Was ist ein Cloud Access Security Broker (CASB)? Ein Cloud Access Security Broker (CASB) stellt Funktionen und Services zum Daten- und Bedrohungsschutz für Cloud-Anwendungen bereit, die Organisationen mehr Kontrolle und Transparenz verschaffen. Insbesondere werden CASBs eingesetzt, um den Verlust vertraulicher Daten zu verhindern, Malware und andere Bedrohungen zu blockieren, Shadow-IT zu erkennen sowie zu kontrollieren und Compliance zu gewährleisten. Zur Überwachung des Traffics und der User-Aktivitäten werden CASBs im Datenpfad zwischen Cloud-Services und den Usern, die darauf zugreifen, bereitgestellt. So lässt sich gewährleisten, dass Bedrohungen und riskante Dateifreigaben automatisch blockiert und Sicherheitsrichtlinien bezüglich Authentifizierung, Warnbenachrichtigungen usw. zuverlässig durchgesetzt werden.

Aktuelle Anwendungsszenarien

Mit der zunehmenden Umstellung auf Cloud-Services sind CASBs branchen- und sektorübergreifend zu einer wichtigen Komponente der Cybersicherheitsstrategie geworden. Insbesondere sorgen sie durch entsprechende Zugriffskontrollen und Datenschutzfunktionen dafür, dass Organisationen die Kontrolle über Daten behalten, die in Cloud-basierten Plattformen und Anwendungen gespeichert und übertragen werden. Heute sind CASBs gleich aus mehreren Gründen unverzichtbar:

• Die zunehmende Verbreitung und Nutzung von Cloud-basierten Plattformen und Anwendungen (Microsoft 365, Salesforce etc.) hat herkömmliche Netzwerksicherheits-Tools wie die im Rechenzentrum installierte Firewall weitgehend ihrer Wirksamkeit beraubt.
• IT-Teams verlieren zunehmend den Überblick – und damit die Kontrolle. Angesichts des breiten Spektrums Cloud-basierter Anwendungen, auf die User im Zuge ihrer Arbeit zugreifen, würde eine manuelle Verwaltung granularer Zugriffskontrollen die Kapazitäten so gut wie jede Organisation überfordern.
• Neben der Kontrolle der Shadow-IT können im Rahmen eines CASBs auch Richtlinien für Data Loss Prevention (DLP), SaaS Security Posture Management (SSPM) und Advanced Threat Protection bereitgestellt und durchgesetzt werden.

Die vier Eckpfeiler einer CASB-Lösung

Eine effektive CASB-Lösung muss vier Kernbereiche abdecken:

1. Transparenz

Durch den zunehmenden Umstieg auf Remote-Arbeit und BYOD-Konzepte benötigen Organisationen eine möglichst lückenlose Transparenz hinsichtlich ihrer Cloud-Umgebung. Angesichts der Häufung nicht verwalteter Geräte besteht ansonsten die Gefahr, dass sich Unbefugte Zugriff auf unternehmenseigene Ressourcen verschaffen. Ein CASB dokumentiert organisationsweit die Nutzung cloudbasierter Anwendungen, erstellt Reports über die damit verbundenen Ausgaben und führt Risikobewertungen durch, die als Grundlage für Entscheidungen über die Blockierung von Anwendungen dienen können.

2. Compliance

Bei der Nutzung von Cloud-Services im Rahmen der Geschäftstätigkeit sind unzählige gesetzliche und aufsichtsrechtliche Vorgaben und Vorschriften zu beachten. Insbesondere der öffentliche Sektor sowie das Finanz- und Gesundheitswesen unterliegen strengen Regularien. Ein CASB unterstützt Sie beim Erkennen der größten branchenspezifischen Risikofaktoren sowie beim Einrichten strenger Datenschutzrichtlinien, damit organisationsweit die Einhaltung sämtlicher Compliance-Anforderungen gewährleistet ist.

3. Datensicherheit

Das weltweite Datenvolumen verdoppelt sich alle zwei Jahre. Mit diesem exponentiellen Wachstum nimmt auch die Zahl und Raffinesse derjenigen zu, die vertrauliche Daten missbrauchen möchten. Der kombinierte Funktionsumfang von CASB und Cloud-DLP sorgt dafür, dass entsprechende Risiken nicht nur zuverlässig erkannt, sondern auch effektiv blockiert werden. Darüber hinaus erhalten Sie Einblick in den gesamten vertraulichen Traffic in die und aus der Cloud bzw. zwischen mehreren Cloud-Umgebungen. Dadurch lassen sich Sicherheitsvorfälle am besten erkennen und durch Anwendung geeigneter Richtlinien verhindern, sodass die Sicherheit der Daten jederzeit gewährleistet ist.

