Cloud Access Security Broker De voordelen van een CASB oplossing

“Het begon een viertal maanden geleden. We zaten al enige tijd in de intelligente lockdown en ik genoot daar eigenlijk wel van. Met mijn vrouw en kinderen bracht ik waardevolle tijd door en ik zag allerlei mooie initiatieven ontstaan waarbij mensen elkaar hielpen zoals boodschappen doen, koken of oppassen. Helaas ontstond er ook een andere trend. Het Corona virus werd misbruikt om mensen en bedrijven geld of data afhandig te maken. Dit werd gedaan door het verleiden van mensen middels het aan-bieden van antibacteriële bankpassen. Of het versturen van e-mails welke ogenschijnlijk vanuit de eigen werkgever komt met een verwijzing naar een Sharepoint pagina waar de Corona richtlijnen van het bedrijf zouden moeten staan. Bij dit laatste diende je uiteraard in te loggen met je zakelijk emailadres en wachtwoord. In beide gevallen brengt dit een enorm digitaal risico met zich mee. En zo brengt het Corona virus, naast een fysieke bedreiging, ook serieuze consequenties teweeg op het gebied van data-bescherming” zegt Eric Bruseker, Solution Specialist Security.

In dit artikel zal ik terugblikken op het laatste Security webinar en de mogelijkheden van een Cloud Access Security Broker (CASB) uiteenzetten, met name in het tweede stuk zal ik dieper ingaan op de definitie, voordelen en implementatie van CASB. Tot slot bespreek ik de overwegingen die je als klant moet maken bij het kiezen van een CASB.

Plots werken we allemaal vanuit huis. Maar hoe veilig is dat eigenlijk? Om daar inzicht in te geven heb ik het webinar Veilig thuiswerken vanaf je thuiswerkplek georganiseerd. Hierin adviseer ik organisaties hoe zij de medewerkers veilig thuis konden laten werken. De grootste uitdaging zijn de privé laptops van medewerkers. Hier worden geen security policies op afgedwongen of vallen niet onder het corporate beleid, maar zij kunnen wél de organisatiedata benaderen. Je zult begrijpen dat dit een lastig dilemma is waar een ieder een weg in moet vinden. De take aways van mijn webinars waren:

• Multi Factor Authenticatie
• VPN
• Email security
• Cloud Security (CASB)
• User Awareness trainingen
• Endpoint protectie

Ik vind het erg mooi dat we vanuit de fabrikanten bovenstaande producten gedurende de Corona tijd kosteloos mochten aanbieden. Zo konden onze klanten snel en veilig weer aan de slag. De kernvraag die tijdens het webinar naar voren kwam was: Hoe gedragen gebruikers zich in de cloud met betrekking tot de bedrijfsgegevens? En hoe houd je hierover de controle?

In ‘het nieuwe normaal’ scenario zien we dat het kantoorbezoek en het nut en de noodzaak om daar aanwezig te zijn ter discussie wordt gesteld. Natuurlijk blijft het kantoor bestaan, maar dat we daar structureel vijf dagen per week vertoeven lijkt mij sterk. En dat is op meerdere vlakken ook een positieve verandering voor ons als individu én het beleid dat daarmee gepaard gaat aangaande het werken op andere locaties dan het hoofdkantoor. Lang niet alle organisaties hebben hier al een antwoord op, het brengt immers ook nieuwe risico’s mee.

Het voordeel van een kantooromgeving is dat mensen binnen, achter een next gen firewall zitten (alles lijkt tegenwoordig next gen te zijn). Deze bevat in ieder geval Intrusion Prevention System (IPS), Data Loss Prevention (DLP) of content filtering tel daarbij de maatregelen op welke getroffen worden op de endpoints en de medewerkers zijn in deze omgeving relatief veilig. Dit is het bekende plaatje van het kasteel met de slotgracht eromheen.

