Cloud Access Security Broker
CASB: Eigenschaften einer kompletten Websicherheitsplattform
Cloud Access Security Brokers (CASBs)
Im Laufe der letzten zehn Jahre hat sich unser Arbeitsplatz stark verändert. Die durch Firewalls und andere Security-Tools sauber gezogene Trennlinie zwischen dem Büro und der Außenwelt existiert nicht mehr. Heutzutage arbeiten wir im Büro, im Home Office, im Coffee Shop um die Ecke, im Zug und an anderen beliebigen Orten.
SD-WANs sind die führende Lösung, die diese neue Arbeitsweise unterstützt, denn sie ermöglichen von quasi jedem Standort aus einen Internet- bzw. Cloud-Zugang. Diese Flexibilität erfordert allerdings ein Umdenken in puncto Sicherheit, denn Unternehmensstandorte und Mitarbeiter, die remote arbeiten, haben jetzt direkten Zugriff auf das Internet und die Cloud. Deshalb müssen alle Zugangspunkte individuell abgesichert werden.
Dies ist keine leichte Aufgabe. In früheren Blog-Artikeln haben wir uns mit Maßnahmen zum Schutz dieses anfälligen Umfelds durch den Einsatz sogenannter Cloud Access Security Brokers (CASBs) befasst. Mit der Implementierung von CASBs zwischen Cloud/Internet und dem Firmennetzwerk kann sichergestellt werden, dass die Sicherheitsrichtlinien der Firma überwacht und eingehalten werden. CASBs fungieren als Kontrollinstanz für das Firmennetzwerk, da sie die Schnittstelle zur Außenwelt darstellen.
In einem größeren Kontext betrachtet, bilden sie die Grundlage, auf der eine komplette Websicherheitsplattform errichtet werden kann. Sie bilden den Rahmen, in dem die Sicherheits-Tools des Unternehmens betrieben und verwaltet werden können. Ziel ist es, eine komplette Websicherheitsplattform einzurichten, die über mindestens fünf wesentliche Funktionalitäten verfügt.
Ein CASB sollte folgende Anforderungen erfüllen:
- Daten von Proxys problemlos übernehmen
- SSL-Datenverkehr entschlüsseln – Der CASB darf sich bei seiner Analyse nicht auf Log-Daten beschränken. Er muss in der Lage sein, eine «Man-in-the-Middle»-Entschlüsselung durchzuführen, um den SSL-Datenverkehr zu analysieren.
- Umfassenden Überblick über den Traffic der Anwender bieten – Mit einem CASB lässt sich der im Web generierte Traffic, z. B. über nicht genehmigte Dropbox-Konten, im Blick behalten. Entsprechende APIs überwachen SharePoint und OneDrive. Sie spüren unzulässige Daten wie Kreditkartennummern, persönliche ID-Angaben und Firmendokumente auf, die nicht öffentlich freigegeben werden dürfen.
- Filter für Richtlinien enthalten – Die Plattform sollte ein flexibles Filtern ermöglichen, das auf den Sicherheitsrichtlinien der Firma basiert. Vertrauliche Dokumente in nicht genehmigten Filesharing-Systemen werden z. B. blockiert, wenn sie entsprechende Metadaten enthalten. Mithilfe von Data-Leakage-Protection-Tools können die Inhalte von Dokumenten nach spezifischen Datenelementen gescannt werden.
- Applikationen von einer zentralen Stelle aus blockieren können – Die Umsetzung dieser Aufgabe ist anspruchsvoll, deshalb gibt es dafür auch keine gängige Lösung. Das Blockieren von Applikationen generiert viele False Positives. Eine sehr umsichtige Steuerung ist somit erforderlich. Damit verbunden ist auch das Blockieren von Apps wie Google Drive, was für viele Unternehmen und ihre Mitarbeiter nicht umsetzbar ist.
Komplette Websicherheit mit Open Systems
Unterm Strich bedeutet dies, dass Komplettlösungen für die Datensicherheit und den Datenschutz erforderlich sind, die den Schutz der Firmenanwender gewährleisten, wo auch immer sie sich befinden. Open Systema bietet eine integrierte CASB-Lösung, ein Security Operations Center und Firewall-Management der nächsten Generation. Durch die Kombination dieser Tools ermöglichen die integrierten SD-WAN-Lösungen von Open Systems Reaktionszeiten, die sich in Minuten zählen lassen.