4. Schutz vor Bedrohungen

Cloud-basierte Bedrohungen und Malware grassieren in den IT-Ökosystemen, auf die heutige Unternehmen angewiesen sind, und Cloud-Ressourcen sind in vielen Fällen besonders anfällig. Ein CASB liefert wertvolle Erkenntnisse aus verhaltensbasierten Analysen und Threat Intelligence als Grundlage einer effektiven Abwehrstrategie. Diese erweiterten Funktionen unterstützen eine zügige Erkennung und Blockierung verdächtiger Aktivitäten, gewährleisten zuverlässigen Schutz für Cloud-basierte Anwendungen und Daten und stärken den Cloud-Sicherheitsstatus der Organisation.

Funktionsweise

CASB-Lösungen können in Form von Hardware oder Software lokal implementiert werden. Als sinnvoller empfiehlt sich jedoch die Bereitstellung als Cloud-Service, die eine bessere Skalierbarkeit, niedrigere Kosten und unkomplizierte Verwaltung gewährleistet. Unabhängig von der jeweiligen Form können CASBs wahlweise für den Einsatz im Proxy- oder API-Modus oder beidem (multimodal) eingerichtet werden. Im Proxy-Modus stehen zusätzlich die Optionen Weiterleitungsproxy oder Reverseproxy zur Auswahl.

Proxy

CASBs müssen im Datenpfad ausgeführt werden und sollten daher am besten auf einer Cloud-Proxy-Architektur aufbauen. In der Mehrzahl der Fälle kommen dabei Weiterleitungsproxys zum Einsatz, die Datenschutz und Sicherheit clientseitig gewährleisten. Im Unterschied dazu werden Reverseproxys serverseitig eingesetzt und haben häufig Leistungsabfälle und fehlgeschlagene Anforderungen zur Folge.

Ein Weiterleitungsproxy fängt Anforderungen für Cloud-Services ab. Basierend auf den jeweils festgelegten Richtlinien setzt der CASB verschiedene sicherheitsrelevante Funktionen durch. Dazu zählt insbesondere die Überprüfung/Zuordnung von Zugangsdaten und SSO-Authentifizierung (Single Sign-On), Erstellung von Sicherheitsprofilen für einzelne Geräte, Protokollierung, Warnbenachrichtigungen, Malware-Erkennung, Verschlüsselung und Tokenisierung.

API

Ein Inline-Proxy fängt Daten bei der Übertragung ab. Zum Schutz ruhender Daten in der Cloud ist eine Out-of-band-Lösung erforderlich, die CASB-Anbieter durch Integrationen mit den Programmierschnittstellen (APIs) von Cloud-Service-Providern bereitstellen.

Gartner: Von CASB zu SASE

CASBs wurden 2012 erstmals von Gartner definiert und ursprünglich in erster Linie zur Kontrolle der Shadow-IT eingesetzt. Im Zuge der weiteren Entwicklung setzte das Konzept sich über den Schutz von SaaS-Anwendungen hinaus auch als Lösung für ein breites Spektrum neuer Anwendungsfälle für PaaS- (Platform-as-a-Service) und IaaS-Bereitstellungsmodelle (Infrastructure-as-a-Service) durch.

Seit einigen Jahren ist eine zunehmende Überschneidung zwischen dem jeweiligen Funktionsumfang von CASBs und Secure Web Gateways (SWG) zu beobachten. Dieser Entwicklung trug Gartner 2019 mit der Einführung eines neuen Begriffs Rechnung: Secure Access Service Edge (SASE) bezeichnet ein Framework aus Cloud-basierten Services, das „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digitale Unternehmen gerecht zu werden“.

Im Zuge der weiteren Ausdifferenzierung des Konzepts schuf Gartner 2021 den Begriff Security Service Edge (SSE) als Bezeichnung für die sicherheitsorientierte Komponente von SASE. Berücksichtigt wird damit auch das branchenübergreifende Bemühen um Straffung komplexer und disparater Security-Stacks. Laut Prognosen von Gartner ist davon auszugehen, dass 30 % der Unternehmen bis 2024 auf ganzheitliche Lösungen umsteigen, die SWG-, CASB-, ZTNA- und FWaaS-Funktionen (Firewall-as-a-Service) aus einer Hand bereitstellen.

Was ist unter einem multimodalen CASB zu verstehen?

