CASB is een nieuwere oplossing binnen het traditionele rijtje security-oplossingen dat iedere MS(S)P kent: Endpoint Security, E-mail Security, Web Security, Encryptie, Firewalls en Data Leakage Prevention. Een Cloud Access Security Broker (CASB) geeft organisaties controle over het gebruik van cloud applicaties. De technologie maakt het IT-partners eenvoudiger klantomgevingen te monitoren.
CASB-technologie brengt nieuwe functionaliteiten waaraan de markt, ook volgens Gartner, behoefte heeft. Het veelvuldige gebruik van cloud applicaties, het thuis- en hybridewerken en het beveiligen van gevoelige data zijn thema’s die bij veel organisaties hoog op de agenda staan. Daar speelt de nieuwe technologie op in.
Een cloud access security broker (CASB) is (meestal) een cloud-applicatie die fungeert als digitale tussenpersoon tussen gebruikers en cloudserviceproviders. Het vermogen van CASB’s om hiaten in de beveiliging aan te pakken, strekt zich uit over software-as-a-service (SaaS), platform-as-a-service (PaaS) en infrastructuur-as-a-service (IaaS)-omgevingen.
Schaduw-IT groot probleem
Schaduw-IT kan tot wel 60% van de cloudservices van een onderneming bedragen. Dit zijn grotendeels applicaties die buiten het beeld van de IT-beheerders van de organisatie, of de MSP, worden gebruikt. Denk daarbij aan bijvoorbeeld Dropbox, Box of WeTransfer.
Doordat deze applicaties werken met SSL (encrypted) verbindingen is het lastig de inhoud van het verkeer te scannen. Het vergt vaak te veel performance van een firewall en maakt van dergelijke applicaties een groot risico doordat (gevoelige) data zich hier ongecontroleerd naar toe kunnen verplaatsen. Dit brengt security-risico’s met zich mee, ook in het kader van de AVG. Een CASB geeft een volledig beeld van alle gebruikte cloudtoepassingen. Naast het zorgen voor zichtbaarheid, stelt een CASB organisaties ook in staat om de scope van beveiligingsbeleid uit te breiden van hun bestaande on-premises infrastructuur naar de cloud en nieuw beleid te creëren voor cloudspecifieke contexten.
Brede toetsing
CASB’s zijn in korte tijd een essentieel onderdeel van de bedrijfsbeveiliging geworden, waardoor bedrijven veilig de cloud kunnen gebruiken en gevoelige bedrijfsgegevens kunnen beschermen. De CASB dient daarbij als een centrum waar de legitimiteit van het dataverkeer tussen applicaties wordt getoetst, ongeacht het soort apparaat dat toegang probeert te krijgen, inclusief onbeheerde smartphones en persoonlijke laptops.
Kortom: een CASB maakt niet alleen inzichtelijk welke cloud applicaties gebruikt worden, maar ook vanuit welke locatie en wat er in de cloud applicaties gebeurt. Hier kan de MSP (namens zijn klant) vervolgens op reageren en bepaalde rechten aan toekennen. Bijvoorbeeld;
- Is het toegestaan om data naar specifieke cloudapplicaties te uploaden of vanuit cloudapplicaties te downloaden?
- Mogen gebruikers data uit cloudapplicaties delen met derden?
- Is het mogelijk om toegang te krijgen tot cloudapplicaties vanaf een remote locatie of met een BYOD?
Hoe verhoudt CASB zich tot SASE?
Secure Access Service Edge (SASE) en Cloud Access Security Broker (CASB) zijn beveiligingsoplossingen waarmee organisaties hun kritieke gegevens beschermen. Veel organisaties vergelijken SASE en CASB wanneer ze kijken naar gespecialiseerde cloudbeveiligingssystemen om hun beveiligingsbeleid te handhaven en hun applicaties te beveiligen.
Cloud Access Security Broker (CASB)
CASB is een programma dat zich tussen gebruikers en een cloudservice bevindt om beveiligingsbeleid rond cloudgebaseerde bronnen af te dwingen. CASB’s helpen ondernemingen ongebruikelijke of kwaadaardige activiteiten te herkennen en cloudtoegang beter te beheren.
Secure Access Service Edge (SASE)
SASE bouwt voort op de fundamenten van CASB, maar gaat verder om de bredere netwerkbeveiligingsbehoeften van ondernemingen aan te pakken. Het combineert softwaregedefinieerde wide-area networking (SD-WAN) met volledige netwerkbeveiliging, waardoor men de beveiliging verhoogt, de netwerkprestaties verbetert en de kosten verlaagt. Indien correct geïmplementeerd, stelt SASE ondernemingen in staat om beveiligde toegang toe te passen, ongeacht waar applicaties, apparaten, gebruikers en workloads zich bevinden, wat van vitaal belang is voor medewerkers op afstand.
