Aufgrund der wachsenden Bedeutung von SaaS hat Palo Alto Networks die sechs größten Herausforderungen bei der SaaS‐Sicherheit als kompakten Leitfaden zusammengestellt.

"Verantwortliche können nicht zulassen, dass sich SaaS‐Anwendungen unkontrolliert im Firmennetz ausbreiten. Das Unternehmen würde sich so erheblichen Sicherheits‐ und Compliance‐ Risiken aussetzen, einschließlich Datenlecks sowie dem Einschleusen und Verteilen von Malware", erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. "Unternehmen fragen sich, wie sie die Kontrolle über die SaaSNutzung gewinnen können."

Zunächst geht es darum, zu verstehen, auf welche Weise die IT‐Umgebung Risiken ausgesetzt sein kann. Dann gilt es, die erforderlichen Technologien bereitzustellen, um Schwachstellen zu beheben und kritische Punkte zu schützen.

Die sechs größten Herausforderungen in Sachen SaaS‐Sicherheit sind nach Auskunft von Palo Alto Networks die folgenden Themen:

1.) Transparenz und Kontrolle über die SaaS‐Nutzung

Sobald die Daten den Netzwerkperimeter verlassen haben, ist es schwierig, einen Einblick in die SaaSAnwendungen zu bekommen und ihre Verwendung zu kontrollieren. Zunächst geht es darum, vorbeugende Maßnahmen zu ergreifen. Es sollte festgelegt werden, welche SaaS‐Anwendungen und welche Aktionen innerhalb dieser Anwendungen genehmigt werden. Setzen Sie eine klare Abgrenzung zwischen sanktionierten und nicht genehmigten Anwendungen. Wenn Sie "tolerierte" Anwendungen, die nicht sanktioniert werden, auf sichere Weise betreiben wollen, dann stellen Sie sicher, dass Ihre Sicherheitsprodukte die Flexibilität bieten, granulare Kontrolle und Policy‐Management durchzuführen.

2.) Transparenz hinsichtlich der Datenexposition

Wenn die SaaS‐Nutzung mit einem granularen Regelwerk definiert ist und kontrolliert wird, gelangen die Daten zu den Anwendungen, deren Nutzung das Unternehmen geregelt hat. Sobald die Daten jedoch den Cloud‐Dienst erreicht haben und sich in der SaaS‐Anwendung befinden, sind sie nicht mehr sichtbar. Dies stellt einen möglichen blinden Fleck dar. Daher sind Lösungen nötig, die für zusätzliche Transparenz sorgen, wer die Nutzer sind, welche Daten sie teilen und wie sie dies tun.

3.) Kontextbewusste Kontrolle der Datenexposition

Die Daten in der Cloud können entweder strukturiert oder unstrukturiert sein. Beide Arten von Daten in der Cloud gilt es richtig zu schützen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Hierfür sind Tools erforderlich, die es ermöglichen, eine granulare kontextbewusste Überwachung zu definieren. Achten Sie darauf, dass die Durchsetzung von Regeln und die Isolierung von Benutzern und Daten vorgenommen werden kann, bevor eine Sicherheitsverletzung auftritt.

4.) Bedrohungsprävention

Viele SaaS‐Anwendungen synchronisieren automatisch Dateien mit Benutzern. Mitarbeiter können zudem SaaS‐Anwendungen verwenden, um Daten mit Personen außerhalb des Kontrollbereichs des Unternehmens zu teilen. Diese Verhaltensweisen schaffen neue Einfallstore für Malware. Um diese Gefahren zu vermeiden, benötigen Sie eine L0ösung, die Ihre sanktionierten SaaS‐Anwendungen vor bekannten und unbekannten Bedrohungen und Exploits schützt - unabhängig von der Malware‐Quelle.

5.) Risikoprävention

Der Schutz vor Bedrohungen und Datenexposition sollte nicht nur durch eine Inline‐Funktion abgebildet sein, wie bei einer herkömmlichen Firewall. Stattdessen sollten Sie zu allen Daten und Dateifreigaben in Ihren sanktionierten SaaS‐Anwendungen Einblick erhalten. Es müssen alle Ereignisse erfasst werden, auch bevor die Sicherheitsregeln in Kraft gesetzt wurden. Auf diese Weise können Datenexposition und Bedrohungsrisiken erfasst werden, unabhängig davon, wann sie eingetreten sind.

6.) Performance aufrechterhalten

SaaS‐Anwendungen sind beliebt, weil sie bequem, einfach zu bedienen und schnell sind. Wenn Ihre Sicherheitslösung die Benutzererfahrung beeinträchtigt, laufen Sie Gefahr, dass Benutzer auf eine nicht genehmigte Anwendung ausweichen. Die Sicherheitsmaßnahmen sollten daher keinen Einfluss auf die Latenz oder Bandbreitenanforderungen für sanktionierte SaaS‐Anwendungen haben. Dies gewährleistet eine Cloud‐basierte Sicherheitslösung, die keine Netzwerkkonfigurationsänderungen oder Inline‐Einsatz erfordert. Stellen Sie sicher, dass diese Lösung auch native Anwendungen auf mobilen Geräten unterstützt, so dass Benutzer nicht nur auf Web‐basierten Zugriff auf ihren Geräten beschränkt sind.

"Aus der Praxis ist bekannt, dass es eine der wichtigsten Sicherheitsherausforderungen der Cloud‐Ära ist, SaaS‐Anwendungen unter Kontrolle zu bekommen. In unserem jährlich aktualisierten Application Usage and Threat Report sehen wir, was für eine Vielzahl an Anwendungen sich in den Netzen der Unternehmen tummeln, von denen die Verantwortlichen oft keine Ahnung haben. Viele dieser unkontrollierten und oft gefährlichen Anwendungen sind SaaS", stellt Thorsten Henning fest. "Es ist ein Paket an Lösungen erforderlich, um konstante Transparenz, Kontrolle und Schutz der Anwendungen und Daten rund um die Uhr zu gewährleisten. Plattform‐basierte Ansätze beweisen hier regelmäßig ihre Vorzüge gegenüber voneinander isolierten Einzellösungen."

Quelle: Palo Alto Networks