Was ist ein CASB (Cloud Access Security Broker)?

Ein Cloud Access Security Broker (CASB, ausgesprochen KAZ-bee) ist eine ortsfeste oder Cloud-basierte Stelle zur Durchsetzung von Richtlinien, die zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern (CSPs) geschaltet ist, um Cloud-bezogene Aktivitäten zu überwachen und Sicherheits-, Compliance- und Governance-Regeln für die Nutzung von Cloud-basierten Ressourcen anzuwenden. Mit einer CASB kann ein Unternehmen die gleichen Kontrollmechanismen auf die Cloud ausdehnen, die es auch auf die lokale Infrastruktur anwenden würde, und kann verschiedene Arten der Richtliniendurchsetzung kombinieren, z. B.:

• Benutzerauthentifizierung, damit der Zugang nur zu genehmigten Cloud-Diensten gewährt wird.
• Datenschutz durch Verschlüsselung, Tokenisierung oder andere Mittel, damit sensible Informationen nicht in Cloud-Diensten oder gegenüber CSPs offengelegt werden.
• Überwachung der Aktivitäten von Cloud-Diensten, so dass das Verhalten von Benutzern und Unternehmen protokolliert, gekennzeichnet und auf anormale Nutzungsmuster oder kompromittierte Anmeldedaten hin analysiert werden kann.
• Data Loss Prevention (DLP), damit sensible Daten das Unternehmensnetzwerk nicht verlassen können, und Malware-Erkennung und -Beseitigung, damit sensible Daten nicht in das Unternehmensnetzwerk gelangen können.

Der Zweck einer CASB besteht also darin, die Fähigkeit eines Unternehmens zu verbessern, Cloud-Dienste sicher und geschützt zu nutzen. Eine CASB kann als "Sicherheitsknoten" betrachtet werden, über den der Zugriff auf die Cloud-Dienste eines Unternehmens kontrolliert wird. Als Bestandteil der Sicherheitsinfrastruktur eines Unternehmens ergänzt es Technologien wie Unternehmens- und Webanwendungs-Firewalls, IDaaS (IDentity as a Service) und sichere Web-Gateways (SWGs), anstatt sie zu ersetzen.

Die wachsende Bedeutung von CASBs geht einher mit der zunehmenden Verbreitung von Cloud-Diensten und BYOD-Richtlinien ("Bring Your Own Device"), die den Zugriff auf private Laptops, Smartphones, Tablets und andere nicht verwaltete Geräte im Netzwerk erlauben. Die Nutzung von CASBs zur Steuerung einiger oder aller Cloud-Dienste eines Unternehmens nimmt zu, und es wird erwartet, dass sich die Nutzung durch größere Unternehmen verdreifachen wird, von 20% im Jahr 2018 auf 60% im Jahr 2022 (Gartner, 2018). In einem ähnlichen Zeitraum wird der gesamte Markt für Cloud-Sicherheit bis 2023 voraussichtlich auf rund 112 Mrd. US-Dollar ansteigen (Forrester, 2017).

Ursprünglich konzentrierten sich CASBs auf das Aufspüren unbekannter Dienste, die von Einzelpersonen oder Geschäftseinheiten außerhalb der von der IT-Abteilung genehmigten Dienste genutzt wurden. Als Unternehmen jedoch erkannten, dass die Lösung für dieses Problem eher in der kontrollierten Freigabe als in der Entfernung dieser Dienste lag, begannen CASBs, Funktionen in vier Bereichen anzubieten: Datensicherheit, Compliance, Schutz vor Bedrohungen und die Kernfunktion Sichtbarkeit.

Sichtbarkeit

Viele Unternehmen sind bereits dabei, die formale Einführung von Cloud Computing in einer Vielzahl von Geschäftsbereichen zu beschleunigen. Dies kann dazu führen, dass immer mehr Mitarbeiter ihre eigenen Sicherheitsnachweise für IaaS- (Infrastructure as a Service), PaaS- (Platform as a Service), SaaS- (Software as a Service) und jetzt auch FaaS- (Functions as a Service) Ressourcen verwalten. In diesem Umfeld können CASBs dazu beitragen, die Sicherheitslücken zu schließen, die durch die Aushöhlung des zentralisierten Identitäts- und Zugriffsmanagements (IAM) entstanden sind, und die Kontrolle über die Nutzung dieser Dienste zu verbessern, indem sie eine angemessene Barriere darstellen und dennoch die natürliche Geschäftsabwicklung der Mitarbeiter sowohl vor Ort als auch im Außendienst nicht behindern.