Er wordt nu meer buiten de muren van het kantoor gewerkt; thuis, restaurants, koffietentjes, Balorig en noem maar op. Veel medewerkers loggen via een publieke wifi in op een VPN en worden zo verbonden met het kantoor netwerk. Dit lijkt relatief onschuldig, maar is dat het ook? Een aantal vragen moeten in acht worden genomen: kunnen medewerkers ook via een lokale breakout het internet op? Gelden dan dezelfde regels voor het benaderen van websites dan op kantoor? En is er wel controle over het gebruik van applicaties zoals Dropbox en de bedrijfsdocumenten die hiernaartoe geüpload worden? En dan te bedenken dat Dropbox een relatief onschuldige applicatie is… In het kader van de AVG wil je niet dat bedrijfsdata met persoonsgegevens en klantdata het internet opgaan. Je kunt in de firewall-log zien dat een document naar een device is gegaan en zodoende de organisatie heeft verlaten, maar daarna wordt het praktisch onmogelijk hierop de controle te behouden. Ik zie de vraag naar oplossingen welke deze controle geven sterk toenemen. Dit valt samen in een Cloud Access Security Broker (CASB), al dan niet in combinatie met Data Loss Prevention en een webgateway.

Gartner definieert de CASB (Cloud Access Security Broker) als volgt:

CASB’s zijn on-premise of cloud gebaseerde security controle punten tussen cloud services en cloud gebruikers waarmee de policies van de organisatie worden afgedwongen. Zodoende combineert en onderbreekt het de policies van de organisatie wanneer de cloud data benaderd wordt. CASB’s consolideren meerdere typen controle punten voor het handhaven van het security beleid, zoals; authenticatie, single sign on, credential mapping, device profiling, encryptie, tokenization, logging, alerting, malware detectie en preventie etcetera.

Kortom; een CASB is een oplossing die staat tussen de gebruiker en de Cloud Service Provider. Het strekt zich uit over SaaS, PaaS en IaaS omgevingen. Met een CASB verkrijg je inzicht, controle en de mogelijkheid om beveiligingsbeleid af te dwingen op deze platformen. Niet alleen de data binnen het netwerk zijn maximaal beschermd, maar ook daarbuiten. Zo kun je vanuit jouw organisatie specifiek beleid maken, wat gebruikers buiten de netwerk perimeters wel én niet mogen. Een CASB fungeert daarmee als centrum voor het handhaven van het beleid. Het consolideert meerdere policies en past deze toe op alles wat jouw bedrijf in de cloud gebruikt. Dit is ongeacht het soort apparaat dat toegang probeert te krijgen zoals onbeheerde smartphones, IoT-apparaten en persoonlijke laptops. Je zult begrijpen in mijn webinar was dit een belangrijk punt voor veel klanten.

Daar waar een CASB ooit begon als antwoord op Shadow IT is CASB inmiddels uitgegroeid tot een platform met daarin verschillende functionaliteiten. De belangrijkste 4 pilaren zijn:

1. Inzicht

   Jouw organisatie bestaat uit werknemers die cloud applicaties gebruiken, al dan niet in verschillende cloud omgevingen. Heb je een goed beeld van de hoeveelheid cloud applicaties die er in jouw bedrijf in gebruik zijn? In 90% van de gevallen blijkt dit beeld niet overeen te komen met de werkelijkheid. Vorig jaar hebben wij een test gedaan bij een willekeurige organisatie. De organisatie meende slechts 30 cloud applicaties in gebruik te hebben. Na een gerichte test bleken dit er 731 te zijn! En dat terwijl die betreffende organisatie “slechts” 500 medewerkers had! De drive voor cloud komt ook niet altijd vanuit IT, naast het verplicht thuiswerken kon het natuurlijk ook zijn dat HR  besloot om een Cloud pakket in te gaan zetten vanwege functionaliteiten en lage prijs. IT mag vervolgens ervoor zorgen dat dit gaat werken. Wanneer cloud gebruik buiten het zicht van IT valt, zijn bedrijfsgegevens niet langer gebonden aan het opgestelde eigen beleid en kan dit niet gehandhaafd worden. Om gebruikers, data en intellectueel eigendom toch te beschermen, biedt een CASB oplossing uitgebreid inzicht in het gebruik van alle cloud applicaties. Inclusief gebruikersgegevens zoals device- en locatie gegevens. De betere CASB aanbieders geven ook inzicht en een beoordeling over de cloud services en de daaraan verbonden risico’s zodat besloten kan worden of dit toegestaan is.



