eine Vielzahl von Daten und mehrere Cloud-Plattformen und -Anwendungen verwalten. Unternehmen sollten darauf achten, dass ihr CASB-Anbieter mit ihnen mitwachsen kann.

Abwehr: Nicht alle CASBs können erkannte Sicherheitsbedrohungen anhalten. In bestimmten Situationen ist ein CASB ohne Bedrohungsbekämpfungsfunktionen nur von begrenztem Nutzen für ein Unternehmen.

Integration: Unternehmen müssen darauf achten, dass ihr CASB in alle ihre Systeme und Infrastrukturen integriert wird. Ohne vollständige Integration hat der CASB keinen vollständigen Einblick in nicht autorisierte IT und potenzielle Sicherheitsbedrohungen.

Datenschutz: Hält der CASB-Anbieter die Daten geheim oder ist er nur eine weitere externe Partei, die an sensible Daten herankommt? Wenn der CASB die Daten seiner Kunden in die Cloud verschiebt, wie sicher und vertraulich sind sie dann? Dies sind besonders wichtige Fragen für Unternehmen, die strengen Datenschutzbestimmungen unterliegen.

Wer braucht einen CASB?

Die meisten Unternehmen, die sich ganz oder teilweise auf die Cloud verlassen, profitieren von der Zusammenarbeit mit einem CASB-Anbieter. Unternehmen, die Schwierigkeiten haben, das Wachstum von Schatten-IT einzudämmen – heutzutage ein großes Problem für viele Unternehmen – können besonders von CASB-Diensten profitieren.

Wie lassen sich CASBs mit SASE integrieren?

Secure Access Service Edge (SASE) ist ein cloudbasiertes Netzwerkinfrastrukturmodell, das Netzwerk- und Sicherheitsdienste bei einem einzigen Provider zusammenfasst und es Unternehmen erleichtert, den Netzwerkzugang über alle angeschlossenen Geräte hinweg zu sichern und zu verwalten. Genauso wie CASBs eine Vielzahl von Sicherheitsdiensten bündeln, bündelt SASE SD-WANs (neben anderen Netzwerkfunktionen) mit CASBs, Secure Web Gateways (SWG), Zero Trust Network Access (ZTNA), Firewall-as-a-Service (FWaaS) und anderen Netzwerksicherheitsfunktionen. SASE-Lösungen werden auf einem einzigen globalen Netzwerk aufgebaut.

Bietet Cloudflare CASB-Dienste an?

Cloudflare Zero Trust ist ein Paket aus einer Reihe von Cloudflare-Sicherheitslösungen zum Schutz von Unternehmensdaten. Cloudflare Access bietet identitätsbasierte Zugriffskontrolle für intern verwaltete Anwendungen, wofür man traditionell ein VPN braucht. Cloudflare Gateway schützt Clientgeräte vor Malware, blockiert böswillige Websites und filtert Inhalte. Cloudflare Gateway enthält außerdem eine Browserisolierungstechnologie zum Schutz vor schädlichem JavaScript-Code im Browser.

Cloudflare Zero Trust unterstützt beim Schutz von Clouddiensten und Unternehmen, die diese nutzen. Informieren Sie sich über Cloudflare for Teams oder andere Technologien zur Zugriffskontrolle.