CASBs können im Proxy-Modus zur Inline-Durchsetzung von Richtlinien bereitgestellt werden. Dadurch lassen sich Datenverluste und Malware-Infektionen in Echtzeit verhindern. Sie können auch mit APIs integriert werden, um die Inhalte von SaaS-Anwendungen zu scannen, damit vertrauliche Daten sowie Ransomware und andere Bedrohungen erkannt und entsprechende Maßnahmen zu ihrem Schutz bzw. ihrer Abwehr durchgesetzt werden können. Inzwischen kommen verstärkt API-Integrationen im Rahmen von SaaS Security Posture Management (SSPM) zum Einsatz, um Fehlkonfigurationen in Anwendungen zu beheben.

CASBs, die wahlweise im Proxy- oder API-Modus bereitgestellt werden können, werden als multimodale CASBs bezeichnet. Über die Absicherung von SaaS hinaus lassen sich damit auch IaaS-Lösungen wie Microsoft Azure und AWS S3 schützen. Im Idealfall sollte der CASB nicht als zusätzliches Einzelprodukt, sondern im Rahmen einer SSE-Plattform implementiert werden. Dadurch wird ein einheitliches Sicherheitsniveau, verbesserte Performance und vereinfachte Verwaltung durch Konsolidierung gewährleistet.

Die wichtigsten Anwendungsfälle für CASB

1. Erkennen und Kontrollieren von Shadow-IT

Wenn unternehmenseigene Dateien und Daten in Cloud-Anwendungen gespeichert und zur gemeinsamen Nutzung freigegeben werden, die nicht offiziell von der IT genehmigt sind, ist ihre Sicherheit gegebenenfalls nicht gewährleistet. Zur Bewältigung dieses Risikos müssen Organisationen einen transparenten Überblick über sämtliche Cloud-Anwendungen behalten, mit denen ihre User arbeiten, und diese entsprechend absichern.

Zscaler CASB erkennt automatisch sogenannte Shadow-IT und deckt riskante Anwendungen auf, auf die User zugreifen. Automatische, einfach konfigurierbare Richtlinien erzwingen dann die jeweils angemessenen Maßnahmen für einzelne Anwendungen bzw. für Anwendungskategorien: zulassen oder blockieren, Hochladen verhindern, Nutzung einschränken usw.

2. Absicherung privater SaaS-Instanzen

Womöglich verwenden Mitarbeiter parallel eine von der IT-Abteilung genehmigte und eine inoffizielle Instanz von Anwendungen wie Google Drive. Oft reagieren Organisationen mit dem Einsatz von Allzwecklösungen, die entweder die unzulässige Frei- bzw. Weitergabe von Daten begünstigen oder aber die Produktivität hemmen – je nachdem, ob die betreffende Anwendung komplett zugelassen oder komplett blockiert wird.

Zscaler CASB unterscheidet zwischen genehmigten SaaS-Mandanten und nicht genehmigten Instanzen im Besitz externer Dritter und setzt die jeweils angemessenen Richtlinien durch. Vorkonfigurierte Kontrollfunktionen für SaaS-Mandanten ermöglichen eine automatische Korrektur in Echtzeit.

3. Kontrollieren riskanter Dateifreigaben

Cloud-basierte Anwendungen ermöglichen Zusammenarbeit und gemeinsame Nutzung von IT-Ressourcen in bisher ungekanntem Ausmaß. Damit vertrauliche Unternehmensdaten nicht in falsche Hände geraten, müssen die Sicherheitsbeauftragten die Kontrolle darüber behalten, wer in genehmigten Anwendungen welche Daten und Dateien zur gemeinsamen Nutzung freigeben bzw. darauf zugreifen darf.

Verwaltungsfunktionen für Kooperationssoftware sind ein unverzichtbarer Bestandteil jedes führenden CASB. Zscaler CASB unterstützt ein zügiges und wiederholtes Crawlen von Dateien in SaaS-Instanzen. Dabei werden vertrauliche Daten erkannt und die User überprüft, an die sie weitergeleitet bzw. freigegeben werden. Auf verdächtige Filesharing-Praktiken wird entsprechend reagiert.

4. Korrektur von SaaS-Fehlkonfigurationen

Bei der Bereitstellung und Verwaltung von Cloud-basierten Anwendungen ist unbedingt auf präzise Konfiguration zu achten, damit alle Anwendungen reibungslos funktionieren und sicher damit gearbeitet werden kann. Fehlkonfigurationen beeinträchtigen die Sicherheit und erhöhen das Risiko von Datenexpositionen.

Zscaler SSPM lässt sich über eine API mit SaaS-Instanzen integrieren, um nach Fehlkonfigurationen zu suchen, die die Compliance mit den geltenden Vorschriften gefährden könnten. Neben SSPM sind CSPM und CIEM als weitere Komponenten in Zscaler Workload Posture inbegriffen.

