Ein effektiverer Ansatz für die Cloud-Sicherheit: NGFW für Inline CASB
Cloud-Anwendungen haben die Art und Weise, wie Organisationen ihre Geschäfte abwickeln, verändert und dabei neue Sicherheitsrisiken mit sich gebracht. Diese Anwendungen sind einfach einzurichten und für die Zusammenarbeit zu nutzen. Infolgedessen nehmen das Volumen und die Sensibilität der Daten, die in diesen Cloud-Umgebungen übertragen, gespeichert und gemeinsam genutzt werden, kontinuierlich zu. Gleichzeitig bewegen sich die Benutzer ständig an verschiedenen Orten und verwenden mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen.
Dies sind bedeutende Veränderungen in den Arbeitsgewohnheiten und der Technologie, und die traditionellen Sicherheitswerkzeuge konnten damit nicht Schritt halten. Das Bestreben, diese Sicherheitslücken zu schließen, hat zu neuen Technologien und Möglichkeiten geführt, sie zu beschreiben, darunter die Kategorie Cloud Access Security Broker (CASB).
Laut Gartner"sind CASBs lokale oder Cloud-basierte Stellen zur Durchsetzung von Sicherheitsrichtlinien, die zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern platziert werden, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf die Cloud-basierten Ressourcen zu kombinieren und einzubinden. CASBs konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien."
CASBs bieten Organisationen drei wichtige SaaS-Sicherheitsfunktionen und haben daher eine rasche Entwicklung und Akzeptanz erfahren: (1) Einblick in die SaaS-Nutzung, (2) granulare Kontrolle über den SaaS-Zugang und (3) Compliance und Sicherheit für Ihre Cloud-basierten Daten. Es gibt verschiedene Bereitstellungsmodi, mit denen ein CASB seine Funktionen bereitstellen kann, darunter der Inline- und der API-Modus. Wir werden im Folgenden etwas ausführlicher auf diese eingehen und auch einen einfacheren, effektiveren Ansatz vorstellen: NGFW für Inline-CASB.
Den CASB-Bedarf decken
Die Definition von CASB zur Zeit seiner Einführung mit der Verwendung des Begriffs "Broker" implizierte, dass sich CASBs im Pfad Ihres Cloud-Datenverkehrs befinden. Seitdem hat sich die CASB-Technologie weiterentwickelt und umfasst nun zwei Schlüsselkomponenten: Inline- und API-Modus. Lassen Sie uns diese beiden Modi kurz betrachten.
Inline-CASB
Inline-CASB kann weiter in zwei Modi unterteilt werden: Forward Proxy und Reverse Proxy. Mit Forward Proxy müssen CASB-Anbieter den Cloud-Verkehr an eine Appliance oder einen Dienst weiterleiten, die bzw. der Sichtbarkeit und Kontrollmöglichkeiten für Apps bietet. Es ist auch wichtig zu wissen, dass die Forward Proxy-Funktionen nicht nur auf Proxys beschränkt sind. Leistungsstarke Funktionen zur Kontrolle von Anwendungen der nächsten Generation können auch über NGFW-Appliances oder -Dienste durchgesetzt werden. Dies ist aus mehreren Gründen ideal, denn viele Kunden haben NGFW bereits als Internet Gateway für lokale oder Remotebenutzer bereitgestellt. Wenn Kunden es vorziehen, einen echten Proxy zu verwenden (der von den meisten CASB-Anbietern angeboten wird), führt dies häufig zu zusätzlichem Verwaltungsaufwand und Komplexität. Für Kunden ist es wichtig, zu prüfen, ob ihre vorhandene NGFW bereits ihre Inline-CASB-Anforderungen ohne zusätzliche Kosten erfüllt. Im Falle eines Reverse Proxy verwenden CASB-Anbieter SSO (oder manchmal DNS), um Benutzer zu einem Inline-CASB-Dienst umzuleiten, um sicherzustellen, dass die Richtlinien durchgesetzt werden.
