Was ist ein CASB? | Cloud Access Security Broker

Ein Cloud Access Security Broker (CASB) bietet eine Reihe von Diensten an, mit denen Unternehmen sich beim Cloud Computing vor Datenschutzverletzungen und Cyberangriffen schützen können.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Den Cloud Access Security Broker (CASB) definieren
  • Erfahren, was CASBs tun
  • Die vier CASB-Säulen entdecken

Ähnliche Inhalte

Zero Trust-Sicherheit

Zugriffskontrolle

Was ist IAM?

Schutz vor Datenverlust (DLP)

URL-Filterung

Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Cloud Access Security Broker (CASB)?

CASB

Ein Cloud Access Security Broker (CASB) ist eine Art von Sicherheitslösung, die zum Schutz von in der Cloud gehosteten Diensten beiträgt. CASBs helfen bei der Absicherung von Dienstleistungen wie Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) gegen Cyberangriffe und Datenlecks. In der Regel bieten CASB-Anbieter ihre Dienste als Cloud-gehostete Software an, einige aber auch in Form On-Premise-installierter Software oder lokaler Hardware.

Eine Reihe verschiedener Sicherheitstechnologien fallen unter den Begriff CASB, und eine CASB-Lösung bietet diese Technologien in der Regel in einem Paket an. Zu diesen Technologien gehören u. a. die Erkennung von Schatten-IT, die Zugriffskontrolle und die Prävention von Datenverlusten (DLP).

Stellen Sie sich eine CASB wie eine physische Sicherheitsfirma vor. Anstelle eines einzigen Wachmanns schützt sie eine Einrichtung mit einer Reihe von Dienstleistungen (Überwachung, Fußpatrouille, Identitätsprüfung usw.). Ähnlich verhält es sich mit CASBs, die nicht nur einen, sondern eine Vielzahl von Diensten anbieten und damit den Schutz von Cloud-Daten vereinfachen.

Was sind die 4 Säulen der CASB-Sicherheit?

CASB-Features

Das einflussreiche Branchenanalyseunternehmen Gartner definiert vier „Säulen“ für Cloud Access Security Broker:

  1. Sichtbarkeit: CASB-Lösungen helfen dabei, „Schatten-IT“ aufzuspüren, also Systeme und Prozesse, insbesondere Clouddienste, die nicht offiziell dokumentiert sind und unbekannte Sicherheitsrisiken mit sich bringen können.
  2. Datensicherheit: CASBs sorgen dafür, dass vertrauliche Daten die von Unternehmen kontrollierten Systeme nicht verlassen, und schützen die Integrität dieser Daten. Diese Fähigkeit ist besonders wichtig angesichts der zunehmenden Verbreitung von KI-Tools, mit denen Mitarbeiter versuchen könnten, geschützte Daten hochzuladen. Wichtige Technologien in diesem Bereich sind Zugriffskontrolle und Schutz vor Datenverlust (DLP).
  3. Schutz vor Bedrohungen: CASBs blockieren externe Bedrohungen und Angriffe und stoppen Datenlecks. Malware-Erkennung, Sandboxing, Paketinspektion, URL-Filterung und Browserisolierung sind Beispiele für Maßnahmen gegen Cyberangriffe.
  4. Compliance: Die Cloud ist naturgemäß verteilt und kann nicht von einem einzelnen Unternehmen kontrolliert werden. Deshalb kann es für Unternehmen, die mit der Cloud arbeiten, schwierig sein, strenge gesetzliche Anforderungen wie SOC 2, HIPAA oder die DSGVO zu erfüllen. In bestimmten Branchen und Regionen riskieren Unternehmen bei Verstößen gegen diese Vorschriften Strafen und Bußgelder. Durch Einführung strenger Sicherheitskontrollen können CASBs Unternehmen mit Daten und Geschäftsprozessen in der Cloud bei der Einhaltung gesetzlicher Vorschriften unterstützen.

Welche Sicherheitsfunktionen bieten CASBs an?

