Cloud Insights: CASB – Wächter Ihrer Cloud-Umgebung

CASB – Wächter Ihrer Cloud-Umgebung

Ein CASB-Service ist eine Cloud-Native-Lösung, die als »Wächter« zwischen den Endanwender/-innen und den Cloud-Diensten fungiert. CASB steht als Abkürzung für Cloud Access Security Broker und ist aufgrund seiner Funktion als Wächter in der Lage, die Kommunikation zu überwachen, zu protokollieren und – sein Hauptzweck – die Kommunikation zu steuern.

Mithilfe der Kommunikationssteuerung eines CASB können Sie Ihre eigenen Sicherheitsrichtlinien auf die Nutzung von Cloud-Diensten ausdehnen und durchsetzen. Der Dienst kann Sie dann bei verdächtigem Datenverkehr alarmieren oder unerwünschte Aktivitäten gar verhindern.

Für einen CASB-Service ergeben sich eine Vielzahl von Einsatzszenarien:

• Erkennung von nicht-freigegebenen Cloud-Diensten (Schatten-IT)
• Erkennung und darauf aufbauend die Bewertung von Risiken bereits genutzter Cloud-Dienste
• Implementierung und Anwendung interner Sicherheitsrichtlinien, um regulatorische Anforderungen zu erfüllen
• Überprüfung der Cloud-Nutzungskosten und interne Weiterberechnung
• Erkennung und Blockierung ungewöhnlicher Aktivitäten kompromittierter Benutzerzugänge
• Vorbeugung von Datenverlust
• Zusammenarbeit im Unternehmen und mit Dritten an unternehmenskritischen Informationen

Da ein CASB den gesamten Datenstrom überwacht, kann dieser so zur Einhaltung von Compliance-Anforderungen, seien es gesetzliche Vorgaben (Bsp. EU-DSGVO) oder auch branchenspezifische Standards (Bsp. TISAX im Automobilsektor), beitragen. In Folge der Überwachung des gesamten Datenverkehrs können Sie so unverschlüsselte Kommunikation unterbinden.

Wenn Sie einen CASB im Proxy-Modus einsetzen (gleich mehr zu den Implementierungsvarianten), unterstützt er Sie sowohl bei der Identifikation nicht zur Nutzung freigegebener Cloud-Dienste, sogenannte »Schatten-IT«, als auch bei der Risikobewertung bereits genutzter Cloud-Dienste.

Dank der Protokollierungsfunktion eines CASB lassen sich die Kosten, die Ihnen für die Cloud-Nutzung durch den oder die jeweiligen Anbieter in Rechnung gestellt werden, überprüfen. Auf diese Weise können Sie diese zudem intern an die verursachenden Kostenstellen weiterberechnen (»Verursacher-Prinzip«). Mittels der integrierten Richtlinien und der Zugriffskontrolle lässt sich pro Bereich oder Abteilung genau steuern, welche Cloud-Dienste genutzt werden dürfen. Folglich behalten Sie die Kontrolle über Ihre Kosten und deren weitere Optimierung.

Für die Implementierung eines CASB gibt es im Wesentlichen zwei Varianten: In der 1. Variante erfolgt die Anbindung mittels »Application Programming Interface« (API) an den oder die Cloud-Dienste. Die Schnittstelle liefert Ihnen so Informationen über die Nutzung der Cloud-Dienste und über deren Anwender/-innen. Aufgrund der API-basierten Implementierung hat ein CASB keinen Einfluss auf die Leistung des jeweiligen Cloud-Dienstes und ist daher für umfangreiche Installationen mit vielen Anwender/-innen geeignet. Da sich der CASB-Service als Kontrollinstanz nicht im Datenverkehr befindet, kann kein Einfluss auf die Kommunikation, z. B. die Blockierung des Datenstroms, genommen werden.

In der 2. Variante wird der CASB als »Gateway« an zentraler Stelle, meist vor der Perimeter-Firewall, implementiert. Der CASB wird in diesen Fällen als Forward- oder Reverse-Proxy betrieben. Als Gateway-basierte Implementierung kann ein CASB Einfluss auf den Datenverkehr nehmen. Im Gegensatz zur API-Variante können Sie hier die Kommunikation beliebig steuern und so den Datenfluss von unerwünschten Quellen oder zu unerwünschten Zielen unterbinden. In diesem Szenario greift der CASB direkt in den Datenverkehr ein; bei großen Installationen sollten Sie somit auf leistungsfähige CASB achten, da andernfalls Verzögerungen bei der Arbeit mit den Cloud-Diensten auftreten können.

Hinsichtlich der verschiedenen Funktionen eines CASB gibt es Überschneidungen mit anderen technischen Lösungen. Diese Lösungen fokussieren sich zumeist auf einen anderen, dedizierten Anwendungszweck und bilden nur eine der vielen Funktionen eines CASB ab. Die Erfassung und Sichtbarkeit von genutzten Cloud-Diensten basiert hierbei auf der Sammlung von Logdateien und ist daher auch mit Next-Generation Firewalls (NGFW) oder Secure Web Gateways (SWG) grundsätzlich möglich. Die Kommunikationssteuerung im Sinne von Zugriffsrechten auf einen Cloud-Dienst kann zum Beispiel durch eine Zero-Trust-Network-Access-Lösung (ZTNA) erfolgen. Den gesamten Funktionsumfang und den damit verbundenen ganzheitlichen Ansatz bieten in der Regel allerdings nur CASB-Lösungen.

Bei der Auswahl einer konkreten CASB-Lösung für den Einsatz in Ihrem Unternehmen sollten Sie neben den technischen Aspekten, die in den vorhergehenden Absätzen erläutert worden sind, und der Betrachtung der Investitions- sowie Betriebskosten auch Ihre bestehende Infrastruktur sowie bereits eingesetzte Hersteller berücksichtigen. So können Sie die Aufwände zur Einarbeitung oder auch im späteren Betrieb geringhalten, weil Ihnen zum Beispiel die Administrationsoberfläche schon aus anderen Lösungen des gleichen Herstellers bekannt ist. Gleichwohl bieten viele Hersteller Integrationen ihrer Lösungen innerhalb des eigenen Portfolios an und gewährleisten somit ein umfassendes Schutzniveau.

Neben dem eigenverantwortlichen Betrieb einer solchen Lösung können Sie diese auch im Rahmen eines Managed Service einsetzen. Ihre IT kann somit einen 24x7-Betrieb gewährleisten, ohne dass sie die Verantwortung für die notwendige Plattform oder Betriebsaufwände tragen muss. Den internen IT-Mitarbeiter/ innen selbst bleibt so mehr Zeit für Projektaufgaben.

Abwehr von Cyberangriffen

Im globalen Pandemie-Jahr 2020 nahm die Anzahl an Cyberangriffen erneut rapide zu. Eines der Hauptziele eines solchen Angriffs ist es, wichtige Unternehmensdaten zu finden, diese außerhalb der Unternehmensinfrastruktur zu speichern und das angegriffene Unternehmen infolgedessen mit einem Lösegeld zu erpressen. Durch die Überwachung und Protokollierung des Benutzerverhaltens und damit auch die Identifizierung nicht-normalen Verhaltens, sogenannter Anomalien, bietet eine CASB-Lösung den Vorteil, einen Cyberangriff zu erkennen. Den kriminell-orientierten Upload von Unternehmensdaten kann ein CASB direkt verhindern. Aufgrund der richtlinienbasierten Zugriffskontrolle wird der Zugriff auf nicht-freigegebene Cloud-Dienste von vornherein unterbunden. Betroffenen Unternehmen wird so ein (kleines) Zeitfenster geschaffen, weitere Aktionen auszuführen, um den Angriff abzuwehren. Der Einsatz einer CASB-Lösung spart Unternehmen somit sowohl direkte Kosten, die unmittelbar bei einem Cyberangriff anfallen können (Lösegeldforderungen, Inanspruchnahme ungeplanter IT-Security-Dienstleistungen), als auch Folgekosten, die nach einem entdeckten Cyberangriff entstehen (Dienstleistungskosten für forensische Untersuchungen, Überarbeitung und Erweiterung der Sicherheitsinfrastruktur usw.).

Fördermöglichkeiten

Als Sicherheitslösung ist ein CASB-Dienst aktuell im Rahmen vieler Förderprogramme zur digitalen Transformation grundsätzlich förderfähig. Stellvertretend möchten wir Ihnen zwei Programme auf Bundesebene nennen: einerseits das Programm für Unternehmen des Mittelstands (3 bis 499 Mitarbeitende) »Digital Jetzt« und andererseits das Krankenhauszukunftsgesetz (KHZG) für Kliniken.

Im Rahmen von »Digital Jetzt« bietet das Fördermodul 1 »Investition in digitale Technologien« die Möglichkeit, eine CASB-Lösung fördern zu lassen. Für Kliniken kommt der Fördertatbestand 10 »IT-Sicherheit« des »Krankenhauszukunftsfonds« (KHZF) zum Tragen.

Als BAS-berechtigtes IT-Beratungsunternehmen beraten wir Sie gerne über die weiteren Fördermöglichkeiten des KHZG/KHZF. Je nach Bundesland bestehen auch zusätzliche Optionen für Sicherheitslösungen und auch weitere IT-Infrastrukturlösungen.

Sprechen Sie uns an! Wir beraten Sie dazu sehr gerne. Kontaktieren Sie uns unter leipzignoSpam@softline-group.com oder +49 341 24051-0.

Wir freuen uns auf Sie!