CASB: dit moet je weten over Cloud Access Security Broker

Wat is een CASB?

De term Cloud Access Security Broker (CASB) werd ongeveer tien jaar geleden geïntroduceerd door Gartner. Dit onderzoeks- en adviesbureau definieert CASB als een ‘on-premise of cloudgebaseerd controlepunt tussen de afnemers en aanbieders van clouddiensten’ dat ervoor zorgt dat de toegang tot clouddiensten in overeenstemming is met de securitypolicy’s van de organisatie. Het is als het ware een soort politieagent die erop toeziet dat clouddiensten volgens de geldende regels worden benaderd en gebruikt. Oftewel een ‘beveiligingsbroker voor cloudtoegang’.

Waarom is CASB juist nu zo belangrijk?

De CASB treedt op als een ‘bemiddelaar’ tussen de gebruiker en servers in een netwerk. Ze beoordelen verzoeken van de gebruiker en kunnen bijvoorbeeld de toegang tot ongewenste of zelfs illegale websites blokkeren. Op die manier voorkomen ze (onbewust) verkeerd handelen van de gebruiker.

Hoe werkt een CASB?

Met een CASB voorkom je dat gevoelige data ongewenst van en naar cloudapplicaties bewegen. Dat doet een CASB door alle cloudapplicaties die in gebruik zijn in kaart te brengen en de risicovolle applicaties, risicovolle gebruikers en andere belangrijke risicofactoren te identificeren. Op basis van de risicofactoren kan de CASB bij het gebruik van clouddiensten verschillende beveiligingsmaatregelen afdwingen.

CASB’s maken het mogelijk om zeer specifieke securitypolicy’s in te stellen. Zo is in te stellen dat een gebruiker documenten kan uitwisselen via een filetransfer, maar alleen versleuteld en niet als die documenten bepaalde persoonsgegevens bevatten. Of dat een gebruiker bepaalde gegevens in de cloud mag benaderen, maar niet vanaf een onbekende locatie of buiten werktijden en alleen met multifactorauthenticatie.

Waarvoor zijn CASB’s te gebruiken?

CASB’s zijn onder andere voor deze use cases in te zetten:

1. Creëren van inzicht

Uit een onderzoek uit 2021 blijkt dat maar liefst 97 procent van de cloudapplicaties die bij bedrijven in gebruik zijn, is aan te merken als ‘Shadow-IT’. Een CASB biedt inzicht in alle cloudapplicaties die in gebruik zijn. Je weet precies wie ze gebruikt en op welke manier. Zo gaat een CASB Shadow-IT tegen.

2. Cloudtoegang fijnmazig inregelen

In plaats van een one-size-fits-all-aanpak door het blokkeren van diensten, kan je met CASB's de toegang tot clouddiensten zeer fijnmazig inregelen. Zo kan je ondere andere op basis van identiteit, dienst, activiteit, toepassing en gegevens toegang verlenen. Bovendien kan je policy’s definiëren op basis van servicecategorie of risico en kiezen uit acties zoals blokkeren, waarschuwen, omzeilen, versleutelen, in quarantaine plaatsen, et cetera.

3. Beveiligen gegevens

CASB biedt geavanceerde Data Leakage Prevention (DLP) voor het in kaart brengen en beschermen van gevoelige gegevens. Afhankelijk van de soort CASB-oplossing kan dit bij data die ‘at rest’ of ‘in motion’ naar een gesanctioneerde clouddienst zijn. Gegevensverlies wordt bijvoorbeeld tegengegaan met encryptie, tokenization of uploadpreventie.

4. Bescherming tegen dreigingen

Aanvallers kunnen clouddiensten gebruiken voor het verspreiden van malware. CASB’s beschermen uw organisatie hiertegen door afwijkingen in gedrag en netwerkverkeer en daarmee malware te detecteren. Maar ook als een medewerker een geïnfecteerd bestand (al dan niet opzettelijk) probeert te delen of uploaden, wordt dit door een CASB gedetecteerd.

