Next-Generation-Firewall für Inline CASB – effektiverer Ansatz für Cloud-Sicherheit

Illustration: Absmeier, 12019

Cloud-Anwendungen haben die Art und Weise, wie Unternehmen Geschäfte tätigen, verändert – und neue Sicherheitsrisiken in den Prozess eingeführt. Moderne Geschäftsanwendungen lassen sich einfach einrichten und für die Zusammenarbeit verwenden. Infolgedessen nimmt das Volumen und die geschäftskritische Bedeutung der Daten, die in diesen Cloud-Umgebungen übertragen, gespeichert und gemeinsam genutzt werden, weiter zu. Gleichzeitig bewegen sich Benutzer oft an verschiedene physische Standorte und verwenden mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen.

Die Schlussfolgerung aus Sicht von Palo Alto Networks: Herkömmliche Sicherheitsinstrumente konnten hier nicht mehr Schritt halten. Der Versuch, diese Sicherheitslücken zu schließen, hat zu neuen Technologien und Definitionen derartiger Lösungen geführt, einschließlich der Kategorie »Cloud Access Security Broker« (CASB).

Laut Gartner sind CASBs »lokale oder Cloud-basierte Sicherheitsrichtlinien, die zwischen Cloud-Service-Konsumenten und Cloud-Service-Providern platziert werden, um Sicherheitsrichtlinien für Unternehmen beim Zugriff auf Cloud-basierte Ressourcen zu kombinieren und einzubringen«. Ebenso heißt es, »CASBs konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien«.

CASBs stellen Unternehmen drei wichtige SaaS-Sicherheitsfunktionen zur Verfügung und haben als Ergebnis eine rasche Evolution und Akzeptanz erfahren: Erstens, Einblick in die SaaS-Nutzung, zweitens, granulare Kontrolle über den SaaS-Zugang und, drittens, Compliance und Sicherheit für Cloud-basierte Daten. Es gibt verschiedene Bereitstellungsmodi für die Funktionen eines CASB, einschließlich Inline- und API-Modus.

Der einfachere, effektivere Ansatz ist nach Meinung von Palo Alto Networks der Einsatz einer Next-Generation-Firewall (NGFW) für Inline-CASB.

 

Adressierung des CASB-Bedarfs

Die Verwendung des Begriffs »Broker« zum Zeitpunkt der Einführung implizierte, dass CASBs auf einem Pfad im Cloud-Datenverkehr agieren. Seitdem hat sich die CASB-Technologie weiterentwickelt und umfasst nun zwei Schlüsselkomponenten: Inline- und API-Modus. Betrachten wir kurz diese beiden Modi.

  1. Inline CASB
    Der Inline CASB kann weiter in zwei Modi unterteilt werden: Forward-Proxy und Reverse-Proxy. Mit einem Forward-Proxy müssen CASB-Anbieter den Cloud-Datenverkehr an eine Appliance oder einen Dienst weiterleiten, die beziehungsweise der die nötigen Funktionen für Anwendungssichtbarkeit und -kontrolle bereitstellen kann. Es ist auch wichtig zu beachten, dass Forward-Proxy-Funktionen nicht nur auf Proxies beschränkt sind. Leistungsstarke Kontrollfunktionen der nächsten Generation können auch mithilfe von NGFW-Appliances oder -Diensten erzwungen werden. Dies ist aus mehreren Gründen ideal, da viele Unternehmen bereits eine NGFW als Internetgateway für lokale oder Remotebenutzer nutzen.
    Wenn Unternehmen es vorziehen, einen echten Proxy zu verwenden (der von den meisten CASB-Anbietern angeboten wird), führt dies häufig zu einem zusätzlichen Verwaltungsaufwand und mehr Komplexität. Es ist daher wichtig, zu prüfen, ob eine bestehende NGFW bereits den Inline-CASB-Anforderungen gerecht wird – ohne zusätzliche Kosten. Im Falle eines Reverse-Proxys verwenden CASB-Anbieter SSO (Single-Sign-On) oder manchmal DNS (Domain Name System), um Benutzer zu einem Inline-CASB-Dienst weiterzuleiten und sicherzustellen, dass Richtlinien durchgesetzt werden.
  2. API-basierter CASB
    Der API-basierte Ansatz ermöglicht CASB-Anbietern den Zugriff auf die Daten des Unternehmens innerhalb der Cloud-Anwendung, ohne dass der Cloud-Datenverkehr »dazwischen« liegt. Es handelt sich um einen Out-of-Band-Ansatz für die Ausführung mehrerer Funktionen, einschließlich einer granularen Datensicherheitsprüfung aller ruhenden Daten in der Cloud-Anwendung oder des Cloud-Diensts sowie der laufenden Überwachung der Benutzeraktivität und administrativen Konfigurationen. Die Benutzererfahrung der Cloud-Anwendung bleibt erhalten, da die API nicht intrusiv ist und den Datenpfad zur Cloud-Anwendung nicht beeinträchtigt.
    Neben der Anwendung von Richtlinien für zukünftige Verstöße ist ein API-basierter CASB die einzige Möglichkeit, vorhandene Daten in der Cloud zu durchsuchen und Bedrohungen oder Sicherheitsverletzungen zu beseitigen. Dies ist besonders wichtig, da Unternehmen eine Anwendung »sanktionieren«, bevor sie herausgefunden haben, wie sie zu schützen ist, und es gibt fast immer vorhandene Inhalte, die untersucht werden müssen.

