Definition: CASB

Was ist ein Cloud Access Security Broker?

| Autor / Redakteur: tutanch / Florian Karlstetter

Cloud Access Security Broker: Absicherung des Zugriffs auf Cloud-Dienstleistungen.
Cloud Access Security Broker: Absicherung des Zugriffs auf Cloud-Dienstleistungen. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Beim Cloud Access Security Broker (CASB) handelt es sich um einen Service, der als Wächterinstanz zwischen Anwender und Cloud-Service fungiert. Er sorgt für den sicheren Zugriff auf die verschiedenen Dienste. Der CASB kann eine eigenständige Anwendung oder selbst ein Cloud-Service sein.

Die zentralen Aufgaben des Cloud Access Security Brokers (CASB): Die wichtigste Aufgabe des Cloud Access Security Brokers ist der Schutz von Applikationen, die ein Unternehmen oder eine Organisation in eine Cloud verlagert hat.

Der CASB ist ein Dienst oder eine eigenständige Software, die den Zugriff von Anwendern auf die Cloud-Anwendungen analysiert und steuert. Er kann Zugriffe erlauben oder verhindern. Gleichzeitig protokolliert er alle erfolgten Zugriffe und sorgt für eine lückenlose Dokumentation der kompletten Kommunikation und ausgeführten Aktionen. Unerwünschte Zugriffe lassen sich zuverlässig unterbinden. Werden verdächtige Aktionen erkannt, kann der CASB Administratoren oder andere Stellen alarmieren.

In Cloud-Umgebungen können Cloud Access Security Broker eingesetzt werden, um die durch ein Unternehmen oder eine Organisation zu erfüllenden Sicherheitsrichtlinien durchzusetzen. Dadurch wird das Sicherheitskonzept auf externe Dienstleister und Services erweitert. Notwendig kann dies sein, wenn hohe Anforderungen an den Datenschutz oder strenge Compliance-Richtlinien bestehen wie in bestimmten Wirtschaftsbereichen des Finanzwesens oder des Gesundheitswesens.

Durch den Cloud Access Security Broker werden einheitliche, sichere Zugangsvoraussetzungen geschaffen, bei denen sich sämtliche Anwender gegenüber der Cloud-Anwendung authentifizieren müssen. Gleichzeitig setzt der CASB die Verschlüsselung übertragener Daten voraus. Eine unerwünschte Nutzung der Cloud-Applikationen und das Entstehen einer Schatten-IT durch unkontrollierte Zugänge wird unterbunden. Für einen wirksamen Schutz sind im Vorfeld eindeutige Security-Policies zu definieren. Diese setzt der Cloud Access Security Broker in der Cloud-Umgebung durch. Ein weiteres Anwendungsgebiet des CASB sind die Quantifizierung und Verifizierung der Cloud-Nutzung zu Abrechnungszwecken. Gegenüber dem Dienstleister wird die Nutzung der verschiedenen Services nachweisbar.

Die Implementierungsmöglichkeiten eines Cloud Access Security Brokers

Am Markt sind eine Vielzahl verschiedener Arten Cloud Access Security Broker verfügbar. Grundsätzlich lässt sich abhängig von der Implementierung zwischen zwei Architekturen unterscheiden. Diese beiden Architekturen sind der Gateway-basierte Cloud Access Security Broker und der API-basierte Cloud Access Security Broker. Im Falls des API-basierten CASB befindet sich die kontrollierende Instanz außerhalb des eigentlichen Datenstroms von Anwender und Cloud-Dienst.

Die Anbindung an die Cloud-Applikation erfolgt über eine API (Application Programming Interface). Diese Schnittstelle liefert Informationen über die Nutzung der Cloud-Services und über die mit den Applikationen verbundenen Anwender. Eine unmittelbare Einflussnahme auf die Kommunikation und das direkte Blockieren des Datenstroms sind nicht möglich, da sich die Kontrollinstanz außerhalb des Kommunikationspfades befindet. Die Kontrolle findet über die API durch das Setzen bestimmter Policies und Rechte oder das Ausführen von Funktionen statt. API-basierte CASB bieten den Vorteil, dass die Leistung der kontrollierten Cloud-Applikationen nicht durch den CASB selbst beeinflusst wird. Dadurch ist diese CASB-Architektur prädestiniert für sehr große Cloud-Installationen mit einer Vielzahl von Anwendern.