5. Verhindern von Datenverlusten

Mindestens ebenso wichtig wie die Erkennung von Fehlkonfigurationen, die Datenpannen und -verluste begünstigen können, ist die Fähigkeit, die Speicherorte vertraulicher Daten in der Cloud zu erkennen und entsprechend zu schützen. Ein Großteil dieser Daten unterliegt Frameworks wie unter anderem der HIPAA, PCI DSS oder der DSGVO.

Als Cloud-native Sicherheitsplattform gewährleistet die Zero Trust Exchange von Zscaler mit dem kombinierten Funktionsumfang von Cloud DLP und CASB ein einheitliches Datenschutzniveau. So wird sichergestellt, dass Cloud-Anwendungen richtig konfiguriert sind, um Datenverlust und Verstöße gegen Vorschriften zu verhindern. Durch hochentwickelte Techniken zur Klassifizierung von Daten wie Exact Data Match (EDM) und Indexed Document Matching (IDM) können vertrauliche Daten an sämtlichen Speicherorten und auf allen Übertragungswegen erkannt und gesichert werden.

6. Verhindern von Angriffen

Eine einzige schädliche Datei, die in eine der genehmigten Cloud-Anwendungen gelangt, kann innerhalb kürzester Zeit auf andere Anwendungen übergreifen bzw. die Geräte anderer User infizieren. Deswegen brauchen Organisationen eine effektive Methode, um sich in Echtzeit gegen Bedrohungen beim Hochladen und im Ruhezustand zu schützen.

Zscaler CASB setzt eine Kombination von ATP-Funktionen (Advanced Threat Protection) zur Abwehr von Malware ein:

• Echtzeit-Proxy – verhindert das Hochladen schädlicher Dateien in die Cloud
• Out-of-Band-Scan – erkannt Daten im Ruhezustand und behebt Risiken
• Cloud-Sandboxing – erkennt Zero-Day-Malware
• Agentenlose Cloud Browser Isolation – gewährleistet sicheren Zugriff von nicht verwalteten Endgeräten

Zscaler CASB

In der ganzheitlichen Zscaler Zero Trust Exchange™ ist ein multimodaler CASB ebenso inbegriffen wie SWG, ZTNA und weitere Funktionen. Damit unterstützt Zscaler Organisationen im Bemühen um Konsolidierung von Einzelprodukten zur Reduzierung der IT-Komplexität, wobei der gesamte Traffic in einem einzigen Arbeitsgang überprüft wird. Für Administratoren beschränkt sich der Aufwand auf die Konfiguration einer automatisierten Richtlinie, die konsistente Sicherheit in allen Cloud-Datenkanälen gewährleistet.

Inline-Sicherheit für Daten bei der Übertragung

Durch den leistungsstarken Weiterleitungsproxy mit SSL-Überprüfung wird zuverlässiger Echtzeitschutz für unternehmenskritische Ressourcen gewährleistet:

• Durch Erkennung von Shadow-IT und Kontrolle Cloud-basierter Anwendungen können inoffiziell genutzte Anwendungen erkannt und geschützt werden – ganz ohne Netzwerkgeräteprotokolle.
• DLP-Maßnahmen verhindern das Hochladen vertraulicher Daten in genehmigte sowie inoffiziell genutzte Anwendungen.
• Advanced Threat Protection blockiert bekannte und unbekannte Malware in Echtzeit mit ML-gestützter Cloud Sandbox
• Cloud Browser Isolation gewährleistet, dass Sitzungen auf nicht verwalteten Geräten (BYOD) als Pixel gestreamt werden, um Datenlecks ohne Einsatz von Reverseproxys zu verhindern.

Out-of-band-Sicherheit für Daten im Ruhezustand

Durch API-basiertes Scannen von SaaS-Anwendungen, Cloud-Plattformen und deren Inhalten wird die Unternehmenssicherheit automatisch verbessert:

• Mit vordefinierten sowie kundenspezifisch anpassbaren DLP-Wörterbüchern lassen sich vertrauliche Daten in SaaS-Umgebungen und öffentlichen Clouds identifizieren.
• Mithilfe von Funktionen zum Management der Zusammenarbeit werden Anwendungen auf riskante Dateifreigaben geprüft und diese gemäß den Richtlinien verhindert.
• Cloud-Sandbox-Technologie scannt ruhende Daten zur Erkennung und Abwehr von Zero-Day-Malware und -Ransomware
• SSPM, CSPM und CIEM überprüfen SaaS- und IaaS-Konfigurationen sowie -Berechtigungen, um Probleme automatisch zu beheben.