Fachbeitrag zur Schatten-IT von Skyhigh Networks

So schützt ein Cloud Access Security Broker vor Schatten-IT

So schützt ein Cloud Access Security Broker vor Schatten-IT

Die Cloud sicher nutzen

In den vergangenen vier Jahren hat sich die Cloud-Nutzung am Arbeitsplatz fast vervierfacht. Ein durchschnittliches Unternehmen setzt heute 1427 Cloud-Dienste ein, Tendenz steigend. Viele davon sind jedoch nicht von der IT-Abteilung abgesegnet. Das birgt große Sicherheitsrisiken für den Datenschutz, denn häufig entsprechen Public-Cloud-Dienste nicht den nötigen Sicherheitsanforderungen. Ein Cloud Access Security Broker (CASB) hilft dabei, Schatten-IT ans Licht zu bringen und Risiken zu minimieren.

Daniel Wolf, Regional Director DACH, Skyhigh Networks

Cloud-Dienste versetzen Mitarbeiter in die Lage, ihre Arbeit effizienter zu erledigen und ihre Produktivität zu steigern. Das ist schön und gut – wäre da nicht das Problem mit der Sicherheit. So erfüllen nur 8,1 Prozent der 20.000 gängigen Public Cloud Services die Anforderungen an Datenschutz und Privatsphäre gemäß des Skyhigh CloudTrust-Programms. Der Rest ist für den Unternehmenseinsatz nicht geeignet. Wie aber kann man die Nutzung von gefährlichen Angeboten unterbinden? Das Grundproblem: Viele IT-Verantwortliche wissen gar nicht, welche Services Mitarbeiter überhaupt einsetzen. Denn Fachbereiche buchen Cloud-Dienste oft im Alleingang ohne Genehmigung der IT-Abteilung. Die meisten Unternehmen unterschätzen das Ausmaß der Schatten-IT. So ergab eine Studie von Skyhigh Networks, dass die Zahl der tatsächlich genutzten Cloud Services in der Regel zehn Mal höher ist als IT-Verantwortliche vermuten. Ein CASB hilft auf vielfältige Weise dabei, die Cloud-Nutzung in Unternehmen transparent zu machen und zu kontrollieren. Hier sind sechs häufige Anwendungsfälle:

1. Schatten-IT ans Licht bringen

CASBs decken sämtliche Cloud-Dienste auf, die Mitarbeiter einsetzen. Dafür sammeln und analysieren sie die Log-Daten von Proxies und Firewalls. Verfügt ein Unternehmen bereits über ein Security Information and Event Management (SIEM), lässt sich der CASB über einen On-Premise-Connector anbinden. Da das SIEM die Logfiles verschiedener Systeme in einer zentralen Datenbank sammelt, muss der CASB sie nicht mehr selbst zusammentragen, sondern bezieht sie aus nur einer Quelle. Das beschleunigt die Auswertung.

2. Die Risiken von Cloud-Diensten bewerten

Welche der aufgedeckten Cloud-Dienste sind sicher und welche sollte man lieber meiden? Der CASB kann eine Risikobewertung durchführen. Dafür greift er auf eine umfangreiche Datenbank zu, die laufend aktualisiert wird. Anhand von 50 Attributen und 260 Sub-Attributen prüft er, wie gefährlich ein Cloud Service ist. Dabei bezieht er zum Beispiel mit ein, ob eine Applikation Kundendaten ohne Erlaubnis mit Dritten teilt oder ob Daten beim Upload automatisch in den Besitz des Cloud-Anbieters übergehen. Gerade Letzteres ist ein großes Risiko. So beanspruchen manche PDF-Konverter aus der Cloud zum Beispiel die Eigentumsrechte an allen Dateien, die auf ihre Plattform hochgeladen werden. Kaum ein Anwender liest jedoch das Kleingedruckte und ist sich dessen bewusst. So gelangen sensible Unternehmensdaten schnell in falsche Hände.

