Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Datenschutz mit Cloudflare One

2023-09-07

Lesezeit: 7 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, und 简体中文 verfügbar.

Die Menge, die Vielfalt und die Geschwindigkeit der Daten explodieren, und die IT-Sicherheitsteams von Organisationen jeder Größe müssen Schritt halten. Unternehmen kämpfen mit eskalierenden Risiken, die verschiedene SaaS-Umgebungen und das Aufkommen von Tools für generative künstliche Intelligenz (KI) mit sich bringen. Die Offenlegung und der Diebstahl von wertvollem Quellcode bereiten CISOs und Data Officers weiterhin schlaflose Nächte.

Cloudflare One for Data Protection

In den letzten Jahren hat Cloudflare Funktionen eingeführt, die Unternehmen bei der Eindämmung dieser Risiken unterstützen. Sie sollen auch helfen, den Überblick und die Kontrolle über die eigenen Daten zu erlangen. Dazu gehört auch die Einführung unserer Dienste zum Schutz vor Datenverlust (Data Loss Prevention oder kurz DLP) und des Cloud Access Security Brokers (CASB) im Herbst 2022.

Einführung der Datenschutz-Suite von Cloudflare One

Darauf aufbauend präsentieren wir heute Cloudflare One for Data Protection – unsere einheitliche Suite zum Schutz von Daten überall im Web sowie in SaaS-Lösungen und privaten Anwendungen. Die Datenschutz-Suite von Cloudflare One baut auf unserem gesamten globalen Netzwerk auf und wird darüber bereitgestellt. Sie ist für die heute mit dem Programmieren und dem Einsatz von KI einhergehenden Risiken ausgelegt.

Damit die Verwaltung einfacher wird, vereint diese Suite auf einer einzigen Plattform die Cloudflare-Funktionen DLP, CASB, Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Remote Browser Isolation (RBI) und cloudbasierte E-Mail-Sicherheitsservices. All diese Dienste gibt es jetzt als Teil unserer SASE-Plattform Cloudflare One, die Sicherheits- und Netzwerkkonnektivitätsservices zusammenführt.

In einem anderen, heute veröffentlichten Blogbeitrag blicken wir auf die Technologien und Features zurück, die wir im vergangenen Jahr auf den Markt gebracht haben. Außerdem geben wir einen Ausblick auf neue Funktionen, auf die sich unsere Kunden freuen können.

In diesem Beitrag konzentrieren wir uns mehr darauf, wie sich diese Technologien und Features für Kunden bei der Eindämmung moderner Datenrisiken auswirken – mit Beispielen für Anwendungsfälle aus der Praxis. Wir glauben, dass Cloudflare One einzigartig aufgestellt ist, um einen besseren Datenschutz zu bieten, einen Schutz, der modernen Datenrisiken gewachsen ist. Und mit „besser“ meinen wir:

  • IT-Sicherheitsteams erhalten Unterstützung dabei, Daten effektiver zu schützen, indem Inline- und API-Konnektivität ebenso wie die Richtlinienverwaltung vereinfacht werden.

  • Die Gewährleistung einer schnellen, zuverlässigen und einheitlichen Nutzererfahrung hilft Mitarbeitenden, ihre Produktivität zu steigern.

  • Durch schnelle Innovationen wird Unternehmen mehr Agilität ermöglicht, damit sie die sich wandelnden Anforderungen an Datensicherheit und -schutz erfüllen können.

Die Absicherung von Daten ist schwieriger denn je

Daten sind in mehr Umgebungen verteilt, als die meisten Unternehmen überblicken können. In Gesprächen mit Kunden stachen insbesondere drei für die heutige Zeit typische Risiken hervor:

  1. Die wachsende Vielfalt von Cloud- und SaaS-Umgebungen: Die Anwendungen, in denen Wissensarbeitende die meiste Zeit verbringen, geraten zunehmend ins Visier von Bedrohungsakteuren, die Datenexfiltration betreiben. Zu diesen Applikationen zählen E-Mail-Postfächer, gemeinsam genutzte Speicherordner und Dokumente in der Cloud sowie SaaS-Suites zur Produktivitätssteigerung und Zusammenarbeit wie Microsoft 365.

  2. Neue KI-Tools: Führungskräfte sind besorgt darüber, dass Nutzer sensible Informationen mit intransparenten Large Language Models wie ChatGPT weitergeben, doch sie wollen auch die Vorteile der KI nutzen.