Der Gateway-basierte CASB befindet sich unmittelbar zwischen der Cloud-Anwendung und den Usern. Er ist an zentraler Stelle installiert und kann direkt Einfluss auf die Kommunikation nehmen. Durch die Platzierung vor der Cloud oder am Rand der Cloud ist der CASB in der Lage, sämtlichen Verkehr zur Cloud und von der Cloud zu analysieren und zu überwachen. Dadurch, dass er sich direkt in den Datenfluss einschleift, ist Verkehr beliebig steuerbar. Dies reicht bis zur vollständigen Blockierung von Daten bestimmter unerwünschter Quellen oder Ziele. Ein gravierender Nachteil dieser Art von Implementierung eines CASB ist, dass die Performance der Kommunikation zwischen Anwender und Applikation unter Umständen durch die Einflussnahme der Kontrollinstanz leidet. Große Installationen mit vielen Anwendern erfordern einen entsprechend leistungsfähigen Cloud Access Security Broker, um die Auswirkungen der Verkehrskontrolle möglichst gering zu halten.

Cloud Access Security Broker

eBOOK

Cloud Access Security Broker

Jedes zweite mittelständische Unternehmen in Deutschland nutzt Anwendungen aus der Cloud. Dabei muss die Einhaltung der Sicherheitsrichtlinien gewährleistet werden. weiter...

Die verschiedenen Möglichkeiten der Absicherung des Cloud-Zugriffs durch den Cloud Access Security Broker

  • Verschlüsselung der Kommunikation - ohne Kenntnis des organisationsspezifischen Schlüssels erhält niemand Zugriff auf die zur und von der Cloud übermittelten Daten
  • Kontrolle sämtlichen Verkehrs - Rechte regeln, welcher Anwender auf welche Applikation Zugriff erhält. Spezielle Schutzmechanismen sichern besonders kritische Daten ab
  • selektiver, geräteabhängiger Datenschutz - Daten werden selektiv gelöscht, wenn Devices von Anwendern verloren oder gestohlen werden
  • Konsolidierung von IT-Sicherheitsrichtlinien - Security-Policies erweitern die Sicherheitsrichtlinien des Unternehmens auf sämtliche Cloud-Zugriffe und Cloud-Applikationen

Aus diesen Absicherungsmöglichkeiten ergeben sich die typischen Funktionen eines Cloud Access Security Brokers. Diese Funktionalitäten sind:

  • Analyse und Überwachung der Kommunikation
  • Authentifizierung der Anwender
  • Durchsetzung von Security-Policies
  • Logging sämtlicher Aktionen sowie Monitoring und Reporting
  • Alarmierung bei Incidents zur direkten Einleitung von abwehrenden Maßnahmen

Die Analyse und Überwachung der Kommunikation zwischen Anwender und Service informiert den Cloud Access Security Broker darüber, wer welche Services nutzt. Er ist in der Lage, Anwender zu authentifizieren und ihnen die zuvor definierten Rechte zur Nutzung bestimmter Applikationen zuzuteilen. Sind Anwender unbekannt oder besitzen nicht die angeforderten Rechte, kann der CASB deren Zugriff blockieren. Gleichzeitig protokolliert er deren Zugangsversuche und alarmiert gegebenenfalls verantwortliche Stellen.

Darüber hinaus kann der CASB verhindern, dass Daten unverschlüsselt zwischen dem Anwender und der Applikation ausgetauscht werden. Um nachträgliche Analysen zur Cloudnutzung durchzuführen, Abrechnungen zu verifizieren oder Kapazitätsentwicklungen zu planen, kann der Cloud Access Security Broker auf Monitoring- und Reportingfunktionen zurückgreifen.

Herausforderungen für den CASB in einer IaaS-Umgebung

In einer IaaS-Umgebung (Infrastructure as a Service) steht der CASB vor besonderen Herausforderungen. Da IaaS nur die Infrastruktur für die Applikationen bereitstellt, müssen Unternehmen in diesen Umgebungen meist selbst für die nötige Sicherheit sorgen. Cloud-Anbieter und Anwender teilen sich in einem Shared-Responsibility-Modell die Verantwortung für die Sicherheit. Doch trägt in dem IaaS-Modell in der Regel der Anwender den Hauptanteil der Sicherheitsverantwortung, denn der Cloud-Anbieter ist nur für Sicherung der Hardware verantwortlich.

Ein Cloud Access Security Broker kann die Aufgabe, für eine sichere Infrastruktur zu sorgen, erfüllen. Der CASB muss allerdings sowohl die virtuelle Infrastruktur sichern als auch die Applikationen und Daten schützen. Ebenfalls sicherzustellen ist die Zugriffskontrolle auf System- und auf Applikationsebene. Besondere Gefahren lauern in den virtuellen Firewalls und im Rechtemanagement. Nachlässigkeiten im Rechtemanagement oder bei der Konfiguration der Firewalls können zu enormen Sicherheitsrisiken führen.

Ein CASB hilft die Konfigurationen der Firewalls und Benutzerkonten im IaaS-Umfeld zu analysieren und deckt eventuelle Lücken in der Sicherheit oder Compliance auf. Dazu zählen zum Beispiel das Erkennen inaktiver Konten, die Anzeige sämtlicher Identitäten und ihrer Zugriffsrechte sowie das Aufspüren offener Netzwerkports oder unerwünschter Kommunikationswege.

