Wie wird die Integration von CASB (Cloud Access Security Broker) zur Entdeckung von Shadow-IT technisch in den bestehenden Proxy-Traffic-Fluss integriert?
Die technische Integration eines Cloud Access Security Brokers (CASB) zur Identifikation von Shadow-IT erfolgt primär über zwei Architekturmuster: die log-basierte Analyse und die Inline-Integration.
Bei der log-basierten Analyse exportiert der bestehende Forward Proxy oder die Next-Generation Firewall (NGFW) die HTTP/HTTPS-Zugriffslogs in Echtzeit oder in definierten Intervallen an den CASB. Der CASB gleicht die Ziel-URLs und IP-Adressen mit einer globalen Datenbank bekannter Cloud-Dienste ab. Hierbei werden Metadaten wie Domain, Port und Datenvolumen analysiert, um nicht autorisierte Anwendungen zu kategorisieren und deren Risikoprofil zu bewerten.
Die Inline-Integration schaltet den CASB direkt in den Datenfluss. Dies geschieht technisch über folgende Mechanismen:
- ICAP (Internet Content Adaptation Protocol): Der Proxy leitet Anfragen an den CASB zur Inspektion weiter, bevor sie an das Ziel gesendet werden.
- PAC-Files (Proxy Auto-Configuration): Der Browser wird über eine Konfigurationsdatei angewiesen, den Traffic für bestimmte Ziele über den CASB-Proxy zu routen.
- Tunneling: Der gesamte Netzwerkverkehr wird via GRE oder IPsec an den CASB-Cloud-Service gesendet.
| Methode | Integrationstyp | Latenz | Kontrolltiefe |
|---|---|---|---|
| Log-Analyse | Passiv | Keine | Nur Sichtbarkeit (Discovery) |
| ICAP / Proxy | Aktiv | Gering | Echtzeit-Blockierung |
| API-basiert | Out-of-Band | Keine | Governance bestehender Apps |
Für die Implementierung dieser Architekturen ist eine präzise Abstimmung der Netzwerktopeologie nötig, die wir im Rahmen unseres IT-Consulting & Digitale Strategie begleiten. Während die Log-Analyse ausreicht, um ein Inventar der genutzten Cloud-Dienste zu erstellen, erlaubt nur der Inline-Modus die aktive Durchsetzung von Richtlinien, wie etwa das Blockieren von Uploads in private Cloud-Speicher.
Die technische Herausforderung liegt in der SSL-Inspection. Da der Großteil des Cloud-Traffics verschlüsselt ist, muss der Proxy den Traffic entschlüsseln (SSL-Break-and-Inspect), damit der CASB die genauen API-Aufrufe und Datenströme analysieren kann. Ohne diese Entschlüsselung bleibt die Sichtbarkeit auf die Domain-Ebene beschränkt.
Wir empfehlen den Einsatz der log-basierten Analyse für die initiale Discovery-Phase, gefolgt von einer gezielten Inline-Integration mittels ICAP für kritische Datenpfade, da eine vollständige SSL-Entschlüsselung des gesamten Traffics zu hohe Latenzen und Datenschutzprobleme verursacht.
Andere Fragen in dieser Kategorie
Wie wird die Implementierung von Microsoft Purview zur automatisierten Klassifizierung von sensitiven Daten in einem heterogenen Cloud-Storage-Portfolio technisch orchestriert?
Wie wird die Integration von Hardware Security Modules (HSM) in eine Cloud-native Key Management Service (KMS) Architektur zur Erfüllung von FIPS 140-2 Level 3 Anforderungen realisiert?
Andere Nutzer suchten auch nach:
Diese Fragen könnten Sie ebenfalls interessieren.
Welche Auswirkungen hat die Aktivierung von TLS 1.3 auf die Latenzzeiten von Cloud-nativen Application Load Balancern im Vergleich zu TLS 1.2?
cloud-digital-workplaceWelche Konfigurationen von Intune App Protection Policies (MAM) gewährleisten die Datentrennung auf unmanaged Devices ohne vollständige MDM-Registrierung?
cloud-digital-workplaceWelche Konfigurationsoptimierungen für die JVM-Garbage-Collection sind für hochperformante Microservices in Kubernetes-Containern unter Berücksichtigung von Cgroup-Limits notwendig?
cloud-digital-workplaceWelche Konfigurationsparameter sind entscheidend für die Optimierung von FSLogix Cloud Cache in Azure Virtual Desktop bei global verteilten User-Profilen?
cloud-digital-workplaceWelche Konfigurationsparameter von Azure App Service Environment (ASE) v3 sind entscheidend für die Isolation von Netzwerkverkehr in hochregulierten Branchen?