  3. Offenlegung oder Diebstahl von Quellcode: Der Quellcode von Entwicklern treibt das digitale Geschäft an, aber derselbe hochwertige Quellcode kann über viele Entwickler-Tools wie GitHub preisgegeben oder zum Ziel von Diebstählen werden, auch an gut einsehbaren Orten wie öffentlichen Repositorys.

Vor allem die beiden letztgenannten Risiken überschneiden sich bereits. Unternehmen wie Amazon, Apple, Verizon und die Deutsche Bank sperren aus Angst vor dem Verlust vertraulicher Daten die Nutzung von Tools wie ChatGPT für ihre Mitarbeitenden. Erst kürzlich hat ein Samsung-Entwickler versehentlich sensiblen Quellcode in das Tool hochgeladen. Da Firmen neue digitale Dienste und Erlebnisse priorisieren, wächst der Druck auf die Entwickler, schneller und smarter zu arbeiten. KI-Tools können zwar die Produktivität steigern, aber wir wissen noch nicht, welche langfristigen Folgen die übermäßige Weitergabe sensibler Daten an diese Tools hat.

Alles in allem ist eine Eskalation der Datenrisiken so gut wie vorprogrammiert, insbesondere da Unternehmen ihre digitale Transformation schneller vorantreiben und die Angriffsflächen durch hybride Arbeit und Entwicklung weiter vergrößern. Gleichzeitig wird die Einhaltung gesetzlicher Vorschriften schwieriger, da immer mehr Länder und Staaten ihre Datenschutzgesetze verschärfen.

Herkömmliche DLP-Dienste können mit diesen modernen Risiken nicht Schritt halten. Eine Kombination aus hoher Komplexität bei Setup und Betrieb sowie negativen Nutzererfahrungen führt dazu, dass DLP-Kontrollen in der Praxis oft nicht ausreichend genutzt oder ganz umgangen werden. Unabhängig davon, ob sie als eigenständige Plattform eingesetzt werden oder in Sicherheitsprodukte oder SaaS-Anwendungen integriert sind, werden DLP-Produkte oft zu teurer ungenutzter Shelfware. Und die Umleitung des Traffics zu lokaler Datenschutzhardware – ob DLP, Firewall und SWG-Geräte oder andere – verursacht Kosten und verlangsamt die Nutzererfahrung, was Unternehmen auf lange Sicht ausbremst.

Abbildung 1: Moderne Datenrisiken

Wie Kunden ihre Daten mit Cloudflare schützen

Angesichts dieser Datenrisiken wenden sich heute immer mehr Kunden an Cloudflare, darunter ein Fortune 500-Erdgasunternehmen, eine große US-amerikanische Stellenbörse, eine regionale US-Fluggesellschaft und eine australische Firma aus dem Gesundheitswesen. Bei diesen Kunden stehen drei Anwendungsfälle im Vordergrund, wenn sie Cloudflare One zum Schutz ihrer Daten einsetzen.

1. Anwendungsfall: Absicherung von KI-Tools und Entwicklercode (Applied Systems)

Applied Systems, ein Unternehmen für Versicherungstechnologie und -software, hat kürzlich Cloudflare One eingeführt, um Daten in KI-Umgebungen zu schützen.

Konkret führt das Unternehmen die öffentliche Instanz von ChatGPT in einem isolierten Browser aus, sodass das Sicherheitsteam Copy-Paste-Sperren anwenden kann. Diese Sperren verhindern, dass Nutzer sensible Informationen (einschließlich Entwicklercode) aus anderen Anwendungen in das KI-Tool kopieren. Chief Information Security Officer Tanner Randolph sagt: „Wir wollten den Mitarbeitenden die Möglichkeit geben, die Vorteile der KI zu nutzen und gleichzeitig Sicherheit gewährleisten.“

Dieser Anwendungsfall war nur einer von mehreren, die Applied Systems bei der Migration von Zscaler und Cisco zu Cloudflare in Angriff genommen hat. Aber im Allgemeinen beobachten wir bei unseren Kunden ein wachsendes Interesse an der Absicherung von KI und Entwicklercode.