Diese Konsolidierung der Cloud-Zugangskontrollen ist hilfreich, wenn bekannt ist, welche Cloud-Dienste genutzt werden, aber sie hilft nicht bei der Schatten-IT. Solche Dienste können genutzt werden, um wahrgenommene oder tatsächliche Unzulänglichkeiten im offiziellen IT-Stack eines Unternehmens zu umgehen, oder sie spiegeln einfach nur die Vorlieben der Benutzer wider. Ihre Nutzung ist keine Aktivität, die unterbunden werden muss, sondern kann für die Produktivität, die Effizienz, die Mitarbeiterzufriedenheit und sogar als Innovationsquelle von entscheidender Bedeutung sein, steht aber wahrscheinlich nicht im Einklang mit den Sicherheitsrichtlinien des Unternehmens oder anderen IT-Anforderungen in Bezug auf Support, Zuverlässigkeit, Verfügbarkeit usw. und kann auch eine Quelle für Malware sein, die zu einer katastrophalen Datenverletzung führen könnte.

Eine CASB kann dazu beitragen, die Schatten-IT eines Unternehmens ans Licht zu bringen. Sie ermöglicht nicht nur die Unterstützung notwendiger Arbeitspraktiken und stellt sicher, dass diese den Auftrag nicht gefährden, sondern zeigt auch die tatsächlichen Cloud-Ausgaben auf, die eine bessere Kostenkontrolle ermöglichen.

Datensicherheit

Viele Unternehmen migrieren ihre IT-Ressourcen bereits von ihren eigenen Rechenzentren in mehrere Clouds, darunter die von Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) und die breite Palette an Online-Anwendungen, die auf dem Markt der SaaS-Anbieter angeboten werden. Mitarbeiter geben bereits sensible Daten über diese Dienste weiter - Office 365, Salesforce, Amazon S3, Workday usw. -, von denen viele eine Art Modell der geteilten Verantwortung anwenden, das die Haftung für die Datensicherheit dem Kunden auferlegt.

Die Bedenken hinsichtlich der Sicherheit der Cloud selbst sind jedoch weitgehend unbegründet. Die Infrastruktur der meisten CSPs, insbesondere derjenigen, die Dienste anbieten, die zum Mainstream geworden sind, ist unbestreitbar sehr sicher. Das Hauptaugenmerk sollte stattdessen auf der korrekten Konfiguration der vom CSP angebotenen Sicherheitskontrollen sowie auf der Identifizierung erforderlicher Kontrollen liegen, die nicht vorhanden sind. In einem kürzlich veröffentlichten Bericht wurde festgestellt, dass allein aufgrund solcher falschen oder fehlenden Konfigurationen über 1,5 Milliarden Dateien in Cloud- und Cloud-bezogenen Diensten wie S3, rsync, SMB, FTP, NAS-Laufwerken und Webservern offengelegt wurden (Digital Shadows, 2018). Es wird erwartet, dass bis 2023 mindestens 99% der Cloud-Sicherheitsausfälle auf Fehler zurückzuführen sein werden, die von Cloud-Service-Kunden und nicht von CSPs gemacht werden (Gartner, 2018). Einige CASBs bieten inzwischen Funktionen für das Cloud Security Posture Management (CSPM) an, um das Konfigurationsrisiko bei IaaS-, PaaS- und SaaS-Angeboten durch zusätzliche Kontrollen wie Verschlüsselung zu bewerten und zu verringern. Ein CASB kann einem Unternehmen eine weitere Absicherung bieten, so dass sensible Daten selbst bei Fehlkonfigurationen nicht gefährdet werden können. Eine solche Versicherung erweist sich als besonders notwendig, wenn ein bestimmter Cloud-Dienst keinen angemessenen Datenschutz bietet oder wenn ein solcher Schutz gegen den CSP selbst erforderlich ist.

