Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Firewall

Cloud-Anwendungen haben die Art und Weise, wie Unternehmen Geschäfte tätigen, verändert – und neue Sicherheitsrisiken in den Prozess eingeführt. Moderne Geschäftsanwendungen lassen sich einfach einrichten und für die Zusammenarbeit verwenden. 

Infolgedessen nimmt das Volumen und die geschäftskritische Bedeutung der Daten, die in diesen Cloud-Umgebungen übertragen, gespeichert und gemeinsam genutzt werden, weiter zu. Gleichzeitig bewegen sich Benutzer oft an verschiedene physische Standorte und verwenden mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen.

Die Schlussfolgerung aus Sicht von Palo Alto Networks: Herkömmliche Sicherheitsinstrumente konnten hier nicht mehr Schritt halten. Der Versuch, diese Sicherheitslücken zu schließen, hat zu neuen Technologien und Definitionen derartiger Lösungen geführt, einschließlich der Kategorie „Cloud Access Security Broker“ (CASB).

Laut Gartner sind CASBs „lokale oder Cloud-basierte Sicherheitsrichtlinien, die zwischen Cloud-Service-Konsumenten und Cloud-Service-Providern platziert werden, um Sicherheitsrichtlinien für Unternehmen beim Zugriff auf Cloud-basierte Ressourcen zu kombinieren und einzubringen“. Ebenso heißt es, „CASBs konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien“.

CASBs stellen Unternehmen drei wichtige SaaS-Sicherheitsfunktionen zur Verfügung und haben als Ergebnis eine rasche Evolution und Akzeptanz erfahren:

  1. Einblick in die SaaS-Nutzung
  2. granulare Kontrolle über den SaaS-Zugang 
  3. Compliance und Sicherheit für Cloud-basierte Daten

Es gibt verschiedene Bereitstellungsmodi für die Funktionen eines CASB, einschließlich Inline- und API-Modus.

Der einfachere, effektivere Ansatz ist nach Meinung von Palo Alto Networks der Einsatz einer Next-Generation-Firewall (NGFW) für Inline-CASB.

Adressierung des CASB-Bedarfs

Die Verwendung des Begriffs „Broker“ zum Zeitpunkt der Einführung implizierte, dass CASBs auf einem Pfad im Cloud-Datenverkehr agieren. Seitdem hat sich die CASB-Technologie weiterentwickelt und umfasst nun zwei Schlüsselkomponenten: Inline- und API-Modus. Betrachten wir kurz diese beiden Modi.

  • Der Inline CASB kann weiter in zwei Modi unterteilt werden: Forward-Proxy und Reverse-Proxy. Mit einem Forward-Proxy müssen CASB-Anbieter den Cloud-Datenverkehr an eine Appliance oder einen Dienst weiterleiten, die bzw. der die nötigen Funktionen für Anwendungssichtbarkeit und -kontrolle bereitstellen kann. Es ist auch wichtig zu beachten, dass Forward-Proxy-Funktionen nicht nur auf Proxies beschränkt sind. Leistungsstarke Kontrollfunktionen der nächsten Generation können auch mithilfe von NGFW-Appliances oder -Diensten erzwungen werden. Dies ist aus mehreren Gründen ideal, da viele Unternehmen bereits eine NGFW als Internetgateway für lokale oder Remotebenutzer nutzen.

    Wenn Unternehmen es vorziehen, einen echten Proxy zu verwenden (der von den meisten CASB-Anbietern angeboten wird), führt dies häufig zu einem zusätzlichen Verwaltungsaufwand und mehr Komplexität. Es ist daher wichtig, zu prüfen, ob eine bestehende NGFW bereits den Inline-CASB-Anforderungen gerecht wird – ohne zusätzliche Kosten. Im Falle eines Reverse-Proxys verwenden CASB-Anbieter SSO (Single-Sign-On) oder manchmal DNS (Domain Name System), um Benutzer zu einem Inline-CASB-Dienst weiterzuleiten und sicherzustellen, dass Richtlinien durchgesetzt werden.
     
  • Der API-basierte Ansatz ermöglicht CASB-Anbietern den Zugriff auf die Daten des Unternehmens innerhalb der Cloud-Anwendung, ohne dass der Cloud-Datenverkehr „dazwischen“ liegt. Es handelt sich um einen Out-of-Band-Ansatz für die Ausführung mehrerer Funktionen, einschließlich einer granularen Datensicherheitsprüfung aller ruhenden Daten in der Cloud-Anwendung oder des Cloud-Diensts sowie der laufenden Überwachung der Benutzeraktivität und administrativen Konfigurationen. Die Benutzererfahrung der Cloud-Anwendung bleibt erhalten, da die API nicht intrusiv ist und den Datenpfad zur Cloud-Anwendung nicht beeinträchtigt.