2. Anwendungsfall: Sichtbarkeit der Datenoffenlegung

Kunden nutzen Cloudflare One, um einen Überblick und die Kontrolle über die Risiken der Datenoffenlegung in ihren ausufernden Anwendungsumgebungen wiederzuerlangen. Für viele sensible Daten mit einem CASB- und DLP-Dienst. Anschließend werden mittels SWG-Richtlinien bestimmte Schritte verordnet, um die Probleme zu beseitigen.

Ein britischer E-Commerce-Riese mit 75.000 Mitarbeitenden wandte sich für diesen letzten Schritt an Cloudflare. Dieses Unternehmen richtete im Rahmen einer umfassenderen Strategie zur Migration von Zscaler zu Cloudflare schnell API-Integrationen zwischen seinen SaaS-Umgebungen und dem CASB von Cloudflare ein und begann mit dem Scannen nach Fehlkonfigurationen. Außerdem konnte es während dieses Integrationsprozesses die DLP-Richtlinien mit den Vertraulichkeitsbezeichnungen von Microsoft Pureview Information Protection synchronisieren, sodass es über sein bestehendes Framework Prioritäten hinsichtlich der zu schützenden Daten setzen konnte. So konnte das Unternehmen schon nach einem Tag beginnen, drohende Datenoffenlegungen zu ermitteln.

3. Anwendungsfall: Einhaltung von Vorschriften

Umfassende Datenschutzvorschriften wie die DSGVO, CCPA, HIPAA und GLBA sind schon seit einiger Zeit Teil unseres Lebens. Aber es tauchen auch in kürzester Zeit neue Gesetze auf: Zum Beispiel haben elf US-Bundesstaaten jetzt umfassende Datenschutzgesetze eingeführt, 2021 waren es nur drei Staaten. Auch enthalten Änderungen an bestehenden Gesetzen wie PCI DSS jetzt strengere, weitreichendere Anforderungen.

Kunden wenden sich für Compliance zunehmend an Cloudflare One, insbesondere um sicherzustellen, dass sie regulierte Daten überwachen und schützen können (z. B. Finanzdaten, Gesundheitsdaten, personenbezogene Daten, Ergebnisse des Exact Data Matching). Zu den üblichen Schritten gehören zunächst das Erkennen sensibler Daten und die Anwendung von Kontrollen auf diese mittels DLP. Dann folgt die Pflege detaillierter Prüfprotokolle über Aufzeichnungen und weitere SIEM-Analysen und schließlich die Reduzierung des Gesamtrisikos mit einem umfassenden Zero Trust-Sicherheitsvorkehrungen.

Betrachten wir ein konkretes Beispiel. Ein bewährtes und zunehmend vorgeschriebenes Verfahren im Bereich Zero Trust ist die Multi-Faktor-Authentifizierung (MFA). Im Kartenzahlungsverkehr verlangt die Regelung PCI DSS v4.0, die 2025 in Kraft tritt, die Durchsetzung von MFA für jede Zugriffsanfrage auf die Umgebung mit Karteninhaberdaten, für jeden Nutzer und für jeden Standort – einschließlich Cloud-Umgebungen, lokalen Anwendungen und Workstations (Anforderung 8.4.2). Außerdem müssen diese MFA-Systeme so konfiguriert sein, dass sie Missbrauch verhindern – einschließlich Replay-Angriffen und Umgehungsversuchen. Sie müssen darüber hinaus die erfolgreiche Authentifizierung mit mindestens zwei verschiedene Faktoren vorschreiben (Anforderung 8.5). Um Unternehmen bei der Einhaltung dieser beiden Anforderungen zu unterstützen, hilft Cloudflare bei der Durchsetzung von MFA in allen Applikationen und für alle Nutzer. Zudem setzen wir dieselben Dienste ein, um für unsere eigenen Mitarbeitenden die Verwendung von Security-Token zur Authentifizierung durchzusetzen.

Abbildung 2: Anwendungsfälle im Bereich Datenschutz

Cloudflare macht den Unterschied

Die Datenschutz-Suite von Cloudflare One wurde entwickelt, um modernen Datenrisiken einen Schritt voraus zu sein. Sie soll diese und andere neue Anwendungsfälle abdecken.

DLP ist bei Cloudflare nicht nur mit anderen normalerweise getrennten IT-Sicherheitsservices wie CASB, SWG, ZTNA, RBI und E-Mail-Sicherheit integriert, sondern ist außerdem auf einer zentralen Plattform mit nur einer Kontrollebene und nur einer Schnittstelle angesiedelt. Abgesehen von der oben genannten Buchstabensuppe ist es vor allem unsere Netzwerkarchitektur, mit der wir Unternehmen helfen können, ihre Daten effektiver, produktiver und flexibler zu schützen.

