Cloud Access Security Broker und Web Proxies

Cloud-Verkehrspolizei

28. September 2016, 8:00 Uhr | Von Daniel Wolf.

Die zunehmende Cloud-Nutzung in Unternehmen stellt neue Anforderungen an die IT-Sicherheit. Daten verlassen immer häufiger - gewollt oder ungewollt - die Unternehmensnetzwerke. Firewalls und Web Proxies stoßen an die Grenzen ihrer Leistungsfähigkeit. Als sinnvolle Ergänzung bietet sich ein Cloud Access Security Broker (CASB) an. Die Integration der Werkzeuge schnürt ein Sicherheitspaket, das auch die Cloud-Nutzung abdeckt.

Web Proxies und Firewalls bieten eine Reihe Cloud-bezogener Sicherheitsfunktionen. So können sie zum Beispiel den Cloud-Zugang aus dem Unternehmensnetzwerk erkennen und protokollieren. Manche IT-Abteilungen nutzen Proxies auch, um SSL zu terminieren und Inhalte von HTTPS-Verbindungen auf Malware zu überprüfen. Dies reicht jedoch nicht aus, um weitere Cloud-bezogene Sicherheitslücken zu schließen. Proxies und Firewalls können nicht detailliert zwischen guten und schädlichen Anwendungen differenzieren. Sie teilen Cloud-Services maximal in grobe Kategorien ein, etwa "Technologie/Internet", "Business/Wirtschaft" oder "verdächtig". Aber die eigentliche Funktion des Services - beispielsweise Filesharing - erkennen sie nicht.

Administratoren können mit Proxies und Firewalls gefährliche URLs blockieren. Gibt der Nutzer dann eine solche Adresse ein, erhält er einen Hinweis, dass die URL gesperrt ist. Bei Cloud-Services greifen diese Mechanismen oft nicht: Cloud-Anbieter ändern häufig URLs und IP-Adressen, sodass die gebräuchlichen Netzwerk-Sicherheitslösungen diese nicht erkennen. Das führt zu "Proxy Leakage": Obwohl die IT bestimmte Cloud-Anwendungen blockiert hat, können Mitarbeiter weiter darauf zugreifen.

ll10s11a
Anhand von Proxy-Logs analysiert ein CASB die Cloud-Nutzung. Bild: Skyhigh Network

Außerdem filtern Proxies und Firewalls Websites nach IP-Reputation. Ist eine Adresse für mangelnden Datenschutz, Viren, Spam oder andere Gefahren bekannt, kommt sie auf den Index. Auf Cloud-Services lässt sich das nur bedingt anwenden: Eine IP-Adresse kann eine gute Reputation haben, trotzdem aber für den Unternehmenseinsatz ungeeignet sein, weil entsprechende Sicherheitsfunktionen fehlen. Bei der Risikobewertung von Cloud-Diensten fließt eine Reihe von Faktoren ein, die Firewalls und Proxies normalerweise nicht berücksichtigen.

Beispiel Filesharing-Service: Befindet er sich in einem Land, in dem Datenschutzrichtlinien verletzt werden? Erlaubt er anonyme Nutzung oder gibt gar Kundendaten an Dritte weiter? Wurden in den letzten Monaten Passwörter gestohlen? Wenn auf nur eine der Fragen die Antwort "Ja" lautet, sollte man dort keine sensiblen Unternehmensdaten speichern. Ein CASB zeigt hierbei auf, welche Cloud-Dienste im Unternehmen zum Einsatz kommen, und erweitert die bestehenden Kontroll- und Sicherheitsmechanismen auf den Cloud-Datenverkehr.

Zunächst geben CASBs eine detaillierte und unabhängige Risikobewertung für jeden einzelnen Cloud-Service ab. Grundlage dafür bilden mehrere Faktoren wie Compliance, Sicherheitsmechanismen oder bekannte Datenschutzverletzungen durch den Service-Provider. Auch setzen CASBs Sicherheits- und Datenschutzrichtlinien für die Cloud-Nutzung durch. So können sie den Zugang zu allen gefährlichen Filesharing-Diensten blockieren, in Echtzeit über sichere Services informieren, die Daten vor dem Upload in die Cloud verschlüsseln oder beim Download von sensiblen Daten ein Rechte-Management anwenden.