    Neben der Anwendung von Richtlinien für zukünftige Verstöße ist ein API-basierter CASB die einzige Möglichkeit, vorhandene Daten in der Cloud zu durchsuchen und Bedrohungen oder Sicherheitsverletzungen zu beseitigen. Dies ist besonders wichtig, da Unternehmen eine Anwendung „sanktionieren“, bevor sie herausgefunden haben, wie sie zu schützen ist, und es gibt fast immer vorhandene Inhalte, die untersucht werden müssen.

Einfacherer Ansatz: NGFW für Inline CASB

Eine Firewall der nächsten Generation kombiniert Funktionen für die Benutzer-, Inhalts- und Anwendungsüberprüfung innerhalb von Firewalls, um CASB-Funktionen zu ermöglichen. Die Inspektionstechnologie ist dann in der Lage, Benutzer auf Anwendungen abzubilden, um granulare Kontrolle über die Verwendung von Cloud-Anwendungen zu bieten – unabhängig von Standort oder Gerät. Zu den relevanten Funktionen eines CASB in einer NGFW gehören granulare Anwendungskontrolle (einschließlich SaaS und vor Ort betriebenen Anwendungen), anwendungsspezifische Funktionskontrolle, URL- und Inhaltsfilterung, Richtlinien basierend auf Anwendungsrisiko, DLP (Data Loss Prevention), benutzerbasierte Richtlinien und die Verhinderung bekannter und unbekannter Malware.

Unternehmen, die einen NGFW-basierten Ansatz wählen, sollten flexibel sein hinsichtlich der Bereitstellung und eines oder mehrere der folgenden Szenarien verwenden:

  • NGFW als Appliance: Neben physischen Appliances, die möglicherweise bereits vorhanden sind, können virtuelle Firewalls als Gateways in der Cloud fungieren, um eine maximale globale Abdeckung für Remote-Benutzer zu gewährleisten. Dadurch entfällt der Aufwand für die Bereitstellung zusätzlicher Hardware. Die meisten Unternehmen haben diese Komponente bereits für On-Premise-Benutzer bereitgestellt.
     
  • NGFW als Cloud-Service: In diesem Szenario sollte die mandantenfähige Cloud-basierte Sicherheitsinfrastruktur vom Sicherheitsanbieter verwaltet und gewartet werden. Der GlobalProtect-Cloud-Service von Palo Alto Networks ermöglicht es Kunden beispielsweise, die Präventivfunktionen der Next-Generation-Sicherheitsplattform zu nutzen, um entfernte Netzwerke und mobile Benutzer zu schützen. Der Dienst kann eine einfache Erweiterung der vorhandenen NGFW-Bereitstellung sein, um das Ausfiltern vertraulicher Daten in allen Anwendungen zu verhindern, egal ob SaaS-basierend oder nicht. Unternehmen können so die Komplexität und Kosten für die Verwaltung globaler Bereitstellungen reduzieren und konsistenten Schutz in Cloud-Umgebungen erhalten.

Wenn ein Inline-NGFW-Ansatz als Teil einer integrierten Sicherheitsplattform verwendet wird, können Unternehmen Datenlecks bei ihren Cloud-Anwendungen effektiv stoppen. Eine solche Plattform umfasst eine Next-Generation-Firewall, eine Bedrohungsdatenbank, einen API-basierten SaaS-Sicherheitsdienst sowie erweiterten Endpunktschutz. Unternehmen können nach Meinung von Palo Alto Networks damit durch die Kontrolle der Nutzung sanktionierter und nicht genehmigter Anwendungen die Bedrohungsexposition reduzieren. Ebenso lassen sich bekannte und unbekannte Bedrohungen innerhalb des zulässigen Datenverkehrs verhindern. Zudem wird sichergestellt, dass die Einführung neuer Cloud-Anwendungen den Sicherheitsanforderungen entspricht.

www.paloaltonetworks.com

Network Function Virtualization
Dez 04, 2017

Virtuelle Netzwerkfunktionen erhöhen Flexibilität

Dedizierte Hardware für Router, Firewall oder Load Balancer lässt sich in virtuellen…
Cloud Security
Okt 19, 2017

Neue Wege für Datensicherheit in der Cloud

Für die Datensicherheit in der Cloud braucht es einen völlig neuen Ansatz, der…
Security Netzwerk
Jul 26, 2017

Sicherheitsplattform vs. Security Fabric

Eins der zahlreichen Probleme, denen Unternehmen heutzutage gegenüberstehen, wenn sie…
GRID LIST
Hacker

Digitale Kommunikation wirkungsvoll gegen Hacker verteidigen

Unverschlüsselte E-Mails öffnen Cyber-Kriminellen Tür und Tor – dennoch sind sie in den…
Tb W190 H80 Crop Int 5c656c2bb18d2e8e598dd42a06f4e69a

Juniper Networks erweitert Cybersecurity-Plattform

Gezielte Angriffe werden immer ausgefeilter und Unternehmen jeder Größe werden von den…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Industrial Security neu denken

Industrial Security ist spätestens nach dem diesjährigen Lagebericht des BSI wieder in…
Data Breach Detection

Tipps für Data Breach Detection

Mit den bewährten Best Practices dieser Checkliste können Unternehmen unerwünschte…
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security