Was ist ein Cloud Access Security Broker?
Ein Cloud Access Security Broker (CASB) ist ein Service, der als Überwachungsinstanz zwischen dem Cloud-Dienst und dem Anwender fungiert. Seine primäre Aufgabe besteht darin, einen sicheren Zugriff auf die verschiedenen Cloud-Services bereitzustellen. Ein Cloud Access Security Broker kann als eine dedizierte Anwendung oder auch selbst als ein Cloud-Dienst realisiert sein.
Cloud Access Security Broker im Detail
Ein Cloud Access Security Broker (CASB) ist für eine Reihe unterschiedlicher Aufgaben zuständig. Die zentrale Aufgabe eines solchen Brokers besteht darin, Anwendungen abzusichern, die eine Organisation oder ein Unternehmen in eine Cloud verlagert haben. Der CASB kann entweder als eine eigenständige Anwendung oder auch als ein Cloud-Service realisiert sein, der die Authentisierung und den Zugriff von Anwendern auf die Cloud-Applikationen kontinuierlich analysiert und orchestriert. Er kann Zugriffe auf einzelne Cloud-Ressourcen erlauben oder verwehren. Gleichzeitig zeichnet er alle erfolgten Zugriffe im Detail auf und sorgt für eine lückenlose Protokollierung der kompletten Kommunikation zwischen Anwender und Cloud-Dienst und aller ausgeführten Aktionen. Auf diese Weise lassen sich unerwünschte Aktionen zeitnah identifizieren und unterbinden. Der Broker ist in der Lage, verdächtige Aktionen automatisch zu erkennen und Administratoren darüber zu benachrichtigen.
In Cloud-Umgebungen, wie beispielsweise IaaS oder PaaS werden Cloud Access Security Broker in vielen Fällen eingesetzt, um die durch eine Organisation oder durch ein Unternehmen zu erfüllenden Sicherheitsstandards zu implementieren. Dadurch können unternehmensinterne Sicherheitskonzepte auf externe Services und Dienstleister erweitert werden. Dies kann beispielsweise dann notwendig sein, wenn strenge Vorlagen zum Datenschutz oder hohe Compliance-Richtlinien eingehalten werden müssen wie in bestimmten Bereichen des Gesundheits- oder des Finanzwesens. Der Cloud Access Security Broker ermöglicht die Implementierung einheitlicher und sicherer Zugangsvoraussetzungen, bei denen sich alle Anwender gegenüber der Cloud-Anwendung authentisieren müssen.
Gleichzeitig wird auch die Verschlüsselung aller übertragenen Daten vom CASB vorausgesetzt, sodass eine unerwünschte Nutzung der Cloud-Anwendungen und das Entstehen einer sogenannten „Schatten-IT“ durch offene Zugänge zur Cloud effektiv verhindert werden. Um einen wirksamen Schutz gewährleisten zu können, müssen im Vorfeld klar definierte Security-Policies implementiert werden. Der Cloud Access Security Broker ist für die Umsetzung dieser Security-Policies in der Cloud-Umgebung verantwortlich. Ein weiterer bedeutender Einsatzbereich des CASB sind die Verifizierung und Quantifizierung der Cloud-Nutzung zu Zwecken der Abrechnung. Dadurch wird die Nutzung der verschiedenen Ressourcen und Dienste gegenüber dem Cloud-Dienstleister nachweisbar.
Wie lässt sich ein Cloud Access Security Broker implementieren?
Moderne Cloud Access Security Broker sind in unterschiedlichen Versionen und Ausführungen erhältlich. Grundsätzlich lassen sich abhängig von der Implementierung zwei verschiedene Architekturen unterscheiden, und zwar:
– Gateway-basierte CASB-Lösungen
– API-basierte CASB-Lösungen
Bei dem API-basierten CASB ist die kontrollierende Instanz außerhalb des eigentlichen Datenstroms vom Cloud-Dienst und Anwender implementiert. Bei dieser Architektur erfolgt die Anbindung an die Cloud über eine API-Schnittstelle (Application Programming Interface). Diese Schnittstelle stellt Informationen über die Nutzung der Cloud-Dienste und deren Anwender zur Verfügung. Da die Kontrollinstanz außerhalb des Datenstroms implementiert ist, sind eine direkte Beeinflussung der Kommunikation oder das unmittelbare Blockieren der übertragenen Daten nicht möglich. Durch das Ausführen bestimmter Funktionen sowie durch das Setzen bestimmter Policies und Rechte findet die Kontrolle über die API statt. API-basierte CASB zeichnen sich dadurch aus, dass die Performance der kontrollierten Cloud-Anwendungen nicht durch den Cloud Access Security Broker selbst beeinflusst wird. Demzufolge ist diese CASB-Architektur in erster Linie für den Einsatz in sehr großen Cloud-Umgebungen mit einer Vielzahl von Anwendern ausgelegt.
Der Gateway-basierte CASB ist hingegen unmittelbar zwischen der Cloud und den Anwendern implementiert. Er wird an einer zentralen Stelle installiert und kann die gesamte Kommunikation beeinflussen. Da der Gateway-basierte CASB vor der Cloud platziert wird, ist er in der Lage, den gesamten Datenverkehr zur Cloud und von der Cloud genau auszuwerten und zu überwachen. Der CASB schleift sich direkt in den Datenstrom ein, sodass der Datenstrom beliebig steuerbar ist. Ein wesentlicher Nachteil dieser Art der Implementierung eines Security Brokers spiegelt sich in der Tatsache wider, dass die Performance der Kommunikationskanäle zwischen Anwender und Applikation eventuell durch die Kontrollinstanz negativ beeinflusst werden können. Große Cloud-Infrastrukturen mit vielen Anwendern benötigen einen entsprechend performanten Cloud Access Security Broker, um die negativen Auswirkungen der Verkehrskontrolle auf einem möglichst kleinen Niveau zu halten.
Moderne CASB-Lösungen stellen folgende Möglichkeiten der Absicherung der Cloud-Zugriffs bereit:
– Überwachung und Kontrolle des gesamten Datenverkehrs: Mit speziellen Rechten lässt sich schnell und einfach regeln, welcher Nutzer auf welche Anwendung Zugriff erhält. Mit performanten Schutzmechanismen lassen sich besonders kritische Bereiche absichern.
– Verschlüsselung des Datenverkehrs: Ohne den organisationsspezifischen Schlüssel zu kennen, kann niemand Zugriff auf die zur und von der Cloud übermittelten Daten erhalten.
– Konsolidierung wichtiger IT-Sicherheitsrichtlinien: Durch die Einbindung globaler Security-Policies werde die Sicherheitsrichtlinien auf sämtliche Cloud-Anwendungen und Zugriffe erweitert.
– Personalisierter Datenschutz: Moderne CASB-Lösungen bietet einen geräteabhängigen, selektiven Datenschutz. Daten auf Geräten lassen sich selektiv löschen, falls ein Gerät verloren oder gestohlen wird.
Dank der Analyse und der kontinuierlichen Überwachung der Kommunikation zwischen Nutzer und Anwendung ist der Cloud Access Security Broker stets darüber informiert, wer welche Applikationen und Services nutzt.
- Über den Autor
- Aktuelle Beiträge
Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.