Sichere Kommunikation dank Zero Trust und Mikrosegmentierung

30. August 2022

So praktisch es ist, den Datenverkehr für die tägliche Arbeit über verschiedene Cloud-Anwendungen laufen zu lassen, so komplex ist die Absicherung von Multicloud-Umgebungen. Das hängt mit den verschiedenen Routing-Anforderungen und der Verbindung von Cloud-basierten Apps mit dem Rechenzentrum und deren Kommunikation untereinander zusammen.

Eine VPN-Absicherung garantiert hierbei in aller Regel die Kommunikation der Applikation zum Rechenzentrum und geht mit Aufwand der Verwaltung von Zugriffsrechten einher. Die für die Arbeit benötigten Dienste müssen außerdem überall und jederzeit verfügbar sein. Die Kommunikationswege werden allerdings komplexer, wenn Anwendungen zusätzlich noch redundant angelegt sind. Für viele Unternehmen stellt dieses Wirr-Warr aus Verbindungen eine enorme Herausforderung in der Verwaltung dar, das mit Fallstricken in punkto Sicherheit verbunden ist.

Die Komplexität steigt weiter an, je mehr Applikationen in einer Umgebung, die aus mehreren Cloud-Anbietern besteht, kommunizieren müssen. Bei dem Geflecht an Beziehungen muss die IT-Sicherheitsabteilung darauf bedacht sein, den Überblick zu bewahren. Allein die Frage, wer in der Multicloud-Umgebung überhaupt für die Sicherheit zuständig ist, bleibt häufig eine Angelegenheit von ungeklärter Verantwortungszuschreibung. Es lohnt sich daher, im ersten Schritt einen Blick auf die unterschiedlichen Kommunikationswege und deren Kategorisierung zu werfen, bevor ein Lösungsansatz zur Vereinfachung evaluiert wird.

Workloads und ihre Kommunikationsbeziehungen

Drei Kommunikationskanäle lassen sich im Allgemeinen für die meisten Applikationen in der Public Cloud unterscheiden. Zum einen müssen Workloads durch den IT-Bereich für die Administration stets erreichbar sein. Sie müssen außerdem ans zentrale Rechenzentrum angebunden sein und nicht zuletzt über das Internet mit anderen Anwendungen in Verbindung stehen. Je lockerer hierbei mit Zugriffsrechten verfahren wird, desto größer sind die Einfallstore für Angreifer und Sicherheitslücken für Unternehmen.

Der Verwaltungsaufwand der sicheren Verbindung aller Anwendungen in der Cloud steigt dabei mit ihrer Menge und den verwendeten Cloud-Providern. Da die größeren Anbieter eine dezentrale Infrastruktur vorhalten, stellt alle Verantwortlichen, vom Entwickler bis zur IT-Sicherheitsabteilung vor der Aufgabe, die Verbindungen der Workloads zu den jeweiligen Cloud-Anbietern funktional und lückenlos zu gestalten. Die Verworrenheit und die Kosten steigen dabei stark an, wenn herkömmliche Netzwerksicherheit zum Einsatz kommt. Wem dieses Szenario bekannt vorkommt, ist gut beraten sich mit dem Konzept Zero Trust zu beschäftigen.

Zugriffsberechtigungen müssen hinterfragt werden

Wer keinen Zugriff auf eine Anwendung haben muss, erhält auch keinen – das ist die Devise von Zero Trust. