Sechs Schritte führen zur sicheren Cloud-Umgebung
12. Mai 2021Nicht erst seit dem rapiden Anstieg von dezentralem Arbeiten versuchen Organisationen die Vorteile der Cloud für sich zu nutzen und ihre Anwendungen und Services aus dem Netzwerk zu verlagern. Die technologischen Ökosysteme von Unternehmen befinden sich bereits seit einigen Jahren im Wandel. Was jedoch oftmals dabei vergessen wird: die Absicherung der Cloud unterscheidet sich fundamental von der Absicherung eines On-Premise-Rechenzentrums. Es darf also nicht nur die Verlagerung der Anwendungen berücksichtigt werden, sondern es gilt weitere Aspekte in eine ganzheitliche Transformationsstrategie einzubeziehen, um für Sicherheit in den neuen cloudbasierten Umgebungen zu sorgen.
Die Problematik beginnt bei der stetig wachsenden Komplexität von Public Cloud Umgebungen, da Unternehmen unterschiedliche Hyperscaler einsetzen, um den Anforderungen aller Anwendungen Rechnung zu tragen. Hinzu kommt, dass statische Netzwerk-Policies nicht mit dem Tempo von DevOps-Teams mithalten können, um die Informationssicherheit von Workloads zu gewährleisten.
Zusätzlich muss die Connectivity zu den Cloud-Umgebungen beachtet werden, um mögliche Angriffsflächen zu minimieren. Darum ist es unerlässlich, die Herangehensweise der IT-Sicherheit an die neuen Anforderungen der Cloud anzupassen. Die folgenden Punkte können Unternehmen dabei als Leitfaden dienen.
Sichtbarkeit
Wenn Unternehmen keinen Einblick haben, was in ihren Public Cloud-Umgebungen läuft, können sie keinen Schutzschirm erstellen. Dementsprechend ist der Überblick über alle Anwendungen und Datenströme in SaaS-, PaaS-, und IaaS-Umgebungen gleichermaßen unerlässlich. Eine besondere Herausforderung stellt dabei nach wie vor Shadow-IT dar, über die die IT-Abteilung keine Kontrolle hat. Die Ursachen für nicht genehmigte oder nicht erfasste Services sind vielfältig. Manchmal ist es das Eigenleben von Business Units, manchmal sind es Firmenübernahmen, die für den fehlenden Überblick über das Gesamtsystem verantwortlich sind.
Um die Kontrolle über das technologische Ökosystem wiederzuerlangen und dauerhafte Sichtbarkeit in die Datenströme und Workloads zu erlangen, hilft Inline Scanning aller Anwendungen und Anbindungen. Welche AWS-Services nutzt das Entwicklungsteam oder welche Applikationen von Drittparteien sind beispielsweise an Office365 angebunden? Erst darauf aufbauend kann eine Entscheidung gefällt werden, welcher Zugriff genehmigt oder blockiert wird. Nicht nur die Einsicht, welche Services überhaupt vorhanden sind, sondern auch was mit diesen Services geschieht ist wichtig. Deshalb sollte über out-of-band-Scanning beispielsweise Konfigurationsansprüche oder Data-at-rest identifiziert werden. Dabei hilft die API-Integration mit Cloud-Anbietern.
Konfiguration
Fehl-Konfigurationen bleiben das größte Sicherheitsrisiko für Cloud-Umgebungen. Gartner schätzt, dass bis zu 99 Prozent aller Cloud-Security-Zwischenfälle auf ein Verschulden der Nutzer zurückzuführen ist. Unbeabsichtigt führen offen im Internet sichtbare Amazon Buckets zu Datenverlusten, wenn Entwickler nicht die nötige Sorgfalt bei der Konfiguration haben walten lassen. Die Art der Fehlkonfiguration mit der Offenlegung sensibler Daten im Internet kann bei verschiedensten Cloud-Anwendungen vorkommen.
Hilfestellung bei der Behebung des Problems kann eine Automatisierung der Richtlinienumsetzung bieten. Tools für das Cloud Security Posture Management decken Anwendungsfehler in der Konfiguration auf und können zusätzlich automatisch für die Umsetzung von Compliance-Anforderungen sorgen. Damit kann der Herausforderung begegnet werden, dass fehlende Fachkenntnis zu Sicherheitsvorfällen führt. Solche Tools helfen bei einer Risiko-basierten Priorisierung von ToDos und sorgen bei Policy-Änderungen eigenständig für die Anpassung.
Identitätsmanagement
Der falsche Umgang mit Identitäten, Zugriffsrechten und Berechtigungen im Zusammenhang mit der Cloud wird laut Gartner bis 2023 für bis zu 75 Prozent aller Zwischenfälle verantwortlich sein. Dabei geht es nicht nur um die Zugriffsrechte von Mitarbeitern, sondern es müssen ebenfalls die Kompetenzen von künstlichen Entitäten, wie Geräten oder Schnittstellen, einbezogen werden. Hier ist es wichtig, richtige Berechtigungslevel zuzuweisen und nicht aus Bequemlichkeit unpassende, meist zu weitgefasste, Berechtigungen zu vergeben.