Wir vereinfachen die Konnektivität mit flexiblen Optionen, mit denen Sie Traffic zur Durchsetzung an Cloudflare weiterleiten können. Dazu gehören API-basierte Scans von SaaS-Suites auf Fehlkonfigurationen und sensible Daten. Im Gegensatz zu Lösungen, bei denen Sicherheitsteams die vollständigen Berechtigungen für Anwendungen von IT- oder Business-Teams einholen müssen, erkennt Cloudflare Risiken auch bei schreibgeschützten Applikationen. Clientlose Implementierungen von ZTNA zur Absicherung des Anwendungszugriffs und von Browserisolierung zur Kontrolle von Daten innerhalb von Websites und Anwendungen sind für alle Nutzer in den größten Unternehmen skalierbar – das gilt sowohl für Mitarbeitende als auch für Dritte wie Auftragnehmer. Und wenn Sie Proxy-Traffic weiterleiten möchten, bietet Cloudflare einen Geräte-Client mit Berechtigungen zur selbständigen Registrierung oder On-Rampings für Wide Area Networks für die verschiedenen Sicherheitsdiente. Sie können aufgrund dieser vielen praktischen Bereitstellungsmöglichkeiten eine effektive und funktionsfähige Datenschutzstrategie anwenden und müssen sich keine Gedanken wegen Shelfware machen.

Genau wie Ihre Daten ist auch unser globales Netzwerk überall auf der Welt präsent, denn es erstreckt sich mittlerweile auf mehr als 300 Städte in über 100 Ländern. Wir haben bewiesen, dass wir Kontrollen schneller durchsetzen als Anbieter wie Zscaler, Netskope und Palo Alto Networks – und zwar immer mit Single-Pass-Überprüfung. Wir gewährleisten schnelle, zuverlässige und unauffällige Sicherheit, sodass Sie verschiedene Ebenen von Datenkontrollen einrichten können, ohne die Arbeitsproduktivität zu beeinträchtigen.

Unsere programmierbare Netzwerkarchitektur ermöglicht es uns, in kurzer Zeit neue Funktionen zu entwickeln. Und wir übernehmen schnell neue Sicherheitsstandards und -protokolle (wie reine IPv6-Verbindungen oder HTTP/3-Verschlüsselung), damit der Datenschutz weiterhin effektiv bleibt. Insgesamt können wir uns dank dieser Architektur an die sich ändernden Anwendungsfälle im Bereich Datenschutz – was aktuell etwa den Schutz von Quellcode in KI-Umgebungen umfasst – immer wieder anpassen. Wir sind außerdem in der Lage, für eine präzisere, kontextbezogene Erkennung KI und Modelle für maschinelles Lernen an allen Netzwerkstandorten einzusetzen.

Abbildung 3: Einheitlicher Datenschutz mit Cloudflare

Erste Schritte

Moderne Datenrisiken erfordern moderne Sicherheit. Wir sind der Meinung, dass die einheitliche Datenschutz-Suite von Cloudflare One Unternehmen dabei hilft, ihre vorrangigen Risiken heute und in Zukunft in den Griff zu bekommen. Das gilt sowohl für den Schutz von Entwicklercode und KI-Tools, die Wiederherstellung der Transparenz bei SaaS-Anwendungen oder die Einhaltung sich ändernder Vorschriften.

Wenn Sie herausfinden möchten, wie Cloudflare Ihre Daten schützen kann, dann erkundigen Sie sich einfach nach einem Workshop mit unseren Fachleuten.

Mehr dazu, wie Cloudflare One Daten schützt, erfahren Sie in dieser aktuellen Pressemitteilung, auf unserer Website oder in unserem begleitenden Fachblog.

***

  1. The State of Secrets Sprawl 2023, GitGuardian

  2. Top Generative AI Statistics for 2023, Salesforce

  3. Cost of a Data Breach Report 2023, IBM

  4. State of the CISO 2023“-Bericht, erstellt von Global Survey

  5. United Nations Conference on Trade & Development

  6. International Association of Privacy Professionals (IAPP)

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare OneDLPCASB (DE)Zero TrustAIProdukt-NewsPrivacy

Folgen auf X

Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23. Oktober 2024 um 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...