SECURITY Neue Lösungen zur Cloud-Kontrolle Unternehmen und Behörden nutzen Cloud-Dienste sehr unterschiedlich. Die Nutzung der Cloud zu kontrollieren, verbindet sie. D ass die unkontrollierte CloudNutzung für Unternehmen und Behörden ein enormes Sicherheitsrisiko darstellt, ist klar. Wie aber bekommt man das Sicherheitsrisiko in den Griff? Da mit den Cloud-Diensten in aller Regel mit http- und https-Protokollen kommuniziert wird, ist es naheliegend, sich zunächst den Webproxy oder die Next Generation Firewall anzuschauen. Blockierungsregeln für Cloud-Dienste, wie die vollständige Sperrung aller Cloud-Dienste bei einer «No-Cloud-Policy» oder alternativ die selektive Sperrung vermitteln aber ein trügerisches Bild der Sicherheit, tatsächlich aber reduzieren diese Massnahmen das Sicherheitsniveau signifikant. Gründe für das Versagen Die marktführenden Webproxys und Firewalls kennen von den weit über 15 000 Cloud-Diensten, die heute existieren, nur wenige Dutzend bis einige Hundert Cloud-Dienste. Und jeden Monat kommen rund 500 neue Cloud-Dienste dazu. Mit einem Webproxy oder der Firewall überwachen sie also höchstens 10 Prozent der verfügbaren Cloud-Dienste – alle anderen sind nicht kontrollierbar. Hinzu kommt, dass die in den Webproxys und Firewall bereits gelisteten, zumeist etablierten Cloud-Dienste bereits über eine beachtliche Sicherheitsausstattung zum Schutz der Unternehmensdaten verfügen. Werden diese im Regelwerk gesperrt, suchen und finden die Nutzer Alternativen und weichen auf weniger bekannte und häufig auch weniger sichere Cloud-Dienste aus. Die Nutzer verlieren dann z. B. das Recht an den hochgeladenen Daten, oder die Daten werden nicht nur in der Cloud gespeichert, sondern sind sogar für alle Welt öffentlich zugänglich. Die Benutzer wenden sich also vermehrt sogenannten Hochrisikodiensten zu. In zahlreichen Cloud Discovery und Risk Assessments wird immer wieder auch festgestellt, dass Proxys trotz entsprechender Blockregel nur einen Teil der URLs eines IT business 1/2016 bestimmten Cloud-Dienstes sperren. Tatsächlich aber ist der Dienst über andere URLs noch zugänglich. Fazit: Trotz Blockierungsregeln in Webproxy oder Firewall hat sich die Sicherheit der Unternehmensdaten in der Cloud deutlich verschlechtert und das Problem der Schatten-IT ist ungelöst. Ein Unternehmen darf sich nicht auf diese Scheinlösung verlassen, sondern muss geeignete Technologien einsetzen, um die angemessene Verwendung der Cloud zu managen und das Problem der Schatten-IT zu lösen. Cloud-Kontrolle mit CASB Unternehmen und Behörden benötigen also andere Technologien zur Bewältigung dieses Sicherheitsproblems. Sogenannte Cloud Access Security Broker (CASB) sorgen für Sicherheit. Webproxys oder Firewalls sind unbestritten sehr gute Sicherheitstechnologien, sie haben jedoch einen ganz anderen Fokus als CASBAnbieter: ein Webproxy kategorisiert Milliarden von URLs in unterschiedliche Kategorien und kontrolliert das Surfverhalten. Ein CASB-Anbieter hingegen kategorisiert Tausende Cloud-Dienste nach ganz anderen Kriterien in einem nahezu vollständigen Cloud-Registry und zeigt u. a. auf, welche Datenmengen von wie vielen Benutzern zu welchen Cloud-Diensten fliessen. Dabei können auch Anomalien festgestellt, vorhandene Regeln einer On-Site-DLP-Lösung integriert oder die Cloud-Daten bei Bedarf verschlüsselt bzw. tokenisiert werden. Ein weiterer Vorteil von CASB-Lösungen gegenüber Webproxys oder Firewalls ist die Sicherheitsbewertung. Spezialisierte Cloud Access Security Broker, z. B. Skyhigh Networks, überzeugen mit einem detaillierten Risk Rating (mit Dutzenden von bewerteten Einzelkriterien) für jeden einzelnen der auf dem Markt verfügbaren CloudDienste mit einem nahezu vollständigen Cloud Registry. Dieses granulare und detaillierte Risk Rating einer CASB-Lösung bietet Unternehmen und Behörden die Möglichkeit, den Fachabteilungen proaktiv die als sicher geltenden Cloud-Dienste aus der CASB Cloud Registry vorzuschlagen. Es besteht Handlungsbedarf Erste Webproxy- bzw. Firewall-Anbieter haben die Defizite erkannt und handeln. So arbeitet z. B. Check Point seit kurzem mit CloudLock zusammen. Blue Coat hat im Juli 2015 Perspecsys und im November Elastica gekauft und möchte damit 2016 auch eine eigene CASB-Lösung auf den Markt bringen. Die Hersteller haben also erkannt, dass Webproxy und Firewall nicht in der Lage sind, die Verwendung von Cloud-Diensten angemessen sichtbar zu machen und zu managen und das Sicherheitsproblem «Schatten-IT» zu lösen. Ob deren neue, noch zu integrierende Cloud-Lösungen mit denen der marktführenden CASB-Anbieter mithalten können, bleibt abzuwarten. Die Analysten von Gartner sehen im CASBBereich einen boomenden Markt für die kommenden Jahre: «By 2018, 50 percent of enterprises with more than 1000 users will use cloud access security broker products to monitor and manage their use of SaaS and other forms of public cloud.» Die CloudWelle ist ein Mega-Trend, und damit einher gehen deren unkontrollierte Verwendung und ein hohes Sicherheitsrisiko für Unternehmen und Behörden. Es gilt, sich frühzeitig und aktiv mit der Problematik auseinandersetzen. NTT Com Security bietet zu diesem Thema ein kostenloses «Cloud Discovery and Risk Assessment» an. Damit bekommen Interessenten eine Momentaufnahme ihrer Schatten-IT, sozusagen eine Fakten- und Zahlenbasis über das momentane Ausmass ihrer Cloud-Verwendung – eine fundierte Grundlage zur Planung weiterer Schritte. ■ NTT Com Security (Switzerland) AG, 8804 Au ZH • +41 (0)43 477 70 10, +41 (0)43 477 70 12 [email protected] www.nttcomsecurity.ch 23
© Copyright 2024 ExpyDoc