Die meisten CASBs haben sich aus einer der beiden anfänglichen Haltungen in Bezug auf die Datensicherheit entwickelt: ein Schwerpunkt auf der Verhinderung von Datenverlusten (DLP) und der Erkennung von Bedrohungen oder die Bereitstellung von Verschlüsselung oder Tokenisierung, um den Schutz der Privatsphäre und die Aufbewahrung von Daten zu gewährleisten. Während diese Ausgangspositionen später erweitert wurden, um alle diese Funktionen abzudecken, gab es eine Verlagerung weg vom Angebot robuster datenzentrierter Sicherheit und Schlüsselverwaltung. Für die meisten CASBs bedeutet Datensicherheit heute in erster Linie DLP, die eine Vielzahl von Mechanismen einsetzt, um sensible Daten in sanktionierten Cloud-Diensten oder beim Hochladen in Cloud-Dienste - sanktioniert oder schattenhaft - zu erkennen und dann Inhalte, die als potenzielle Richtlinienverletzung gekennzeichnet sind, zu blockieren, zu löschen, unter rechtlichen Schutz zu stellen oder in Quarantäne zu stellen. Dies unterstützt in der Regel sowohl Benutzer vor Ort als auch Remote-Cloud-Dienste, sei es über mobile Anwendungen, Webbrowser oder Desktop-Synchronisierungsclients. In Umgebungen, in denen der Datenaustausch innerhalb von und zwischen Cloud-Diensten immer einfacher wird, kann DLP jedoch nur bis zu einem gewissen Grad greifen, bevor es zu einem Verstoß kommt. Jedes Unternehmen, das Daten in der Cloud speichert, sollte sich darüber im Klaren sein, dass eine CASB möglicherweise nicht in der Lage ist, zu erkennen, wie oder mit wem diese Daten aus der Cloud geteilt werden, oder sogar, wer sie geteilt hat.

Starke datenzentrierte Schutzmechanismen können diesem Risiko entgegenwirken, aber obwohl viele CASBs mit der Fähigkeit werben, für die Cloud bestimmte Daten zu verschlüsseln oder mit Token zu versehen, sind diese Funktionen derzeit in der Regel nur auf eine kleine Anzahl von Mainstream-Diensten wie Salesforce und ServiceNow beschränkt. CASBs, die damit begannen, diese Funktionen hinzuzufügen - nicht nur, um die Bewertungen der Analysten zu erfüllen, sondern auch, um wettbewerbsfähig zu bleiben -, mussten feststellen, dass die Kryptografie ein anspruchsvoller technischer Bereich ist. Für die Implementierung und Wartung kryptografischer Systeme ist erhebliches Fachwissen erforderlich, das in der Regel nicht in den Bereich der CASB-Kernkompetenzen fällt. Infolgedessen haben einige CASBs diese Funktionen zurückgezogen oder vermarkten sie nicht mehr aktiv, und einige verschleiern ihre mangelnde Fähigkeit oder eingeschränkte Anwendbarkeit durch verallgemeinerte Behauptungen zur "Datensicherheit", die sich nur auf DLP, adaptive Zugriffskontrolle (AAC) und Ähnliches beziehen.

Obwohl die Verabschiedung des CLOUD-Gesetzes (Clarifying Lawful Overseas Use of Data) in den USA und das wachsende Verständnis der EU-Datenschutzgrundverordnung (GDPR) darauf hindeuten, dass Verschlüsselung und Schlüsselverwaltung zu kritischen Fähigkeiten werden (Gartner, 2019), gibt es eine gewisse Zurückhaltung bei ihrer Einführung, da Verschlüsselung und Tokenisierung, die außerhalb einer SaaS-Anwendung angewendet werden, deren Funktionalität sowie die von integrierten Diensten Dritter beeinträchtigen können. Die fortlaufenden Innovationen in der angewandten Kryptographie, die von einigen Anbietern wie OpenText Voltage zur Verfügung gestellt werden, haben diese Auswirkungen auf die Funktionalität jedoch minimiert, so dass es sich jetzt lohnt, die verbleibenden Auswirkungen im Verhältnis zu den Kosten und Risiken zu bewerten, die entstehen, wenn der Datenschutz auf Feld- und Dateiebene an den ZDA delegiert wird oder wenn er überhaupt nicht angewendet wird.

Compliance

Die Einführung strengerer Datenschutzgesetze in vielen Branchen und Regionen kann sich ebenfalls auf die Geschäftstätigkeit auswirken. Regionale Vorschriften wie die GDPR, der California Consumer Privacy Act (CCPA), das brasilianische Allgemeine Datenschutzgesetz (LGPD) und das indische Gesetz zum Schutz personenbezogener Daten sowie Branchenvorschriften wie die von PCI DSS, SOX, HIPAA, HITECH, FINRA und FFIEC schaffen eine Reihe von Compliance-Anforderungen, deren Komplexität viele Unternehmen zu der konservativsten globalen Position drängt: sicherzustellen, dass die sensiblen Daten des Unternehmens und seiner Kunden immer, überall und so gut wie möglich geschützt sind.

