De gemiddelde organisatie in het middensegment van de markt gebruikt meer dan 100 SaaS-applicaties. IT is meestal slechts op de hoogte van een fractie daarvan. Uit het Torii SaaS Benchmark Report 2026 blijkt dat meer dan 61% van de ontdekte applicaties in de gemiddelde onderneming niet formeel is goedgekeurd door of onder toezicht staat van IT. Deze niet-goedgekeurde applicaties creëren risico’s op gegevenslekken en blinde vlekken op het gebied van compliance die de meeste teams pas ontdekken als er iets misgaat.
Een Cloud Access Security Broker (CASB) is de technologie die ontworpen is om dat gat te dichten. Maar standalone CASB-producten zijn aan het verdwijnen. Gartner heeft het CASB Magic Quadrant enkele jaren geleden in zijn Security Service Edge (SSE)-evaluatie gevouwen en belangrijke CASB-eerste leveranciers zijn overgenomen of opgenomen in bredere platforms. Voor de meeste organisaties leven CASB mogelijkheden tegenwoordig in een SASE platform. Dit artikel legt uit wat CASB doet, hoe het werkt en waarom het niet langer zinvol is om het apart te kopen.
Wat is een CASB en wat doet het?
Een Cloud Access Security Broker is een beveiligingslaag die zich tussen gebruikers en cloudapplicaties bevindt. Het ontdekt welke SaaS-diensten in gebruik zijn, dwingt beleidsregels voor toegang en gegevensdeling af, detecteert riskant gedrag en voorkomt dat gevoelige gegevens de organisatie verlaten via niet-goedgekeurde kanalen. CASB geeft IT-teams zichtbaarheid en controle over het gebruik van de cloud, wat native SaaS-beveiligingsinstellingen alleen niet kunnen bieden.
Het probleem dat CASB oplost: schaduw-IT en SaaS-woekering
Schaduw-IT is geen theoretisch risico. Het is de dagelijkse realiteit van elk IT-team dat een organisatie in het middensegment van de markt beheert.
Microsoft heeft gemeld dat ongeveer 80% van de werknemers niet-gesanctioneerde toepassingen gebruikt om hun werk gedaan te krijgen. Uit het onderzoek Cloud Security Alliance’s 2025 State of SaaS Security blijkt dat 55% van de werknemers SaaS-tools gebruikt zonder het beveiligingsteam er überhaupt bij te betrekken. En Gartner voorspelt dat in 2027 drie van de vier werknemers technologie zullen aanschaffen, wijzigen of creëren die geheel buiten het toezicht van IT valt.
De cijfers worden concreter als je naar daadwerkelijke omgevingen kijkt. Organisaties denken dat ze ongeveer 90 cloudservices draaien. Het werkelijke gebruik is vaak meer dan 1.000. Grip Security analyseerde in 2025 23.000 SaaS-omgevingen en ontdekte dat organisaties gemiddeld 140 AI-gebaseerde SaaS-apps gebruiken, waarvan de meeste zijn overgenomen zonder formele evaluatie.
In die kloof tussen waargenomen en daadwerkelijk gebruik schuilt het risico. Een werknemer meldt zich aan voor een dienst voor het delen van bestanden via het e-mailadres van het bedrijf. Een marketingteam begint een AI-schrijftool te gebruiken die vertrouwelijke productbeschrijvingen opneemt. Een financieel analist sluit een persoonlijke cloudopslagaccount aan om rapporten te exporteren. Geen van deze acties vereist beheerdersrechten. Geen van deze acties leidt tot waarschuwingen in traditionele beveiligingstools.
De gevolgen zijn reëel. Uit AppOmni’s mid-2025 onderzoek blijkt dat 75% van de organisaties in de afgelopen twaalf maanden een SaaS-beveiligingsincident heeft meegemaakt, waarbij een aanzienlijk deel direct te maken had met niet-geautoriseerde applicaties. Als je de wildgroei aan tools combineert met de opkomst van schaduw-AI, wordt het aanvalsoppervlak sneller groter dan welk handmatig governance-proces dan ook kan bijhouden.
