Cloud Access Security Broker: Daten in der Cloud absichern

Daten in Exchange Online schützen

E-Mail zählt zu den wichtigsten Applikationen im modernen Arbeitsalltag. Jedoch hat sich die Zahl der On-Premises Exchange Server zwischen 2016 und 2017 um 46 Prozent reduziert und damit fast halbiert. Heute zählt Exchange Online weltweit zu den am meisten genutzten Cloud-Services.

Doch wie sieht es mit der Sicherheit aus? Mitarbeiter verwenden E-Mail gerne, um Daten mit anderen zu teilen. Sie verschicken nicht nur Nachrichten, sondern hängen auch Dateien an. Um zu verhindern, dass sensible Daten in unbefugte Hände gelangen, setzen Unternehmen DLP-Lösungen (Data Loss Prevention) ein. Diese stoßen bei Exchange Online jedoch an ihre Grenzen. Denn um den Versand von großen Anhängen zu ermöglichen, nutzt das E-Mail-System Cloud-native Wege: Es verschickt Dateien direkt via OneDrive und hebelt damit die DLP-Lösung aus. Sie kann kein Attachment scannen und somit auch keinen unerlaubten Datenabfluss verhindern.

Um sensible Daten in Exchange Online zu schützen, brauchen Unternehmen eine Lösung, die DLP-Richtlinien auch in der Cloud umsetzen kann. Cloud Access Security Broker (CASB) ermöglichen dies über einen speziellen Cloud-basierten Deployment-Modus. Dadurch können sie alle Elemente einer E-Mail in Exchange Online kontrollieren: die Metadaten wie Betreff und Empfänger, die eigentliche Nachricht, Anhänge oder Cloud-Attachments via OneDrive.

Da die DLP-Richtlinien im Cloud-Modus unmittelbar in der Cloud-Applikation umgesetzt werden und nicht auf dem Weg zwischen Nutzer und Cloud, wirken sie unabhängig vom eingesetzten Protokoll oder Endgerät. Gleichzeitig bietet ein solcher Cloud-basierter Deployment-Modus noch einen weiteren Vorteil: Unternehmen können Policies global für alle Office-365-Anwendungen definieren und einen einheitlichen Workflow für Sicherheitsvorfälle festlegen – nicht nur in Exchange Online, sondern auch in OneDrive, SharePoint & Co.

Das Echtzeit-Dilemma

Lösungen für Cloud-Security arbeiten normalerweise auf zwei unterschiedliche Arten: Sie sitzen entweder als Inline Proxy zwischen dem Gerät des Anwenders und dem Cloud-Dienst oder sie sind direkt mit dem Cloud-Dienst via API verbunden. Beide Einsatzmöglichkeiten haben ihre Vor- und Nachteile.

Im Inline-Modus setzt ein CASB Richtlinien in Echtzeit um. Allerdings kann er nur Daten kontrollieren, die im Fluss sind, also hoch- oder heruntergeladen werden. Er hat jedoch keinen Einblick in Dokumente, die sich bereits in der Cloud befinden oder direkt dort angelegt wurden. Außerdem funktionieren die Sicherheitsmechanismen nicht mit Applikationen, die HTTP Public Key Pinning nutzen. Viele Cloud-Anbieter setzen dieses Sicherheitsverfahren heute ein, um sich vor Man-in-the-Middle-Angriffen zu schützen.

Im API-Modus hat ein CASB dagegen umfassenden Einblick in die Cloud. Er sieht alle Daten – ob beim Hochladen, Herunterladen oder wenn sie in der Cloud gespeichert sind. Auch dort erzeugte Dokumente kann er kontrollieren. Zudem unterstützt er Apps mit Public Key Pinning. Doch es gibt auch einen Haken: Die Sicherheitskontrollen im API-Modus erfolgen nicht in Echtzeit, sondern mit fünf bis 20 Minuten Zeitverzögerung. Im Security-Bereich ist das eine halbe Ewigkeit, denn auf 21 Prozent aller Dokumente, die in die Cloud hochgeladen werden, erfolgt der Zugriff innerhalb der ersten fünf Minuten. Ein Fünftel der Daten haben das Haus schon verlassen, bevor der CASB Policies umsetzt.

Sicherheitsverantwortliche stehen damit vor einem Dilemma: Entweder verzichten sie im Inline-Modus auf volle Kontrolle und einen umfassenden Einblick in die Cloud – können dafür aber in Echtzeit reagieren. Oder sie entscheiden sich für den API-Modus und seine volle Kontrolle, nehmen dafür aber Zeitverzögerung in Kauf.

