When the use of cloud-based services and applications goes beyond the view of IT, organizational data is no longer bound by the governance, risk, and compliance policies of the organization. This is called shadow IT and emphasizes the need for cloud security. Companies have to find a solution to enforce strict security policies and protect sensitive data when it is being shared in cloud applications. Cloud access security broker (CASB) solutions—proxy-based, API-based, or both—can help organizations gain visibility and control over the cloud applications that their employees access.
A CASB is a policy control and cloud visibility mechanism that sits between the cloud service users and the cloud applications. Whether deployed in the cloud or on-premises, CASBs provide visibility into the use of cloud applications, control access to cloud-based services and data, help meet compliance regulations, prevent data loss, detect and remediate threats with UEBA technology, and more. With the help of a CASB solution, employees can use cloud services without risking the security of the organization. Authentication, authorization, encryption, single sign-on, tokenization, and device profiling are some examples of security policies that can be implemented using CASBs. SOC teams can derive effective insights on security incidents if their CASB tool is integrated with their SIEM solution. To learn more, read: Why a cloud access security broker should be part of your SIEM.
CASBs können in zwei Modi bereitgestellt werden: proxy-basiert und API-basiert. Proxy-based CASBs are also called as inline CASBs and the API-based CASBs are referred to as out-of-band CASBs. The main difference between the two is that an inline CASB sits directly between the user and the cloud application—acting as a gateway—inspecting and controlling data in real time; whereas an out-of-band CASB operates outside the direct traffic path and integrates with cloud service providers via APIs, monitoring cloud activity post-event.
In diesem Artikel wird der proxy-basierte Bereitstellungsmodus von CASBs erläutert.
Was ist eine proxy-basierte CASB-Bereitstellung?
Die proxy-basierte Bereitstellung wird oft auch als Inline-Bereitstellung bezeichnet, da sie zwischen dem Benutzer und dem SaaS-Anwendungsverkehr angesiedelt ist. Dieser Bereitstellungsmodus prüft Inhalte in und aus der Cloud und setzt Sicherheitsrichtlinien in Echtzeit durch, um den Zugriff zu kontrollieren. Es kann den Benutzerverkehr zu Cloud-Anwendungen blockieren, einen Dateiupload zu einer SaaS-Anwendung stoppen, einen Dateidownload auf ein nicht verwaltetes Gerät blockieren und vieles mehr. Aufgrund der verschiedenen Funktionen und der gebotenen Abdeckung wird dieser Bereitstellungsmodus häufig in verschiedenen CASB-Tools verwendet.
Werfen wir einen Blick darauf, wie ein proxy-basierter CASB den Cloud-Datenverkehr überwacht und kontrolliert. Wenn Benutzer versuchen, auf eine Cloud-Anwendung zuzugreifen, initiieren sie eine Zugriffsanfrage. Bevor die Anfrage vom Cloud-Dienstanbieter bearbeitet wird, wird der Datenverkehr zunächst an den Proxy weitergeleitet. Dieser Proxy, d. h. das CASB-Tool, kennt die Anforderungen und Details der Nutzer. An diesem Punkt kann das CASB-Tool die Kontrolle ausüben und sicherheitsrelevante Funktionen hinzufügen, z. B. den Zugang der Benutzer sperren oder sie an der Durchführung bestimmter Aktionen hindern.
Proxy-basierte CASB-Tools verwenden zwei verschiedene Arten der Proxy-Bereitstellung: Forward Proxy und Reverse Proxy. Depending upon the deployment mode, proxy-based CASBs can provide benefits such as comprehensive threat protection and data security, granular access control, visibility into cloud usage, shadow IT detection, and compliance with regulatory mandates, as well as secure work environments, regardless of a BYOD, remote, or hybrid setup.
Forward-Proxy-Bereitstellung
In diesem Modus befindet sich der Proxy näher am Benutzer. Das Gerät oder Netzwerk des Benutzers leitet den Datenverkehr an den Proxy weiter. Der Forward-Proxy verwendet SSL-Man-in-the-Middle-Techniken, um den Datenverkehr des Benutzers zum CASB-Proxy zu leiten. Die Weiterleitung des Datenverkehrs erfolgt über:
- PAC-Dateien: Eine Proxy-Autokonfigurationsdatei (PAC) bestimmt, ob eine Web-Anfrage direkt an das Ziel geht oder an den Forward-Proxy weitergeleitet wird. Bei der Implementierung eines CASB-Forward-Proxy werden die Browser oder Agenten der Benutzer mit Proxy-PAC-Dateien konfiguriert, die den Cloud-Datenverkehr an den CASB-Forward-Proxy weiterleiten. Ein Nachteil der Verwendung von PAC-Dateien für das Forward-Proxy-Rerouting ist, dass diese Dateien von den Benutzern leicht umgangen werden können.