3. Cloud-Governance-Richtlinien anwenden

Anhand der Risikobewertung des CASB kann die IT-Abteilung Richtlinien für die Cloud-Nutzung definieren. Sie legt fest, welche der aufgedeckten Services erlaubt sind und welche nicht. Dabei hat sich eine Einteilung in drei Kategorien bewährt:

  • Genehmigte Dienste, die nützliche Tools enthalten und wirksame Sicherheitsmaßnahmen anwenden. Sie dürfen im gesamten Unternehmen eingesetzt werden.
  • Tolerierte Dienste, die akzeptabel sind, auch wenn sie in puncto Sicherheit und Effektivität noch zu wünschen lassen.
  • Verbotene Dienste, denen es an den einfachsten Sicherheitsmaßnahmen fehlt oder die gefährliche Bestimmungen enthalten. Sie sind für den Unternehmenseinsatz nicht geeignet.

CASBs können verbotene Dienste anschließend blockieren. Dafür vernetzen sie sich mit Firewalls oder Secure Web Gateways und setzen die definierten Richtlinien dort um. Ein guter CASB kann sich nahtlos in bestehende Sicherheitssysteme integrieren und Policies in Echtzeit anwenden, ohne dass dafür ein weiterer Endpoint Agent oder Netzwerk-Kontrollpunkt nötig ist.

4. Proxy-Lücken aufdecken

Next Generation Firewalls (NGF) und Secure Web Gateways (SWG) können zwar auch ohne Hilfe eines CASBs Cloud Governance Policies umsetzen, sie stoßen dabei jedoch an ihre Grenzen. Zum einen ändern Cloud-Dienste häufig ihre IP-Adresse. Die Datenbanken von NGFs und SWGs haben hier meist nicht den aktuellen Stand und lassen verbotene Services dann durch den Schutzwall schlüpfen. Manchmal sind Policies auch nicht global für alle Ausgangs-Systeme im Netzwerk standardisiert, sodass Sicherheitslücken entstehen. Außerdem kann es leicht passieren, dass Ausnahmen für einzelne Dienste schnell auf eine komplette Kategorie von Cloud Services ausgeweitet werden. Ein CASB spürt solche Lücken in NGFs und SWGs auf und kann sie schließen.

5. Datenabfluss erkennen

CASBs überwachen sowohl den Datenverkehr in die Cloud als auch aus der Cloud. Dadurch sind sie in der Lage, Auffälligkeiten zu erkennen. Kommt es zum Beispiel in kurzer Zeit zu sehr hohen Downloadraten oder zu einem kontinuierlichen Datenabfluss, deutet das auf einen Sicherheitsvorfall hin. So helfen CASBs auch dabei, Malware aufzuspüren, die Daten aus Nutzer-Accounts abgreift.

6. Cloud-Aktivitäten sichtbar machen und kontrollieren

Mithilfe eines CASBs gewinnen Administratoren detaillierten Einblick in alle Aktivitäten, die Anwender in Cloud Services durchführen. Sie können daraufhin granular Kontrollmechanismen umsetzen, sowohl auf Nutzer-, Aktivitäts- bis hin zur Datenebene. Im Forward Proxy Modus kontrolliert der CASB den kompletten Datenverkehr vom Endgerät oder Netzwerk zum Cloud Services. So kann er zum Beispiel verhindern, dass Mitarbeiter sensible Daten in die Cloud hochladen. In diesem Modus haben Administratoren zudem die Möglichkeit, genau festzulegen, auf welche Repositories in Cloud-Applikationen Anwender zugreifen dürfen.

Fazit

Die genannten Anwendungsfälle zeigen, wie Unternehmen die Gefahren durch Schatten-IT mit einem CASB eindämmen können. Dabei handelt es sich jedoch nur um eine Auswahl. Ein Cloud Access Security Broker kann noch viel mehr leisten – zum Beispiel sensible Daten in der Cloud verschlüsseln oder Mitarbeiter von verbotenen Services auf genehmigte umleiten. Er bietet granulare Möglichkeiten, die Cloud-Nutzung zu kontrollieren. Administratoren sind dadurch in der Lage, exakt festzulegen, wer welche Cloud Services in welcher Form nutzen darf. So können Unternehmen von den Vorteilen der Cloud profitieren und dabei Risiken minimieren.