Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today
Learn More

Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

So vereint Zscaler Produktivität und Sicherheit in der Cloud

image
NIHARIKA SHARMA
Februar 21, 2023 - 4 Lesezeit: Min
Zero-Trust-Architektur

Inhalt

  1. Artikel
  2. Weitere Blogs

Jeden Tag greifen Ihre User auf Hunderte von genehmigten und nicht genehmigten Cloud-Anwendungen zu. Dabei werden permanent vertrauliche Daten hoch- und heruntergeladen, die angemessen geschützt werden müssen. Im Umgang mit diesen Anforderungen stehen IT- und Sicherheitsteams deshalb vor der Entscheidung: Sollten Anwendungen im Sinne der Sicherheit pauschal blockiert werden oder sollte man den Zugriff vielmehr gewähren und sich später mit den Folgen auseinandersetzen?

Die Bereitstellung von sicherem Cloud-Anwendungszugriff bei unbeeinträchtigter Anwenderproduktivität stellt heute eine der größten IT-Herausforderungen dar.

Zscaler Data Protection unterstützt IT-Teams dabei, diesen Balanceakt zu bewältigen. Die Lösung ermöglicht die Einrichtung granularer Kontrollen für Cloud-Anwendungen, sodass anstelle ganzer Anwendungen nur riskante Aktivitäten blockiert werden.

Mithilfe von Cloud App Control-Richtlinien können Organisationen den Zugriff auf Cloud-Anwendungen auf granularer Ebene unter Berücksichtigung von Usern, Instanzen, Domains und Aktivitäten steuern. Der Inline-CASB von Zscaler differenziert zwischen Unternehmens- und privaten Instanzen und unterstützt Aktivitäten wie Upload, Download, Freigabe, Bearbeitung, Veröffentlichung, Anzeige, Login und Logout in Echtzeit. Auf diese Weise erhalten Organisationen die nötige Kontrolle zur Verwaltung des Anwendungszugriffs.

Die folgenden Anwendungsfälle zeigen, wie sich Sicherheitsherausforderungen mit Zscaler meistern lassen.

 

Einschränkungen für Instanzen

Zahlreiche User nutzen private Instanzen unternehmensfähiger SaaS-Anwendungen wie OneDrive, Outlook und Gmail. Die getrennte Verwendung privater und Unternehmensinstanzen stellt zunächst einmal kein Problem dar – kritisch wird es erst, wenn die verschiedenen Instanzen einer Anwendung parallel ausgeführt werden. In diesem Fall steigt das Risiko eines Datenlecks. Wenn etwa ein Mitarbeiter Umsatzprognosen für das nächste Quartal in ein privates statt in ein unternehmenseigenes Google-Drive-Konto hochlädt, riskiert er damit nicht nur Datenverlust, sondern auch die Reputation seiner Organisation.

Gleiches gilt für AWS-Kunden, die deshalb den User-Zugriff auf bestimmte kritische Konten beschränken sollten. Bei der Nutzung von YouTube EDU stehen Bildungseinrichtungen vor der ganz ähnlichen Aufgabe, ausschließlich die von ihnen ausgewählten Lerninhalte zugänglich zu machen.

Die beschriebenen Szenarien sind typische Anwendungsfälle für die Funktion zur Instanzenbeschränkung von Zscaler. Diese ermöglicht die selektive Vergabe von Berechtigungen für konkrete Cloud-Applikationen, je nachdem, ob der Zugriff auf private oder Unternehmenskonten oder auf beide Kontotypen eingeschränkt werden soll. Zur Einrichtung genügt das einfache Anlegen eines Mandantenprofils, in dem die zugelassenen Mandanten definiert und mit der jeweiligen Cloud App Control-Richtlinie verknüpft werden. Bei Mandanten ohne entsprechende Festlegung in den Mandantenprofilen erfolgt kein SaaS-Zugriff.

Über Mandantenprofile lassen sich unter anderem auch der Zugriff auf private Microsoft 365-Instanzen und der User-Zugriff auf Google-Konten beschränken.

Image

Konfiguration eines Mandantenprofils

 

Domainbasierter Zugriff auf SaaS-Anwendungen

Für Organisationen, die in einer vernetzten Welt erfolgreich arbeiten wollen, sind IT-Silos keine Option. Der moderne Geschäftsalltag ist von der Kooperation mit zahlreichen Partnern und Drittanbietern geprägt, die Zugriff auf Kollaborations- oder Freigabetools benötigen, damit eine effiziente Zusammenarbeit möglich ist. Wenn Partnern umfassende Zugriffsberechtigungen für Unternehmensdomains erteilt werden, birgt dies jedoch auch das Risiko der Datenexfiltration.