Was ist ein Cloud Broker?

Definition: Cloud Broker

Was ist ein Cloud Broker?

27.11.17 - Ein Cloud Broker vermittelt zwischen Provider und Endkunden – und kann insbesondere Unternehmen mit Multi-Cloud-Umgebungen Vorteile bei Interoperabilität, Business Continuity sowie Kosten bieten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Abgeschirmt: Cloud Access Security Broker (CASB)

Sicherheit in der Multi-Cloud-Ära

Abgeschirmt: Cloud Access Security Broker (CASB)

Konventionelle Cloud-Access-Security-Lösungen stoßen schnell an ihre Grenzen in Multi-Cloud-Umgebungen. Cloud Access Security Broker können Abhilfe schaffen. lesen

Grundlagen der Cloud Access Security Broker (CASB)

Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud. lesen

Datenschutz in der Cloud dank DSGVO

DSGVO als Chance betrachten

Datenschutz in der Cloud dank DSGVO

Seit 25. Mai 2018 müssen Unternehmen bei Datenlecks nicht mehr nur um ihre Reputation fürchten. Die EU-Datenschutzgrundverordnung (DSGVO) verordnet strikte Datenschutzvorgaben und bestraft Nicht-Compliance mit nicht unerheblichen Bußgeldern. Unternehmen sollten den neuen Regelkatalog jedoch nicht ausschließlich als drohende Ursache für Abmahnungen und Bußgelder sehen. lesen

Cloud-Sicherheit durch CASB und Verhaltensanalyse

Cloud Security

Cloud-Sicherheit durch CASB und Verhaltensanalyse

Im Zuge der Digitalisierung und steigender Datenmengen setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider. In einer digitalen Welt ohne klare Grenzen ist aber der Faktor Mensch als Schnittstelle zwischen Anwender, kritischen Daten und geistigem Eigentum ausschlaggebend für ein ganzheitliches Sicherheitskonzept. lesen

Ist die DSGVO gut für die Cloud?

Cloud- und Datensicherheit

Ist die DSGVO gut für die Cloud?

Seit dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (EU-DSGVO). Stellt sie viele Unternehmen und Cloud-Anbieter noch immer vor Herausforderungen, ist die DSGVO aber auch eine Chance, das Datenmanagement und Verwaltungsprozesse in der Cloud zu optimieren. Moderne Cloud-Lösungen in Kombination mit innovativen Technologien, wie CASB oder DLP, können dabei ein hilfreiches Werkzeug sein. lesen

CASB als Bestandteil der Cloud-Security-Strategie

Cloud Access Security Broker

CASB als Bestandteil der Cloud-Security-Strategie

Cloud-Anwendungen und mobile Geräte stellen IT-Abteilungen vor die Herausforderung, Unternehmensdaten zu sichern, die sich auf Servern von Drittanbietern befinden und über Netzwerke von Drittanbietern übertragen werden. Eine Aufgabe, die Technologien, die sich ausschließlich auf die Sicherung des Netzwerkperimeters konzentrieren, nicht zuverlässig bewältigen können. lesen

Stagnation und Wachstum bei SaaS

Bitglass verfasst Cloud Adoption Report 2018

Stagnation und Wachstum bei SaaS

Die Cloud hat sich in der Geschäftswelt etabliert – so das Ergebnis einer von CASB-Anbieter Bitglass erstellten Studie. Während allerdings Dienste einiger Anbieter ordentlich zulegen, stagnieren die Angebote anderer. lesen

Beiersdorf nutzt Cloud-Verschlüsselung „Made in Switzerland“

Centraya überzeugt im Live-Einsatz

Beiersdorf nutzt Cloud-Verschlüsselung „Made in Switzerland“

Bereits 2011 startete Beiersdorf seinen Weg in die Cloud und führte sukzessive Salesforce in Deutschland, Frankreich, Belgien und der Schweiz ein. Der Konzern bildet inzwischen sein gesamtes Customer-to-Business-CRM-System mit dieser Cloud-Applikation ab – beispielsweise alle Anfragen, die über die Website von Verbrauchern herangetragen werden. lesen

Endpoint-Schutz für sicheren Zugang zur Cloud

CASB vs. Cloud-Gateway

Endpoint-Schutz für sicheren Zugang zur Cloud

Cloud-Computing birgt im Zusammenspiel mit mobilen Endpoints nicht nur ein großes Produktivitätspotenzial sondern auch viele Risiken für die Unternehmensdaten. Enterprise Mobility Management-Systeme sind ein notwendiges, aber noch kein hinreichendes Mittel, um die mobilen Endpunkte aus ihrem IT-Schatten zu holen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44844403 / Definitionen)