ink drop - stock.adobe.com

CASB-Tools für Multi-Cloud-Umgebungen richtig auswählen

Die Wahl des passenden CASB-Tools ist nicht immer einfach. Zwei Modelle konkurrieren bei ihrer Nutzung. Einmal die Proxy-Variante und dann die Lösung über integrierte APIs.

Wenn Sie etwas ausweiten, bedeutet das nicht automatisch, dass auch die Komplexität und die benötigte Zeit im gleichen Maße ansteigen. Manchmal ist das so, aber nicht immer. Nehmen wir als Beispiel die Zeit, die es dauert, einen einzelnen Muffin zu backen im Vergleich zu der Zeit, die Sie für zwölf Muffins benötigen.

Nachdem Sie Ihren ersten Muffin fertiggestellt haben, wie lange dauert es dann wohl noch für die weiteren elf Stück? Nicht viel länger. Das gilt sogar, obwohl Sie dieselben Schritte für Ihre weiteren Muffins erledigen, die Zutaten abwiegen, den Ofen vorbereiten, das eigentliche Backen und das Abkühlen durchführen müssen. Von ein paar kleinen Abweichungen abgesehen, benötigt jeder dieser Schritte in etwa genauso lange, egal ob Sie nur einen oder gleich zwölf Muffins backen.

Variieren Sie das Beispiel nun ein wenig. Stellen Sie sich vor, dass Sie anstelle von zwölf weitgehend identischen Muffins zwölf komplett unterschiedliche Exemplare herstellen wollen. Einer könnte aus Maismehl bestehen, einer aus Hafer, einer mit Blaubeere versehen sein und so weiter. In dieser Variante kommt beim Backen deutlich mehr Arbeit hinzu.

Manchmal erfordert es also erheblich mehr Aufwand, um etwas auszuweiten und manchmal nicht. Welche Variante Sie haben, hängt von der speziellen Situation ab und wie sie erweitert werden soll. Je nach Situation kann es erheblich mehr Arbeit oder auch nur ein wenig mehr Aufwand bedeuten.

Zwischen dieser These und der Frage, für welche Kontrollmaßnahmen wir uns entscheiden, gibt es durchaus Parallelen. Das gilt auch für CASB-Tools (Cloud Access Security Broker) und Gateway-Lösungen, wie sie immer häufiger für Multi-Cloud-Umgebungen benötigt werden.

Es gibt auch hier Situationen, in denen das Hinzufügen eines neuen SaaS-Dienstes (Software as a Service) nur für ein wenig mehr zusätzliche Komplexität und Zeitaufwand sorgt. Das Gegenteil kann aber ebenso der Fall sein. So ist es auch möglich, dass durch einen im Prinzip vergleichbaren Fall sehr viel mehr Zeit und Anstrengungen benötigt werden.

Noch schlimmer ist es, wenn sich später herausstellen sollte, dass die ausgewählten Services für eine bestimmte Umgebung gar nicht geeignet sind.

Der Teufel steckt wie so oft in den Details. Es ist deswegen äußerst wichtig zu verstehen, wann und warum sich diese Fälle voneinander unterscheiden. Unternehmen können dann leichter entscheiden, wie sie die ausgewählten CASB-Tools am besten in ihrer Infrastruktur einsetzen und welche Faktoren sie dabei berücksichtigen müssen, wenn sie die Angebote auf dem Markt evaluieren wollen.

CASB-Tools praktisch einsetzen

CASB-Tools dienen vor allem dazu, zusätzliche Sicherheitsfunktionen in Cloud- und SaaS-Umgebungen zu integrieren. Dazu gehören zum Beispiel Authentifizierung, Verschlüsselung oder Monitoring. CASB-Tools fügen also Funktionen hinzu, die von dem jeweiligen Dienst nicht selbst angeboten werden. Sie werden von dem Kunden aber zum Beispiel benötigt, um sein Risiko zu senken und um seine Richtlinien sowie Compliance-Vorgaben einzuhalten.

Die meisten CASB-Tools funktionieren auf eine der beiden folgenden Weisen: Entweder über einen Proxy oder über eine Integration per API (Application Programming Interface) in den jeweiligen Dienst. Der Proxy befindet sich zwischen dem Browser des Endanwenders und dem entfernten SaaS-Server.

Je nach den gewünschten Funktionen kann diese Vorgehensweise direkt in das normale Surfen im Web eingreifen. Um etwa den Zugang zu bestimmten SaaS-Funktionen oder -Diensten zu kontrollieren, kann das CASB-Tool zum Beispiel in einer Art vorgehen, die an einen traditionellen HTTP-Forward-Proxy erinnert.

Damit meine ich, dass es den HTTP-CONNECT des Browsers respektiert und den TLS-Traffic (Transport Layer Security) über einen Tunnel zu dem entfernten Ziel transportieren kann, ohne dass dabei die TLS-Session beendet werden muss.