Hoe een CASB werkt: proxy, API en inline modi
CASB-producten gebruiken drie implementatiemodi om cloudverkeer te inspecteren en te controleren. Elk heeft een andere rol en moderne platforms combineren ze meestal.
| Modus | Hoe het werkt | Wat het vangt | Beperking |
|---|---|---|---|
| Proxy doorsturen | Routeert gebruikersverkeer via de CASB voordat het de cloud-app bereikt | Real-time beleidshandhaving, inline DLP, toegangscontrole | Vereist een agent of PAC-bestand op eindpunten |
| Omgekeerde proxy | Zit vóór de cloudapplicatie en onderschept verkeer aan de app-kant | Agentloze toegangscontrole, sessiebeheer | App-specifieke configuratie nodig, kan functionaliteit onderbreken |
| API-gebaseerd | Maakt rechtstreeks verbinding met SaaS-platforms via hun API’s (bijv. Microsoft Graph, Google Workspace API) | Scannen van gegevens in rust, audits van gedeelde toestemmingen, DLP achteraf | Geen realtime blokkering, afhankelijk van API-dekking |
In een SASE-context zijn de forward proxy en API-modi het belangrijkst. De forward proxy wordt onderdeel van de inline inspectiepijplijn van het platform, waar verkeer eenmaal wordt gedecodeerd en gelijktijdig wordt geïnspecteerd door SWG, CASB, DLP en andere engines. Dit is wat de industrie single-pass inspectie noemt. Als je wilt begrijpen hoe die pijplijn in alle SASE-componenten past, kun je de volledige gegevensstroom bekijken in Jimbers SASE-architectuurgids.
De API-modus draait parallel. Deze maakt verbinding met goedgekeurde SaaS-platforms om machtigingen voor delen te controleren, opgeslagen bestanden te scannen op gevoelige gegevens en configuratieafwijkingen te signaleren. De twee modi vullen elkaar aan, niet met elkaar concurreren. Inline vangt bedreigingen in beweging op. API vangt risico’s in rust op.
CASB vs SWG: wat elk beschermt en waar ze overlappen
Dit is een van de meest gestelde vragen aan IT-teams bij het evalueren van cloudbeveiliging. Het korte antwoord: SWG en CASB inspecteren dezelfde verkeersstroom maar kijken naar verschillende dingen.
| Vermogen | SWG | CASB |
|---|---|---|
| Primaire focus | Webverkeer (alle HTTP/HTTPS) | Cloud applicatie-activiteit |
| Wat het inspecteert | URL’s, domeinen, inhoudscategorieën, malwarehandtekeningen | Acties op app-niveau: uploads, downloads, shares, API-aanroepen |
| Voorbeelden van beleid | Goksites blokkeren, downloads scannen op malware, acceptabel gebruik afdwingen | Bestanden delen naar persoonlijke accounts blokkeren, export van bulkgegevens detecteren, toegang voor gasten beperken |
| Schaduw IT-detectie | Beperkt (kan zien welke domeinen worden bezocht) | Sterk (identificeert specifieke applicaties en gebruikspatronen) |
| DLP reikwijdte | Filteren op URL- en bestandsniveau | Toepassingsbewuste dataclassificatie, inhoudsinspectie in context |
| Overlap | Beide inspecteren HTTPS-verkeer, beide kunnen schadelijke inhoud blokkeren |
Het onderscheid is belangrijk omdat SWG beschermt tegen webbedreigingen, terwijl CASB beschermt tegen risico’s voor cloudgegevens. Een Secure Web Gateway zal een gebruiker blokkeren om een bekende phishing site te bezoeken. Het zal diezelfde gebruiker er niet van weerhouden om een vertrouwelijke spreadsheet te delen met een extern Gmail account via een goedgekeurde SaaS applicatie.
In een verenigd SASE platform delen beide engines hetzelfde beleidsraamwerk en dezelfde verkeersinspectiepijplijn. Er hoeft niet tussen beide te worden gekozen. Beleidsregels die zijn gedefinieerd voor webtoegang en controle van cloudapplicaties bestaan naast elkaar in één console en zijn consistent van toepassing op al het verkeer. Voor een diepere kijk op hoe SWG-specifieke meetgegevens hierbij aansluiten, lees je in het artikel over SWG meetgegevens die er echt toe doen wat je moet meten en waarom.
Waarom standalone CASB verdwijnt
De CASB-markt heeft een snelle consolidatie doorgemaakt. Inzicht in dat traject helpt verklaren waarom het kopen van CASB als een op zichzelf staand product steeds moeilijker en contraproductief wordt.
Gartner is gestopt met het publiceren van een standalone CASB Magic Quadrant en heeft de categorie opgenomen in de SSE evaluatie. Dat was geen kleine herclassificatie. Het weerspiegelde een marktbrede erkenning dat cloud toegangscontrole niet kan worden gescheiden van webbeveiliging, zero trust toegang en beleidshandhaving op netwerkniveau zonder hiaten te creëren.
