CASB vs. Cloud-Gateway

Endpoint-Schutz für sicheren Zugang zur Cloud

| Autor / Redakteur: Vijay Pawar / Peter Schmitz

Unternehmen verstehen noch nicht, dass der Zugriff auf Cloud-Daten von einem mobilen Endgerät oder einer App aus fundamental anders ist als der über einen PC-Browser auf einem Laptop.
Unternehmen verstehen noch nicht, dass der Zugriff auf Cloud-Daten von einem mobilen Endgerät oder einer App aus fundamental anders ist als der über einen PC-Browser auf einem Laptop. (Bild: Pixabay / CC0)

Cloud-Computing birgt im Zusammenspiel mit mobilen Endpoints nicht nur ein großes Produktivitätspotenzial sondern auch viele Risiken für die Unternehmensdaten. Enterprise Mobility Management-Systeme sind ein notwendiges, aber noch kein hinreichendes Mittel, um die mobilen Endpunkte aus ihrem IT-Schatten zu holen.

Neben Smartphone oder Tablet ist die Cloud heute der zweite große Megatrend in der IT: Lösungsangebote aller Art aus der Steckdose – kostengünstig und einfach zu handhaben. Teuflisch einfach: wenn das eigene Tablet gerade nicht zur Hand ist, weil man es im Büro vergessen hat, nimmt man eben das Mobilgerät der Lebenspartnerin oder des Lebenspartners, um beispielsweise Kundendaten von Salesforce herunterzuladen. Benutzername und Kennwort bekommt man freundlicherweise mitgeteilt; und um diese Daten dann am Montag auf der Geschäftsreise zur Verfügung zu haben, lädt man sie auf den persönlichen Cloudspeicher hoch.

So weit, so schlecht. Denn das Mobilgerät der Lebenspartnerin oder des Lebenspartners steht natürlich nicht unter der Kontrolle des eigenen Unternehmens und das persönliche Speichermedium in der Cloud ist unter Umständen nicht besonders sicher. Und so sind plötzlich sensible Unternehmensdaten auch für Personen einsehbar, die sie ganz und gar nichts angehen; und die sie womöglich nicht nur einsehen, sondern auch noch manipulieren oder entwenden. Entsprechende kriminelle Aktivitäten mögen einigen Aufwand erfordern, aber interessante Daten dürften manchen dazu verleiten, keine Kosten und Mühen zu scheuen. Ganz gleich, wie einfach oder schwer ein Angriff auf fremde Daten ist, die Sicherheit von Unternehmens-Datenbeständen sieht anders aus.

Mobile Apps funktionieren anders als PC-Browser

Unternehmen müssen verstehen, dass der Zugriff von einem mobilen Endgerät beziehungsweise einer mobilen App fundamental anders ist als der über einen PC-Browser auf einem traditionellen PC oder Laptop. Letzterer steht vollständig unter Kontrolle der Unternehmens-IT. Die Browser-Sitzungen sind nur temporär und es werden keinerlei Daten auf Speichermedien abgezogen. Folglich können entsprechende Inhalte nicht einfach anderen Apps zur Verfügung gestellt werden.

Im Falle mobiler Apps ist die Situation anders: Solche Apps können sowohl auf nicht-administrierte als auch auf administrierte Geräte heruntergeladen werden. App-Sitzungen sind dauerhaft und auf dem Endgerät lassen sich Daten speichern, sodass es relativ einfach ist, Inhalte anderen Apps zur Verfügung zu stellen beziehungsweise sie irgendwo in der Cloud zu speichern.

In der Cloud geht es de facto um Endpoint-Sicherheit

Auch wenn die Sicherheitslage kritisch ist, werden die Unternehmen die Kombination von Mobil-IT und Cloudservice nicht mehr loswerden. Die Mischung ist einfach zu verführerisch und bietet viele attraktive Hebel, um die Produktivität am Arbeitsplatz zu steigern. Vermutlich werden schon heute Hunderte von Cloudservices in den Unternehmen weltweit eingesetzt. Die größere Zahl dieser Dienste läuft dabei wohl im Schatten der offiziellen IT, die entsprechenden Dienste sind entweder verboten, werden aber dennoch genutzt, oder sie sind irgendwie in einer dienstrechtlichen Grauzone.

Wenn sich viele IT-Verantwortliche angesichts dieser Sachlage Sorgen um die Datensicherheit einerseits und die Einhaltung der Datenschutz-Gesetze andererseits machen, so ist das sicher berechtigt. Freilich stellen sie dabei oft die falschen Fragen. Letztlich geht es nämlich dabei nicht um Cloud-Sicherheit, sondern um Cloudzugangs-Sicherheit, sprich de facto um die Sicherheit der einzelnen Endpunkte. Diese Endpunkte müssen rigoros abgesichert werden.

