Eine besonders aktuelle Lösung, um Cloud-Dienste sicher zu verwenden, ist der Einsatz eines sogenannten Cloud Access Security Broker (CASB). Als CASB bezeichnet man eine Software, die speziell dafür entwickelt wurde, einen Cloud-Zugang zu kontrollieren und zu schützen. Diese relativ neue Form der Cloud-Sicherheitslösung wird zwischen dem Cloud-Dienst und dem Cloud-Benutzer platziert, steuert deren Kommunikation und ist damit eine externe Sicherheitsschleuse der Cloud. CASB haben darüber hinaus aber noch viele weitere Funktionen: Sie dienen als Monitoring- und Management-Instrumente innerhalb der Cloud, informieren über unregelmäßige Vorgänge und legen fest, welche Aktion im Falle einer Sicherheitsmeldung ausgeführt werden soll. CASB bilden also eine neue Gruppe von Software, die speziell für die cloudbasierten Workflowsvon Unternehmen entwickelt wurde.
Um die Cloud-Sicherheit zu gewährleisten, bieten CASB ganz unterschiedliche Leistungen: Mit ihnen lassen sich die User-Authentifizierung regeln, der Datenverkehr verschlüsseln, unerwünschter Datenverkehr blockieren, Malware identifizieren, Alarme bei verdächtigen Aktionen aktivieren oder zusätzliche Zugangsvoraussetzungen integrieren. Letzteres wäre etwa die Bedingung, dass ein CASB das Gerät, über das ein Mitarbeiter auf die Cloud zugreifen möchte, identifizieren und zulassen muss. Diese Sicherheitsmaßnahmen werden im Vorfeld definiert und dann vom CASB durchgesetzt. Dazu arbeiten viele CASB mit anderen Sicherheitslösungen zusammen, etwa solchen zur Verschlüsselung, zur Mehr-Faktor-Authentifizierung, zum IAM (Identity and Access Management) oder SIEM (Security Informationen and Event Management).
Dank dieser Leistungen kommen CASB aktuellen Sicherheitsanforderungen von Unternehmen sehr entgegen. Das Marktforschungsinstitut Gartner prognostizierte, dass bereits 2020 85 Prozent aller Unternehmen ihre Cloud-Zugänge über einen CASB-Dienst absichern werden. Angesichts dessen wundert es nicht, dass einige der jungen CASB-Dienste schon von größeren IT-Unternehmen aufgekauft wurden: Der Dienst Elastica etwa wurde von Blue Coat Systems übernommen (gehört zu Symantec), Adallom wiederum von Microsoft. Dies zeigt, wie viel Potenzial in dem Branchenzweig steckt – und auch, wie aktuell das Thema der Cloud-Sicherheit ist.
Damit CASB-Dienste wie CensorNet, Bitglass, Netskope oder CipherCloud reibungslos funktionieren, müssen sie gut in die vorhandene Infrastruktur des Unternehmens integriert werden. Das bedeutet, dass sie einerseits eine Verbindung zur Benutzerverwaltung des Unternehmens benötigen und gleichzeitig tief in die Clouds integriert sein müssen, die sie schützen sollen. Dafür unterstützen viele CASB bereits die im Unternehmensalltag üblichen cloudbasierten Dienste wie Microsoft 365, OneDrive, Box, Google Apps oder Salesforce. Sie sind aber auch in der Lage, ihnen unbekannte Dienste zu implementieren.
Um CASB in ein Firmennetzwerk zu integrieren, gibt es unterschiedliche Varianten. Eine CASB-Software arbeitet entweder selbst cloudbasiert oder wird lokal betrieben. In die IT-Infrastruktur des Unternehmens wird sie entweder als zentrales Gateway oder als API-Anwendung integriert. Beide dieser Varianten haben Vor- und Nachteile: Ist der CASB als Gateway implementiert, so befindet er sich direkt zwischen Anwender und Cloud-Dienst. Er ist somit in den Datenstrom eingeschaltet und kann ungewünschte Aktionen direkt blockieren. Ein Nachteil dieser Variante ist jedoch, dass die Performance der Cloud bei wachsender Arbeitsauslastung beeinträchtigt werden kann. Hat ein Unternehmen viele Mitarbeiter, eignen sich daher API-basierte Lösungen. In diesem Fall befindet sich der CASB außerhalb der direkten Nutzer-Cloud-Kommunikation. So kann der CASB zwar nicht direkt in diese Aktionen eingreifen, wirkt sich aber auch nicht mindernd auf die Performance des Cloud-Dienstes aus.