Cloud Security Access Broker

Cloud Security als Herausforderung

| Autor / Redakteur: David Kühner / Florian Karlstetter

Ein Cloud Access Security Broker deckt viele Bereiche ab, so auch Visibility, Compliance, Data Security und Threat Protection.
Ein Cloud Access Security Broker deckt viele Bereiche ab, so auch Visibility, Compliance, Data Security und Threat Protection. (Bild: iT-Cube Systems)

Die Herausforderungen der Cloud stellen ganz neue Ansprüche an die IT-Security. Das Aufkommen der Cloud bedeutet schlussendlich, dass Teile der Arbeitsprozesse und der sensitiven Daten eines Unternehmens auf der Infrastruktur von Cloud Service Providern ablaufen bzw. abgespeichert werden.

Je nach Modell – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) – sind die Möglichkeiten darauf beschränkt eigene Software zu verwenden oder Einstellungen zu modifizieren. Das wiederum macht es komplexer, die Sicherheit der Systeme und der darauf liegenden Daten zu gewährleisten, denn Service Provider kümmern sich hauptsächlich um den Betrieb der Infrastruktur und haben zudem keine direkte Verantwortung für die Daten.

Dennoch ist es zumindest teilweise möglich, die bestehenden Security-Lösungen auf die Cloud auszuweiten. So können beispielsweise Security Information and Event Management (SIEM)-Systeme Logs von Cloud Services anbinden und verarbeiten. Durch die Entwicklung wohldurchdachter Use Cases können somit Angriffe oder Policyverstöße frühzeitig erkannt werden. Viele namhafte Hersteller haben sich schon der neuen Herausforderung angenommen und ihre Produkte dementsprechend angepasst. So ist es einigen Data Loss Prevention-Lösungen möglich, Daten in der Cloud zu scannen und zu kategorisieren. Auch Malware-Erkennung findet heutzutage durchaus für Daten in Cloud Services Anwendung. Häufig laufen diese Lösungen sogar in der Cloud selbst und arbeiten eng mit den Cloud Service Anbietern zusammen, um eine reibungslosere Funktionalität zu gewährleisten.

Neue Entwicklung: Cloud Access Security Broker

Natürlich gibt es auch Neuentwicklungen auf dem Markt. Das beste Beispiel dafür sind so genannte Cloud Access Security Broker (CASB). Als eine rein auf Cloud Security spezialisierte Entwicklung zielt diese Lösung drauf ab, eine Oberfläche zu bieten, die alle für die Cloud Security relevanten Funktionen vereint.

Zunächst die Grundfunktionalitäten im Überblick:

1. Sichtbarkeit herstellen

Erste Priorität ist die Schaffung der Visibilität. Damit ist die Erkennung von Shadow-IT bzw. von Cloud Services gemeint, die innerhalb eines Unternehmens zum Einsatz kommen. Den meisten Unternehmen fehlt nämlich der Überblick über die bereits von diversen Mitarbeitern oder ganzen Abteilungen verwendeten Cloud-Dienste, ebenso wie eine Möglichkeit diese Security-technisch einzuschätzen.

2. Lösungen einbinden und Kontrolle schaffen

Sind sie identifiziert, werden im nächsten Schritt diese eingesetzten Cloud Services analysiert und abgesichert. Hierfür können sowohl eingebaute Mechanismen, als auch externe Lösungen eingebunden werden. Dazu gehören meist

  • eine Identity and Access Management (IAM)-Lösung, um den Zugang zur Cloud zu regulieren,
  • eine Lösung zur Verschlüsselung, wie etwa ein HSM Modul um Data at Rest zu schützen,
  • Data Loss Prevention Policies um zu verhindern, dass Daten ungesichert abfließen können,
  • gegebenenfalls Scans nach potenzieller Malware innerhalb der Cloud.

Zusätzlich kann Obfuskierung eingesetzt werden, um genau definierte Daten zu verschleiern, wie beispielsweise nutzerbezogene Daten.

3. Absichern

Im letzten Schritt werden Cloud Services abgesichert, die akzeptiert bzw. toleriert werden müssen. Denn oft können einige Cloud Services innerhalb eines Unternehmens nicht einfach geblockt werden, da sie im produktiven Betrieb eingesetzt werden und nicht ohne größeren Aufwand wieder entfernt werden können.

Funktionsbereiche eines CASB

Gartner teilt die Schlüsselfunktionen eines CASB in vier Teilbereiche auf: Visibility, Compliance, Data Security und Threat Protection.

Visibilität

Um einen CASB im vollen Umfang einzusetzen, sind zunächst Logdaten von Proxies oder Firewalls vonnöten. Anhand dieser kann der CASB die Analyse durchführen welche Cloud Services bewusst oder unbewusst im Unternehmen im Einsatz sind. Die Logs werden dabei entweder als Datei direkt hochgeladen, oder von einer kleinen VM innerhalb des Unternehmensnetzwerkes gesammelt und von dort in die Cloud gesendet.

Durch Parsen der Log-Daten kann der CASB identifizieren, mit welchen Cloud Services kommuniziert wurde. Die Informationen über die Verbindungen werden konsolidiert und können in Reports und Dashboards dargestellt werden. Auch eine Bewertung der verwendeten Cloud Services wird vorgenommen, einschließlich einer ausführlichen Beschreibung, wie es zu dieser kam. Somit kann individuell festgestellt werden, ob ein Dienst für die weitere Benutzung innerhalb des Unternehmens geeignet ist. Anschließend ist es möglich, den Dienst entweder in die Verwaltung durch den CASB zu übernehmen, oder aber ihn durch eine Integration mit z.B. dem Proxy zu blocken. Die Möglichkeiten bei der Verwaltung sind von Dienst zu Dienst unterschiedlich. Dies wiederum fließt ebenfalls in die Bewertung mit ein. Durch die Verwendung dieser Shadow-IT-Erkennung ist es dem Unternehmen möglich, endlich Übersicht über die Verwendung von Cloud Diensten zu erhalten und somit den Grundstein für weitere Handlungen im Cloud Security-Umfeld zu legen.

