Een Cloud Access Security Broker koppelen aan Google Workspace voegt een controlelaag toe tussen je gebruikers en de cloud. Een CASB bewaakt en stuurt hoe data tussen gebruikers en clouddiensten beweegt. Workspace heeft veel beveiliging ingebouwd, dus de eerste vraag is altijd: wat voegt een CASB hier echt aan toe voor jouw situatie?
Wat een CASB doet
Een CASB biedt vier kernfuncties: zichtbaarheid in clouddatagebruik, databescherming via DLP, dreigingsbescherming en compliance-handhaving. Het bijzondere is dat een CASB dit kan doen over meerdere clouddiensten tegelijk, niet alleen Workspace.
Voor organisaties die naast Workspace ook andere clouddiensten gebruiken, geeft een CASB een uniform beleid en overzicht over al die diensten heen. Dat is de belangrijkste meerwaarde.
Eerst de vraag stellen
Voordat je een CASB koopt: veel van wat een CASB biedt zit al in Workspace Enterprise, zoals DLP, context-aware access en uitgebreide logging. Een CASB is vooral waardevol als je meerdere clouddiensten centraal wilt beheren of specifieke functies nodig hebt die Workspace niet biedt. Voor een pure Workspace-omgeving is het soms overbodig.
Twee integratiemodellen
Een CASB koppelt op twee manieren aan Workspace, elk met voor- en nadelen.
| Model | Hoe het werkt | Voordeel | Nadeel |
|---|---|---|---|
| API-modus (out-of-band) | De CASB praat via de Workspace-API's en scant data en activiteit achteraf. | Geen impact op verkeer of snelheid. | Reageert iets later dan realtime. |
| Proxy-modus (inline) | Verkeer loopt door de CASB heen, die realtime kan blokkeren. | Krachtiger, kan direct ingrijpen. | Complexer en meer impact op de gebruikerservaring. |
Goed om te weten: Google adviseert zelf om geen inline CASB op het verkeer tussen gebruikers en Google te zetten en in plaats daarvan API-gebaseerde (out-of-band) integratie te gebruiken. Dat sluit aan bij de keuze die de meeste organisaties maken.
Proxy-modus is een storingspunt
Inline proxy-modus kan een single point of failure worden. Als al je Workspace-verkeer door de CASB-proxy loopt en die hapert, valt je toegang uit. Weeg de realtime-controle van proxy-modus af tegen het beschikbaarheidsrisico. Voor veel organisaties biedt de API-modus de juiste balans.
Schaduw-IT in beeld brengen
Een sterke functie van een CASB is het detecteren van schaduw-IT: clouddiensten die medewerkers gebruiken zonder goedkeuring. Door netwerk- en activiteitsdata te analyseren, ziet de CASB welke niet-goedgekeurde diensten in gebruik zijn, zodat je die kunt beoordelen of blokkeren.
Het proces verloopt in vier stappen:
- Ontdekken. Breng in kaart welke clouddiensten daadwerkelijk worden gebruikt.
- Beoordelen. Schat het risico van elke gevonden dienst in.
- Beleid bepalen. Beslis per dienst: toestaan, beperken of blokkeren.
- Handhaven. Dwing het gekozen beleid af via de CASB.
De integratie aanpakken
Een CASB-uitrol doe je gefaseerd, net als andere beveiligingsprojecten.
CASB koppelen aan Workspace
- Bepaal welk probleem je oplost en of Workspace dat niet al ingebouwd biedt.
- Kies een CASB die Workspace ondersteunt en past bij je andere clouddiensten.
- Start met API-modus voor zichtbaarheid zonder verkeersimpact.
- Verbind de CASB via een serviceaccount met de juiste, beperkte scopes.
- Begin in monitoringmodus om beleid te testen zonder te blokkeren.
- Verfijn DLP- en toegangsbeleid en zet daarna handhaving aan.
- Overweeg proxy-modus alleen waar realtime blokkeren echt nodig is.
Houd scopes zo klein mogelijk
Geef het serviceaccount van de CASB alleen de OAuth-scopes die het echt nodig heeft, en niets meer. Een CASB krijgt brede toegang tot je data, dus elke overbodige scope vergroot de impact als de koppeling ooit gecompromitteerd raakt. Controleer de scopes periodiek in de Admin-console onder API-controle.
Verhouding tot ingebouwde beveiliging
Een CASB vervangt je Workspace-beveiliging niet, het vult die aan. Verplichte 2FA, data-classificatie en context-aware access blijven je fundament. De CASB legt daar een laag overheen die meerdere clouds verbindt en extra detectie levert.
Vermijd dubbele DLP-regels
Laat een CASB de ingebouwde Workspace-beveiliging aanvullen, niet dupliceren. Dubbele DLP-regels op twee plekken leiden tot verwarring en conflicten. Bepaal bewust welke controle je waar legt: basis-DLP in Workspace, overkoepelend multi-cloud beleid in de CASB.
Heb ik een CASB nodig als ik alleen Workspace gebruik?
Vaak niet. Workspace Enterprise biedt al DLP, context-aware access en logging. Een CASB loont vooral bij meerdere clouddiensten of specifieke eisen die Workspace niet dekt.
Wat is het verschil tussen API- en proxy-modus?
API-modus scant achteraf via de Workspace-API's zonder verkeersimpact. Proxy-modus zit inline en kan realtime blokkeren, maar is complexer en kan een storingspunt worden. Google zelf raadt de API-aanpak aan.
Helpt een CASB tegen schaduw-IT?
Ja, dat is een sterke functie. De CASB detecteert niet-goedgekeurde clouddiensten zodat je die kunt beoordelen en zo nodig blokkeren.
Hoe begin ik veilig met een CASB?
Start in API- en monitoringmodus zodat je beleid kunt testen zonder gebruikers te blokkeren. Zet handhaving pas aan als je zeker bent dat je regels kloppen.
Welke rechten geef ik de CASB?
Zo min mogelijk. Koppel via een serviceaccount met beperkte OAuth-scopes en evalueer die toegang regelmatig in de Admin-console.
Met een bewuste keuze, een gefaseerde uitrol en een heldere taakverdeling tussen CASB en ingebouwde beveiliging voeg je waarde toe in plaats van complexiteit. De belangrijkste stap is vooraf bepalen of je deze laag echt nodig hebt voor jouw cloudlandschap.