5. Compliance

Ook bij het gebruik van clouddiensten moet de compliance met wet- en regelgeving gewaarborgd blijven. CASB’s helpen door ervoor te zorgen dat de policy’s voor cloudtoegang in overeenstemming zijn met de geldende wet- en regelgeving.

Voor welke organisaties zijn CASB’s interessant?

Meer dan de helft van het webverkeer (53%) is tegenwoordig gerelateerd aan apps en clouddiensten. Steeds meer organisaties hebben dan ook een hybride infrastructuur waarin applicaties worden afgenomen in zowel de public als de private cloud. Deze organisaties hebben CASB’s nodig om de toegang tot cloudapplicaties goed te regelen.

Hoe implementeer ik een CASB?

De meeste CASB’s worden in de cloud geïmplementeerd, maar on-premise is ook een optie. Daarnaast onderscheiden we drie verschillende implementatiemodellen:

●       Forward proxy. Ingesteld als forward proxy controleert de CASB de data die ‘onderweg’ zijn naar zowel beheerde als onbeheerde cloudapplicaties. Afhankelijk van de ingestelde policy’s krijgt de gebruiker wel of niet toegang tot een cloudapplicatie. Deze aanpak werkt echter alleen als het verkeer afkomstig is van beheerde apparaten.

●       Reverse proxy. Een reverse proxy neemt verbindingsverzoeken in ontvangst en stuurt ze door naar de juiste server. Deze aanpak werkt voor zowel beheerde als niet-beheerde apparaten. In deze modus biedt de CASB Data Leakage Prevention in realtime, maar wel alleen voor goedgekeurde cloudtoepassingen.

●       API-modus. Waar de forward proxy en reverse proxy zijn bedoeld voor de controle van de data ‘onderweg’, controleert een CASB in API-modus de ‘data-at-rest’. In API-modus kan een CASB bijvoorbeeld een bestand controleren dat al op een shared drive staat. Zo voorkom je dat iemand een leeg bestand uploadt om daar later gevoelige informatie in te zetten.

Welke toegevoegde waarde biedt KPN?

CASB is bij KPN onderdeel van SASE KPN waarmee we invulling geven aan het SASE-beveiligingsmodel. De CASB-functionaliteit bieden we ‘as a service’ aan.

In tegenstelling tot veel andere marktpartijen kan KPN daarbij gebruikmaken van de eigen infrastructuur voor connectiviteit. Doordat wij samenwerken met talloze cloudleveranciers, in Europa en wereldwijd, hebben wij de contacten om een solide en breed framework op te zetten. Daarmee ben je verzekerd van goede security met een ultieme gebruikerservaring.

Wat heeft CASB te maken met SASE?

SASE staat voor Secure Access Service Edge. Het is een cloudgebaseerde beveiligingsmethode voor het verzorgen van veilige toegang tot data, systemen en (cloud)applicaties. Het maakt daarbij niet uit waar gebruikers, gegevens, toepassingen of apparaten zich bevinden.

SASE voorziet hiervoor in SD-WAN-connectiviteit en in een Secure Service Edge (SSE).

CASB vormt o.a. samen met de Secure Web Gateway (SWG) en Zero Trust Network Access (ZTNA) de Security Service Edge.

Hoe verhouden CASB’s zich tot SWG’s?

Er zijn zeker overeenkomsten tussen CASB’s en SWG’s. Het zijn beide (veelal cloudgebaseerde) oplossingen, en beide bieden ze dataprotectie en bescherming tegen dreigingen. Maar er zijn ook grote verschillen. SWG-oplossingen komen eerder in aanmerking als een directe vervanging van de traditionele firewall. Een CASB-oplossing biedt echter meer mogelijkheden om de toegang tot cloudapplicaties fijnmazig in te regelen, ook als er sprake is van een ‘beyond the firewall’-scenario waarin een externe gebruiker een cloudapplicatie benadert.

Meer weten?

Nieuwsgierig hoe je met Cloud Access Security Broker aan de slag gaat? Neem dan vrijblijvend contact met ons op. Wij vertellen je er graag meer over.