Sicherheit, Kontrolle und Transparenz sind entscheidende Faktoren bei der Cloud-Nutzung. Ein Cloud Access Security Broker (CASB) bündelt mehrere Security-Mechanismen - und erhöht den Schutz der Daten und die Einhaltung von Compliance-Regeln.
Cloud-Services helfen, IT-Infrastrukturen effizienter zu gestalten und Wettbewerbsvorteile zu erzielen – sie sind allerdings auch mit einigen Risiken verbunden. Neben dem möglichen Verlust von Daten etwa durch technische Ausfälle ist die größte Gefahr der unbefugte oder unerwünschte Zugriff durch Dritte. Das sind oft Datendiebe oder Hacker, aber auch datensammelwütige Cloud-Dienstleister oder sogar Staatsorgane. Der NSA-Skandal ist nur ein Beispiel für letzteres, und zeigt, wie sehr Staaten und deren Geheimdienste an persönlichen Daten der Bürger interessiert sind und diese Informationen auch einsehen können.
Cloud-Security in Unternehmen: komplexer Umgang mit multiplen Nutzern
Privatpersonen können die Sicherheit ihrer Daten und Anwendungen durch allgemeine Datenschutzpraktiken verbessern. So sollten Nutzer beispielsweise besonders sichere Passwörter verwenden und ihre Daten sowohl auf dem Weg zum Provider als auch auf dem Serverspeicher verschlüsseln. Darüber hinaus empfiehlt es sich, regelmäßig ein Backup von den Daten zu erstellen – und auf den Serverstandort des Cloud-Anbieters sowie dessen Ruf zu achten.
Für Unternehmen ist die Umsetzung von Cloud-Security ungleich komplexer. Im Enterprise-Segment wird die IT-Infrastruktur von einer Vielzahl von Mitarbeitern genutzt. Deren Identitäten müssen authentifiziert und der Zugriff innerhalb der Cloud autorisiert werden. Die große Herausforderung besteht darin, den Cloud-Zugang vieler Mitarbeiter zu schützen und gleichzeitig die Daten effizient zu verwalten.
Hinzu kommt: Anders als Privatpersonen arbeiten Unternehmen üblicherweise nicht mit einem einzigen Cloud-Dienst. Stattdessen verfügen sie über komplexe Cloud-basierte IT-Infrastrukturen, auf die viele verschiedene Personen Zugriff haben. Viele Mitarbeiter greifen zudem von verschiedenen Standorten und mit unterschiedlichen Geräten auf Cloud-Dienste zu, was die Komplexität weiter erhöht.
CASB – Schaltstelle für Rundum-Sicherheit
Eine solche Vielfalt an möglichen Sicherheits- und Zugriffsproblemen in den Griff zu bekommen ist nicht einfach. Mit einem Cloud Access Security Broker (CASB) lassen sich die Security-Herausforderungen ohne hohen Aufwand bewältigen. Bildlich gesprochen fungiert ein CASB als Wächter, der sich zwischen der On-Premise-Infrastruktur des Unternehmens und dem Netzwerk des Cloud-Anbieters einklinkt. Der große Pluspunkt: die Fülle an Diensten, die ein CASB seinen Nutzern bereitstellt.
- Themenspecial: Cloud-Computing: Garant für Resilienz – oder Risiko?
- Themenspecial: Fallstricke ade: Klare Sicht auf die Cloud
- Business Webinar on Demand: Geeignete Maßnahmen gegen Cyberattacken
- Backup und Disaster Recovery in der IONOS Cloud
Ein CASB bietet grundsätzlich mehrere Services unter einem Dach. Er kann die Benutzerauthentifizierung regeln, den Datenverkehr verschlüsseln, unerwünschten Datenverkehr blockieren, Schadsoftware identifizieren, Warnmeldungen bei verdächtigen Aktionen geben oder zusätzliche Zugangsanforderungen integrieren. Darüber hinaus kann ein CASB auch als Monitoring- und Management-Instrument dienen, über unregelmäßige Vorgänge informieren und festlegen, welche Aktion im Fall einer Sicherheitsmeldung ausgeführt werden soll.
