Cloud Access Security Broker

Mit CASB sicher in die Wolke

11.01.2017 von David Hald
Cloud-Technologien finden bei Unternehmen immer größeren Zuspruch. Doch gerade in puncto Daten und Compliance gibt es Sicherheitsbedenken. Cloud-Security-Lösungen können hier Abhilfe schaffen.

Cloud Computing hat die IT-Landschaft wie kaum eine andere Technologie der vergangenen Jahre geprägt. Als Amazon vor genau zehn Jahren mit seinen Web Services eine der ersten Cloud-Plattformen auf den Markt brachte, konnten selbst Branchenkenner nur ahnen, welches Potenzial mit der Bereitstellung von Ressourcen "aus der Wolke" einhergeht. Mittlerweile ist Cloud Computing einer der am schnellsten wachsenden IT-Märkte weltweit. Denn nicht nur private Anwender setzen vermehrt auf SaaS-Lösungen wie Dropbox, Google Drive oder iCloud, auch im Unternehmensumfeld sind Cloud-Dienste auf dem Vormarsch. So nahmen laut des Bitkom Cloud-Monitor 2016 im vergangenen Jahr zum ersten Mal mehr als die Hälfte aller deutschen Unternehmen (54 Prozent) Cloud-Services in Anspruch.

Immer mehr Unternehmen wechseln in die Cloud - aber was ist mit der Sicherheit?
Foto: Jirsak - shutterstock.com

Die Gründe, warum sich Unternehmen für Cloud-Services entscheiden, sind vielfältig. Neben geringeren Kosten ist häufig eine bessere Skalierbarkeit der IT ausschlaggebend für eine Auslagerung interner Daten in die Cloud. Die betriebseigene, physische IT-Landschaft ist dadurch nicht mehr der begrenzende Faktor, wovon insbesondere kleine und mittelständische Unternehmen profitieren: Diese können Speicher- und Rechenkapazitäten schnell und unkompliziert aus der Cloud beziehen und somit auf IT-Ressourcen in einem Umfang zurückgreifen, der üblicherweise nur größeren Unternehmen zur Verfügung steht. Zudem bietet die ortsunabhängige Zugriffsmöglichkeit auf Unternehmensdaten sowohl Arbeitgebern als auch Mitarbeitern eine nie zuvor dagewesene Flexibilität und Mobilität: So hat die zunehmende Verbreitung von Cloud-Lösungen den Ausbau von Remote-Arbeitsmodellen enorm begünstigt.

Zum Video: Mit CASB sicher in die Wolke

Cloud-Sicherheitsrisiken schon im Vorfeld abwägen

Doch trotz aller Vorteile lassen insbesondere rechtliche Unsicherheiten manche Unternehmen immer noch zögern, sich für Cloud-Dienste zu entscheiden. Denn ein Ergebnis des Bitkom Cloud-Monitors lautet auch: 62 Prozent der befragten Unternehmen sorgen sich darum, dass vorhandene Compliance-Anforderungen nicht eingehalten werden können. Diese Bedenken sind tatsächlich nicht ganz unbegründet. Entscheiden sich Unternehmen etwa für einen Cloud-Provider, dessen Server im Ausland stehen, sind die rechtlichen Rahmenbedingungen häufig unklar. Nicht zuletzt deshalb ist eine kritische Haltung im Hinblick auf die Datensicherheit in deutschen Führungsetagen immer noch weit verbreitet. Damit Unternehmen im Zuge der Umstellung auf Cloud-Services nicht sprichwörtlich aus allen Wolken fallen, sollten sich IT-Verantwortliche daher bereits im Vorfeld mit möglichen Sicherheitsrisiken auseinandersetzen. Wie sehen diese also genau aus?

Grundsätzlich sind Cloud-Infrastrukturen ähnlichen Gefahren ausgesetzt wie herkömmliche Unternehmensnetze. Doch sind erstere aufgrund der Menge an dort gespeicherten Daten ein deutlich attraktiveres Ziel für Hacker. Schließlich stellen Public-Cloud-Anbieter ihre Ressourcen mitunter Millionen Kunden zur Verfügung. Zwar haben Cloud-Provider in den vergangenen Jahren auf die Sicherheitsbedenken ihrer Kunden reagiert und massiv in Absicherungsmaßnahmen investiert. Dennoch kann ein Cyberangriff niemals vollständig ausgeschlossen werden. Mit dem Verschieben geschäftskritischer Daten auf fremde Server geht folglich immer ein gewisser Kontrollverlust über wertvolles Firmen-Know-how einher, den viele Unternehmen fürchten.

Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?

Datensicherheit: Risikofaktor Mensch

Zudem muss bei der Integration von Cloud-Diensten der Risikofaktor Mensch stets mit einkalkuliert werden. Denn Mitarbeiter sind im Umgang mit geschäftskritischen Daten häufig nicht ausreichend geschult und handeln daher - mangels besseren Wissens - in vielen Fällen fahrlässig. So ist im Privatleben das Teilen und Herunterladen von Dateien in persönliche File-Sharing-Accounts für die meisten Menschen mittlerweile Alltag. Risiken entstehen erst dann, wenn beide Bereiche - privat und geschäftlich - nicht mehr voneinander getrennt werden. So geschieht es in der Praxis nicht selten, dass Mitarbeiter beispielsweise per Remote-Zugriff Firmendaten in private File-Sharing-Dienste hochladen, die über keine ausreichenden Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung verfügen. Dadurch erhöht sich die Gefahr, dass die Daten unautorisiert an Dritte weitergegeben werden. Möglichen Datendieben wird damit Tür und Tor geöffnet.

