Cloud Access Security Broker

Datenschutz und Security für die Cloud

| Autor / Redakteur: Robert Arandjelovic / Florian Karlstetter

Cloud Access Security Broker greifen in der Regel auf die Log-Files der vorhandenen Security-Systeme zu und analysieren diese gezielt mit Blick auf den Cloud-Traffic. Ein probates Mittel, um Schatten-IT zu vermeiden.
Cloud Access Security Broker greifen in der Regel auf die Log-Files der vorhandenen Security-Systeme zu und analysieren diese gezielt mit Blick auf den Cloud-Traffic. Ein probates Mittel, um Schatten-IT zu vermeiden. (© arrow - Fotolia.com)

Robert Arandjelovic, Director of Security Strategy bei Blue Coat, erläutert, wie moderne Cloud Access Security Broker kritische Daten in Cloud-Anwendungen schützen – und der Schatten-IT einen Riegel vorschieben.

Ob Office-Anwendung, CRM-Software oder Storage: Die Anwendungslandschaften der Unternehmen verschieben sich unaufhaltsam in die Cloud. Und angesichts der enormen Einsparpotenziale und der hohen Flexibilität, die SaaS-Lösungen im Vergleich zu On-Premise-Produkten bieten, scheint auch für viele weitere Dienste der Weg in die Wolke bereits vorgezeichnet.

Das heißt aber nicht, dass er einfach sein wird. Nach wie vor bleiben viele kritische Fragen beim Einsatz von Cloud-Anwendungen unbeantwortet: Wie lässt sich gewährleisten, dass die Mitarbeiter nur von der IT genehmigte Apps verwenden? Wie verhindert man, dass kritische Daten über private Dropbox- oder Box-Accounts mit der ganzen Welt geteilt werden? Wie steht es um die Sicherheit, Integrität und Vertraulichkeit der Daten in der Cloud? Und: Wie stellt man die Einhaltung von Data-Residency-Vorgaben sicher?

Mit dem klassischen Security-Stack aus AV, Firewall, NGFW, WAFs oder IPS lassen sich all diese Fragen nicht beantworten – schließlich werden die Cloud-Anwendungen außerhalb des Perimeters betrieben und bereitgestellt. Unternehmen sind somit auf dedizierte Cloud-Security-Lösungen angewiesen. Eine Schlüsselrolle kommt in diesem Zusammenhang dem Cloud Access Security Broker, kurz CASB, zu.

CASB sind meist Cloud-basierte Security-Plattformen, mit denen Unternehmen gezielt die Zugänge in die Cloud kontrollieren können. In der Praxis kommen sie vorrangig in zwei Szenarien zum Einsatz: Im ersten Schritt nutzen viele Unternehmen den CASB als Audit- oder Visibility-Lösung, um sich einen Überblick über die Cloud-Umgebung (und die Schatten-IT) zu verschaffen. Im zweiten Schritt kommt er dann als Policy-Enforcement- oder Cloud-Data-Protection-Lösung zum Einsatz, um die Durchsetzung der Sicherheits-Richtlinien und den Schutz der Unternehmens-Daten in der Cloud zu gewährleisten.

Der CASB als Visibility- und Intelligence-Lösung

Bevor Unternehmen damit beginnen können, ihre Cloud-Umgebungen zu reglementieren und abzusichern, benötigen die Entscheider zunächst einen klaren Überblick über die Ist-Situation – sprich: darüber, welche legitimen Cloud-Anwendungen vorhanden sind und welche Apps die Mitarbeiter darüber hinaus ohne Wissen der IT verwenden („Schatten-IT“).

CASB-Lösungen wie das CloudSOC von Blue Coat Elastica greifen hierfür einfach auf die Log-Files der vorhandenen Security-Systeme zu und analysieren diese gezielt mit Blick auf den Cloud-Traffic. Die gesammelten Logs werden dann mit einer Cloud-Datenbank von über 10.000 bekannten Cloud-Apps abgeglichen, kategorisiert und nach Risiken bewertet. Auf diese Weise erhalten die Verantwortlichen einen aussagekräftigen Side-by-Side-Vergleich der unternehmensweit eingesetzten Apps – inklusive Traffic-Volumen-Analyse, Anzahl der Zugriffe und vieler weiterer Parameter.

Die Ergebnisse der Analyse sind häufig ernüchternd: In fast allen Unternehmen machen die Schatten-Anwendungen den Löwenanteil der Cloud-Nutzung aus. Laut dem aktuellen „Shadow Data Report 2H 2015“ von Elastica stehen vor allem soziale Apps wie Twitter und Youtube sowie File-Sharing-Plattformen wie Box und Dropbox bei den Anwendern hoch im Kurs. Sie werden mit oder ohne Genehmigung der IT genutzt – auch auf die Gefahr hin, kritische Daten ungeschützt zu übermitteln und zu exponieren.

Der Leistungsumfang des CASB geht daher häufig weit über die reine Erfassung des Ist-Zustands und die Risikobewertung hinaus: Als Security-Analytics-Lösung überwacht er die Infrastruktur durchgehend, um sicherheitsrelevante Vorfälle frühzeitig zu identifizieren. Leistungsfähige DLP-Analysen informieren das IT-Security-Team, wenn kritische Daten gestohlen werden oder das Unternehmen verlassen.

Um eine Strategie für die Verwendung von Cloud-Diensten zu erstellen, sollten die Verantwortlichen zunächst definieren, welche Cloud-Funktionalitäten tatsächlich gewünscht und benötigt werden. In der Regel lässt sich dies gut aus der Analyse der Shadow-IT ableiten: Wenn 80 Prozent der Mitarbeiter Firmendaten über ihre privaten Dropbox-Accounts teilen, ist dies ein guter Indikator dafür, einen offiziellen Filesharing-Dienst zu implementieren – und den unerwünschten Schatten-Anwendungen so den Boden zu entziehen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43886956 / Allgemein)