Das ist eines meiner Lieblingsthemen, ich gebe es zu. Aber wir sind langsam so weit, dass die meisten Unternehmen wirklich schon in der Cloud sind oder konkrete Pläne haben, in die Cloud zu gehen. Und mit Cloud ist durchaus auch SaaS gemeint, denn gerade Microsoft O365 kommt sehr oft zum Einsatz. Deswegen will ich mich hier auf das Absichern von SaaS-Lösungen konzentrieren. IaaS, PaaS und andere Aspekte der Cloud werden hier nicht berücksichtigt.

Ein CASB hilft, Visibilität über die Nutzung der Cloud-Dienste zu bekommen, ermöglicht Compliance-Vorgaben umzusetzen, kann bei der Datensicherheit und bei Threat Protection helfen.


Use-Cases für ein Cloud Access Security Broker (CASB)

Schatten-IT (Shadow-IT)

Ein CASB sitzt zwischen den Usern und den SaaS Services, die diese benutzten. Dabei kann identifiziert werden, welche Services überhaupt von den Mitarbeitern benutzt werden. Einerseits sind das die Offiziellen (oft z.B. Microsoft O365), andererseits werden auch diejenigen Services erkannt, die offiziell nicht im Einsatz sind oder sein sollten. Moderne CASB Lösungen können über 100’000 verschiedene SaaS Applikationen identifizieren und klassifizieren. Dabei werden die Apps nach Reputation und Sicherheitsrisiko gewichtet, was bei der grossen Anzahl an Apps hilft, die Übersicht zu bewahren.

 

Eingrenzung von unerlaubten Zugriffen (Unauthorized Access)

Mit einem CASB kann man nicht nur feststellen, dass Mitarbeiter auf unerlaubte Cloud-Dienste zugreifen, sondern man kann diesen Zugriff auch limitieren oder ganz unterbinden. Dabei ist es möglich, den Zugriff auf einen File-Hosting-Service wie z.B. Dropbox zuzulassen, aber das Hoch- oder Herunterladen von Dateien zu blockieren. Dies kann durch den Einsatz von DLP noch viel genauer gesteuert werden. Das Herunterladen von gewissen Dateitypen, wie beispielsweise PDFs kann erlaubt werden, aber alle anderen Dateitypen werden blockiert.

 

Account Takeovers identifizieren

Ein CASB bietet oft auch eine detaillierte Sichtbarkeit und Kontrolle über Aktivitäten, die innerhalb von Cloud-Anwendungen stattfinden. Dabei wird anormales Verhalten wie z.B. wiederholte externe Freigabeversuche oder massenhafte Datendownloads erkannt und kann alarmiert und blockiert werden. Dabei kann ein Benutzerkonto vorübergehend gesperrt oder ein Passwort-Reset erzwungen werden.

 

Cloud Data Loss Prevention (DLP)

Dabei handelt es sich zwar nicht um ein komplettes DLP, aber CASBs, die im Datenfluss sitzen und mit einem Proxy kombiniert sind, können meistens den Datenverkehr auch entschlüsseln (SSL Inspection) und somit auch die Payloads analysieren. Das ermöglicht es wiederum, eine viel genauere Kontrolle der Daten, die hoch- oder heruntergeladen werden, durchzuführen. Man kann z.B. nach genauen Datenmustern suchen, wie Kreditkartendaten, Adressen oder anderen Kundendaten. Durch den Einsatz von EDM (Exact Data Match) können diese Datenmuster viel genauer eingesetzt werden, denn anstatt nach einer generischen Kreditkartennummer zu scannen, werden genau nur diejenigen Kreditkartennummern berücksichtigt, die vorher hinterlegt wurden. Es ist auch möglich, von vertraulichen Dokumenten einen Hashwert zu generieren und dann nach diesem Hashwert zu suchen. Dabei kann der Datenabfluss von vertraulichen Dokumenten eingeschränkt werden, ohne dass diese vom CASB selber gelesen werden können.

 

Audit-Trail

Mit einem CASB können detaillierte Audit-Trails aller Benutzer-Aktivitäten (oder auch Admin-Aktivitäten) in Cloud-Diensten erstellt werden. Dies kann im Falle eines Breaches oder eines Datenabflusses eine forensische Untersuchung erleichtern, indem alle Aktionen zurückverfolgt werden können.

 

Überwachung von Cloud-Risiken

Ein CASB kann wie bereits erwähnt eine grosse Anzahl von Cloud-Diensten identifizieren und bewerten. Diese Bewertung hilft, neue SaaS-Lösungen gemäss ihrem Risk-Faktor und ihrer Reputation zu beurteilen. Wenn ein Benutzer eine neue Applikation einsetzen möchte, ist es für das Securityteam oft nicht sofort ersichtlich, ob diese Lösung auch sicher ist und ohne Weiteres für den User freigeschaltet werden darf.

In diesem Kontext ist es ebenfalls interessant, dass CSPM-Lösungen (Cloud Security Posture Management), die bisher vor allem in IaaS- und PaaS-Umgebungen eingesetzt wurden, jetzt auch für SaaS-Umgebungen angepasst werden. Dabei kann dann mit einer SaaS CSPM auch die Konfiguration des Cloud-Dienstes gegenüber Standards verglichen werden und Fehlkonfigurationen oder riskante Konfigurationen können identifiziert und korrigiert werden. Eine weitere neue Kategorie ist das sogenannte CIEM oder Cloud Infrastructure Entitlement Management. Dabei werden alle Cloud-Identitäten und Cloud-Benutzer sowie deren Berechtigungen erfasst und kontrolliert, um übermässige Berechtigungen zu reduzieren und dadurch Privilegien in Cloud-Umgebungen richtig zu dimensionieren.


Zusammenfassung

Ein CASB erlaubt es, den Zugriff auf Cloud-Dienste (oder SaaS-Applikationen) zu regulieren. Durch den Einsatz von DLP können vertrauliche Daten identifiziert und deren Abfluss eingeschränkt oder unterbunden werden. Ein CASB sitzt idealerweise sowohl im Datenfluss zwischen dem Benutzer und dem Internet, ist aber per API auch direkt mit den SaaS-Diensten verbunden und kann damit auch innerhalb der SaaS-Applikation steuern, was Benutzer machen dürfen und was nicht. Ein CASB wird oft in Kombination mit einem Proxy eingesetzt und kann durch CSPM und CIEM Funktionalitäten ergänzt werden.