Vorstellbar wäre zum Beispiel ein Szenario, in dem ein Entwickler das unternehmenseigene GitHub-Repository mit seinem privaten GitHub-Konto synchronisiert, woraufhin es zur Exfiltration des Quellcodes sowie eingebetteter Anmeldedaten wie AWS-Schlüssel und ‑Passwörter kommt.

Um sicherzustellen, dass Mitarbeiter, Partner und andere User ausschließlich Zugriff auf zugelassene Instanzen einer Anwendung erhalten, bietet Zscaler seine Cloud Application Instance-Funktion. Damit lassen sich mehrere Instanzen einer Cloud-Anwendung basierend auf verschiedenen Domains (Unternehmens- oder Partnerdomain, vertrauenswürdige oder nicht vertrauenswürdige Domain) erstellen, die dann in den Cloud App Control-Richtlinien als Kriterien hinzugefügt werden. So wird es beispielsweise möglich, Partnern ausschließlich Zugriff auf die jeweilige Box-Instanz zu gewähren oder Entwicklern die Anmeldung bei unternehmenseigenen GitHub-Konten nur aus Unternehmensnetzwerken zu erlauben. Solche Kontrollen stellen wirksame Maßnahmen gegen versehentliche Datenlecks dar.

Die DLP-Lösung von Zscaler unterstützt darüber hinaus die Auswahl von Cloud-Anwendungsinstanzen zur inhaltsbasierten Regelerstellung. Das bedeutet zum Beispiel: Mitarbeiter können prinzipiell die Berechtigung zum Hochladen von Dateien in ihre privaten Box-Konten erhalten, der Upload wird jedoch verhindert, wenn es sich um vertrauliche Inhalte wie personenbezogene, Gesundheits- oder Zahlungskartendaten handelt.

 

Image

 Konfiguration einer Cloud-Anwendungsinstanz

 

Aktivitätsbasierter Zugriff auf SaaS-Anwendungen

Wenn es um SaaS-Anwendungen geht, ist granulare Kontrolle über die Berechtigungen der User ausschlaggebend. In manchen Fällen wollen Organisationen möglicherweise verhindern, dass Mitarbeiter Dateien umbenennen oder kommentieren, die sich im unternehmenseigenen OneDrive-Konto befinden. In anderen Fällen sollen Mitarbeiter zwar die Möglichkeit erhalten, soziale Netzwerke aufzurufen, ohne jedoch vertrauliche Inhalte veröffentlichen zu dürfen.

Mit Richtlinien von Zscaler Cloud App Control profitieren Unternehmen von granularen, aktivitätenbasierten Zugriffskontrollen für kritische Anwendungen jeder Art. Mittels unkomplizierter Regelerstellung lassen sich unerwünschte Aktivitäten – ob Umbenennung von Dateien oder Veröffentlichung von Social-Media-Beiträgen – blockieren, ohne zulässige Aktivitäten im Zusammenhang mit diesen Anwendungen automatisch mit einzuschließen.

Image

Präzise Konfiguration von Regeln

Zusätzlich zu den Kontrollfunktionen von Cloud App Control überwacht Zscaler Millionen von Web- und SaaS-Anwendungen aus Hunderten von Kategorien durch effektive URL-Filterung. Sie ermöglicht Organisationen die Genehmigung oder Blockierung des User-Zugriffs auf diese sowie benutzerdefinierte Anwendungen jeder Art.

Sie möchten mehr über den Leistungsumfang von Zscaler Data Protection erfahren? Für ausführliche Informationen stehen Ihnen weitere Ressourcen sowie diese kurzen Demo-Videos zur Verfügung.

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

vote yes
Ja, sehr hilfreich!
vote no
Nicht wirklich

Weitere Zscaler-Blogs erkunden

Erstklassige Kundenerfahrungen beginnen im Homeoffice
Erstklassige Kundenerfahrungen beginnen im Homeoffice
Blog lesen
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
Blog lesen
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Blog lesen
Cloud Compliance
The Impact of Public Cloud Across Your Organization
Blog lesen
01 / 02
dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.