Cloud Access Security Broker

CASB ist die Abkürzung für „Cloud Access Security Broker“. CASB ist eine neuartige Sicherheitstechnologie, die bestehende Sicherheitslösungen wie NextGen-Firewalls (NGFW), DLP, DPI und andere ergänzt. CASB setzt bei den Problemen an, die auftreten können, wenn Unternehmen Cloud-basierte Anwendungen einsetzen und Daten das Gelände des Unternehmens verlassen.

Ein typisches Beispiel: Ihr Unternehmen hat sich entschieden, für den Datenaustausch und zur Unterstützung der globalen Zusammenarbeit den Dienst Box.com zu nutzen. Datenschutzrichtlinien wie die DSGVO verbieten es Ihnen jedoch, personenbezogene Daten Ihres Unternehmens außerhalb bestimmter Regionen aufzubewahren. Zudem ist es sehr einfach, Box-Benutzern außerhalb Ihres Unternehmens oder generell Akteuren im Internet versehentlich oder böswillig Zugriff auf eine Datei zu verschaffen. Ihre NG-Firewall wird allerdings nicht verhindern, dass bestimmte Daten auf Box.com hochgeladen werden, da der Zugang zu Box.com als zulässige Geschäftsanwendung registriert ist. Der Sicherheitsgewinn durch DLP ist insofern beschränkt, als nur die Übertragung auf der Grundlage eines Regelsatzes unterbrochen oder zugelassen wird, ohne dabei zu berücksichtigen, wer Zugriff auf die Inhalte von Box.com hat.

Der Zugriff auf bestimmte Daten im internen Netzwerk von außen kann leicht mit einer Firewall blockiert werden. Aber was ist, wenn sich diese Daten gar nicht mehr im internen Netzwerk befinden? Fragen wie diese schränken die Anwendung von Cloud-Technologien ein und könnten Unternehmen dazu veranlassen, sich notgedrungen weiterhin auf eine begrenzte Anzahl interner IT-Infrastrukturen und -Anwendungen zu stützen. In welchem Ausmaß dies der Fall sein wird, hängt vom Standort, vom Sektor und von der jeweils aktuellen Gesetzgebung ab.

Der Einsatz einer CASB-Lösung kann dazu beitragen, diese Bedenken auszuräumen und einen Cloud-basierten IT-Ansatz zu ermöglichen – ohne die damit verbundenen Möglichkeiten zu beschränken. Die Experten von Infradata auf dem Gebiet von Networking, Cloud und SD-WAN helfen Ihnen gerne dabei, die beste Lösung für Ihr Unternehmen zu ermitteln und zu entwickeln. Ob als Managed-Service oder als selbst kontrollierte Lösung.

Wie wird CASB eingesetzt?

Ein Cloud Access Security Broker (CASB) muss sich genau wie eine Firewall zwischen Ausgangs- und der Bestimmungsort der zu schützenden Daten befinden. Ähnlich wie bei einer Firewall kann die Anwendung zwischen den vertrauenswürdigen und nicht vertrauenswürdigen Teilen des Netzwerks, am Endpunkt (wie z. B. Windows Firewall) oder in der Cloud angeordnet sein.

Jede Methode hat ihre Vor- und Nachteile, wenn es darum geht, was man mit ihr erreicht, wie flexibel sie ist und wie viel Aufwand für ihre Verwaltung notwendig ist.

Was kann CASB für Ihr Unternehmen leisten?

CASB kann Ihnen Aufschluss darüber geben, welche Daten Ihren geschützten Bereich verlassen und wohin sie gesendet werden. Sie erhalten Berichte mit Informationen darüber, welcher Nutzer was wohin gesendet hat (Inhaltstyp, Format, Stichwörter). Wenn Richtlinien eingesetzt werden, kann die Anwendung auch verhindern, dass Daten den internen Bereich verlassen oder sicherstellen, dass nur an bestimmte Ziele und Empfänger gesendet werden kann (verschlüsselt und mit Token).

Wir greifen nochmals das Box.com-Beispiel auf: Das CASB-Gerät oder die CASB-Software befindet sich zwischen dem Client und der Box-Cloud. Da die Verbindung zu Box eine sichere TLS-Verbindung ist, werden Daten von CASB bereits vor der Verschlüsselung abgefangen. Oder CASB wird sich als Man-in-the-Middle mit einem vertrauenswürdigen Zertifikat des Unternehmens in die TLS-Verbindung einklinken. Alle an die Box gesendeten Daten werden überwacht. Wenn eine Datei als vertraulich gekennzeichnet ist oder sie schützenswerte persönliche Daten enthält, wird die Verbindung unterbrochen, und das Ereignis wird protokolliert.

Eine CASB-Lösung kann auch so konfiguriert werden, dass automatisch sämtliche Daten verschlüsselt werden, die den internen Unternehmensbereich verlassen. Diese Art der Verschlüsselung unterscheidet sich von der Verschlüsselung des Datentransports wie etwa bei SSL. Die Daten werden mit CASB verschlüsselt und über TLS an die Cloud weitergeleitet, wo sie in verschlüsselter Form gespeichert werden. Erst wenn die Daten wieder über CASB von Benutzern abgerufen werden, erfolgt eine Entschlüsselung. Gestohlene Zugangsdaten oder der direkte Zugriff aus dem Internet führen nur zu den verschlüsselten Daten.

Aufgrund der Fähigkeit, in der Cloud gespeicherte Daten zu verschlüsseln, kann CASB zusätzlich zur Einhaltung der DSGVO beitragen. Verschlüsselte Daten, für die der Schlüssel nicht außerhalb der EU bekannt ist, fallen nicht unter die DSGVO, weil die Vertrauenswürdigkeit des Cloud-Anbieters sowie dessen Zugriff und Verwaltung der Daten keine Rolle mehr spielen. Einige CASB-Lösungen haben zusätzliche spezielle SaaS-Anwendungen. Ähnlich wie bei der Kontrolle über Freigabeeinstellungen für Box.com, können Sie bei manchen CASBs Regeln für Anwendungen wie SalesForce.com festlegen, so dass Felder mit Kreditkartendaten und anderen sensiblen Daten immer verschlüsselt werden. Beim Zugriff auf Daten durch Unbefugte von außen können nur ungeschützte Datenfelder ausgelesen werden.