Zudem decken CASBs mittels maschineller Lernverfahren und kontextbezogener Nutzungskontrolle Gefahren wie auch Sicherheitslücken auf und können in Echtzeit darauf reagieren. Durch die Nutzungsanalyse anhand historischer Daten erkennt die Technik beispielsweise, ob ein Benutzer ungewöhnlich große Mengen an sensiblen Daten herunterlädt und in einer anderen Cloud-Applikation in einen privaten Account hochlädt. Ist eine solche Insider-Gefahr erkannt, lassen sich Konten über den CASB sperren oder eine verschärfte Authentifizierung erfragen.

Schließlich lassen sich mit CASBs Sicherheitsrichtlinien für Daten umsetzen, die bereits in der Cloud gespeichert sind. Unternehmen können so Zugriffsrechte widerrufen, wenn sie Daten nicht mehr mit einem Geschäftspartner teilen wollen, oder nachträglich sensible Daten verschlüsseln. CASBs können daher Proxies und Firewalls sinnvoll ergänzen. Sie lassen sich auf drei Arten in die klassischen IT-Security-Lösungen integrieren: Log Collection, Packet Capture und Proxy Chaining.

Log Collection, Packet Capture und Proxy Chaining

Web Proxies sammeln Daten über die Cloud-Nutzung im Netzwerk. Sie können aber nicht zwischen einer reinen Internet-Verbindung und der Kommunikation mit einem Cloud-Dienst unterscheiden. Im Log-Collection-Einsatz analysiert der CASB die Logdateien von Proxy-Lösungen. Das zeigt auf, welcher Anwender welche Cloud-Services nutzt, welches Datenvolumen er in die Cloud hoch- und aus ihr herunterlädt und in welche Kategorie und Risikoklasse der Cloud-Service fällt. Durch regelmäßige Aktualisierungen kennen CASBs die neuesten URLs der Dienste und verhindern so Proxy Leakage. Bei der SSL-Terminierung kann ein CASB zusätzliche Details aus den Logdateien ziehen und Aufschluss darüber geben, welche Aktionen die Nutzer mit den Cloud-Services durchführen. Schließlich lassen sich mit maschinellen Lernverfahren Malware oder Botnets entlarven.

ll10s11b
Packet Capture: Ein CASB bietet erweiterte Möglichkeiten, DLP-Richtlinien einzuhalten. Bild: Skyhigh Networks

Im Packet-Capture-Verfahren durchforstet ein CASB den Traffic bestehender Netzwerk-Sicherheitslösungen und macht die Inhalte transparent. Ein Proxy kann Inhalte zum Beispiel via ICAP (Internet Content Adaptation Protocol) an den CASB weiterleiten, der dann die Einhaltung der DLP-Richtlinien (Data Loss Prevention) überprüft. Viele Cloud-Services missachten Standards und nutzen ihre eigenen Content Disposition Header. Dadurch haben Proxies oder herkömmliche lokale DLP-Lösungen im Gegensatz zu einem CASB keine Möglichkeit, den Content zu analysieren.

Außerdem lässt sich ein CASB als Forward Proxy einsetzen. Viele Unternehmen betreiben bereits einen Web Proxy und möchten keinen weiteren Endpoint Agent implementieren. Im Proxy-Chain-Modus wird der Downstream Web Proxy so konfiguriert, dass er den kompletten Cloud-Traffic durch den CASB leitet. Dadurch kann dieser in Echtzeit Sicherheitsrichtlinien durchsetzen - zum Beispiel die Funktionalität eines Cloud-Dienstes einschränken.

Zwar erfüllen Firewalls und Web Proxies viele wichtige Aufgaben, doch nur im Zusammenspiel mit einem CASB können sie auch die Cloud-Nutzung im Unternehmen ausreichend absichern. Mit dem Gesamtpaket erzielen IT-Abteilungen einen umfassenderen Einblick beim Einsatz von Cloud-Services und können Unternehmensdaten in der Cloud oder auf dem Weg dorthin besser schützen. Viele IT-Verantwortliche schätzen insbesondere Data Loss Prevention für die Cloud und eine detailliertere Aufzeichnung des Nutzungsverhaltens von Anwendern und Administratoren. In ihrem "Market Guide for Cloud Access Security Brokers" gehen die Analysten von Gartner deshalb davon aus, dass im Jahr 2020 stolze 85 Prozent aller Unternehmen die Technik nutzen werden.

Daniel Wolf ist Regional Director Deutschland, Österreich und Schweiz bei Skyhigh Networks ().

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Collax

Weitere Artikel zu Concrete Logic GmbH

Weitere Artikel zu saperion AG

Matchmaker+