Definition Was ist ein Cloud Access Security Broker (CASB)?

Anbieter zum Thema

Aagon GmbH

Vitel GmbH

Ein Cloud Access Security Broker ist eine zwischen den Anwendern und den Cloud-Anwendungen platzierte Sicherheitskomponente. Sie überwacht, steuert und kontrolliert den Zugang und die Nutzung der Cloud-Services. Der CASB ist ein Bestandteil des Cloud-Architekturkonzepts SASE (Secure Access Service Edge).

CASB ist das Akronym für Cloud Access Security Broker. Definiert wurde der Begriff vom US-amerikanischen Marktforschungsunternehmen Gartner im Jahr 2012. Bei einem Cloud Access Security Broker handelt es sich um eine Software oder eine Anwendung, die logisch zwischen dem Cloud-Anwender und dem von ihm genutzten Cloud-Service platziert ist und als Wächter oder Durchsetzungspunkt für Sicherheitsrichtlinien agiert.

Der CASB überwacht, steuert und kontrolliert die Aktivitäten des Anwenders. Er setzt zuvor festgelegte Sicherheitsrichtlinien durch und informiert Administratoren bei verdächtigen oder nicht erlaubten Aktivitäten. Mithilfe des CASB lassen sich die Sicherheitsrichtlinien eines Unternehmens über die Grenzen der eigenen IT-Umgebung hinaus auf Cloud-Services ausweiten und entsprechend durchsetzen. Eine unerwünschte oder gefährliche Nutzung von Cloud-Services wird durch den CASB zuverlässig verhindert.

Der Cloud Access Security Broker – ein Bestandteil von SASE

Der CASB ist ein wichtiger Bestandteil des Cloud-Architekturkonzepts SASE (Secure Access Service Edge). Auch der Begriff SASE wurde von Gartner geprägt. Es handelt sich um ein Cloud-Computing-Architekturkonzept, das in einer integrierten, cloudbasierten Lösung Sicherheitsfunktionen und softwaredefinierte WAN-Services miteinander kombiniert.

WAN- und Sicherheitsfunktionen können als Service am Netzwerkrand (Network Edge) bereitgestellt werden und greifen auch schon dort. SASE sorgt für eine cloudbasierte, softwaredefinierte Architektur und Sicherheitsinfrastruktur, die am Network Edge identitäts- und kontextbezogene Zugangsmöglichkeiten für Anwender, Geräte, Anwendungen und Services schafft. Der Sicherheitsaspekt von SASE wird auch als Security Service Edge (SSE) bezeichnet.

Wichtige Komponenten und Konzepte von SASE sind neben dem Cloud Access Security Broker und dem Software-Defined WAN (SD WAN) das Secure Web Gateway (SWG), Firewall-as-a-Service (FWaaS), Zero Trust Network Access (ZTNA) und Data Loss Prevention (DLP).

Die vier Säulen des Cloud Access Security Broker

Gartner definiert für den Cloud Access Security Broker folgende vier Säulen:

• 1. Sichtbarkeit: Ein CASB sorgt für Transparenz und Kontrolle, welche Geräte, Anwendungen oder Services welche Cloud-Dienste wie nutzen.

• 2. Compliance: Ein CASB ermöglicht die Einhaltung und Durchsetzung von Compliance-Vorgaben und gesetzlichen Anforderungen bei der Nutzung von Cloud-Services und Cloud-Anwendungen.

• 3. Datensicherheit: Ein CASB sorgt für Datensicherheit und Datenintegrität sensibler oder vertraulicher Daten und verhindert die unkontrollierte Übertragung von Daten.

• 4. Bedrohungsschutz: Ein CASB blockiert externe Angriffe oder Bedrohungen wie Malware und verhindert unbefugte Zugriffe oder eine missbräuchliche Nutzung von Daten und Services.

Implementierung und typische Funktionen eines Cloud Access Security Broker

Ein Cloud Access Security Broker kann auf verschiedene Arten implementiert werden. Es gibt Lösungen, die als lokale Appliance realisiert sind, oder Lösungen, die die CASB-Funktionalität cloudbasiert bereitstellen. Grundsätzlich muss der CASB Zugriff auf den Datenpfad zwischen dem Anwender und dem Cloud-Service haben. Er kann beispielsweise als Proxy-Agent auf dem Endgerät installiert sein oder als endgeräteunabhängiger Proxy agieren, der den Datenverkehr zwischen dem Anwender und dem Cloud-Service abfängt, analysiert und kontrolliert. Auch eine API-basierte Realisierung ist möglich. In diesem Fall interagiert der CASB außerhalb der eigentlichen Kommunikation zwischen dem Anwender und der Cloud-Anwendung über eine Programmierschnittstelle (API) des Cloud-Service-Providers. Über diese API erhält er Informationen zur Nutzung von Cloud-Services und kann Richtlinien durchsetzen. Ein Analysieren und Blockieren des Datenverkehrs auf Netzwerkebene wie bei einer Proxy-basierten Lösung ist so aber nicht möglich.

Typische von einem Cloud Access Security Broker bereitgestellte Funktionen sind:

• identitätsbasierte Zugriffskontrolle auf Cloud-Services

• Analyse und Überwachung der Anwenderaktivitäten und des Datenverkehrs

• Angriffs-, Bedrohungs- und Malwareerkennung und -abwehr

• Durchsetzung der definierten Sicherheitsrichtlinien

• Schutz vor Datenverlust und Schließen von Datenlecks

• Verschlüsselung

• Information und Alarmierung bei Richtlinienverstößen

• Reporting

Vorteile durch die Implementierung eines CASB

Die Implementierung eines CASB bietet bei der Nutzung von Cloud-Anwendungen und Cloud-Services zahlreiche Vorteile. Die Sicherheitsrichtlinien eines Unternehmens lassen sich auf die Nutzung von Cloud-Services ausweiten und zuverlässig durchsetzen. Das minimiert die Risiken für Sicherheitsverletzungen, Datenverlust und externe Bedrohungen, hilft Compliance-Vorgaben einzuhalten und verbessert die Transparenz der Cloud-Nutzung. Durch Schatten-IT verursachte Cloud-Aktivitäten lassen sich unterbinden. Ein CASB stellt zudem umfangreiche Analyse-, Kontroll- und Steuerungsmöglichkeiten der Cloud-Nutzung zur Verfügung. Insgesamt trägt die Implementierung eines Cloud Security Broker zu einer spürbaren Verbesserung des Sicherheitsniveaus bei der Cloud-Nutzung bei.

(ID:50329920)