- DNS-URL-Umleitung: Bei dieser Methode wird der DNS des Benutzers mit einer speziellen Traffic-Forward-Zone für ausgewählte Cloud-Dienste konfiguriert, so dass alle Traffic-Anfragen an diese Cloud-Dienste an den CASB-Forward-Proxy umgeleitet werden. Diese Methode wird jedoch in der Regel nicht bevorzugt, da die Benutzer oft zögern, die DNS-Einträge in ihrer Umgebung zu ändern. Außerdem wird DNS in den meisten Unternehmen von einem ausgelagerten Drittanbieter verwaltet.
- Agenten: Bei dieser Methode wird ein Agent auf den Endpunkten der Benutzer installiert und leitet den Datenverkehr über einen sicheren VPN-Tunnel an den CASB-Forward-Proxy um. Die Verwaltung der Agenten ist der Nachteil dieser Bereitstellungsmethode.
Ein Forward-Proxy-CASB, der durch die Konfiguration von PAC-Dateien oder durch die Bereitstellung von Agenten implementiert wird, kann nicht verwaltete Geräte nicht überwachen. Andererseits kann ein Forward-Proxy-CASB, der durch die Konfiguration des DNS des Kunden implementiert wird, sowohl verwaltete als auch nicht verwaltete Geräte überwachen.
Ein Forward-Proxy-CASB-Einsatz kann:
- Inhalte zwischen dem Endpunkt des Benutzers und Cloud-Anwendungen analysieren, um bösartige Aktivitäten und Datenlecks zu erkennen.
- Eine kontextbasierte Zugriffskontrolle durchsetzen, abhängig vom Quellgerät des Benutzers, dem Netzwerk, dem Zeitpunkt der Anfrage und mehr.
- Transparenz in der Schatten-IT schaffen und die Nutzung nicht genehmigter Anwendungen durch einen Benutzer oder eine Gruppe von Benutzern auflisten.
- Daten auf Feldebene verschlüsseln und mit Token versehen.
Reverse-Proxy-Bereitstellung
In diesem Modus, der normalerweise als Technologie der letzten Meile bezeichnet wird, sitzt der Proxy näher an den Cloud-Service-Anbietern. Der Cloud-Dienst oder die Ressource leitet den Datenverkehr an den CASB-Proxy weiter.
Da die CASB-Proxy-Technologie nahtloser als die Forward-Proxy-Technologie ist, kann sie in die vom Unternehmen genutzte Identity as a Service (IDaaS) integriert werden, Benutzer authentifizieren und den Datenverkehr von SaaS-Anwendungen an Benutzer umleiten.
Im Gegensatz zum Forward-Proxy müssen Sie sich auch keine Sorgen um Sicherheitsrisiken im Zusammenhang mit SSL-Man-in-the-Middle-Techniken machen. Sie müssen auch keine Agenten zur Umleitung des Datenverkehrs einsetzen. Allerdings bietet die Reverse-Proxy-Technologie keinen Einblick in die Schatten-IT.
Eine CASB-Bereitstellung mit Reverse-Proxy kann:
- Den Zugriff sowohl von verwalteten als auch von nicht verwalteten Geräten aus kontrollieren, obwohl sie sich im Vergleich zu anderen Bereitstellungsmodi eher für nicht verwaltete Geräte eignet.
- Daten verschlüsseln, die sich auf dem Weg in die Cloud befinden.
- Benutzeraktivitäten überwachen und Insider-Bedrohungen und gefährdete Konten aufdecken.
- DLP in Echtzeit implementieren, einschließlich der Überprüfung von Daten bei der Übertragung und der Ergreifung geeigneter Präventions- oder Abhilfemaßnahmen im Falle von Bedrohungen.
- Verhindern, dass Benutzer das System umgehen.
Welche Art der CASB-Bereitstellung sollten Sie für Ihr Unternehmen wählen?
Es ist wichtig, die CASB-Lösung zu wählen, die für die Anforderungen Ihres Unternehmens am besten geeignet ist. Jeder Ansatz hat seine Vor- und Nachteile. Zu bevorzugen wäre ein hybrider Ansatz: eine Mischung aus API- und Proxy-Bereitstellungsmodi. Eine hybride Lösung kann mehr Flexibilität, Zugriffskontrolle, Transparenz und Abdeckung von Anwendungsfällen bieten. ManageEngine Log360 is a CASB-integrated SIEM solution that can protect your hybrid cloud environment. To evaluate how Log360 can satisfy your organization's security needs, sign up for a personalized demo.