Das ist eine lösbare, wenn auch sehr arbeitsintensive Aufgabe. Denn die Cloud löst ja die traditionellen Netzwerkgrenzen auf. Die vielen lokalen Rechenzentren verschwinden, was bleibt, ist eine Vielzahl von Endpoints: Desktops, Tablets, Smartphones und immer mehr Maschinen-Endpunkte, die ihrerseits wieder ganz unterschiedliche Charakteristika aufweisen: das Spektrum reicht hier von allen möglichen Sensoren an Maschinen, die wohl nie ein menschliches Interface haben werden, über Kiosksysteme im Einzelhandel bis zu Mehrzweckgeräten wie einer Smartwatch und medizinischen Endgeräten, die Gesundheitsdaten erfassen und bei denen der Datenschutz eine besondere Rolle spielt.

„Cloud-Türsteher“ haben Hochkonjunktur

Die Endpoint-Landschaft hat es also in sich. Sie enthält ein großes Produktivitätspotenzial, aber auch ein mindestens ebenso großes Risikopotenzial. Wenn über die diversen Cloudservices sensible Unternehmensdaten Daten irgendwo auf fremden Rechenzentren gespeichert und verwaltet werden, können sie durch die Vielzahl an Zugriffsmöglichkeiten leicht in unbefugte Hände kommen. Unternehmen benötigen deshalb ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu?

Die Gattung der „Cloud-Türsteher“ hat deshalb Hochkonjunktur. Ob Symantec, CensorNet, Imperva, Skyhigh Networks oder Checkpoint: alle gängigen IT-Sicherheitsunternehmen haben mittlerweile so genannte Cloud Access Security Broker (CASB) im Programm, die mit Authentifizierungs- und Autorisierungsmechanismen sowie detaillierter Kontrolle des Traffics verhindern sollen, dass sensible Unternehmensdaten in der Cloud ausspioniert, manipuliert oder entwendet werden können. Und natürlich haben auch IT-Schwergewichte wie IBM oder Microsoft mit Produkten wie dem IBM Cloud Security Enforcer oder MS Adallom entsprechende Produkte entwickelt oder zugekauft.

Der Zustand des Endpoints muss auf den Prüfstand

In allen diesen CASB-Systemen geht man davon aus, dass eine bloße Identitätsprüfung (Benutzername und Passwort) nicht ausreichen, um Unternehmensdaten zu schützen, wenn Cloudservices im Spiel sind. Allerdings sind CASB-Systeme derzeit noch weitgehend auf das traditionelle Desktop-Computing-Modell zugeschnitten und im Mobilbereich eher wenig skalierbar. Vor allem aber überwachen sie nicht so sehr den Zustand des Endgeräts, sondern kontrollieren in erster Linie den Traffic.

Tatsächlich muss aber in den Use Cases mit Cloudservice-Nutzung nicht nur geprüft werden, ob derjenige, der Einlass begehrt, auch dazu berechtigt ist, sondern auch, ob das Endgerät, das er oder sie benutzen wollen, nicht manipuliert ist (durch Jailbreak oder Rooting), aus welcher Weltregion es sich einwählen will, was für eine IP-Adresse es hat, und womöglich spielt auch eine Rolle, zu welchem Zeitpunkt der Zugriff erfolgt (3 Uhr nachts Ortszeit ist eventuell verdächtig). Nicht zuletzt muss abgeprüft werden, ob das Gerät unter der Kontrolle eines Enterprise Mobility Management (EMM-)Systems steht, sodass die Unternehmens-IT bei Bedarf vollen Zugriff auf den Unternehmensteil des Geräts hat.

Cloudzugangs-Kontrolle benötigt EMM als Basis

Ein EMM-System ist eine notwendige, aber noch keine hinreichende Bedingung, um den jeweiligen Endpoint „sauber“ zu halten. Ein Cloudzugangs-Gateway wie MobileIron Access ergänzt deshalb das EMM-System um weitere Prüfpunkte, welche den Zustand des Endgeräts untersuchen (siehe oben). Technisch gesprochen werden dabei die Zugriffsversuche eines Endgeräts auf Unternehmensdaten über den ohnehin schon vorhandenen „Türwächter“ (Proxy) des EMM-Systems geleitet („redirected“). Erst wenn dieser Türwächter sein OK gibt, wird der Zugriff gestattet. Der Einsatz von Standards zur Vereinfachung der Authentifizierung- und Autorisierungskette wie zum Beispiel die Security Assertion Markup Language (SAML) sorgen dafür, dass dabei keine Anpassungen der Cloud-Apps erforderlich sind.

Ein derart gestaltetes Cloud Access-System liefert nicht zuletzt Auditoren und Compliance-Verantwortlichen die notwendigen Werkzeuge, damit sie einen umfassenden Blick auf Benutzer, Apps und Geräte, die auf Cloud-Services zugreifen, erhalten. Die Endpoints treten damit aus ihrem „IT-Schatten“.

Über den Autor

Vijay Pawar ist Senior Director Product Management bei Mobileiron.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45161520 / Security)