Das Prinzip des Least Privilege – also der Annahme, dass bei der Vergabe von Berechtigungen vom geringsten Berechtigungsniveau aus gestartet werden sollte – hilft bei der der Vermeidung falscher Berechtigungen. Nicht genutzte oder überdimensionierte Zugriffsrechte gilt es aufzudecken und zu vermeiden, so dass beispielsweise Zugriff von längst nicht mehr aktiven Drittparteien unterbunden wird. Zu Beginn erfolgt für die Einführung eines Least Privilege-Modells die Analyse der nötigen Rollen und deren Verteilung auf Berechtigungsniveaus. Zusätzlich helfen einheitliche Governance-Leitfäden dabei, die Konformität auch über Multi-Cloud-Umgebungen hinweg zu gewährleisten.
Konnektivität
Die Art und Weise, mit der Unternehmen auf Inhalte und Anwendungen in der Cloud zugreifen, bietet aus Sicherheitsperspektive zusätzliches Optimierungspotenzial. Die Herausforderung liegt im Aufeinanderprallen der Welten von statischen IP-basierten Policies von Firewalls, Gateways oder VPNs und deren Verwaltungskomplexität im Netzwerk mit der Dynamik der Cloud, die kontinuierliche Anpassungen erfordert. Konnektivität zu Multicloud-Umgebungen erfordert laufende Updates und damit eine Zusammenarbeit der klassischen Netzwerk- und Security-Teams mit den Development-Teams von Cloud-Infrastrukturen. Dennoch geht mit der Verknüpfung beider Welten auch eine erhebliche Angriffsfläche einher und exponierte Dienste und Infrastruktur dem Internet.
Im Bereich des Anwender-Datenverkehrs zur Cloud gehen Unternehmen als Alternative deshalb zu Zero Trust-basierten Modellen über. Diese ermöglichen eine direkte Verbindung vom User zu seiner benötigten Applikation, ohne das Netzwerk einzubeziehen und reduzieren damit nicht nur die Angriffsfläche, sondern auch den Verwaltungsaufwand. Das gleiche Zero-Trust Prinzip ist auch für die Verbindung von Cloud-basierten Workloads untereinander umsetzbar oder von Cloud-zu-Internet Verbindungen. Damit lassen sich dynamische, Richtlinien-basierte Modelle umsetzten, die der Natur von flexiblen Cloud-Umgebungen entsprechen und nicht nur Sicherheitsaspekte, sondern auch Performance-Probleme lösen können.
Netzwerksegmentierung
Die Idee hinter der Microsegmentierung von Netzwerken besteht in dem Verhindern von lateralen Bewegungen von Angreifern, sollten diese einmal in eine Unternehmensumgebung eingedrungen sein. An sich ein vernünftiges Vorgehen, allerdings eilt den klassischen Lösungen der Ruf aufwändiger Administrierung und großer Komplexität voraus, an der solche Projekte scheitern können. Neu aufkommende Produktgenerationen folgen deshalb dem Identitäts-basierten Ansatz der Microsegmentierung.
Dabei wird in einem ersten Schritt alle Software innerhalb von public Cloud-Infrastrukturen oder Rechenzentren identifiziert und darauf aufbauend legitime Verbindungspfade zwischen einem User und seinen Anwendungen erlernt. Aufbauend auf diesem Inventory Mapping werden Richtlinien für die Microsegmentierung automatisch erstellt und dynamisch umgesetzt. Durch diese Automatisierung lässt sich der Verwaltungsaufwand effizient abbilden und die Angriffsfläche für Eindringlinge deutlich verringern.
Sensible Daten
Nach dem Überblick in den gesamten Datenverkehr in Cloud-Umgebungen, der korrekten Konfiguration aller Komponenten in Multicloud Setups und der Reduktion von Angriffsflächen bleibt noch der Schutz der Kronjuwelen jedes Unternehmens übrig: Wie kann das unerwünschte Abfließen sensibler Informationen unterbunden werden?
Auch hier gilt das gleiche Grundprinzip, mit dem gestartet wurde. Zuerst muss identifiziert werden, wo diese sensiblen Daten vorgehalten werden, um adäquate Kontrollmechanismen zu implementieren. Es gilt entsprechende Policies zu definieren, was mit diesen Daten passieren darf. Gegen das unerlaubte Abfließen der Informationen hilft ein inline-Kontrollsystem in Form von Data Loss Prevention, dass aufbauend auf den Richtlinien greift und für alle Cloud-Umgebungen umgesetzt werden kann.
Der Grad der Digitalisierung in Unternehmen steigt stetig und auch durch hybride Arbeitsplatzmodelle erfährt die Cloud Vorschub. Dennoch gibt es nicht nur Anwendungen von einer Umgebung in eine andere zu verlagern, sondern auch Netzwerk- und Sicherheitsmechanismen an die Welt der Cloud anzupassen. Unternehmen sind in der Pflicht, die Weichen für diese Entwicklung ganzheitlich zu stellen, um ihre Cloud-Projekte nicht zu gefährden. Dafür benötigen sie mehr Transparenz und Sichtbarkeit in alle Datenströme. Die Implementierung des ‚Least-Privilege‘-und Zero-Trust-Prinzips trägt zur modernen Absicherung einer Cloud-basierten Infrastruktur bei.
Rich Campagna ist Senior Vice President für den Bereich Cloud Protection bei Zscaler.