Tejas Lagad

Was sind Cloud Access Security Broker – und welche Vorteile bieten sie?

Die IT-Infrastruktur von Unternehmen befindet sich im Wandel. Heute übernehmen auch einzelne Teams innerhalb einer Organisation die Beschaffung von Cloud Services. Die IT-Abteilung muss auch in diesen Fällen dafür sorgen, dass die Unternehmensdaten sicher sind. „Die Lösung liegt in der Verwendung eines so genannten Cloud Access Security Broker“, sagt Tejas Lagad, Director Asia beim Identity- und Security-Spezialist Nexus Group.

Früher lag der Schwerpunkt des CIO auf der Einrichtung von Systemen, auf die Personen innerhalb der Organisation zugreifen können. Der Chief Information Security Officer (CISO) musste sicherstellen, dass der Zugriff für niemanden außerhalb der Organisation möglich war.

Neue Sicherheitsanforderungen

„Doch dann kam die Phase, in der das IT-Team dafür sorgen sollte, dass Mitarbeiter und Partner auch von anderen Orten auf einige der Systeme zugreifen können. Wieder waren die IT-Security-Experten gefragt. Sie mussten sicherstellen, dass nur die ‚Guten‘ auf die Unternehmensdaten zugreifen können, während die ‚Bösen‘ ausgesperrt werden“, sagt Lagad.

Aktuell hat das IT-Team nur bedingt die Kontrolle über die Unternehmensdaten, wodurch sich auch die Sicherheitsanforderungen wieder verändert haben.

„Verschiedene Teams innerhalb der Organisation treiben die Digitalisierung ihrer Bereiche voran, indem sie ihre eigenen Systeme einrichten, die wiederum auf extern zugekauften Cloud Services basieren. Der CIO muss nun eine Plattform bereitstellen, die sowohl ein Funktionieren dieser sogenannten Schatten-IT als auch die Sicherheit der Unternehmensdaten gewährleistet“, kommentiert Lagad.

Zentrale für die Durchsetzung von Sicherheitsrichtlinien

Eine solche Plattform wird auch Cloud Access Security Broker (CASB) genannt und sorgt als Zentrale zwischen den verschiedenen Cloud-Service-Providern und den Benutzern für die Durchsetzung von Sicherheitsrichtlinien.

„Der Cloud Access Security Broker kann vor Ort (on premise) oder in der Cloud implementiert werden und kontrolliert beim Zugriff auf die Ressourcen in der Cloud die Einhaltung der unternehmenseigenen Sicherheitsrichtlinien“, erläutert Lagad.

Basierend auf verschiedenen Faktoren wird der Zugriff gewährt oder verweigert:

  • Wer sind Sie – welche Funktion haben Sie?
  • Woher kommen Sie – wo ist Ihr geografischer Standort und welche Art von Netzwerk verwenden Sie?
  • Welches Gerät verwenden Sie – Firmen-Laptop, Heim-PC, Tablet-PC oder Smartphone?
  • Wie spät ist es – sind Sie autorisiert, zu dieser Tageszeit auf die Ressourcen zuzugreifen?

„Der Cloud Access Security Broker erleichtert auch die Arbeit der Benutzer, weil er den Zugriff über Single Sign-On (SSO) erlaubt. So reicht eine einmalige Benutzerauthentifizierung für den nahtlosen Zugriff auf alle Cloud Services, für die sie entsprechende Rechte haben“, sagt Lagad.

Vorteile durch zentrale Benutzerverwaltung

Mit Single Sign-On auf Basis von Identity Federation (föderierten Identitäten) können Unternehmen außerdem sicherstellen, dass Benutzer sozusagen „on demand“ Zugang zu den von Ihnen benötigten Cloud Services erhalten, wenn sie das erste Mal auf die Cloud-App zugreifen.

„Der Cloud Access Security Broker gewährleistet, dass alle Cloud-Apps auf ein einziges Identitäts-Verzeichnis zugreifen. So können Benutzer beispielsweise direkt über das Unternehmens-Directory authentifiziert werden“, erklärt Lagad.

Dieses Vorgehen vermeidet die Einrichtung redundanter Accounts und erleichtert die effektive Durchsetzung von Passwortrichtlinien.

„Noch wichtiger ist – aus der Perspektive von Sicherheitsexperten –, dass Benutzern damit ganz einfach die Zugriffsrechte auf sämtliche Cloud Services entzogen werden können, wenn sie das Unternehmen verlassen oder andere Aufgaben übernehmen. Werden Benutzer-Accounts in einem Unternehmens-Directory deaktiviert, gelöscht oder einem anderen Bereich zugeordnet, sind damit automatisch auch die Zugriffsrechte auf die Cloud-Apps deaktiviert“, erläutert Lagad.

Verschiedene Optionen für Multi-Faktor-Authentifizierung

Ein guter Cloud Access Security Broker sollte unterschiedliche Optionen für die Multi-Faktor-Authentifizierung bieten, sodass Sie die passenden Optionen für verschiedene Benutzergruppen auswählen können. Für besonders sensible Anwendungen kann es zudem sinnvoll sein, eine stärkere Authentifizierung zu fordern.

„Für die meisten Benutzer und Anwendungen ist eine sichere und komfortable Out-of-Band-App für die Authentifizierung die bevorzugte Variante. Zu den zahlreichen Vorteilen gehören niedrige Kosten ebenso wie die Tatsache, dass Benutzer sich keine Passwörter merken müssen“, sagt Lagad.

Der Cloud Access Security Broker muss außerdem Auskunft darüber geben, welche Benutzer von welchem Standort auf welche Anwendungen zugreifen.

„Dies ist eine zentrale Voraussetzung, um die Kontrolle über die Schatten-IT zu behalten und Compliance-Anforderungen zu erfüllen“, sagt Lagad.

Sicherheit auch für On-Premise-Anwendungen

Obwohl die Nutzung von Cloud Services weiter stark zunimmt, gibt es immer noch diverse Anwendungen, die am Standort der Unternehmen (on premise) laufen.

„Darum sollten Sie sich für eine Hybrid-Variante eines Cloud Access Security Broker entscheiden. Die Lösung muss in der Lage sein, nicht nur Ihre Cloud-Anwendungen, sondern auch die wenigen im eigenen Rechenzentrum gehosteten Anwendungen zu schützen. Damit gewährleisten Sie einen reibungslosen Übergang für ihre Benutzer und vermeiden unnötigen Verwaltungsaufwand für Ihr IT-Team“, sagt Lagad.

Aktuell werden im Markt verschiedene Cloud Access Security Broker angeboten. Dazu gehört auch die Authentifizierungslösung Nexus Hybrid Access Gateway.

Finden sie heraus, wie Sie diese Lösung von Nexus auch in Ihrem Unternehmen oder bei Ihren Kunden einsetzen können. Kontaktieren Sie Tejas Lagad oder einen Vertriebsmitarbeiter von Nexus.

Published 21/12 2017

News and Blog