Cloud Access Security Brokers: wat, waarom en hoe

Cloud Access Security Brokers: wat, waarom en hoe

Cloud Acces Security Brokers (CASB) is een security oplossing die voor visibiliteit zorgt met daaraan policies gekoppeld tussen on-premise IT-infrastructuur (private cloud) en public cloud omgevingen. CASB is bovendien sterk in het ontdekken en beheren van shadow IT.

Waarom CASB gebruiken binnen uw omgeving?

Bedrijven vergeten soms dat ze zelf verantwoordelijk zijn voor de beveiliging van hun cloud services. Men veronderstelt vaak verkeerdelijk dat de beveiliging van de aanwezige data een verantwoordelijkheid is van de cloud provider. Deze verantwoordelijkheid ligt echter bij het bedrijf dat de cloud service afneemt.

Gartner voorspelt dat in 2023 99% van de lekken en fouten in de cloud veroorzaakt zullen worden door de gebruikers. Er wordt tegelijk voorspeld dat tegen 2022 60% van de grote bedrijven een CASB zullen gebruiken om hun cloud services te beheren. Aangezien er veel cloud services gebruikt worden, zal dit een positieve invloed hebben op de productiviteit van deze bedrijven én de veiligheid van de data.

De vier pijlers van CASB

Er bestaan verschillende CASB oplossingen, bij diverse aanbieders. Elke oplossing heeft zijn eigen kenmerken, maar standaard steunen ze op de volgende 4 pijlers.

Visibiliteit: CASB toont welke cloud appliciaties wanneer gebruikt worden binnen uw onderneming, hoeveel ze worden gebruikt en welke user welke toegangen heeft. CASB kan een volledig beeld geven over shadow IT in uw onderneming. Door shadow IT in kaart te brengen kan er een onderscheid gemaakt worden tussen BYOD (Bring your own device) en ongewenste toestellen.

De tweede pijler is compliance. Organisaties mogen zich niet louter focussen op het technologisch aspect van de cloud service. Ze moeten ook de DLP policies naleven en op de hoogte zijn de locatie van de data in de public cloud.

Threat protection/prevention is de derde belangrijke pijler van CASB. Dit kan gaan van malware protection tot niet geüpdatete software. CASB voert daarenboven een toegangscontrole uit en rapporteert geautoriseerde en niet geautoriseerde interne en externe gebruikers. Er wordt gezocht naar gebruikers die toegang hebben tot bepaalde cloudapplicaties waar dat eigenlijk niet mag.

De laatste en vierde pijler is data security. Om data security te bekomen, wordt alle data in de cloud gemonitord (ook de data die geüpload en gedownload wordt van de cloud). Daarnaast controleert CASB welke gebruikers toegang hebben tot bepaalde data. Alles wordt gemonitord door security policies.

Hoe implementeren?

CASB kan op drie verschillende manieren geïmplementeerd worden. Voor optimale bescherming raden we aan om alle drie de technieken te gebruiken.

1: API

Een API-based CASB is een out-of-band solution. CASB is naadloos geconnecteerd met de public cloud vendor. Hier scant de oplossing de volledige cloud omgeving door de data te downloaden uit de cloud. Aan de hand van security policies wordt gecontroleerd of er gevoelige data of malware aanwezig is. Met deze techniek is er geen performance impact voor de gebruikers. API is de beste keuze als er maar één techniek geïmplementeerd kan worden. Het scant zowel de aanwezig data in de cloud als de nieuwe, toegevoegde data.

2: Reverse proxy

De reverse proxy bevindt zich voor de cloud service, om inline security aan te bieden. De traffic wordt automatisch gerouted via de proxy naar de cloud service. Er is geen extra agent nodig op het device van de user.

Bij deze techniek moet er wel nog aangemeld worden met een Single sign-on. Dit gebeurt op de cloud service zelf, de gebruiker heeft er hier dus geen last van. Alle traffic wordt vervolgens geredirect via de proxy. De reverse proxy kan managed en unmanged devices monitoren.

3: Forward proxy

De forward proxy gebruikt de ‘SSL man-in-the-middle’ techniek om cloud traffic te inspecteren. Om deze techniek tot stand te brengen, zijn er enkele mechanismes nodig.

Bij forward proxy wordt gebruik gemaakt van een proxy auto-config file (PAC file). Deze PAC file dient om specifieke domeinen naar de cloudproxy door te sturen. Deze worden lokaal doorgevoerd op het device van de gebruiker. De file kan lokaal op het device geplaatst worden of via een centrale management console gepusht worden naar de devices.

DNS redirect is het tweede mechanisme. De DNS kan geconfigureerd worden met een speciale forward zone voor een bepaald aantal cloud services.

CASB werkt met agents op de devices van de gebruiker. De agents zijn in feite een proxy op zichzelf. Daarom zijn agents handig op devices van gebruikers die weinig op kantoor zijn, bijvoorbeeld sales of field enigineers. De agents worden aangestuurd door een orchestrator, dewelke ook PAC files kan verspreiden.

De keuze van uw oplossing?

De keuze van de oplossing hangt af van de noden en het budget van uw bedrijf. Hieronder hebben we enkele cases uitgewerkt die u op weg kunnen helpen.

Ontdekken en behandelen van malware

CASB controleert of er geen malware in de cloud aanwezig is. Het controleert ook of er geen nieuwe malware in de cloud binnenkomt. Als er malware gedetecteerd is, dan wordt deze in quarantaine geplaatst. Om dit te bekomen moet u gebruik maken van alle drie de technieken.

Encryptie

CASB gebruikt encryptie om gevoelige data te beschermen. Hiervoor wordt er gebruik gemaakt van de bedrijfsencryptie sleutel. Om de volledige cloud te encrypteren is een API nodig. Bij het downloaden en uploaden van files dient er gebruik gemaakt te worden van reverse en/of forward proxy’s.

Beschermen van vertrouwelijke gegevens

Een CASB kan ervoor zorgen dat er geen vertrouwelijke gegevens gedownload of geüpload worden naar persoonlijke file sharing services (Dropbox, Google drive, etc.). Om vertrouwelijke data te monitoren en te controleren, wordt best gebruik gemaakt van een forward proxy en/of reversed proxy.

Toegang afhankelijk van device type

Er kan ook bepaald worden welk type toestel volledige toegang krijgt tot bepaalde applicaties/programma’s. Bijvoorbeeld: een gebruiker die een BYOD device heeft, zal enkel toegang hebben tot web-based email; een gebruiker die een bedrijfstoestel heeft, krijgt volledige toegang tot de mail suite. Om te dit bekomen wordt gebruik gemaakt van forward en reverse proxy.

Wenst u meer info over de impact van CASB voor uw organisatie? Neem gerust contact op via [email protected]

Tijd voor een gesprek?

ICONS

Contacteer ons

Wil u weten hoe uw security en netwerk ervoor staan? Met een diepgaande audit brengen we uw security uitdagingen en volledige netwerk in kaart.