Aufrufe
vor 1 Woche

Netzwoche 09/2020

24 DOSSIER Thema In

24 DOSSIER Thema In Kooperation mit xxxxxxx Bild: D3Damon / iStock Dossier Cloud Access Security Broker In Kooperation mit Boll Europe Cybersicherheit in der Cloud osc. Es ist eines der am häufigsten gehörten Werbeversprechen der Hyperscaler. Die grossen Public-Cloud- Anbieter wie Amazon Web Services, Microsoft oder Google werden nicht müde, zu betonen, wie sicher ihre Plattformen sind. Und auf den ersten Blick stimmt das auch. Die US-Unternehmen beschäftigen Heerscharen von Informatikerinnen und Informatikern, die zur Cybersecurity von Azure, GCP & Co. Sorge tragen. Ein kleines Unternehmen kann mit diesem Dispositiv nicht mithalten. Doch auf den zweiten Blick zeigt sich, dass Sicherheit in Cloud-Umgebungen keineswegs ein Selbstläufer ist. Die Plattformen und die Infrastruktur mögen vom Hersteller abgesichert sein, doch im Detail lauern einige Gefahren. Zahlreiche Cloud-Anwendungen laufen heute im Unternehmen parallel, unter Umständen ohne Wissen der IT. Selbstentwickelte Apps werden as-a-Service betrieben. Mitarbeitende greifen unterwegs oder aus dem Home office auf Firmendaten zu. All das muss sicher und unter Einhaltung der Datenschutzregeln ablaufen. Die Cloud-Provider stellen nur die Basis zur Verfügung. Was darauf abläuft, liegt in der Verantwortung des Kunden. Wie lässt sich die Sicherheit auf Anwenderebene gewährleisten? Eine Methode dafür stellt Joachim Walter, Geschäftsführer von Boll Europe, auf den folgenden Seiten vor: den «Cloud Access Security Broker» (CASB). Dabei handelt es sich um eine Lösung, die sich zwischen die Endgeräte einer Organisation und die Cloud schaltet und so quasi als Wächter über Apps und Daten fungiert. Walter zeigt, welche Funktionen der CASB bietet und wie die Implementierung beim Anwender abläuft. Im Interview stellt er anschliessend ein Beispiel vor. 09 / 2020 www.netzwoche.ch © netzmedien ag

In Kooperation mit Boll Europe Cloud Access Security Broker DOSSIER25 So wird die Cloud-Nutzung sicher Wer Cloud-Anwendungen nutzt, muss auf Geschäftsdaten besonders gut aufpassen. Denn die Datensicherheit bleibt in der Verantwortung der Unternehmen. Cloud Access Security Broker helfen dabei, Daten zu schützen und Cloud-Apps ohne Bedenken einzusetzen. Immer mehr Unternehmen nutzen immer mehr Anwendungen aus der Cloud. Spitzenreiter in Europa ist Office 365 – Microsoft propagiert seine cloudbasierten Office-Dienste seit Jahren und hat damit erheblichen Erfolg. Auch andere Software-as-a-Service- Anwendungen (SaaS) erfreuen sich höchster Beliebtheit, zum Beispiel Salesforce und Servicenow. In grösseren Unternehmen stehen zudem teils hunderte Cloud-Applikationen im Einsatz. Manche davon wurden nicht von der IT-Abteilung eingeführt, sondern werden in Form einer «Schatten-IT» von den Mitarbeitenden genutzt. Und für den Betrieb bisher on-premises gehaltener oder selbst entwickelter Apps setzen fortschrittliche Firmen ebenfalls zunehmend auf Infrastructure-as-a-Service-Plattformen (IaaS) wie AWS, Azure oder Google Cloud. Jede Multi-Cloud-Strategie steht vor einer grundlegenden Herausforderung: Zwar sind die Cloud-Plattformen höchstmöglich abgesichert, aber der Umgang mit den Anwendungen und besonders mit den damit verwalteten Daten liegt nach wie vor in der Verantwortung jeder einzelnen Organisation, die Cloud-Anwendungen nutzt. Und dies höchst offiziell: Datenschutzgesetze wie die DSGVO der EU sowie unternehmenseigene Compliance-Vorgaben schreiben vor, dass jederzeit nachweisbar ist, welche Daten wann und von wem an welchem Standort bearbeitet werden, wo die Daten abgelegt sind und wohin sie fliessen. Sicherheit übers Unternehmensnetzwerk hinaus Klassische Sicherheitssysteme wie Firewalls lösen diese Problematik nicht. Dafür sind sogenannte Cloud Access Security Broker (CASB) erforderlich. CASB stellen als Schnittstelle zwischen Cloud- Apps und Endgeräten einen Kontrollpunkt für komplette Sichtbarkeit und umfassenden Datenschutz über alle Cloud-Anwendungen hinweg dar – eigene Entwicklungen sowie Apps von Drittherstellern, die in einer IaaS-Cloud betrieben werden, inklusive. CASB werden oft in Form eines Cloud-Dienstes implementiert und lassen sich dann innert kürzester Zeit produktiv nutzen. Auch in grössten Umgebungen dauert der Rollout meist nur wenige Tage. Zu den Grundfunktionen eines CASB gehören die Erkennung aller genutzten Cloud-Apps und die Kontrolle, welche davon zugelassen sind und welche nicht – der CASB sperrt den Zugang zu einer nicht sanktionierten App, lässt allenfalls eine individuelle Freigabe durch den Administrator zu oder schlägt zugelassene Alternativen vor. Darüber hinaus sollte der CASB problematische Cloud-Anwendungen auf Basis von Bedrohungsinformationen und Machine Learning identifizieren, etwa solche, die Sicherheitslücken aufweisen oder schädliches Verhalten zeigen, um diese automatisiert zu blockieren. Datenschutz ist ausschlaggebend Mit der anwendungsspezifischen Zugangskontrolle ist die Arbeit eines vollwertigen CASB indes nicht getan. Eine weitere wichtige Funktion ist der Schutz vor Datenverlust – und diese muss alle Standorte und Endgeräte abdecken, was bei standortbasierten Data-Loss-Prevention-Lösungen nicht der Fall ist: Diese sind machtlos, sobald die Daten das Unternehmensnetzwerk verlassen haben. Integriert in den CASB kann der DLP-Mechanismus hingegen den gesamten Datenverkehr mit der Cloud überwachen und anhand der gegebenen Richtlinien steuern – entweder automatisch auf Basis eines Katalogs von Grundregeln für bestimmte Datentypen oder individuell festgelegt, bis hin zum Zulassen oder Sperren einer Datenübermittlung anhand vorkommender Schlüsselbegriffe. So wird zum Beispiel eine Kreditkartennummer, die in einem Dokument enthalten ist, automatisch erkannt und digital «geschwärzt». Am besten sind die Daten geschützt, wenn sie bereits vor dem Transfer in die Cloud mit unternehmensspezifischen Zertifikaten verschlüsselt werden, nach Möglichkeit sogar zweimal hintereinander mit den sichersten Encryption-Algorithmen wie AES256. Nur dann ist garantiert, dass der Betreiber der Cloud-Plattform die Daten nicht lesen kann. Idealerweise ist die Verschlüsselungsfunktion in den CASB integriert und erfasst sowohl strukturierte, feldbasierte Daten wie etwa bei Salesforce als auch Dateien beliebigen Typs. Bild: metamorworks / iStock DER AUTOR Joachim Walter Geschäftsführer, Boll Europe www.netzwoche.ch © netzmedien ag 09 / 2020

Archiv