Manche Funktionen wie zum Beispiel die Verschlüsselung von zu übertragenden Daten erfordern jedoch, dass das CASB-Tool aktiv in die übertragenen Inhalte zwischen dem Browser und dem entfernten SaaS-Dienst eingreift und den Content verändern darf. Das Tool kann dabei die TLS-Session am Proxy beenden und eine neue verschlüsselte Verbindung zwischen sich und dem Ziel aufbauen.

Im Gegensatz zu diesem Vorgehen nutzt die API-Variante die in einen SaaS-Dienst selbst integrierten Funktionen, um vergleichbare Ziele zu erreichen. Anstatt den Traffic über einen Proxy zu leiten, erweitert es das SaaS-Angebot also direkt um neue Sicherheitsfunktionen.

Diese strukturellen Unterschiede zählen zu den wichtigsten Faktoren, wenn es um die Komplexität bei der Integration unterschiedlicher SaaS-Angebote auf einer Plattform geht. Es dürfte klar sein, dass sich die API-Schnittstellen von Anbieter zu Anbieter deutlich unterscheiden. So sind etwa die API-Funktionen in Office 365 ganz anders als in Salesforce, die sich wiederum selbst erheblich von Slack oder Concur unterscheiden. Wenn Sie sich für dieses Modell entscheiden, ist deshalb der Support durch den Hersteller von größter Bedeutung.

CASB: Das optimale Vorgehen finden

Welches Vorgehen passt besser zu Ihrem Multi-Cloud-SaaS-Modell? Die Entscheidung hängt von der jeweiligen Infrastruktur ab. Wenn die Multi-Cloud-Umgebung eines Unternehmens aus einer kleinen Zahl unterschiedlicher Angebote besteht, die alle über eine API adressierbar sind, dann spricht das für die Nutzung des API-Modells. Wenn ein Unternehmen jedoch einen komplexen Mix aus Dutzenden oder gar Hundertern kleinerer Nischenprodukte nutzt, dann dürfte das Proxy-Modell die einzige Möglichkeit sein, um alle diese Angebote in einer Plattform zu integrieren.

Die dritte Variante eignet sich für Unternehmen, deren Multi-Cloud-Nutzung irgendwo dazwischen liegt. Dann kann auch ein hybrides Vorgehen eingesetzt werden, bei dem das ausgewählte CASB-Tool sowohl das Proxy- als auch das API-Modell unterstützt.

Es ist von größter Bedeutung, sowohl die Nutzungs- als auch die Sicherheitsanforderungen in Betracht zu ziehen, wenn ein neues CASB-Tool ausgewählt werden soll. Das Proxy-Modell bietet meist eine größere Flexibilität, da es nicht so eng wie die spezifischen APIs mit einem bestimmten SaaS-Angebot verbunden ist.

Es gibt aber auch bei dem Proxy-Modell Bedenken, die in Betracht gezogen werden sollten. So rät etwa Microsoft bei der Nutzung von Office 365 davon ab. Auch andere Organisationen wie das US-CERT (Computer Emergency Readiness Team) haben eine Warnung vor HTTPS-Interception ausgesprochen.

Der Grund ist, dass Produkte die gezielt TLS-Verbindungen unterbrechen, immer wieder die Sicherheit des gesamten TLS-Modells untergraben haben. So gab es mehrfach Fälle, bei denen die Zertifikate nicht ordnungsgemäß überprüft wurden.

Die Entscheidung für oder gegen eines der beiden Modelle erfordert, sich sehr ausführlich mit dem Thema zu beschäftigen. Unternehmen müssen ihre eigene Cloud-Nutzung genau verstehen und sich gründlich überlegen, welche SaaS-Angebote sie sichern wollen und wie das geschehen soll.

Der erste Schritt ist jedoch, zunächst eine Liste der genutzten Dienste zu erstellen und darin auch zu verzeichnen, wie sie eingesetzt werden.

Anschließend sollten die eigenen Ziele definiert werden, wenn es um das Thema Sicherheit geht. Will das Unternehmen auch gegen Schatten-IT vorgehen und die vorgeschriebenen SaaS-Dienste deswegen um zusätzliche Authentifizierungsfunktionen erweitern? Oder gibt es etwa zum Beispiel eine vertragliche Bindung, die eine Verschlüsselung von Daten vorschreibt, die bei Dritten oder überhaupt außerhalb der eigenen Infrastruktur gespeichert werden?

Ein umfassendes Verständnis der eigenen Umgebung ist deshalb von größter Bedeutung bei der Entscheidung für oder gegen eine bestimmte CASB-Lösung.

Nächste Schritte

Gratis-eBook: Multi-Cloud-Umgebungen sicher verwalten

Transparenz in heterogenen IT-Umgebungen verbessern

Sicherheit in der Multi Cloud gewährleisten

Erfahren Sie mehr über Cloud-Sicherheit