Für einen verantwortungsvollen Umgang mit Cloud-Angeboten brauchen Unternehmen Mitarbeiter, die mögliche Sicherheitsrisiken kennen und vermeiden.
Foto: sakkmesterke - shutterstock.com

Der zunehmende Trend hin zu Bring Your Own Device (BYOD) hat diese Gefahr nur noch begünstigt. Denn gerade weil Smartphone, Tablet und Co. für viele Menschen mittlerweile fester Bestandteil des Alltags sind, wollen auch die meisten Arbeitnehmer an ihrem Arbeitsplatz nicht darauf verzichten. Ein Sicherheitsrisiko entsteht, sobald Mitarbeiter mit eigenen Endgeräten und nicht genehmigten Applikationen ohne Wissen - und folglich ohne Genehmigung der IT-Verantwortlichen - auf Unternehmensdaten zugreifen. So entsteht eine Schatten-IT, also eine IT-Infrastruktur, die parallel zur offiziellen und an Compliance-Richtlinien ausgerichteten IT-Architektur besteht und sich den Kontrollmöglichkeiten der IT-Verantwortlichen somit vollständig entzieht. Ein effektives Sicherheitskonzept besteht folglich darin, Mitarbeiter im sachgemäßen Umgang mit vertraulichen Daten und Cloud-Applikationen zu schulen. Unternehmen, die sich für Cloud-Lösungen entscheiden, tun außerdem gut daran, die Verantwortung nicht ausschließlich an die eigenen Mitarbeiter zu delegieren, sondern bestehende Sicherheitslösungen noch um spezifische Cloud-Security-Maßnahmen zu ergänzen. Denn traditionelle Security-Tools wie Web-Filterung und Inhaltssicherheit, Firewalls und Anti-Viren-Software sind den Sicherheitsanforderungen moderner Cloud-Lösungen nicht mehr gewachsen.

CASB-Lösungen schaffen Transparenz

Aus diesem Grund steigt die Nachfrage nach sogenannten Cloud Access Security Brokern (CASB) deutlich an. Diese fungieren als Kontrollinstanz zwischen lokalem Firmennetzwerk und Cloud-Provider und bieten oft mittels einer detaillierten Übersicht der verwendeten Applikationen nicht nur lückenlose Transparenz, sondern ermöglichen zusätzlich eine gezielte Steuerung der Cloud-Zugänge. Administratoren können bei CASB-Lösungen in der Regel genau feststellen, welche Applikationen verwendet und welche Daten an welche Anwender weitergegeben werden dürfen. Somit können sie die Durchsetzung von Compliance-Richtlinien auf granularer Ebene sicherstellen. CASB-Lösungen schaffen also Sichtbarkeit, indem sie ein transparentes Bild aller Cloud-Prozesse liefern und bieten dadurch auch die Möglichkeit, der Entstehung einer Schatten-IT vorzubeugen. Ein flexibler Zugriff auf Daten und gleichzeitige Datensicherheit müssen also keinen Widerspruch darstellen.

Die Grundvoraussetzung für Sicherheit in der Cloud ist eine durchdachte Sicherheitsstrategie, die passende, cloud-spezifische Security-Tools mit einschließt. Nur so können Unternehmen das Potenzial von Cloud-Diensten voll ausnutzen und mögliche Sicherheitsbedenken abbauen. (fm)

Cloud-Prognosen für 2017 von Forrester
Prognose 1: Regionale Player ergänzen das Angebot der Cloud-Giganten
Auch AWS, Microsoft oder Google können nicht jede Kundenanforderung abdecken. Für kleinere regionale Cloud-Provider ergeben sich dadurch Chancen. Cloud-Nutzer sollten sie bei der Auswahl berücksichtigen.
Prognose 2: CIOs bringen Cloud-Kosten unter Kontrolle
2017 werden CIOs das Kosten-Management ihrer Cloud-Services besser in den Griff bekommen. Dabei helfen einschlägige Tools, etwa von AWS, Cloudability oder Cloudyn.
Prognose 3: Apps werden für den Cloud-Betrieb angepasst
Unternehmen sollten ihre Applikationen nicht einfach unverändert in die Wolke schieben, sondern sie für den Betrieb in der Public Cloud anpassen, empfiehlt Forrester.
Prognose 4: Hyperconverged Systems erleichtern Private-Cloud-Installationen
Forrester empfiehlt den Einsatz von Hyperconverged Systems für Private-Cloud-Szenarien insbesondere für neue Workloads, die eine rasche und automatisierte Skalierung der Infrastruktur erforderten.
Prognose 5: Container-Techniken drängen in die Cloud
Linux-Container werden 2017 Bestandteil jeder großen Public- oder Private-Cloud-Plattform sein, erwarten die Analysten.
Prognose 6: Enterprise-Anwendungen wandern in die Public Cloud
"Die Cloud ist der beste Ort, um aus Enterprise-Daten schnell Erkenntnisse zu gewinnen“, sagt Forrester-Analyst Dave Bartoletti. Schon jetzt hosten etliche Unternehmen auch Enterprise-Anwendungen in der Public Cloud. Dieser Trend werde sich 2017 verstärken.