2. Compliance

   Wanneer bedrijven de IT systemen en gegevensopslag naar de cloud migreren, blijven zij zelf verantwoordelijk voor het naleven van de compliance voorschriften. Een CASB oplossing geeft inzicht in de risico’s van alle gebruikte clouddiensten en kan waarschuwen als er wijzigingen plaatsvinden in de risk score. Voor gesanctioneerde diensten geeft de CASB-oplossing inzicht in de compliance van de gebruikte dienst. Dit geeft de beheerders en security teams inzicht in de mogelijke beveiligingsproblemen en de mogelijkheid om deze op te lossen. Daarnaast kan een CASB helpen bij het naleven van configureerbare maatregelen zoals bijvoorbeeld het voorkomen dat een developer een niet ge-encrypte bucket aanmaakt in S3 (AWS).



3. Data Security

   De stroomversnelling welke Corona heeft veroorzaakt met betrekking tot cloudgebruik heeft al veel belemmeringen weggenomen in het effectief samenwerken op afstand. Maar hoezeer het naadloos verplaatsen van gegevens nuttig kan zijn, het kan ook enorme uitdagingen met zich meebrengen voor bedrijven die belang hebben bij het beschermen van gevoelige en vertrouwelijke informatie. Heeft jouw organisatie hier controle over? Vaak zijn Data Loss Prevention (DLP) oplossingen ontworpen voor on-premise omgevingen. Deze zijn veelal niet in staat om data in de cloud te beveiligen en mist hetB03re cloud context. De combinatie van CASB met een geavanceerde DLP geeft de IT afdeling de mogelijkheid om te zien wanneer gevoelige data van of naar de cloud gaat, zich binnen de cloud beweegt en van cloud naar cloud wordt verplaatst. Door het uitrollen van security oplossingen zoals DLP toegangscontrole, information right management en encryptie kan de data beschermd worden, waar deze zich ook bevindt. Het herkent managed en unmanaged devices, zodat er onderscheid gemaakt kan worden welk device wel en welk device niet de bedrijfsdata kan benaderen. Hiermee wordt de kans op datalekken geminimaliseerd.



4. Threat Protection

   Of het nu door nalatigheid komt of met opzet gebeurd door een cyber-attack, werknemers en derde partijen kunnen met gestolen credentials gevoelige informatie lekken of stelen vanuit de cloud. Om abnormaal gebruikersgedrag vast te stellen, kunnen CASB's een uitgebreid overzicht van normale gebruikspatronen samenstellen en als vergelijkingsbasis gebruiken. Met op Machine Learning gebaseerde technologie voor gebruikers- en entiteitsgedragsanalyse (User and Entity Behavior Analytics of afgekort UEBA genaamd) kunnen CASB's dreigingen detecteren en verhelpen zodra iemand probeert gegevens te stelen of ongeoorloofde toegang probeert te krijgen.

Eenvoud is een belangrijk punt bij de aankoop van een CASB. Met name gebruiksgemak en het gemak van implementatie. Een goed doordachte implementatie is cruciaal voor het succes van een CASB. De meeste CASB’s worden momenteel geïmplementeerd gebaseerd op SaaS. Bij een aantal aanbieders kan dit ook nog on-premise uitgevoerd worden.