Die meisten CASB-Lösungen bieten einige oder alle der folgenden Sicherheitstechnologien an:

  • Identitätsprüfung: Hiermit wird gewährleistet, dass ein Benutzer derjenige ist, für den er sich ausgibt. Dazu werden mehrere Identitätsmerkmale überprüft, z. B. ein Kennwort oder der Besitz eines physischen Erkennungszeichens.
  • Zugriffskontrolle: Hiermit wird gesteuert, was ein Benutzer in Anwendungen des Unternehmens sehen und tun kann.
  • Ermittlung von Schatten-IT: Erkennt Systeme und Dienste, die von internen Mitarbeitern ohne ausreichende Berechtigung dienstlich genutzt werden.
  • Schutz vor Datenverlust (Data Loss Prevention, DLP): Schließt Datenlecks und verhindert, dass Daten die Plattformen des Unternehmens verlassen.
  • URL-Filterung: Blockiert Websites, die von Angreifern für Phishing- oder Malware-Angriffe genutzt werden.
  • Paketprüfung (Packet Inspection): Hiermit werden im Netzwerk ein- und ausgehende Daten auf böswillige Aktivitäten überprüft.
  • Sandboxing: Hierbei werden Programme und Code in einer isolierten Umgebung ausgeführt, um festzustellen, ob sie schädlich sind oder nicht.
  • Browserisolation: Hierbei wird der Browser auf einem Remote-Server ausgeführt und nicht auf den Geräten der Benutzer. Dadurch sind die Geräte vor potenziellem Schadcode geschützt, der im Browser ausgeführt werden könnte.
  • Malware-Erkennung: Identifiziert Schadsoftware.

Diese Liste ist nicht unbedingt vollständig. CASBs können neben den oben aufgeführten Sicherheitsprodukten noch viele weitere anbieten. Einige dieser Technologien sind auch in anderen Arten von Sicherheitsprodukten enthalten. So bieten viele Firewalls Paketinspektion an und viele Endpunkt-Sicherheitsprodukte Schutz vor Malware. CASBs stellen jedoch speziell für Cloud Computing Pakete aus diesen Technologien zusammen.

Zur Abrundung ihrer CASB-Dienstleistungen haben viele große CASBs irgendwann ein Produkt oder Unternehmen zugekauft und mit ihren bereits vorhandenen Produkten gebündelt, oder sie sind Partnerschaften mit externen Unternehmen eingegangen, um weitere Dienste anbieten zu können.

CASBs und DLP

DLP hat zwar an Bedeutung gewonnen, da datenschutzrechtliche Rahmenbedingungen (wie z. B. die DSGVO) die Unternehmen unter Druck setzen, den Datenschutz zu gewährleisten und Datenlecks zu verhindern, aber herkömmliche DLP-Produkte weisen Schwächen auf, wenn es um den Schutz der modernen Datenlandschaft geht. Eigenständige DLP-Dienste lassen sich nur schwer als zusätzliche Schicht für Cloud Services implementieren. Die Integration von DLP in CASB-Lösungen hilft bei der Bewältigung dieser Herausforderungen und ermöglicht es Unternehmen, ihre Daten zu schützen und Compliance-Anforderungen zu erfüllen.

Was sind die Vorteile von CASBs?

Cloud Computing bedeutet, dass Daten remote gespeichert und über das Internet abgerufen werden. Unternehmen haben in der Cloud somit keine vollständige Kontrolle darüber, wo Daten gespeichert werden und wie Benutzer darauf zugreifen. Clouddaten und Cloudanwendungen sind über jedes mit dem Internet verbundene Gerät und von jedem Netzwerk aus erreichbar, nicht nur dem internen Unternehmensnetzwerk. Ein Nutzer könnte sich beispielsweise von einem ungesicherten Netzwerk aus mit seinem persönlichen Gerät bei einer vom Unternehmen verwalteten SaaS-Anwendung anmelden, was bei Anwendungen, die auf Computern und Servern vor Ort ausgeführt werden, in der Regel nicht möglich ist (es sei denn mit einem Remote-Desktop).

Die Nutzung der Cloud macht es auch schwieriger, Daten vertraulich und sicher zu halten, genauso wie es schwieriger ist, zu verhindern, dass Fremde unsere Unterhaltungen an einem öffentlichen statt an einem privaten Ort belauschen.