Die Security-Maßnahmen werden im Vorfeld definiert und dann via CASB durchgesetzt. Dazu arbeiten viele CASB mit weiteren Sicherheitslösungen zusammen - etwa solchen für Verschlüsselung, Mehr-Faktor-Authentifizierung, Identity & Access Management (IAM) oder für das Security Information & Event Management (SIEM).
Grundsätzlich ruhen die Wächterfunktionen von CASB auf „vier Säulen“ :
- Sichtbarkeit: Über CASB gewinnen IT-Verantwortliche Einblick in die Cloud-Nutzung, erhalten Transparenz und Kontrolle und können potenzielle Sicherheitsrisiken identifizieren.
- Datensicherheit: CASB schützen die Daten, indem sie sensiblen Datenverkehr zur oder von der Cloud erkennen und die IT bei mutmaßlichen Verstößen automatisch benachrichtigen.
- Kontrolle und Compliance: CASB ermöglicht es Unternehmen, Sicherheitsrichtlinien für die Cloud-Nutzung durchzusetzen und zu gewährleisten, dass Compliance und gesetzliche Vorgaben wie DSGVO, HIPAA und PCI DSS eingehalten werden.
- Bedrohungsschutz: CASB scannen die interne und externe Netzwerke, erkennen Bedrohungen, wehren sie ab und blockieren unberechtigten Zugriff auf Cloud-Services und -Daten.
So wird ein CASB ins Unternehmensnetz integriert
Grundsätzlich sind CASB allen sicherheitsbewussten Cloud-Usern zu empfehlen. Besonders gilt dies aber für Organisationen, in denen unkontrollierte Schatten-IT ein Problem ist oder Compliance-Richtlinien vergleichsweise lax gehandhabt werden – was oft dazu führt, dass einzelne Abteilungen ihre eigenen Cloud-Anwendungen erwerben und verwalten. Auch für Unternehmen, die neben der Sicherheit die tatsächliche Nutzung von Cloud-Diensten und die damit verbundenen Kosten im Auge behalten möchten, ist CASB zu empfehlen.
Inzwischen bietet eine ganze Reihe von Dienstleistern CASB-Services an. Die bekanntesten sind Zscaler, Forcepoint (Bitglass), Netskope und Proofpoint. Eine aktualisierte Übersicht der wichtigsten Anbieter finden Sie hier. Viele CASB unterstützen essentielle Dienste wie Microsoft 365, OneDrive, Box, Google Apps oder Salesforce. Sie können aber auch mit weniger bekannten Programmen arbeiten.
Damit die CASB-Dienste reibungslos funktionieren, sollten sie in die bestehende Infrastruktur des Unternehmens gut integriert sein. Sie können grundsätzlich auf zwei Arten betrieben werden: Cloud-basiert als zentrales Gateway oder lokal als API-Anwendung. Beide Varianten haben Vor- und Nachteile.
CASB als zentrales Gateway
Als zentrales Gateway arbeitet der CASB direkt im Datenstrom und kann bei Sicherheitsproblemen oder Angriffen unmittelbar Abwehrmaßnahmen ergreifen. Der Nachteil dieser Variante ist, dass die Performance der Cloud bei steigender Arbeitsbelastung beeinträchtigt werden kann.
CASB als API-Anwendung implementiert
Für Unternehmen mit vielen Mitarbeitern sind API-basierte Lösungen daher besser geeignet. In diesem Fall befindet sich der CASB außerhalb der direkten Nutzer-Cloud-Kommunikation. In jedem Fall liefern die CASB den IT-Verantwortlichen über leistungsfähige Dashboards einen Überblick über die laufenden Aktivitäten, so dass sie diese stets unter Kontrolle haben.
Maximierung der Cloud-Sicherheit mit CASB: Fazit
Cloud Access Security Broker schützen umfassend vor Cyber-Bedrohungen wie Malware, Phishing-Angriffen und Datenschutzverletzungen. Sie bieten außerdem höhere Sichtbarkeit und Kontrolle der Cloud-Nutzung sowie die einfache Durchsetzung der Security Policies. Somit nehmen CASB in sicherheitsbewussten Unternehmen eine zentrale Wächterfunktion für genutzte Cloud-Services ein.