Compliance

Im Bereich Compliance geht es vor allem darum, ob und wie ein Unternehmen mit oder trotz der Nutzung von Cloud Services noch Regularien und Standards erfüllen kann. So dürfen beispielsweise bestimmte Daten nach europäischem Recht nicht außerhalb der EU gespeichert werden. Durch die Risikobewertung und Detailinformationen über alle verwendeten Cloud Services, sowie Informationen darüber was, von wem, wann, wohin und warum kopiert wurde, kann ein Unternehmen seinen Compliance Status nachweisen bzw. durch Policies und gezieltes Blocken regulieren. So kann durch den Einsatz eines CASBs beispielsweise reguliert werden, welcher Nutzer auf welchen Dienst zugreifen darf. Hierbei finden meist IAM Systeme Anwendung. Diese ermöglichen es, insoweit sie bei allen verwendeten Cloud Services angewandt werden können, Nutzer auch über mehrere Cloud Services hinweg zu erkennen und zu verwalten.

Data Security

Ebenfalls von großer Bedeutung ist der Bereich Data Security. Hierbei geht es darum sicherzustellen, dass Daten entsprechend ihrer Klassifizierung behandelt werden. Diese kann beispielsweise festlegen, dass es nicht erlaubt ist, eine Datei in der Cloud abzuspeichern. Oder eine Verschlüsselung der Daten kann verlangt werden. Ebenfalls ist es möglich, Teile der Daten, wie etwa nutzerbezogene Daten, zu obfuskieren. Um diese Funktionalitäten zu bieten, verwenden CASBs entweder eigene Entwicklungen wie DLP Policies oder auch das inline Obfuskieren von Daten, bevor sie in der Cloud gespeichert werden. Alternativ werden bereits vorhandene Lösungen anderer Anbieter integriert, wie etwa DLP Systeme mittels ICAP. Dies ermöglicht dem Unternehmen die Sicherstellung der Datensicherheit auch von Daten innerhalb der Cloud, selbst wenn diese von der Cloud auf Geräte übertragen werden, die sich nicht im Unternehmensnetzwerk befinden.

Threat Protection

Der Bereich Threat Protection ist äußerst umfangreich. Hierbei geht es beispielsweise um die Zugangskontrolle zu Cloud Services mit bestimmten Geräten oder die Erkennung von Malware innerhalb der Cloud, sowie die Erkennung von Anomalien im Nutzerverhalten oder gar komplexerer Angriffsmuster. Auch hier sind sowohl vom CASB Anbieter selbst entwickelte Mechanismen im Einsatz, wie auch integrierte, bereits im Unternehmen verwendete Lösungen.

Aufbau eines CASB

Ein CASB lässt sich auf viele Arten einbinden und verwenden. Je nachdem welche Funktionen ausgeübt werden sollen, müssen hierbei mehrere Methoden gleichzeitig zum Einsatz kommen.

Der CASB an sich ist hierbei selbst meist als eine Art SaaS aufgebaut. Die verwendeten Komponenten wiederum können aber auch on-premises stehen. So wird beispielsweise häufig eine virtuelle Maschine innerhalb des Unternehmens dafür verwendet, Log Daten von Proxies oder Firewalls zu sammeln und zur Verarbeitung an den CASB zu schicken. Auch für die Verschlüsselung oder das Obfuskieren kann eine lokale Maschine im Einsatz sein, die dann wiederum mit einem HSM Modul zusammenarbeitet. Somit wird sichergestellt, dass die Schlüssel bzw. die Zuordnung von realen Nutzerdaten zu obfuskierten Daten im Unternehmen verbleiben.

David Kühner, Dipl.-Inform., OSCP, CEH, CCSP, Consultant IT-Security bei iT-Cube Systems.
David Kühner, Dipl.-Inform., OSCP, CEH, CCSP, Consultant IT-Security bei iT-Cube Systems. (Bild: iT-Cube Systems)

Um den CASB zur Verwaltung und Steuerung der verwendeten Cloud Services zu verwenden, muss er zudem den Datenverkehr zwischen dem Unternehmen und dem Cloud Service sehen und in diesen gegebenenfalls eingreifen können. Wenn jedoch reaktive Möglichkeiten als ausreichend angesehen werden, wird der CASB per API an den Cloud Service angebunden. Für die erste Variante ist entweder ein Reverse oder ein Forward Proxy, in einigen Fällen sogar beides vonnöten. Zu guter Letzt ist es bei manchen CASB Anbietern möglich, Agenten einzusetzen. Dies ist für manche Cloud Services nötig, speziell bei Apps welche zur Synchronisation von Daten verwendet werden.

Ein voll integrierter CASB stellt derzeit wohl die beste Möglichkeit dar, Cloud Dienste zu verwalten und abzusichern, sowie den Überblick zu behalten. Meist ist der Einsatz weiterer Technologien vonnöten. Diese können jedoch mit dem CASB gekoppelt und von dort verwaltet bzw. verwendet werden.

* David Kühner, Dipl.-Inform., OSCP, CEH, CCSP, Consultant IT-Security bei iT-Cube Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45000918 / Compliance)