Um Daten in der Cloud vollständig zu schützen, nutzen Unternehmen in der Regel auch cloudbasierte Sicherheitsdienste. Manchmal beziehen sie diese Dienste von verschiedenen Anbietern: Sie nutzen eine Plattform für DLP, eine für Identität, eine für Anti-Malware und so weiter. Doch dieser Cloud-Sicherheitsansatz bringt auch Herausforderungen mit sich: Mehrere Verträge müssen separat ausgehandelt werden, Sicherheitsrichtlinien müssen mehrfach konfiguriert werden, die Implementierung und Verwaltung mehrerer Plattformen bedeutet Aufwand für die IT-Abteilung usw.

CASBs sind eine Lösung für diese Herausforderungen. Wenn Sie diese Sicherheitsmaßnahmen von einem Cloud Security Broker statt von mehreren verschiedenen Anbietern beziehen, bedeutet dies:

  1. Alle beteiligten Technologien arbeiten gut zusammen.
  2. Die Verwaltung von Cloud-Sicherheitstools wird dadurch einfacher. IT-Teams brauchen sich nur mit einem Anbieter auseinanderzusetzen und nicht mit einem halben Dutzend. Bei vielen CASBs kann der Kunde außerdem alle Cloud-Sicherheitsdienste über ein einziges Dashboard verwalten.

Was sind die Herausforderungen beim Einsatz einer CASB?

Skalierbarkeit: CASBs müssen eine Vielzahl von Daten und mehrere Cloud-Plattformen und -Anwendungen verwalten. Unternehmen sollten darauf achten, dass ihr CASB-Anbieter mit ihnen mitwachsen kann.

Abwehr: Nicht alle CASBs können erkannte Sicherheitsbedrohungen anhalten. In bestimmten Situationen ist ein CASB ohne Bedrohungsbekämpfungsfunktionen nur von begrenztem Nutzen für ein Unternehmen.

Integration: Unternehmen müssen darauf achten, dass ihr CASB in alle ihre Systeme und Infrastrukturen integriert wird. Ohne vollständige Integration hat der CASB keinen vollständigen Einblick in nicht autorisierte IT und potenzielle Sicherheitsbedrohungen.

Datenschutz: Hält der CASB-Anbieter die Daten geheim oder ist er nur eine weitere externe Partei, die an sensible Daten herankommt? Wenn der CASB die Daten seiner Kunden in die Cloud verschiebt, wie sicher und vertraulich sind sie dann? Dies sind besonders wichtige Fragen für Unternehmen, die strengen Datenschutzbestimmungen unterliegen.

Wer braucht einen CASB?

Die meisten Unternehmen, die sich ganz oder teilweise auf die Cloud verlassen, profitieren von der Zusammenarbeit mit einem CASB-Anbieter. Unternehmen, die Schwierigkeiten haben, das Wachstum von Schatten-IT einzudämmen – heutzutage ein großes Problem für viele Unternehmen – können besonders von CASB-Diensten profitieren.

Wie lassen sich CASBs mit SASE integrieren?

Secure Access Service Edge (SASE) ist ein cloudbasiertes Netzwerkinfrastrukturmodell, das Netzwerk- und Sicherheitsdienste bei einem einzigen Provider zusammenfasst und es Unternehmen erleichtert, den Netzwerkzugang über alle angeschlossenen Geräte hinweg zu sichern und zu verwalten. Genauso wie CASBs eine Vielzahl von Sicherheitsdiensten bündeln, bündelt SASE SD-WANs (neben anderen Netzwerkfunktionen) mit CASBs, Secure Web Gateways (SWG), Zero Trust Network Access (ZTNA), Firewall-as-a-Service (FWaaS) und anderen Netzwerksicherheitsfunktionen. SASE-Lösungen werden auf einem einzigen globalen Netzwerk aufgebaut.

Bietet Cloudflare CASB-Dienste an?

Cloudflare One integriert CASB, DLP, Zero Trust, SWG und Browserisolierung in einer einzigen Plattform. Diese Dienste werden über das Cloudflare-Netzwerk so nah wie möglich am Endbenutzer bereitgestellt und können On-Premise, in der Cloud oder in hybriden Netzwerken eingesetzt werden. Erfahren Sie mehr über Cloudflare One.

Erste Schritte

Über Zugriffsverwaltung

Über Zero Trust

VPN-Ressourcen

Glossar

Navigation Infocenter

© 2024 Cloudflare, Inc.DatenschutzrichtlinieNutzungsbedingungenSicherheitsprobleme berichtenVertrauen und SicherheitMarkenzeichenImpressum