API-basierter CASB
Der API-basierte Ansatz ermöglicht es CASB-Anbietern, innerhalb der Cloud-Anwendung auf die Daten des Kunden zuzugreifen, ohne "zwischen" dem Cloud-Verkehr zu stehen. Es handelt sich um einen Out-of-Band-Ansatz, mit dem mehrere Funktionen ausgeführt werden können, darunter eine granulare Datensicherheitsprüfung aller in der Cloud-Anwendung oder dem Cloud-Dienst ruhenden Daten sowie die laufende Überwachung von Benutzeraktivitäten und administrativen Konfigurationen. Die Benutzerfreundlichkeit der Cloud-Anwendung bleibt erhalten, da die API nicht aufdringlich ist und den Datenpfad zur Cloud-Anwendung nicht beeinträchtigt. Neben der Anwendung von Richtlinien für zukünftige Verstöße ist eine API-basierte CASB die einzige Möglichkeit, die in der Cloud gespeicherten Daten zu durchsuchen und DLP-Verstöße und Bedrohungen zu beseitigen. Dies ist besonders wichtig, da Unternehmen eine App schließlich "genehmigen", bevor sie herausgefunden haben, wie sie sie sichern können, und es gibt fast immer vorhandene Inhalte, die untersucht werden müssen. Wir werden uns in einem kommenden Blog-Beitrag ausführlicher mit API-basiertem CASB beschäftigen.
Wir haben eine einfachere Herangehensweise: NGFW für Inline CASB
Eine Firewall der nächsten Generation verbindet Benutzer-, Inhalts- und Anwendungsprüfungsfunktionen innerhalb von Firewalls, um CASB-Funktionen zu ermöglichen. Die Inspektionstechnologie ist dann in der Lage, Benutzer den Anwendungen zuzuordnen, um eine granulare Kontrolle über die Nutzung von Cloud-Anwendungen zu ermöglichen - unabhängig von Standort oder Gerät. Zu den relevanten Funktionen von CASB innerhalb von NGFW gehören granulare App-Kontrolle (einschließlich SaaS- und On-Premise-Apps), app-spezifische Funktionskontrolle, URL- und Content-Filterung, auf Anwendungsrisiken basierende Richtlinien, DLP, benutzerbasierte Richtlinien und die Abwehr bekannter und unbekannter Malware.
Kunden, die sich für einen NGFW-basierten Ansatz entscheiden, sollten bei der Bereitstellung flexibel sein und eines oder eine Kombination der folgenden Szenarien verwenden:
NGFW als Appliance: Neben physischen Appliances, die möglicherweise bereits vorhanden sind, können virtuelle Firewalls als Gateways in der Cloud fungieren, um eine maximale globale Abdeckung für Remotebenutzer zu gewährleisten, wodurch der Aufwand für die Bereitstellung zusätzlicher Hardware entfällt. Die meisten Kunden haben diese Komponente bereits für ihre Benutzer vor Ort bereitgestellt.
- NGFW als Cloud-Service: In diesem Szenario sollte die mandantenfähige, Cloud-basierte Sicherheitsinfrastruktur vom Sicherheitsanbieter verwaltet und gepflegt werden. Palo Alto Networks Prisma™ Access (ehemals GlobalProtect™ Cloud service) ermöglicht es Kunden beispielsweise, die präventiven Fähigkeiten der Palo Alto Networks Next-Generation Security Platform zu nutzen, um Remotebenutzer und Netzwerke zu sichern. Der Service kann eine einfache Erweiterung ihrer bestehenden NGFW-Bereitstellung sein, um die Exfiltration sensibler Daten über alle Anwendungen, ob SaaS-basiert oder nicht, zu verhindern. Kunden können die Komplexität und die Kosten für die Verwaltung globaler Bereitstellungen reduzieren und erhalten konsistenten Schutz über Cloud-Umgebungen hinweg.
Wenn ein Inline-NGFW-Ansatz als Teil einer integrierten, auf Prävention ausgerichteten Sicherheitsplattform der nächsten Generation - einschließlich einer NGFW, einer Threat Intelligence Cloud, eines API-basierten SaaS-Sicherheitsdienstes und eines fortschrittlichen Endpunktschutzes - verwendet wird, können Kunden Datenlecks aus ihren Cloud-Anwendungen stoppen, die Bedrohungsgefahr durch die Kontrolle der genehmigten und nicht genehmigten Anwendungsnutzung verringern, bekannte und unbekannte Bedrohungen innerhalb des zulässigen Datenverkehrs verhindern und sicherstellen, dass ihre Cloud-Anwendungsübernahme gesetzeskonform bleibt.
Eine Sicherheitsplattform der nächsten Generation bietet nämlich vollständigen Cloud-Schutz zu niedrigeren Gesamtbetriebskosten als typische CASBs.
Wenn Sie mehr erfahren möchten, lesen Sie die folgenden Ressourcen:
