VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Firewall

Cloud-Anwendungen haben die Art und Weise, wie Unternehmen Geschäfte tätigen, verändert – und neue Sicherheitsrisiken in den Prozess eingeführt. Moderne Geschäftsanwendungen lassen sich einfach einrichten und für die Zusammenarbeit verwenden. 

Infolgedessen nimmt das Volumen und die geschäftskritische Bedeutung der Daten, die in diesen Cloud-Umgebungen übertragen, gespeichert und gemeinsam genutzt werden, weiter zu. Gleichzeitig bewegen sich Benutzer oft an verschiedene physische Standorte und verwenden mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen.

Die Schlussfolgerung aus Sicht von Palo Alto Networks: Herkömmliche Sicherheitsinstrumente konnten hier nicht mehr Schritt halten. Der Versuch, diese Sicherheitslücken zu schließen, hat zu neuen Technologien und Definitionen derartiger Lösungen geführt, einschließlich der Kategorie „Cloud Access Security Broker“ (CASB).

Laut Gartner sind CASBs „lokale oder Cloud-basierte Sicherheitsrichtlinien, die zwischen Cloud-Service-Konsumenten und Cloud-Service-Providern platziert werden, um Sicherheitsrichtlinien für Unternehmen beim Zugriff auf Cloud-basierte Ressourcen zu kombinieren und einzubringen“. Ebenso heißt es, „CASBs konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien“.

CASBs stellen Unternehmen drei wichtige SaaS-Sicherheitsfunktionen zur Verfügung und haben als Ergebnis eine rasche Evolution und Akzeptanz erfahren:

  1. Einblick in die SaaS-Nutzung
  2. granulare Kontrolle über den SaaS-Zugang 
  3. Compliance und Sicherheit für Cloud-basierte Daten

Es gibt verschiedene Bereitstellungsmodi für die Funktionen eines CASB, einschließlich Inline- und API-Modus.

Der einfachere, effektivere Ansatz ist nach Meinung von Palo Alto Networks der Einsatz einer Next-Generation-Firewall (NGFW) für Inline-CASB.

Adressierung des CASB-Bedarfs

Die Verwendung des Begriffs „Broker“ zum Zeitpunkt der Einführung implizierte, dass CASBs auf einem Pfad im Cloud-Datenverkehr agieren. Seitdem hat sich die CASB-Technologie weiterentwickelt und umfasst nun zwei Schlüsselkomponenten: Inline- und API-Modus. Betrachten wir kurz diese beiden Modi.

  • Der Inline CASB kann weiter in zwei Modi unterteilt werden: Forward-Proxy und Reverse-Proxy. Mit einem Forward-Proxy müssen CASB-Anbieter den Cloud-Datenverkehr an eine Appliance oder einen Dienst weiterleiten, die bzw. der die nötigen Funktionen für Anwendungssichtbarkeit und -kontrolle bereitstellen kann. Es ist auch wichtig zu beachten, dass Forward-Proxy-Funktionen nicht nur auf Proxies beschränkt sind. Leistungsstarke Kontrollfunktionen der nächsten Generation können auch mithilfe von NGFW-Appliances oder -Diensten erzwungen werden. Dies ist aus mehreren Gründen ideal, da viele Unternehmen bereits eine NGFW als Internetgateway für lokale oder Remotebenutzer nutzen.

    Wenn Unternehmen es vorziehen, einen echten Proxy zu verwenden (der von den meisten CASB-Anbietern angeboten wird), führt dies häufig zu einem zusätzlichen Verwaltungsaufwand und mehr Komplexität. Es ist daher wichtig, zu prüfen, ob eine bestehende NGFW bereits den Inline-CASB-Anforderungen gerecht wird – ohne zusätzliche Kosten. Im Falle eines Reverse-Proxys verwenden CASB-Anbieter SSO (Single-Sign-On) oder manchmal DNS (Domain Name System), um Benutzer zu einem Inline-CASB-Dienst weiterzuleiten und sicherzustellen, dass Richtlinien durchgesetzt werden.
     
  • Der API-basierte Ansatz ermöglicht CASB-Anbietern den Zugriff auf die Daten des Unternehmens innerhalb der Cloud-Anwendung, ohne dass der Cloud-Datenverkehr „dazwischen“ liegt. Es handelt sich um einen Out-of-Band-Ansatz für die Ausführung mehrerer Funktionen, einschließlich einer granularen Datensicherheitsprüfung aller ruhenden Daten in der Cloud-Anwendung oder des Cloud-Diensts sowie der laufenden Überwachung der Benutzeraktivität und administrativen Konfigurationen. Die Benutzererfahrung der Cloud-Anwendung bleibt erhalten, da die API nicht intrusiv ist und den Datenpfad zur Cloud-Anwendung nicht beeinträchtigt.