Implementatie mogelijkheden

Er zijn  verschillende manieren om een CASB in te richten. Dit kan via Forward Proxy, Reverse Proxy en een API koppeling. Meestal gebeurt het via een combinatie van deze mogelijkheden:

• De Forward Proxy wordt met name gebruikt voor de data die “onderweg en in beweging” is naar de cloud applicatie. Deze data wordt gecontroleerd door middel van de policies van de organisatie en hier worden dan acties op toegepast zoals; de toegangscontrole ontzeggen op de cloud applicatie (afhankelijk van het device dat wordt gebruikt), locatie, tijd of andere factoren.
• Reverse Proxy is ideaal voor apparaten die over het algemeen buiten het bereik van netwerkbeveiliging vallen. De zogenaamde 'niet beheerde apparaten’. De gebruiker maakt een directe verbinding met de cloud applicatie en tijdens het authenticatie proces wordt de CASB hier tussen geschoven en wordt vervolgens het verkeer afgehandeld door de CASB oplossing.
• De API koppeling is bij de meeste CASB oplossingen de standaard. Deze API’s zijn namelijk voor de meest gangbare cloud applicaties beschikbaar zoals Microsoft Office 365, Salesforce, ServiceNow en vele anderen. Door de API koppeling worden de data in de cloud applicatie en de activiteiten van de data gecontroleerd en kan daarop actie ondernomen worden. Neem als voorbeeld het scannen van een Dropbox account, of het wegschrijven van data daartoe die vervolgens geblokkeerd wordt.

De verwachting is dat bedrijven met name CASB-producten overwegen die een verscheidenheid aan architectuur opties bieden. Om zodoende alle scenario's voor cloud gebruik te beveiligen. De flexibiliteit die een CASB met multi-mode biedt, zorgt ervoor dat bedrijven hun cloud beveiliging kunnen uitbreiden naarmate hun behoeften blijven evolueren.

Vraag 1: Past de oplossing?

Alvorens een CASB te selecteren, dient de organisatie de behoefte aan een CASB goed te definiëren in eisen en wensen. Heeft de organisatie bijvoorbeeld een multi-cloud strategie? Na het in kaart brengen van deze eisen en wensen kan gezocht worden naar een oplossing die deze doelen het beste benadert. Dus wat zijn de primaire redenen om een CASB te gaan gebruiken? Je kunt rapporten raadplegen van Gartner, referenties bekijken of een poc uitvoeren, maar het meest eenvoudige is contact opnemen met het SoftwareONE Security team. Zodat wij je kunnen ondersteunen in dit proces.

Vraag 2: Is de keuze toekomstbestendig?

Naarmate het gebruik van cloud services bij bedrijven blijft groeien, zullen ook de dreigingen toenemen. Door samen te werken met de juiste CASB-leverancier, kunt je jouw cloud-compliance- en cloud-beveiligingsbeleid up-to-date houden.

Vraag 3: Beschermt het IaaS?

Het beschermen van de SaaS is na het lezen van dit artikel tot zover wel duidelijk geworden, maar voor uitgebreide bedrijfsbeveiliging moeten IaaS-omgevingen ook worden beschermd! Organisaties die deze mogelijkheid nodig hebben, moet de CASB niet alleen de activiteiten en configuraties in de IaaS beschermen, maar ook hun klanten beschermen tegen bedreigingen, monitoren en data lekken voorkomen via DLP.

Mijn inziens is het belangrijk om hier nu op te acteren en een goede beveiligingsstrategie uit te stippelen. Een passende CASB gaat daarin een grote bijdrage leveren! Andere zaken die hierbij zullen helpen, zijn besproken in de blogs: Endpoint Detection en Response en Vulnerability management.

Inmiddels werk ik zes jaar binnen SoftwareONE en samen met het Security team heb ik al veel klanten mogen adviseren aangaande security. Super gaaf is het om te merken dat klanten ons rechtstreeks weten te vinden voor adviezen en steeds minder zien als licentieleverancier (LSP). Ik zie het security landschap in razendsnel tempo veranderen en steeds meer oplossingen op de markt verschijnen. Dit maakt het er voor organisaties niet eenvoudiger op. Ook omdat deze beheerd moeten worden. Platformen en outsources zullen steeds meer gaan plaatsvinden in de toekomst. Een CASB draagt bij aan het platform en het consolideren van het aantal oplossingen. Graag kom ik in contact om van gedachten te wisselen hoe het security fundament er voor jou uit kan komen te zien!