Een SASE-aanpak zorgt voor consistente, flexibele beveiliging die bedreigingspreventie biedt aan elke edge, waardoor ondernemingen volledig begrijpen wie en wat zich op hun netwerk bevindt. Het optimaliseert ook de prestaties door gebruik te maken van cloudbeschikbaarheid, waardoor gebruikers snel en veilig toegang hebben tot applicaties, bronnen en internet vanaf elke locatie.
SASE bouwt voort op CASB
Met SASE kunnen ondernemingen profiteren van een volledig geïntegreerde beveiligingsstack met CASB. Het gaat verder dan de beveiligingsfuncties van CASB en optimaliseert SD-WAN met een zeer veilige next-generation firewall.
De vele mogelijkheden die CASB-software biedt
Om het patchwork aan cloudapplicaties in veel bedrijven adequaat te kunnen managen, biedt CASB een veelvoud aan functies:
- Cloudbeheer en risicobeoordeling
- Dataverlies voorkomen
- Bedreigingspreventie, bijvoorbeeld gedragsanalyse van gebruikers
- Configuratiecontrole
- Malwaredetectie
- Data encryptie
- SSO- en IAM-integratie
Dit alles biedt MSP’s de volgende voordelen bij het monitoren en beveiligen van hun klantorganisaties:
- Inzicht in al het cloudgebruik en alle data via één console
- Controle over gegevens en activiteiten in de cloud
- Bescherming tegen cloudbedreigingen en verkeerde configuraties
- Veilige toegang tot mobiele en persoonlijke apparaten
- Voorkom gegevensverlies met Data Leak Preventie
- Detecteer bedreigingen van binnenuit door middel van gebruikers- en entiteitsgedragsanalyses
Hoe werkt een CASB?
Een CASB is letterlijk een draaischijf. De MSP plaatst de oplossing tussen het bedrijfsnetwerk en de cloudapplicaties. Hierdoor krijgt de dienstverlener inzicht in het gebruik van cloudapplicaties. Ook is het zo mogelijk om (met aanvullende applicaties) de bedrijfsdata van en naar cloudapplicaties te beschermen. Door alle bedrijfsregelgeving op het gebied van compliancy vast te leggen in de CASB-applicatie is de complete stack te monitoren vanuit slechts één interface.
In de praktijk is een CASB-oplossing vaak een combinatie van een forward en een reverse proxy (gateway) met API-koppelingen. De forward proxy zorgt voor controle op de data die onderweg is naar de cloudapplicatie. Het monitort de ‘data-in-transit’. Op basis van de ingestelde policy en verificatie kunnen dan acties worden ondernomen.
Zo zou je het opslaan van bepaalde kritsche data in bijvoorbeeld Dropbox kunnen verbieden. Of kunnen bepalen dat sommige users alleen op de werklocatie toegang hebben tot vastgelegde applicaties of gegevens. Daarnaast is het zo, dat veel CASB-oplossingen de loggegevens van proxies en firewalls analyseren. Met deze functies kunnen MSP’s de schaduw-IT van een bedrijf inzichtelijk maken.
Niet-beheerde devices
De reverse proxy zal de dienstverlener vooral toepassen bij niet beheerde apparaten. Hierbij maakt de gebruiker direct verbinding met de cloudapplicatie. In deze situatie plaatst de MSP de CASB tijdens het authenticatieproces tussen de gebruiker en de cloudapplicatie. De applicatie handelt dan het complete verkeer af.
De CASB-oplossingen hebben API-koppelingen met de cloudapplicatie voor de controle over de data die in de cloudapplicatie is opgeslagen (‘data-in-rest’). Een API-koppeling is in de verschillende CASB-oplossingen voor de meest gangbare cloudapplicaties beschikbaar; denk dan aan Microsoft Office365, Google apps, Dropbox, Box, Salesforce, ServiceNow, Microsoft Azure of AWS. Door middel van de API-koppeling worden de data in de cloudapplicatie en de activiteiten met de data gecontroleerd en kunnen acties worden toegepast.
Het inzetten van een CASB neemt voor veel organisaties een hoop zorgen en risico’s weg. De meeste organisaties hebben geen inzage in het gebruik van cloud applicaties en de data die zich hier naartoe beweegt. Om die reden wenden ze zich vaak tot een dienstverlener die gespecialiseerd is in IT-security. Deze MSSP kan, zoals met vrijwel alle (SaaS-)software het geval is, CASB als een managed service aanbieden.