Cloud Access Security Broker (CASB)

Check-Points zwischen Nutzer und Cloud

26.01.2016 von Oliver Schonschek
Der Zugang zu Apps in der Cloud lässt sich mit Cloud Access Security Broker - kurz: CASB - genau steuern. Eine umfassende Cloud-Sicherheit erreicht man allerdings erst in Verbindung mit anderen Lösungen.
Der Zugang zur Cloud muss überwacht und geschützt werden. Dies ist eine anspruchsvolle Aufgabe, wenn man an die Vielfalt der benötigten Zugriffsrechte, die verschiedenen Geräte und die unterschiedlichen Rollen der Nutzer denkt.
Foto: Mathias Rosenthal - shutterstock.com

Mit steter Regelmäßigkeit bestätigen Umfragen unter Unternehmen in Deutschland, dass Cloud Computing wegen möglicher Kosteneinsparung und Effizienzsteigerung zunehmend an Beliebtheit gewinnt, gleichzeitig behindere aber die unklare Cloud-Sicherheit eine noch stärkere Verbreitung der Cloud-Nutzung. Der DsiN-Cloud-Scout Report 2015 offeriert weitere interessante Details: Bei Sicherheitsthemen steht das Risiko des Datenzugriffs unberechtigter Dritter im Vordergrund.

Tatsächlich ist der Zugang zu Cloud-Services ein zweischneidiges Schwert. Cloud-Apps sollen möglichst flexibel und unkompliziert erreicht werden, am besten von jedem Standort mit Internet-Zugang und von jedem Endgerät aus. Genau diese Einfachheit des Cloud-Zugangs macht es aber auch für unbefugte Dritte oftmals leicht, an Cloud-Daten zu kommen und Cloud-Apps zu missbrauchen.

Cloud-Zugang muss besser kontrolliert werden

CASBs erbringen zahlreiche Funktionen für die Absicherung des Cloud-Zugriffs. Sie müssen aber durch weitere Security- und Identity-Lösungen ergänzt werden.
Foto: Bitglass

Der Zugang zur Cloud muss deshalb besser überwacht und geschützt werden. Dies ist eine anspruchsvolle Aufgabe, wenn man an die Vielfalt der benötigten Zugriffsrechte, die verschiedenen Geräte und die unterschiedlichen Rollen der Nutzer denkt. Erschwerend kommt hinzu, dass die meisten Unternehmen einen sogenannten Multi-Cloud-Ansatz wählen, also viele Clouds und Cloud-Apps parallel nutzen, wie zum Beispiel die Studie "Multi-Cloud-Management im deutschen Mittelstand" von Crisp Research gezeigt hat.

Ein anderes Marktforschungsinstitut, Gartner Research, hat darauf hingewiesen, dass es eine relativ neue Kategorie von Cloud-Sicherheitslösungen gibt, die sich genau um die Sicherheit der Cloud-Zugänge kümmert, die sogenannten Cloud Access Security Broker (CASB).

Laut der Definition von Gartner befinden sich CASB zwischen den Cloud-Nutzern und Cloud-Anbietern. Die Cloud Access Security Broker können selbst cloudbasiert sein oder lokal betrieben werden. Sie konsolidieren die IT-Sicherheitsrichtlinien der Unternehmen für den Fall der Cloud-Zugriffe und bilden zum Beispiel die Richtlinien ab für die Nutzeranmeldung, die Verschlüsselung, die Protokollierung, die Malware-Erkennung und für die Kontrolle der Geräte, von denen die Zugriffe erfolgen. Fast könnte man sie für das Allheilmittel der Cloud-Sicherheit halten, doch das sind sie nicht.

CASBs sollen Cloud-Zugänge steuern

CASB bringen Transparenz in die Nutzung von Cloud-Apps. Dabei entdecken viele Unternehmen auch die Verwendung nicht freigegebener Anwendungen als Teil der „Schatten-IT“.
Foto: CipherCloud

Zu den Leistungen eines Cloud Access Security Broker werden Visibility, Compliance, Data Security und Threat Protection gezählt. Dazu bieten CASBs eine Übersicht zu den Cloud-App-Aktivitäten, aufgeschlüsselt nach zugreifenden Geräten und Nutzern sowie nach genutzten Cloud-Daten. Von besonderer Bedeutung ist dabei, dass Unternehmen dadurch erfahren, welche Cloud-Apps tatsächlich genutzt werden und ob sich darunter auch nicht freigegebene Cloud-Apps befinden (Stichwort Schatten-IT). Zusätzlich werden die Cloud-Apps, Geräte und Nutzer einer Risikobewertung unterzogen.