Het leverancierslandschap vertelt hetzelfde verhaal. De zakelijke CASB-activiteiten van McAfee werden Skyhigh Security na de splitsing tussen consumenten en bedrijven. De CASB van Symantec werd opgenomen in het portfolio van Broadcom. Bitglass werd overgenomen door Forcepoint. Elke grote zelfstandige CASB-leverancier is overgenomen of omgevormd tot een breder SSE- of SASE-platform.
Voor een IT-manager die vandaag de dag opties evalueert, heeft dit praktische gevolgen. Er bestaan nog steeds standalone CASB-producten, maar die zorgen voor integratieoverhead. Je moet ze verkeer geven (via proxy-ketens of API-verbindingen), aparte beleidsconsoles onderhouden, logs van verschillende tools correleren en nog een verkopersrelatie beheren. Dat is precies het tool-sprawl probleem dat teams in het middensegment aanzet tot consolidatie.
De vraag is niet langer “welke CASB moet ik kopen?”. Het is “bevat mijn SASE-platform de CASB-mogelijkheden die ik nodig heb?”.
Hoe CASB werkt binnen een SASE platform
In een geïntegreerd SASE-platform is CASB een van de verschillende inspectie-engines in de single-pass pipeline. Verkeer van gebruikers, sites en apparaten stroomt naar het dichtstbijzijnde point of presence, waar het één keer wordt gedecodeerd en tegelijkertijd wordt geanalyseerd door de SWG, CASB, DLP, firewall en intrusion prevention engines. Na inspectie wordt het verkeer opnieuw versleuteld en naar zijn bestemming geleid.
Deze architectuur elimineert verschillende problemen die standalone CASB implementaties met zich meebrengen.
Geen afzonderlijke implementatie. CASB wordt geactiveerd als een policy toggle, niet als een aparte appliance of proxy chain. Er is geen extra infrastructuur om te installeren, configureren of onderhouden.
Consistent beleidsmodel. Dezelfde identiteits- en apparaatstatuscontext die de ZTNA-toegangsbeslissingen bepaalt, bepaalt ook de CASB-regels. Wanneer een gebruiker verbinding maakt vanaf een beheerd apparaat met een geldige statuscontrole, krijgt hij één set cloudapplicatiemachtigingen. Vanaf een onbeheerd apparaat krijgen ze een beperkte set. Eén beleidsengine, één logica.
Eén auditspoor. Alle webtoegangsevents, activiteiten van cloudapplicaties, DLP-detecties en toegangsbeslissingen verschijnen in één logboekstroom. Dit is van belang voor NIS2- en GDPR-compliance, waarbij auditors een samenhangend beeld verwachten van wie wat wanneer en waar heeft geraadpleegd.
Het SASE-platform van Jimber integreert SaaS-zichtbaarheid, applicatiecontrole en preventie van gegevensverlies in dezelfde console die ZTNA, SWG, FWaaS en SD-WAN beheert. Cloud applicatiedetectie wordt automatisch uitgevoerd tegen al het geïnspecteerde verkeer. Beleidsregels voor goedgekeurde en niet-goedgekeurde apps worden gedefinieerd naast webfiltering en toegangsbeleid. Voor middelgrote teams met drie tot tien mensen die alles beheren, van desktops tot firewalls, is die consolidatie het verschil tussen een voorziening die wordt geconfigureerd en een die ongebruikt blijft.
Waarop letten bij de evaluatie van CASB in SASE
Niet elk SASE-platform biedt CASB-mogelijkheden met dezelfde diepgang. Bij het evalueren van opties zijn er vijf criteria die een onderscheid maken tussen adequate dekking en echte beveiliging van cloudapplicaties.
Dekking van SaaS-applicaties. Het platform moet automatisch cloudapplicaties ontdekken en categoriseren op basis van werkelijke verkeerspatronen, niet alleen een statische catalogus. Zoek naar een dekking van ten minste enkele duizenden applicaties, inclusief regionale en branchespecifieke tools die uw teams kunnen gebruiken.
Inline en API-ondersteuning. Realtime inline inspectie vangt bedreigingen in beweging op. API-gebaseerde scanning controleert gegevens in rust in goedgekeurde platforms zoals Microsoft 365, Google Workspace en Salesforce. U hebt beide nodig. Als een leverancier alleen een inline-modus biedt, verliest u inzicht in de risico’s van gedeelde machtigingen en opgeslagen gegevens.
