NTT Security : Neue Lösungen zur Cloud-Kontrolle

März 2016 - ITbusiness Schweiz, Ausgabe 1/2016

Dass die unkontrollierte Cloud-Nutzung für Unternehmen und Behörden ein enormes Sicherheitsrisiko darstellt, ist klar. Wie aber bekommt man das Sicherheitsrisiko in den Griff? Da mit den Cloud-Diensten in aller Regel mit http- und https-Protokollen kommuniziert wird, ist es naheliegend, sich zunächst den Webproxy oder die Next Generation Firewall anzuschauen. Blockierungsregeln für Cloud-Dienste, wie die vollständige Sperrung aller Cloud-Dienste bei einer«No-Cloud-Policy» oder alternativ die selektive Sperrung vermitteln aber ein trügerisches Bild der Sicherheit, tatsächlich aber reduzieren diese Massnahmen das Sicherheitsniveau signifikant.

Gründe für das Versagen
Die marktführenden Webproxys und Firewalls kennen von den weit über 15 000 Cloud-Diensten, die heute existieren, nur wenige Dutzend bis einige Hundert Cloud-Dienste. Und jeden Monat kommen rund 500 neue Cloud-Dienste dazu. Mit einem Webproxy oder der Firewall überwachen sie also höchstens 10 Prozent der verfügbaren Cloud-Dienste - alle anderen sind nicht kontrollierbar.

Hinzu kommt, dass die in den Webproxys und Firewall bereits gelisteten, zumeist etablierten Cloud-Dienste bereits über eine beachtliche Sicherheitsausstattung zum Schutz der Unternehmensdaten verfügen. Werden diese im Regelwerk gesperrt, suchen und finden die Nutzer Alternativen und weichen auf weniger bekannte und häufig auch weniger sichere Cloud-Dienste aus. Die Nutzer verlieren dann z. B. das Recht an den hochgeladenen Daten, oder die Daten werden nicht nur in der Cloud gespeichert, sondern sind sogar für alle Welt öffentlich zugänglich. Die Benutzer wenden sich also vermehrt sogenannten Hochrisikodiensten zu .In zahlreichen Cloud Discovery und Risk Assessments wird immer wieder auch festgestellt, dass Proxys trotz entsprechender Blockregel nur einen Teil der URLs eines bestimmten Cloud-Dienstes sperren. Tatsächlich aber ist der Dienst über andere URLs noch zugänglich.

Fazit: Trotz Blockierungsregeln in Webproxy oder Firewall hat sich die Sicherheit der Unternehmensdaten in der Cloud deutlich verschlechtert und das Problem der Schatten-IT ist ungelöst. Ein Unternehmen darf sich nicht auf diese Scheinlösung verlassen, sondern muss geeignete Technologien einsetzen, um die angemessene Verwendung der Cloud zu managen und das Problem der Schatten-IT zu lösen.

Cloud-Kontrolle mit CASB
Unternehmen und Behörden benötigen also andere Technologien zur Bewältigung dieses Sicherheitsproblems. Sogenannte Cloud Access Security Broker (CASB) sorgen für Sicherheit.

Webproxys oder Firewalls sind unbestritten sehr gute Sicherheitstechnologien, sie haben jedoch einen ganz anderen Fokus als CASB Anbieter: ein Webproxy kategorisiert Milliarden von URLs in unterschiedliche Kategorien und kontrolliert das Surfverhalten. Ein CASB-Anbieter hingegen kategorisiert Tausende Cloud-Dienste nach ganz anderen Kriterien in einem nahezu vollständigen Cloud-Registry und zeigt u. a. auf, welche Datenmengen von wie vielen Benutzern zu welchen Cloud-Diensten fliessen. Dabei können auch Anomalien festgestellt, vorhandene Regeln einer On-Site-DLP-Lösung integriert oder die Cloud-Daten bei Bedarf verschlüsselt bzw. tokenisiert werden. Ein weiterer Vorteil von CASB-Lösungen gegenüber Webproxys oder Firewalls ist die Sicherheitsbewertung. Spezialisierte Cloud Access Security Broker, z. B. Skyhigh Networks, überzeugen mit einem detaillierten Risk Rating (mit Dutzenden von bewerteten Einzelkriterien) für jeden einzelnen der auf dem Markt verfügbaren Cloud-Dienste mit einem nahezu vollständigen Cloud Registry. Dieses granulare und detaillierte Risk Rating einer CASB-Lösung bietet Unternehmen und Behörden die Möglichkeit, den Fachabteilungen proaktivdie als sicher geltenden Cloud-Dienste aus der CASB Cloud Registry vorzuschlagen.

Es besteht Handlungsbedarf
Erste Webproxy- bzw. Firewall-Anbieter haben die Defizite erkannt und handeln. So arbeitet z. B. Check Point seit kurzem mit CloudLock zusammen. Blue Coat hat im Juli 2015 Perspecsys und im November Elastica gekauft und möchte damit 2016 auch eine eigene CASB-Lösung auf den Markt bringen.Die Hersteller haben also erkannt, dass Webproxy und Firewall nicht in der Lage sind, die Verwendung von Cloud-Diensten angemessen sichtbar zu machen und zu managen und das Sicherheitsproblem «Schatten-IT» zu lösen. Ob deren neue, noch zu integrierende Cloud-Lösungen mit denen der marktführenden CASB-Anbieter mithalten können, bleibt abzuwarten.

Die Analysten von Gartner sehen im CASB Bereicheinen boomenden Markt für die kommenden Jahre: «By 2018, 50 percent of enterprises with more than 1000 users will use cloud access security broker products to monitor and manage their use of SaaS and other forms of public cloud.» Die Cloud-Welle ist ein Mega-Trend, und damit einher gehen deren unkontrollierte Verwendung und ein hohes Sicherheitsrisiko für Unternehmenund Behörden. Es gilt, sich frühzeitigund aktiv mit der Problematik auseinander zu setzen. NTT Com Security bietet zu diesem Thema ein kostenloses «Cloud Discovery and Risk Assessment» an. Damit bekommen Interessenten eine Momentaufnahme ihrer Schatten-IT, sozusagen eine Fakten- und Zahlenbasis über das momentane Ausmass ihrer Cloud-Verwendung - eine fundierte Grundlage zur Planung weiterer Schritte.

Fachartikel herunterladen >