Eine CASB mit starken Datenschutzkontrollen über mehrere Anwendungen hinweg kann dabei helfen, dies zu erreichen; und durch Richtlinienbewusstsein und Datenklassifizierungsfunktionen können CASBs dazu beitragen, die Einhaltung von Gesetzen zum Datenaufenthalt zu gewährleisten und Sicherheitskonfigurationen mit den sich ständig aktualisierenden gesetzlichen Anforderungen zu vergleichen.

Erkennung und Prävention von Bedrohungen

Eine CASB kann das Unternehmen vor dem ständig wachsenden Arsenal an Malware schützen, einschließlich der Einführung und Verbreitung über Cloud-Speicherdienste und die damit verbundenen Sync-Clients und Anwendungen. Eine CASB kann fortschrittliche Bedrohungsdatenquellen nutzen, um Bedrohungen in Echtzeit über interne und externe Ressourcen hinweg zu scannen und zu beseitigen, kompromittierte Benutzerkonten durch die Erkennung und Verhinderung von unbefugtem Zugriff auf Cloud-Dienste und -Daten zu identifizieren und statische und dynamische Analysen mit maschinellem Lernen und UEBA-Funktionen (User Entity Behavior Analytics) zu kombinieren, um anomale Aktivitäten, Ransomware, Datenexfiltrationen usw. zu erkennen.

Wie funktioniert ein CASB?

CASB können als Proxys und/oder als API-Broker eingesetzt werden. Da bestimmte CASB-Funktionen vom Bereitstellungsmodell abhängen, bieten "Multimode"-CASBs - also solche, die sowohl den Proxy- als auch den API-Modus unterstützen - eine größere Auswahl an Möglichkeiten zur Steuerung von Cloud-Diensten.

CASBs, die im Proxy-Modus eingesetzt werden, sind in der Regel auf Sicherheit ausgerichtet und können als Reverse- oder Forward-Proxys im Pfad des Datenzugriffs zwischen dem Cloud-Service-Kunden und dem CSP konfiguriert werden. Reverse-Proxy-CASBs erfordern keine auf den Endgeräten installierten Agenten und eignen sich daher besser für nicht verwaltete Geräte (z. B. BYOD), da keine Konfigurationsänderungen, Zertifikatsinstallationen usw. erforderlich sind. Sie kontrollieren die nicht genehmigte Cloud-Nutzung jedoch nicht so gut wie Forward-Proxy-CASBs, über die der gesamte Datenverkehr von verwalteten Endpunkten geleitet wird, einschließlich des Datenverkehrs zu nicht genehmigten Cloud-Diensten: Das bedeutet, dass einige nicht verwaltete Geräte durch das Netz schlüpfen können. Forward-Proxy-CASBs erfordern daher häufig die Installation von Agenten oder VPN-Clients auf den Endpunkten. Wenn Agenten und VPN-Clients falsch konfiguriert oder versehentlich ausgeschaltet sind, wird sensibler Datenverkehr möglicherweise nicht an die CASB weitergeleitet und die Prüfung umgangen.

CASBs, die im API-Modus eingesetzt werden, konzentrieren sich auf die Verwaltung von SaaS- (und zunehmend auch IaaS- und PaaS-) Anwendungen über die von diesen Diensten bereitgestellten APIs, einschließlich der Überprüfung von Daten im Ruhezustand, Protokolltelemetrie, Richtlinienkontrolle und anderer Verwaltungsfunktionen. Sie funktionieren gut mit nicht verwalteten Geräten, aber da nur die gängigen Cloud-Dienste in der Regel API-Unterstützung bieten - und dies in unterschiedlichem Maße -, ist es unwahrscheinlich, dass reine API-CASBs alle erforderlichen Sicherheitsfunktionen abdecken. Es ist zwar möglich, dass SaaS-Anbieter und andere CSPs ihre APIs verbessern, um diese Lücke zu schließen, aber in der Zwischenzeit bieten reine API-CASBs keine Funktionen, die robust genug sind, um die Anforderungen an Skalierbarkeit und Verfügbarkeit zu erfüllen. Wenn CSPs außerdem die Antworten auf API-Anfragen aufgrund des zunehmenden Datenvolumens, das zwischen Nutzern und Cloud-Diensten ausgetauscht wird, drosseln, kommt es bei CASBs im API-Modus zu unüberschaubaren Leistungseinbußen. Der Proxy-Modus bleibt daher eine wichtige Funktion.

CASBs können in einem Unternehmensrechenzentrum, in einer hybriden Bereitstellung, die sowohl das Rechenzentrum als auch die Cloud umfasst, oder ausschließlich in der Cloud betrieben werden. Unternehmen, die sich auf datenzentrierten Schutz konzentrieren oder die Datenschutzbestimmungen unterliegen, benötigen in der Regel Lösungen vor Ort, um die vollständige Kontrolle über die Sicherheitsinfrastruktur zu behalten. Darüber hinaus kann die Delegierung von Verantwortung und das Erfordernis des Vertrauens Dritter, das reine Cloud-CASBs durch das "Bring Your Own Key"-Modell (BYOK) auferlegen, gegen interne oder externe Richtlinien verstoßen, und diese problematische Position erstreckt sich natürlich auch auf Sicherheitsdienste, die von den CSPs selbst angeboten werden, die ebenfalls verlangen können, die IP-Adressen des CASB auf eine Whitelist zu setzen.

Ist Voltage Secure Data Sentry eine CASB?

Voltage SecureData Sentry ist ein Security Broker, der sich auf den Schutz von Daten spezialisiert hat, nicht nur für Cloud-Services, sondern auch für On-Premises-Anwendungen. Es handelt sich also nicht um eine herkömmliche CASB, da sie nicht versucht, andere Funktionen über die vier Säulen hinweg bereitzustellen. Stattdessen koexistiert Sentry mit CASBs, die sich auf die Bereitstellung dieser ergänzenden Funktionen spezialisiert haben, während sie die kryptografischen Aufgaben übernehmen, um starke datenzentrierte Schutzmechanismen hinzuzufügen, die über SaaS und andere Cloud-Dienste sowie auf kommerzielle und selbst entwickelte Anwendungen in internen Netzwerken angewendet werden können.

Voltage SecureData ist innovativ und standardbasiert und wurde von international anerkannten, unabhängigen kryptografischen Gremien auf seine Sicherheit hin überprüft. Viele führende globale Organisationen aus dem öffentlichen und privaten Sektor sowie aus verschiedenen Branchen vertrauen darauf, dass die sensibelsten Daten der Welt geschützt werden.

Die Format-erhaltende Verschlüsselung (FPE), die sicherstellt, dass der Schutz auf Feldebene so angewandt wird, dass bestehende Datenbankschemata oder SaaS-Feldtyp- oder -größenbeschränkungen nicht verletzt werden, wird mit einem zustandslosen Schlüsselverwaltungssystem kombiniert, das zusätzliche Belastungen für Sicherheitsadministratoren vermeidet. Secure Stateless Tokenization (SST) stellt sicher, dass numerische Felder, die Kreditkartennummern oder SSNs enthalten, ohne den Verwaltungs- oder Leistungsaufwand einer Token-Datenbank geschützt werden. Gleichzeitig können ausgewählte Teile des Feldes, wie die ersten sechs oder letzten vier Ziffern, zur Unterstützung der Weiterleitung oder Kundenüberprüfung unverschlüsselt bleiben. Format-Preserving Hash (FPH) gewährleistet die referenzielle Integrität von Daten für Analysen und andere Anwendungsfälle und erfüllt gleichzeitig Vorschriften wie das Recht auf Löschung gemäß der Datenschutzgrundverordnung. Darüber hinaus bewahrt Sentry durch zusätzliche Innovationen wie sichere lokale Indizes, die Teil- und Wildcard-Suchbegriffe unterstützen, und sichere E-Mail-Adressformatierung für SMTP-Relaying die Anwendungsfunktionalität, die von konkurrierenden Lösungen beeinträchtigt wird.

Unternehmen können Sentry vor Ort und/oder in der Cloud einsetzen. Sentry kommuniziert mit ICAP (Internet Content Adaptation Protocol) fähiger Netzwerkinfrastruktur wie HTTP-Proxys und Load Balancern, um Sicherheitsrichtlinien auf Daten anzuwenden, die in die und aus der Cloud übertragen werden, und es fängt JDBC (Java Database Connectivity) und ODBC (Open Database Connectivity) API-Aufrufe ab, um Sicherheitsrichtlinien auf Daten anzuwenden, die in die und aus der Datenbank übertragen werden. Unabhängig vom Einsatzort behält das Unternehmen die vollständige Kontrolle über die Infrastruktur, ohne Verschlüsselungsschlüssel oder Token-Tresore mit anderen Parteien teilen zu müssen. Der Inspektionsmodus von Sentry stellt sicher, dass Sicherheitsrichtlinien auf die spezifischen Datenfelder und Dateianhänge ausgerichtet werden können, die sensible Informationen enthalten.