Neue Lösungen zur Cloud-Kontrolle

SECURITY
Neue Lösungen zur Cloud-Kontrolle
Unternehmen und Behörden nutzen Cloud-Dienste sehr
unterschiedlich. Die Nutzung der Cloud zu kontrollieren,
verbindet sie.
D
ass die unkontrollierte CloudNutzung für Unternehmen und
Behörden ein enormes Sicherheitsrisiko
darstellt, ist klar. Wie aber bekommt man
das Sicherheitsrisiko in den Griff? Da mit
den Cloud-Diensten in aller Regel mit
http- und https-Protokollen kommuniziert wird, ist es naheliegend, sich zunächst
den Webproxy oder die Next Generation
Firewall anzuschauen. Blockierungsregeln für Cloud-Dienste, wie die vollständige Sperrung aller Cloud-Dienste bei einer «No-Cloud-Policy» oder alternativ die
selektive Sperrung vermitteln aber ein trügerisches Bild der Sicherheit, tatsächlich
aber reduzieren diese Massnahmen das Sicherheitsniveau signifikant.
Gründe für das Versagen
Die marktführenden Webproxys und
Firewalls kennen von den weit über 15 000
Cloud-Diensten, die heute existieren,
nur wenige Dutzend bis einige Hundert
Cloud-Dienste. Und jeden Monat kommen rund 500 neue Cloud-Dienste dazu.
Mit einem Webproxy oder der Firewall
überwachen sie also höchstens 10 Prozent
der verfügbaren Cloud-Dienste – alle anderen sind nicht kontrollierbar.
Hinzu kommt, dass die in den Webproxys
und Firewall bereits gelisteten, zumeist etablierten Cloud-Dienste bereits über eine beachtliche Sicherheitsaus­stattung zum Schutz
der Unternehmensdaten verfügen. Werden
diese im Regelwerk gesperrt, suchen und
finden die Nutzer Alternativen und weichen
auf weniger bekannte und häufig auch weniger sichere Cloud-Dienste aus. Die Nutzer
verlieren dann z. B. das Recht an den hochgeladenen Daten, oder die Daten werden
nicht nur in der Cloud gespeichert, sondern
sind sogar für alle Welt öffentlich zugänglich. Die Benutzer wenden sich also vermehrt sogenannten Hochrisikodiensten zu.
In zahlreichen Cloud Discovery und Risk
Assessments wird immer wieder auch festgestellt, dass Proxys trotz entsprechender
Blockregel nur einen Teil der URLs eines
IT business 1/2016
bestimmten Cloud-Dienstes sperren. Tatsächlich aber ist der Dienst über andere
URLs noch zugänglich.
Fazit: Trotz Blockierungsregeln in Webproxy oder Firewall hat sich die Sicherheit der Unternehmensdaten in der Cloud
deutlich verschlechtert und das Problem
der Schatten-IT ist ungelöst. Ein Unternehmen darf sich nicht auf diese Scheinlösung verlassen, sondern muss geeignete
Technologien einsetzen, um die angemessene Verwendung der Cloud zu managen
und das Problem der Schatten-IT zu lösen.
Cloud-Kontrolle mit CASB
Unternehmen und Behörden benötigen
also andere Technologien zur Bewältigung
dieses Sicherheitsproblems. Sogenannte
Cloud Access Security Broker (CASB) sorgen für Sicherheit.
Webproxys oder Firewalls sind unbestritten
sehr gute Sicherheitstechnologien, sie haben
jedoch einen ganz anderen Fokus als CASBAnbieter: ein Webproxy kategorisiert Milliarden von URLs in unterschiedliche Kategorien und kontrolliert das Surfverhalten.
Ein CASB-Anbieter hingegen kategorisiert
Tausende Cloud-Dienste nach ganz anderen Kriterien in einem nahezu vollständigen Cloud-Registry und zeigt u. a. auf, welche Datenmengen von wie vielen Benutzern
zu welchen Cloud-Diensten fliessen. Dabei
können auch Anomalien festgestellt, vorhandene Regeln einer On-Site-DLP-Lösung
integriert oder die Cloud-Daten bei Bedarf
verschlüsselt bzw. tokenisiert werden.
Ein weiterer Vorteil von CASB-Lösungen
gegenüber Webproxys oder Firewalls ist die
Sicherheitsbewertung. Spezialisierte Cloud
Access Security Broker, z. B. Skyhigh Networks, überzeugen mit einem detaillierten
Risk Rating (mit Dutzenden von bewerteten Einzelkriterien) für jeden einzelnen
der auf dem Markt verfügbaren CloudDienste mit einem nahezu vollständigen
Cloud Registry. Dieses granulare und detaillierte Risk Rating einer CASB-Lösung
bietet Unternehmen und Behörden die
Möglichkeit, den Fach­abteilungen proaktiv
die als sicher geltenden Cloud-Dienste aus
der CASB Cloud Registry vorzuschlagen.
Es besteht Handlungsbedarf
Erste Webproxy- bzw. Firewall-Anbieter haben die Defizite erkannt und handeln. So
arbeitet z. B. Check Point seit kurzem mit
CloudLock zusammen. Blue Coat hat im Juli
2015 Perspecsys und im November Elastica
gekauft und möchte damit 2016 auch eine
eigene CASB-Lösung auf den Markt bringen. Die Hersteller haben also erkannt, dass
Webproxy und Firewall nicht in der Lage
sind, die Verwendung von Cloud-Diensten
angemessen sichtbar zu machen und zu managen und das Sicherheitsproblem «Schatten-IT» zu lösen. Ob deren neue, noch zu
integrierende Cloud-Lösungen mit denen
der marktführenden CASB-Anbieter mithalten können, bleibt abzuwarten.
Die Analysten von Gartner sehen im CASBBereich einen boomenden Markt für die
kommenden Jahre: «By 2018, 50 percent of
enterprises with more than 1000 users will
use cloud access security broker products to
monitor and manage their use of SaaS and
other forms of public cloud.» Die CloudWelle ist ein Mega-Trend, und damit einher
gehen deren unkontrollierte Verwendung
und ein hohes Sicherheitsrisiko für Unternehmen und Behörden. Es gilt, sich frühzeitig und aktiv mit der Problematik auseinandersetzen. NTT Com Security bietet zu
diesem Thema ein kostenloses «Cloud Discovery and Risk Assessment» an. Damit bekommen Interessenten eine Momentaufnahme ihrer Schatten-IT, sozusagen eine
Fakten- und Zahlenbasis über das momentane Ausmass ihrer Cloud-Verwendung –
eine fundierte Grundlage zur Planung weiterer Schritte.
■
NTT Com Security (Switzerland) AG, 8804 Au ZH
• +41 (0)43 477 70 10, +41 (0)43 477 70 12
[email protected]
www.nttcomsecurity.ch
23