Durch die Kontrolle, ob die internen Richtlinien eingehalten werden, leisten die CASBs einen wichtigen Beitrag zur Compliance in der Cloud. Zur Durchsetzung der Richtlinien werden Sicherheitsmaßnahmen wie Verschlüsselung angestoßen. Die sehr feine Steuerung und Kontrolle der Zugriffe auf Cloud-Apps unterstützt zudem die Abwehr unberechtigter Zugriffsversuche.

Gartner Research sagt den CASBs eine große Zukunft voraus: 2016 sollen bereits 25 Prozent aller Unternehmen ihre Cloud-Zugänge über eine CASB-Plattform absichern. 2020 sollen 85 Prozent der größeren Unternehmen zu den Nutzern von CASBs gehören, so der Market Guide for Cloud Access Security Brokers von Gartner. Entsprechend dynamisch ist der Markt: Es gibt bereits eine ganze Reihe von Anbietern, die ihre Lösungen als CASB einstufen, darunter Adallom, Bitglass, CipherCloud, CloudLock, Elastica CloudSOC, IBM Cloud Security Enforcer, Imperva Skyfence, ManagedMethods, Netskope, Skyhigh Networks und StratoKey.

Wie wichtig die Funktionen von CASBs eingestuft werden, sieht man auch daran, dass mehrere CASB-Anbieter bereits von Cloud-Providern oder IT-Sicherheitsanbietern gekauft wurden, so wurde Elastica von Blue Coat Systems übernommen, Adallom von Microsoft.

CASBs als Teil der Cloud-Sicherheit

Um die Risiken der Cloud-Nutzung zu verringern, müssen die Zugriffe auf Cloud-Apps sehr fein geregelt werden. Dabei können CASB eine wichtige Unterstützung bieten.
Foto: Netskope

Betrachtet man das Funktionsspektrum der verschiedenen CASBs auf dem Markt, werden zwar durchaus gewisse Unterschiede deutlich. Dennoch ist kein Cloud Access Security Broker so vollständig, dass er die Cloud-Sicherheit ganz alleine bewerkstelligen könnte. Dies ist aber auch nicht die richtige Vorstellung von einer solchen Lösung. Ein CASB ist die Sicherheitsschleuse zwischen Nutzer und Cloud-Apps und regelt nicht nur, ob ein Nutzer Zugang zu einer Cloud-App haben darf, sondern auch, welche Berechtigungen sie oder er genau haben soll.

Dazu benötigt der CASB zum einen eine Verbindung zur Benutzerverwaltung und zum Privilegiensystem des Unternehmens. Ebenfalls vorhanden sein muss aber eine tiefe Integration in die zu überwachenden Cloud-Apps. So unterstützen verschiedene CASB zum Beispiel box, Office 365, Google Apps, AWS, OneDrive oder Salesforce, weitere Cloud-Apps können ebenfalls unter bestimmten Bedingungen angebunden werden.

Für die Richtliniendurchsetzung und für die Risikobewertung muss ein CASB mit weiteren Security-Lösungen zusammenarbeiten, zum Beispiel mit IAM-Lösungen (Identity and Access Management), mit Lösungen zur Mehr-Faktor-Authentifizierung, mit SIEM-Lösungen (Security Informationen and Event Management) und mit Verschlüsselungslösungen. Entsprechende Partnerschaften zwischen CASB-Anbietern und Identity-Lösungen gibt es schon bei Centrify, im Bereich Threat Intelligence zwischen FireEye und Adallom.

Ein Cloud Access Security Broker bringt somit viele Sicherheitsfunktionalitäten zusammen und prüft an zentraler Stelle die Einhaltung der Cloud-Richtlinien. CASBs alleine können die Cloud nicht sicherer machen, aber sie bringen die Cloud-Sicherheit, die Cloud-Transparenz und damit das Vertrauen in Cloud Computing ein gutes Stück weiter.