Suchen

Definition: CASB Was ist ein Cloud Access Security Broker?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Florian Karlstetter

Beim Cloud Access Security Broker (CASB) handelt es sich um einen Service, der als Wächterinstanz zwischen Anwender und Cloud-Service fungiert. Er sorgt für den sicheren Zugriff auf die verschiedenen Dienste. Der CASB kann eine eigenständige Anwendung oder selbst ein Cloud-Service sein.

Cloud Access Security Broker: Absicherung des Zugriffs auf Cloud-Dienstleistungen.
Cloud Access Security Broker: Absicherung des Zugriffs auf Cloud-Dienstleistungen.
(Bild: gemeinfrei (geralt / pixabay) / CC0 )

Die zentralen Aufgaben des Cloud Access Security Brokers (CASB): Die wichtigste Aufgabe des Cloud Access Security Brokers ist der Schutz von Applikationen, die ein Unternehmen oder eine Organisation in eine Cloud verlagert hat.

Der CASB ist ein Dienst oder eine eigenständige Software, die den Zugriff von Anwendern auf die Cloud-Anwendungen analysiert und steuert. Er kann Zugriffe erlauben oder verhindern. Gleichzeitig protokolliert er alle erfolgten Zugriffe und sorgt für eine lückenlose Dokumentation der kompletten Kommunikation und ausgeführten Aktionen. Unerwünschte Zugriffe lassen sich zuverlässig unterbinden. Werden verdächtige Aktionen erkannt, kann der CASB Administratoren oder andere Stellen alarmieren.

In Cloud-Umgebungen können Cloud Access Security Broker eingesetzt werden, um die durch ein Unternehmen oder eine Organisation zu erfüllenden Sicherheitsrichtlinien durchzusetzen. Dadurch wird das Sicherheitskonzept auf externe Dienstleister und Services erweitert. Notwendig kann dies sein, wenn hohe Anforderungen an den Datenschutz oder strenge Compliance-Richtlinien bestehen wie in bestimmten Wirtschaftsbereichen des Finanzwesens oder des Gesundheitswesens.

Durch den Cloud Access Security Broker werden einheitliche, sichere Zugangsvoraussetzungen geschaffen, bei denen sich sämtliche Anwender gegenüber der Cloud-Anwendung authentifizieren müssen. Gleichzeitig setzt der CASB die Verschlüsselung übertragener Daten voraus. Eine unerwünschte Nutzung der Cloud-Applikationen und das Entstehen einer Schatten-IT durch unkontrollierte Zugänge wird unterbunden. Für einen wirksamen Schutz sind im Vorfeld eindeutige Security-Policies zu definieren. Diese setzt der Cloud Access Security Broker in der Cloud-Umgebung durch. Ein weiteres Anwendungsgebiet des CASB sind die Quantifizierung und Verifizierung der Cloud-Nutzung zu Abrechnungszwecken. Gegenüber dem Dienstleister wird die Nutzung der verschiedenen Services nachweisbar.

Die Implementierungsmöglichkeiten eines Cloud Access Security Brokers

Am Markt sind eine Vielzahl verschiedener Arten Cloud Access Security Broker verfügbar. Grundsätzlich lässt sich abhängig von der Implementierung zwischen zwei Architekturen unterscheiden. Diese beiden Architekturen sind der Gateway-basierte Cloud Access Security Broker und der API-basierte Cloud Access Security Broker. Im Falls des API-basierten CASB befindet sich die kontrollierende Instanz außerhalb des eigentlichen Datenstroms von Anwender und Cloud-Dienst.

Die Anbindung an die Cloud-Applikation erfolgt über eine API (Application Programming Interface). Diese Schnittstelle liefert Informationen über die Nutzung der Cloud-Services und über die mit den Applikationen verbundenen Anwender. Eine unmittelbare Einflussnahme auf die Kommunikation und das direkte Blockieren des Datenstroms sind nicht möglich, da sich die Kontrollinstanz außerhalb des Kommunikationspfades befindet. Die Kontrolle findet über die API durch das Setzen bestimmter Policies und Rechte oder das Ausführen von Funktionen statt. API-basierte CASB bieten den Vorteil, dass die Leistung der kontrollierten Cloud-Applikationen nicht durch den CASB selbst beeinflusst wird. Dadurch ist diese CASB-Architektur prädestiniert für sehr große Cloud-Installationen mit einer Vielzahl von Anwendern.

Der Gateway-basierte CASB befindet sich unmittelbar zwischen der Cloud-Anwendung und den Usern. Er ist an zentraler Stelle installiert und kann direkt Einfluss auf die Kommunikation nehmen. Durch die Platzierung vor der Cloud oder am Rand der Cloud ist der CASB in der Lage, sämtlichen Verkehr zur Cloud und von der Cloud zu analysieren und zu überwachen. Dadurch, dass er sich direkt in den Datenfluss einschleift, ist Verkehr beliebig steuerbar. Dies reicht bis zur vollständigen Blockierung von Daten bestimmter unerwünschter Quellen oder Ziele. Ein gravierender Nachteil dieser Art von Implementierung eines CASB ist, dass die Performance der Kommunikation zwischen Anwender und Applikation unter Umständen durch die Einflussnahme der Kontrollinstanz leidet. Große Installationen mit vielen Anwendern erfordern einen entsprechend leistungsfähigen Cloud Access Security Broker, um die Auswirkungen der Verkehrskontrolle möglichst gering zu halten.

Die verschiedenen Möglichkeiten der Absicherung des Cloud-Zugriffs durch den Cloud Access Security Broker

  • Verschlüsselung der Kommunikation - ohne Kenntnis des organisationsspezifischen Schlüssels erhält niemand Zugriff auf die zur und von der Cloud übermittelten Daten
  • Kontrolle sämtlichen Verkehrs - Rechte regeln, welcher Anwender auf welche Applikation Zugriff erhält. Spezielle Schutzmechanismen sichern besonders kritische Daten ab
  • selektiver, geräteabhängiger Datenschutz - Daten werden selektiv gelöscht, wenn Devices von Anwendern verloren oder gestohlen werden
  • Konsolidierung von IT-Sicherheitsrichtlinien - Security-Policies erweitern die Sicherheitsrichtlinien des Unternehmens auf sämtliche Cloud-Zugriffe und Cloud-Applikationen

Aus diesen Absicherungsmöglichkeiten ergeben sich die typischen Funktionen eines Cloud Access Security Brokers. Diese Funktionalitäten sind:

  • Analyse und Überwachung der Kommunikation
  • Authentifizierung der Anwender
  • Durchsetzung von Security-Policies
  • Logging sämtlicher Aktionen sowie Monitoring und Reporting
  • Alarmierung bei Incidents zur direkten Einleitung von abwehrenden Maßnahmen

Die Analyse und Überwachung der Kommunikation zwischen Anwender und Service informiert den Cloud Access Security Broker darüber, wer welche Services nutzt. Er ist in der Lage, Anwender zu authentifizieren und ihnen die zuvor definierten Rechte zur Nutzung bestimmter Applikationen zuzuteilen. Sind Anwender unbekannt oder besitzen nicht die angeforderten Rechte, kann der CASB deren Zugriff blockieren. Gleichzeitig protokolliert er deren Zugangsversuche und alarmiert gegebenenfalls verantwortliche Stellen.

Darüber hinaus kann der CASB verhindern, dass Daten unverschlüsselt zwischen dem Anwender und der Applikation ausgetauscht werden. Um nachträgliche Analysen zur Cloudnutzung durchzuführen, Abrechnungen zu verifizieren oder Kapazitätsentwicklungen zu planen, kann der Cloud Access Security Broker auf Monitoring- und Reportingfunktionen zurückgreifen.

Herausforderungen für den CASB in einer IaaS-Umgebung

In einer IaaS-Umgebung (Infrastructure as a Service) steht der CASB vor besonderen Herausforderungen. Da IaaS nur die Infrastruktur für die Applikationen bereitstellt, müssen Unternehmen in diesen Umgebungen meist selbst für die nötige Sicherheit sorgen. Cloud-Anbieter und Anwender teilen sich in einem Shared-Responsibility-Modell die Verantwortung für die Sicherheit. Doch trägt in dem IaaS-Modell in der Regel der Anwender den Hauptanteil der Sicherheitsverantwortung, denn der Cloud-Anbieter ist nur für Sicherung der Hardware verantwortlich.

Ein Cloud Access Security Broker kann die Aufgabe, für eine sichere Infrastruktur zu sorgen, erfüllen. Der CASB muss allerdings sowohl die virtuelle Infrastruktur sichern als auch die Applikationen und Daten schützen. Ebenfalls sicherzustellen ist die Zugriffskontrolle auf System- und auf Applikationsebene. Besondere Gefahren lauern in den virtuellen Firewalls und im Rechtemanagement. Nachlässigkeiten im Rechtemanagement oder bei der Konfiguration der Firewalls können zu enormen Sicherheitsrisiken führen.

Ein CASB hilft die Konfigurationen der Firewalls und Benutzerkonten im IaaS-Umfeld zu analysieren und deckt eventuelle Lücken in der Sicherheit oder Compliance auf. Dazu zählen zum Beispiel das Erkennen inaktiver Konten, die Anzeige sämtlicher Identitäten und ihrer Zugriffsrechte sowie das Aufspüren offener Netzwerkports oder unerwünschter Kommunikationswege.

(ID:44844403)

Über den Autor