Mit dem Aufkommen von Public Cloud Services und deren weiter zunehmenden Verbreitung im Unternehmensumfeld, wird sich früher oder später jede Firma damit befassen müssen. Und zwar wie Zugriffe, Daten und Berechtigungen in den verschiedenen Cloud-Plattformen kontrolliert, gesichert und auditiert werden können. Bestehende On-Premises-Netzwerk-Security-Lösungen bieten dabei nur einen ungenügenden Schutz. Warum? Weil die Zugriffe und Datenflüsse bei Public Cloud Services nicht zwingend über die Unternehmensnetzwerke laufen und kontrolliert werden können.
Definition: Was ist überhaupt ein CASB?
Ein Cloud Access Security Broker (kurz CASB) bietet eine einheitliche Lösung für die Absicherung der verschiedensten Cloud Services für ein Unternehmen. Dabei stehen die folgenden vier Säulen gemäss Gartner im Vordergrund:
Die zunehmende Anzahl von Public Cloud Services und die ständige Verfügbarkeit von Daten auf den verschiedensten Geräten machen es schlichtweg unmöglich, die Kontrolle über sämtliche Zugriffe und Daten zu behalten. Für die klassische Netzwerk Security sind die Cloud-Daten unsichtbar, da der Datenfluss nicht mehr zwingend über die bestehenden On-Premises-Lösungen laufen. Allein schon durch die Tatsache, immer und überall ‒ auch vom Mobile Device aus ‒ auf die Daten und Services zugreifen zu können, macht es der bestehenden Netzwerk Security unmöglich sicherzustellen, dass:
Hinzu kommt noch erschwerend, dass die meisten Unternehmen nicht bloss einen einzigen Cloud-Anbieter nutzen. Im Gegenteil, viele nutzen eine Vielzahl verschiedenster Anbieter, je nach Anforderungen des Business. Hand aufs Herz: Wie sieht’s bei Ihnen bzw. Ihrem Unternehmen aus?
Die einzelnen Anbieter bieten zwar Lösungen im Bereich Daten- und Zugriffsicherheit an. Diese müssen allerdings vom Administrator alle individuell betreut werden. Die Lösung: Ein CASB, welcher diese Kontrolle zentralisiert.
Ist Ihnen Shadow IT ein Begriff? Davon gehe ich aus. Denn Shadow IT ist inzwischen in fast allen Unternehmen Realität. Das Business ist im Normalfall schneller mit neuen Anforderungen an IT-Lösungen als die IT-Bereiche diese zur Verfügung stellen können. Das Resultat ist verheerend, nämlich Daten, die das Unternehmen über die unterschiedlichsten Kanäle unkontrolliert verlassen. Das fängt bei einfachen, unscheinbaren Diensten wie beispielsweise einem Online PDF Generator oder einem Translator an. Weiter kann es bis hin zu ganzen Infrastrukturen gehen, die auf einer IaaS-Plattform für z.B. Dev/Test-Integrationen mit zum Teil produktiven und kritischen Daten laufen. Da die Zugriffe auf solche Services standardmässig über Web-Protokolle funktionieren, können diese lange Zeit von der bestehenden Netzwerk-Security-Infrastruktur unentdeckt bleiben.
Eine Lösung, um diesem Problem entgegen zu treten, bietet beispielsweise Skyhigh Networks. Eine zentral installierte virtuelle Maschine sammelt dabei Log-Daten von bestehenden Firewalls, Proxy Systemen oder direkt aus einem bestehenden SIEM. Diese anonymisiert oder verschlüsselt sensitive Inhalte und sendet diese dann an Skyhigh zur Auswertung. Aktuell können so über 25'000 verschiedene Cloud Services erkannt werden. Die Daten können anschliessend genutzt werden, um den bestehenden Perimeter zusätzlich zu sichern. Zusätzlich zur Visibilität kann eine CASB-Lösung sicherstellen, dass sensitive Daten auch unabhängig zum CSP verschlüsselt sowie über DLP Policies abgesichert und nicht ohne Bewilligung weiterverteilt werden. Wahrlich ein Nutzen, der es in sich hat!
Für die erfolgreiche Integration einer CASB-Lösung stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Die erste, und gleichzeitig am wenigsten intrusive, ist dabei die Integration per API-Schnittstelle. Der CASB nutzt dabei die API, die die verschiedenen CSPs anbieten um Policies, Zugriffskontrollen und Datensicherheit durchzusetzen. Somit können Sie auch Daten, die bereits vor der Integration des CASB bei einem CSP liegen, im Nachhinein schützen. Ein Nachteil dieser Methode ist allerdings, dass diese nur Near Real Time funktioniert, da die API abgefragt werden muss, um den Status oder die Eigenschaften abzufragen.
Eine zweite Möglichkeit besteht in der Integration per Forward Proxy. Bei dieser Variante können Sie den bestehenden Perimeter Proxy so konfigurieren, dass sämtliche Anfragen zum CSP zuerst an den CASB weitergeleitet werden, bevor ein Zugriff auf den CSP möglich ist. Diese Variante hat allerdings den Nachteil, dass der Zugriff aus dem Unternehmensnetzwerk erfolgen muss.
Die dritte, und aus unserer Expertensicht die sicherste Variante für den Zugriff besteht in der Integration als Reverse Proxy. In diesem Fall greift der Endbenutzer initial direkt auf den CSP zu, wird dann als erstes für die Authentisierung und Autorisierung zum entsprechenden Identity Provider und von diesem dann über den CASB weiter zum CSP umgeleitet. Der grosse Vorteil dieser Variante liegt auf der Hand: Sämtliche Zugriffe auch ausserhalb des Unternehmensnetzwerkes und für externe laufen immer zwingend über den CASB Provider. Somit lassen sich auch zusätzlich Real Time Policies für DLP oder Verschlüsselung anwenden.
Ich bin überzeugt: Mit dem Aufkauf von Skyhigh Networks hat McAfee einerseits einen CASB-Anbieter der ersten Stunde mit an Bord geholt. Andererseits ein Anbieter, welcher das bestehende McAfee WebGateway-Portfolio hervorragend ergänzen wird. Als bestehender Partner von McAfee kann auch InfoGuard – und nicht zuletzt auch Sie - vom Portfolio von Skyhigh Networks profitieren. Und zwar, indem wir Ihnen eine bestens bewährte Lösung im CASB-Bereich anbieten können. Skyhigh Networks bietet Lösungen in folgenden Bereichen an:
Somit kann für alle grossen SaaS- und IaaS-Plattformen wie Amazon AWS, Microsoft Azure, Office 365, Dropbox und viele weitere eine ideale Lösung angeboten werden. Sie wollen mehr zu den innovativen CASB-Lösungen erfahren? Unsere Experten haben fundiertes Know-how und Erfahrung mit Cloud Access Security Brokern, von dem auch Sie profitieren können. Kontaktieren Sie uns – wir helfen Ihnen gerne!