Begriff
CASB (Cloud Access Security Broker)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Früher war alles einfach: Die Firmen-FW (Firewall) schützte das Büro. Heute nutzen Mitarbeiter Salesforce, Dropbox, Slack, Office 365. Die Daten verlassen ständig das Firmennetzwerk. Die alte Firewall ist blind ("Das ist HTTPS zu Dropbox, lass durch"). Ein CASB sitzt zwischen dem User und der Cloud (als Proxy oder API). Er sieht: "User X lädt 'Geheim.pdf' auf seinen privaten Dropbox-Account hoch." -> BLOCK. Er sieht: "User Y loggt sich aus Nordkorea in Salesforce ein." -> ALARM. Er ist der Türsteher für die Cloud.
Merksatz: Ein Sicherheits-Policy-Durchsetzungspunkt (Software oder Service), der zwischen Cloud-Service-Konsumenten und Cloud-Service-Providern platziert wird, um Unternehmenssicherheitsrichtlinien beim Zugriff auf Cloud-basierte Ressourcen durchzusetzen.
Produkte wie Netskope, Zscaler, Microsoft Defender for Cloud Apps. Es gibt zwei Modi:
- Forward Proxy: Man installiert einen Agenten auf dem Laptop. Aller Traffic geht durch den CASB.
- API Scanning: Der CASB verbindet sich mit der Dropbox-API und scannt nachträglich alle Dateien auf Kreditkartennummern (DLP - Data Loss Prevention).
1. Shadow IT Discovery
Das erste, was ein CASB macht: Log-Analyse. Er liest die Firewall-Logs und sagt dem Admin: "Wusstest du, dass deine Mitarbeiter 743 verschiedene Cloud-Apps nutzen? Inklusive 'PDF-Compressor-Online' (wo sie Verträge hochladen)?" Das nennt man Shadow IT. Der CASB macht das sichtbar und kontrollierbar.
1. Reverse Proxy vs. Forward Proxy vs. API-Only
Die Architektur eines CASB entscheidet über seine Mächtigkeit:
- Forward Proxy: Erfasst alles (auch privates Surfen), erfordert aber Agenten-Installation. Schwer auf BYOD (Bring Your Own Device) Handys.
- Reverse Proxy: Erfordert keine Installation. Man leitet den Login-Prozess (SAML/OIDC) um. Der CASB schaltet sich nur ein, wenn der User die Firmen-Apps nutzt. Er ist aber "blind" für Shadow IT in anderen Apps.
- API-Introspection: Der modernste Weg. Der CASB nutzt die Admin-APIs von Office365/Slack. Er hat 0 Latenz und sieht alles (auch was User mobil posten). Aber: Er kann Aktionen nicht "in echtzeit" blockieren, sondern nur "nachgelagert" löschen.
2. Tokenization & Cloud Encryption
Fortgeschrittene CASBs bieten Cloud Data Encryption.
Bevor ein Dokument in die Cloud (z. B. ServiceNow) hochgeladen wird, fängt der CASB es ab, verschlüsselt die sensiblen Felder (z. B. Patientennamen) und ersetzt sie durch einen Token.
Die Cloud sieht nur: Customer_ID: XXX-99-AF.
Der Vorteil: Selbst wenn der Cloud-Provider gehackt wird, sind die Daten für den Hacker nutzlos, da nur der CASB (der im Firmen-RZ oder einer sicheren Instanz läuft) den Schlüssel zur Entschlüsselung hat.
3. UEBA & Context-Aware Policies
Ein CASB nutzt oft UEBA (User and Entity Behavior Analytics). Er erstellt eine Baseline: "Mitarbeiter Schmidt lädt normalerweise 5 Dateien pro Tag hoch." Wenn Schmidt plötzlich 500 Dateien aus dem SharePoint zieht, schlägt der CASB Alarm (mögliche Daten-Exfiltration vor einer Kündigung). Dabei berücksichtigt er den Kontext: Loggt sich Schmidt aus dem Home-Office ein? Ist sein Laptop-Virenscanner aktuell? Wenn nein, darf er zwar E-Mails lesen, aber keine Anhänge herunterladen (Adaptive Access).
Quick-Check
Ist es eine Firewall?
Nein, intelligenter. Eine Firewall sieht IPs und Ports. Ein CASB versteht "User", "Datei", "Activity" (Share, Upload, Delete) und "App" (Dropbox vs OneDrive).Datenschutz?
Heikel. Der CASB kann theoretisch in SSL hineinschauen (SSL Inspection). Das muss betriebsrätlich geklärt sein.Zukunft?
Geht in SASE (Secure Access Service Edge) auf. Ein riesiges Cloud-Sicherheits-Netzwerk, das alles macht (VPN, Firewall, CASB).