Integratie van DLP. Data Loss Prevention moet dezelfde classificatie-engine gebruiken als CASB, niet als een aparte module met een eigen beleidsconsole. Wanneer een DLP-regel gevoelige gegevens detecteert in een cloud-upload, moet het CASB-beleid de reactie automatisch afdwingen.
Rapportage over naleving. Voor organisaties die onderhevig zijn aan NIS2-compliancevereisten, GDPR of DORA, moet het platform auditklare logboeken genereren die de activiteit van cloudapplicaties in kaart brengen met regelgevende controles. Dit is met name relevant voor Europese organisaties die kiezen voor lokale SASE-alternatieven in plaats van in de VS gevestigde mega-vendors, waar gegevenssoevereiniteit en inspectiejurisdictie van belang zijn.
Beheer van meerdere huurders. Voor servicepartners die meerdere klantomgevingen beheren, moet de CASB-functie werken binnen de multi-tenantarchitectuur van het platform. Afzonderlijk beleid per huurder, geconsolideerde zichtbaarheid tussen huurders en rapportage per huurder zijn onontbeerlijk voor managed service delivery.
Veelgestelde vragen
Waar staat CASB voor?
CASB staat voor Cloud Access Security Broker. Het is een beveiligingstechnologie die zich tussen gebruikers en cloudservices bevindt om beleidsregels voor gegevensbeveiliging, compliance en bescherming tegen bedreigingen af te dwingen voor SaaS-toepassingen.
Waarin verschilt een CASB van een firewall?
Een firewall controleert het verkeer op basis van poorten, protocollen en IP-adressen op netwerkniveau. Een CASB werkt op applicatieniveau en inspecteert de interactie tussen gebruikers en specifieke cloudservices. Het kan acties detecteren zoals het delen van bestanden, bulkdownloads en toestemmingswijzigingen waar een firewall geen zicht op heeft.
Heb ik een aparte CASB nodig als ik een SASE platform heb?
In de meeste gevallen niet. Moderne SASE platformen bevatten CASB als een geïntegreerde inspectie engine. Een afzonderlijke CASB kopen naast een SASE platform creëert dubbele beleidsconsoles, integratieoverhead en logfragmentatie. De uitzondering is als de CASB mogelijkheden van je SASE-leverancier beperkt zijn, in dat geval is een andere SASE-leverancier meestal de beste oplossing.
Werkt CASB met Microsoft 365?
Ja. CASB maakt verbinding met Microsoft 365 via API (met Microsoft Graph) en inspecteert het verkeer inline. De API-modus controleert machtigingen voor delen, scant OneDrive- en SharePoint-bestanden op gevoelige gegevens en detecteert configuratiewijzigingen. Inline modus dwingt real-time beleidsregels af op uploads, downloads en extern delen.
Is CASB vereist voor NIS2-compliance?
NIS2 stelt CASB niet bij naam verplicht. Aan de vereisten van NIS2 voor toegangscontrole, incidentdetectie, risicobeheer van de toeleveringsketen en gegevensbescherming kan echter moeilijk worden voldaan zonder inzicht in het gebruik van cloudapplicaties. CASB biedt de SaaS-laag van die zichtbaarheid. Voor organisaties die binnen het toepassingsgebied vallen, is de CASB-mogelijkheid binnen een SASE-platform een praktische manier om meerdere NIS2-controles vanuit één platform uit te voeren.
Hoe detecteert CASB schaduw-IT?
CASB analyseert al het uitgaande verkeer om gebruikte cloudservices te identificeren. Het vergelijkt geobserveerd verkeer met een database van bekende applicaties en categoriseert ze op risiconiveau, gegevensverwerkingspraktijken en compliance-certificeringen. Dit geeft IT-teams een compleet beeld van welke services medewerkers daadwerkelijk gebruiken, vergeleken met de applicaties die formeel zijn goedgekeurd.
Het SASE-platform van Jimber omvat cloudapplicatiedetectie, handhaving van SaaS-beleid en preventie van gegevensverlies in één console, naast ZTNA, SWG, FWaaS en SD-WAN. Als jouw team aan het evalueren is hoe het controle kan krijgen over SaaS-gebruik zonder nog een standalone tool toe te voegen, boek dan een demo en kijk hoe het werkt voor een middelgrote omgeving.