    Neben der Anwendung von Richtlinien für zukünftige Verstöße ist ein API-basierter CASB die einzige Möglichkeit, vorhandene Daten in der Cloud zu durchsuchen und Bedrohungen oder Sicherheitsverletzungen zu beseitigen. Dies ist besonders wichtig, da Unternehmen eine Anwendung „sanktionieren“, bevor sie herausgefunden haben, wie sie zu schützen ist, und es gibt fast immer vorhandene Inhalte, die untersucht werden müssen.

Einfacherer Ansatz: NGFW für Inline CASB

Eine Firewall der nächsten Generation kombiniert Funktionen für die Benutzer-, Inhalts- und Anwendungsüberprüfung innerhalb von Firewalls, um CASB-Funktionen zu ermöglichen. Die Inspektionstechnologie ist dann in der Lage, Benutzer auf Anwendungen abzubilden, um granulare Kontrolle über die Verwendung von Cloud-Anwendungen zu bieten – unabhängig von Standort oder Gerät. Zu den relevanten Funktionen eines CASB in einer NGFW gehören granulare Anwendungskontrolle (einschließlich SaaS und vor Ort betriebenen Anwendungen), anwendungsspezifische Funktionskontrolle, URL- und Inhaltsfilterung, Richtlinien basierend auf Anwendungsrisiko, DLP (Data Loss Prevention), benutzerbasierte Richtlinien und die Verhinderung bekannter und unbekannter Malware.

Unternehmen, die einen NGFW-basierten Ansatz wählen, sollten flexibel sein hinsichtlich der Bereitstellung und eines oder mehrere der folgenden Szenarien verwenden:

  • NGFW als Appliance: Neben physischen Appliances, die möglicherweise bereits vorhanden sind, können virtuelle Firewalls als Gateways in der Cloud fungieren, um eine maximale globale Abdeckung für Remote-Benutzer zu gewährleisten. Dadurch entfällt der Aufwand für die Bereitstellung zusätzlicher Hardware. Die meisten Unternehmen haben diese Komponente bereits für On-Premise-Benutzer bereitgestellt.
     
  • NGFW als Cloud-Service: In diesem Szenario sollte die mandantenfähige Cloud-basierte Sicherheitsinfrastruktur vom Sicherheitsanbieter verwaltet und gewartet werden. Der GlobalProtect-Cloud-Service von Palo Alto Networks ermöglicht es Kunden beispielsweise, die Präventivfunktionen der Next-Generation-Sicherheitsplattform zu nutzen, um entfernte Netzwerke und mobile Benutzer zu schützen. Der Dienst kann eine einfache Erweiterung der vorhandenen NGFW-Bereitstellung sein, um das Ausfiltern vertraulicher Daten in allen Anwendungen zu verhindern, egal ob SaaS-basierend oder nicht. Unternehmen können so die Komplexität und Kosten für die Verwaltung globaler Bereitstellungen reduzieren und konsistenten Schutz in Cloud-Umgebungen erhalten.

Wenn ein Inline-NGFW-Ansatz als Teil einer integrierten Sicherheitsplattform verwendet wird, können Unternehmen Datenlecks bei ihren Cloud-Anwendungen effektiv stoppen. Eine solche Plattform umfasst eine Next-Generation-Firewall, eine Bedrohungsdatenbank, einen API-basierten SaaS-Sicherheitsdienst sowie erweiterten Endpunktschutz. Unternehmen können nach Meinung von Palo Alto Networks damit durch die Kontrolle der Nutzung sanktionierter und nicht genehmigter Anwendungen die Bedrohungsexposition reduzieren. Ebenso lassen sich bekannte und unbekannte Bedrohungen innerhalb des zulässigen Datenverkehrs verhindern. Zudem wird sichergestellt, dass die Einführung neuer Cloud-Anwendungen den Sicherheitsanforderungen entspricht.

www.paloaltonetworks.com

Network Function Virtualization
Dez 04, 2017

Virtuelle Netzwerkfunktionen erhöhen Flexibilität

Dedizierte Hardware für Router, Firewall oder Load Balancer lässt sich in virtuellen…
Cloud Security
Okt 19, 2017

Neue Wege für Datensicherheit in der Cloud

Für die Datensicherheit in der Cloud braucht es einen völlig neuen Ansatz, der…
Security Netzwerk
Jul 26, 2017

Sicherheitsplattform vs. Security Fabric

Eins der zahlreichen Probleme, denen Unternehmen heutzutage gegenüberstehen, wenn sie…
GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Oliver Dehning

Praktisch alle Unternehmen werden angegriffen

Im 3-Fragen-Kurz-Interview zeigt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im…
Smarte News aus der IT-Welt