Ein neuer Deployment-Modus für den CASB löst dieses Dilemma, indem er die Vorteile von API- und Inline-Proxy-Einsatz verbindet: Er bietet sowohl Echtzeitkontrolle als auch umfassenden Einblick in die Cloud. Dabei verbindet sich der CASB direkt aus denselben Rechenzentren mit den Cloud-Services. Dadurch ist er in der Lage, Policies wie ein Inline Proxy in Echtzeit umzusetzen. Gleichzeitig hat er aber auch die Kontrolle darüber, was innerhalb der Cloud passiert.

Sicherheitsverantwortliche ertrinken in der Warnmeldungsflut

Mit der zunehmenden Cloud-Nutzung wächst auch die Zahl der Cloud-bezogenen Warnhinweise. Im Durchschnitt erhält ein Sicherheitsverantwortlicher im Security Operations Center (SOC) 387 Meldungen pro Monat zu Vorfällen in der Cloud. Bedenkt man, dass die meisten Unternehmen heute mehr als fünf Security-Tools einsetzen, wird das Problem deutlich: Sie alle generieren Alerts, so dass sich Sicherheitsverantwortliche mit einer Flut an Hinweisen konfrontiert sehen. Jeden einzelnen gewissenhaft zu bearbeiten, wird nahezu unmöglich. Einige Unternehmen planen deshalb, mehr Sicherheitsexperten einzustellen.

Da die Zahl der Warnmeldungen aber exponentiell wächst, kann das auf Dauer keine Lösung sein. Gerade Cloud-Vorfälle sind schwierig aufzuklären. Denn Sicherheitsverantwortliche müssen jeden einzelnen manuell bearbeiten. Da sie keinen direkten Einblick in die Cloud haben, müssen sie den Endnutzer kontaktieren, um zu erfahren, was passiert ist. Bei der Vielzahl von Cloud-Anwendern im Unternehmen kommen die SOC-Mitarbeiter hier schnell an ihre Grenzen. Auch für den Endnutzer ist das frustrierend, denn vielleicht hat er nur versehentlich eine Policy verletzt, kann jetzt aber nicht weiterarbeiten, bis der Vorfall aufgelöst ist.

„Für die meisten Unternehmen ist die Cloud heute selbstverständlich geworden. Ebenso selbstverständlich müssen auch die Sicherheitsvorkehrungen mitwachsen.“

 Daniel Wolf, Skyhigh Networks 

Durch Automatisierung lässt sich die Warnmeldungsflut eindämmen, ohne dabei die Produktivität zu beeinträchtigen: Wenn ein Endnutzer eine Policy verletzt, erhält er automatisch eine Aufforderung, seine Aktion zu korrigieren. Setzt er dies um, gilt der Sicherheitsvorfall als gelöst.

Ein Beispiel: Eine Mitarbeiterin gibt eine Kreditkartennummer in eine Excel-Liste ein und überschreitet damit eine DLP-Richtlinie. Der CASB entdeckt diesen Vorfall und gibt eine Warnmeldung in Excel Online aus. Gleichzeitig schickt er der Anwenderin einen Hinweis, dass sie die Kreditkartennummer entfernen soll. Sobald sie dies getan hat, wird der Vorfall in Excel als gelöst markiert.

Erste Ergebnisse zeigen: In Unternehmen, die dieses Verfahren bereits einsetzen, konnten Anwender 97 Prozent der Sicherheitsvorfälle selbst auflösen. Die Zahl der Cloud-bezogenen Warnmeldungen im SOC reduzierte sich dadurch von monatlich 387 auf 12. Das bringt nicht nur eine Entlastung, sondern steigert auch die Sicherheit. Denn jetzt haben die SOC-Mitarbeiter mehr Zeit, sich um die wirklich gravierenden Vorfälle zu kümmern. Gleichzeitig erzieht die automatisierte Kontrolle die Cloud-Anwender zu einem Compliance-bewussteren Verhalten. So reduziert sich mit der Zeit die generelle Zahl der Policy-Verletzungen.

Gezielt auf die Sicherheitsanforderungen der Cloud-Ära eingehen

Für die meisten Unternehmen ist die Cloud heute selbstverständlich geworden. Ebenso selbstverständlich müssen auch die Sicherheitsvorkehrungen mitwachsen. Unternehmen benötigen eine Plattform, die Daten direkt in der Cloud absichert, und kein Flickwerk aus netzwerkorientierten Technologien.

Cloud Security muss effektiv und dabei einfach zu managen sein. CASB-Lösungen werden kontinuierlich weiterentwickelt und gehen mit maßgeschneiderten Funktionen auf die neuen Anforderungen der Cloud-Ära ein.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!