zurück zur Übersicht

Mit CASB auf Wolke Sieben

Der Regenschirm für die Cloud: CASBDie Cloud wird schon sicher sein

Leider wird noch immer häufig angenommen „jemand anderes“ würde sich um die Sicherheit der Daten innerhalb eines Cloud Services kümmern. Das ist nur bedingt richtig. Cloud Anbieter sichern selbstverständlich ihre Systeme physikalisch und logisch ab. Dennoch gilt: Schlussendlich bleibt die Verantwortung für die Daten beim Besitzer selbst.

Je nachdem ob es sich um IaaS, PaaS oder SaaS handelt verschiebt sich die Grenze für die Verantwortung in Teilbereichen. Matthias Röhr hat in seinem Beitrag einen guten Überblick dazu gegeben. Das Fazit bleibt: früher oder später muss der Nutzer in seiner Cloud für Sicherheit sorgen.

„Kleine“ Fehler

Manchmal reicht schon eine falsche Konfiguration aus, um Daten frei verfügbar zu machen. Datenverluste sind somit vorprogrammiert. Sehen konnte man das vor kurzem bei Time Warner wo ein Konfigurationsfehler durch einen Drittanbieter dazu führte, dass eine Datenbank mit den Daten von ca. 4 Millionen Nutzern öffentlich zugänglich war.

Aber das ist nicht die einzige Möglichkeit, wie Daten aus der Cloud abfließen. Die Cloud liegt im Normalfall außerhalb des Unternehmensnetzwerkes. Sie wird so von den meisten traditionellen Sicherheitslösungen nicht geschützt. Der unternehmensinterne Schutz am Perimeter hat keine Wirkung, Software Lösungen können teilweise nicht verwendet werden (vor allem bei SaaS der Fall) und die Daten können ohnehin von irgendwo in der Welt abgefragt werden – was in vielen Fällen ja auch der Sinn einer Cloud-Lösung ist. Der Zugang sollte eben nur auf autorisierte Personen beschränkt sein.

Bestehende Lösungen besser nutzen

Dennoch ist es zumindest teilweise möglich, die bestehenden Security Lösungen auf die Cloud auszuweiten. So können beispielsweise Security Information and Event Management (SIEM) Systeme Logs von Cloud Services anbinden und verarbeiten. Durch die Entwicklung wohldurchdachter Use Cases können somit Angriffe oder Policyverstöße frühzeitig erkannt werden.

Auch andere Tools haben längst nachgezogen. Viele namhafte Hersteller haben sich der neuen Herausforderung angenommen und ihre Produkte entsprechend angepasst. So ist es einigen Data Loss Prevention Lösungen möglich, auch Daten aus der Cloud zu scannen und zu kategorisieren. Auch Malware-Erkennung findet heutzutage durchaus für Daten in Cloud Services Anwendung. Häufig sind die Lösungen sogar selbst in einer eigenen Cloud und arbeiten eng mit den Cloud Service Anbietern zusammen. Diese Möglichkeiten müssen soweit wie möglich genutzt werden.

Cloud Access Security Broker – Überblick

Doch es gibt auch Neuentwicklungen auf dem Markt. Das beste Beispiel hierfür sind so genannte Cloud Access Security Broker (CASB). Diese Lösung wurde rein zur Cloud-Kontrolle entwickelt. Ein CASB bietet eine Oberfläche, die viele für die Cloud Security relevante Funktionen vereint. Die Grundfunktionalitäten im Überblick:

1. Sichtbarkeit herstellen

Zu Beginn steht hier meist die Schaffung von Transparenz im Vordergrund. Gemeint ist die Erkennung von Shadow IT bzw. von Cloud Services, die undokumentiert innerhalb eines Unternehmens zum Einsatz kommen. Denn viele Unternehmen wissen überhaupt nicht, welche Cloud Dienste bereits von diversen Mitarbeitern oder ganzen Abteilungen benutzt werden, geschweige denn wie diese Security-technisch einzuschätzen sind. Hierzu ist es nötig die Log Daten von Proxies oder Firewalls auszuwerten.

2. Lösungen einbinden & Kontrolle schaffen

Im nächsten Schritt werden vom Unternehmen eingesetzte Cloud Services betrachtet und abgesichert. Hierfür können sowohl eingebaute Mechanismen, als auch externe Lösungen eingebunden werden. Dazu gehören meist

  • eine Identity and Access Management (IAM) Lösung, um den Zugang zur Cloud zu regulieren
  • eine Lösung zur Verschlüsselung wie etwa ein HSM Modul um Data at Rest zu schützen
  • Data Loss Prevention Policies, um zu verhindern, dass Daten ungesichert abfließen können
  • Scans nach potenzieller Malware innerhalb der Cloud
  • auch Obfuskierung kann eingesetzt werden um nur gewisse Daten zu verschleiern, wie etwa Nutzer bezogene Daten

3. Absichern

Im letzten Schritt schließlich werden die Cloud Services abgesichert, die toleriert werden bzw. toleriert werden müssen. Oft ist es so, dass innerhalb eines Unternehmens einige Cloud Services nicht geblockt werden können, da sie im produktiven Betrieb eingesetzt werden. Je nachdem welche Funktionen ein Cloud Service unterstützt, können aber auch kleinere Anbieter sinnvoll verwaltet und somit im Unternehmen sicher eingesetzt werden.

Cloud Access Security Broker – Mehrwert

Welchen Mehrwert bietet ein CASB also letztendlich?

Durch den Einsatz eines CASB holt sich ein Unternehmen die Kontrolle über die eigenen Daten zurück. War es vorher noch schwer, den Überblick zu bekommen und die einzelnen Security Lösungen auf die Cloud anzuwenden, so bietet der CASB eine Oberfläche, von der aus alle Cloud Services überwacht und verwaltet werden können.

Nicht immer sind es hier eingebaute Funktionen, die verwendet werden müssen, denn die meisten CASB Hersteller bieten tiefergehende Integrationsmöglichkeiten mit bestehenden Security Lösungen. Somit muss ein Unternehmen nicht anfangen die Security Infrastruktur in der Cloud erneut zu replizieren, sondern kann die bereits vorhandene Infrastruktur für akzeptierte Cloud Services verwenden.

Schreibe einen Kommentar