 

Einfacherer Ansatz: NGFW für Inline CASB

Eine Firewall der nächsten Generation kombiniert Funktionen für die Benutzer-, Inhalts- und Anwendungsüberprüfung innerhalb von Firewalls, um CASB-Funktionen zu ermöglichen. Die Inspektionstechnologie ist dann in der Lage, Benutzer auf Anwendungen abzubilden, um granulare Kontrolle über die Verwendung von Cloud-Anwendungen zu bieten – unabhängig von Standort oder Gerät. Zu den relevanten Funktionen eines CASB in einer NGFW gehören granulare Anwendungskontrolle (einschließlich SaaS und vor Ort betriebenen Anwendungen), anwendungsspezifische Funktionskontrolle, URL- und Inhaltsfilterung, Richtlinien basierend auf Anwendungsrisiko, DLP (Data Loss Prevention), benutzerbasierte Richtlinien und die Verhinderung bekannter und unbekannter Malware.

Unternehmen, die einen NGFW-basierten Ansatz wählen, sollten flexibel sein hinsichtlich der Bereitstellung und eines oder mehrere der folgenden Szenarien verwenden:

 

  • NGFW als Appliance: Neben physischen Appliances, die möglicherweise bereits vorhanden sind, können virtuelle Firewalls als Gateways in der Cloud fungieren, um eine maximale globale Abdeckung für Remote-Benutzer zu gewährleisten. Dadurch entfällt der Aufwand für die Bereitstellung zusätzlicher Hardware. Die meisten Unternehmen haben diese Komponente bereits für On-Premises-Benutzer bereitgestellt.
  • NGFW als Cloud-Service: In diesem Szenario sollte die mandantenfähige Cloud-basierte Sicherheitsinfrastruktur vom Sicherheitsanbieter verwaltet und gewartet werden. Der GlobalProtect-Cloud-Service von Palo Alto Networks ermöglicht es Kunden beispielsweise, die Präventivfunktionen der Next-Generation-Sicherheitsplattform zu nutzen, um entfernte Netzwerke und mobile Benutzer zu schützen. Der Dienst kann eine einfache Erweiterung der vorhandenen NGFW-Bereitstellung sein, um das Ausfiltern vertraulicher Daten in allen Anwendungen zu verhindern, egal ob SaaS-basierend oder nicht. Unternehmen können so die Komplexität und Kosten für die Verwaltung globaler Bereitstellungen reduzieren und konsistenten Schutz in Cloud-Umgebungen erhalten.

 

Wenn ein Inline-NGFW-Ansatz als Teil einer integrierten Sicherheitsplattform verwendet wird, können Unternehmen Datenlecks bei ihren Cloud-Anwendungen effektiv stoppen. Eine solche Plattform umfasst eine Next-Generation-Firewall, eine Bedrohungsdatenbank, einen API-basierten SaaS-Sicherheitsdienst sowie erweiterten Endpunktschutz. Unternehmen können nach Meinung von Palo Alto Networks damit durch die Kontrolle der Nutzung sanktionierter und nicht genehmigter Anwendungen die Bedrohungsexposition reduzieren. Ebenso lassen sich bekannte und unbekannte Bedrohungen innerhalb des zulässigen Datenverkehrs verhindern. Zudem wird sichergestellt, dass die Einführung neuer Cloud-Anwendungen den Sicherheitsanforderungen entspricht.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Hochsicherheits-CASB: Neue Wege für Datensicherheit in der Cloud

VPN war gestern, heute gibt´s Secure Browsing

Nur jeder Fünfte hält seine Daten im Netz für sicher

Studie: Deutscher Mittelstand muss beim Thema Dokumentensicherheit nachrüsten

People Centric Security (PCS) und Data Centric Audit and Protection (DCAP) – Advanced Endpoint Security

Die Top-10-Technologien für Informationssicherheit in 2016

»WTF – Who’s The Firewall?«

Zwei Drittel der Firewall-Regelwerke sind mangelhaft

Weitere Artikel zu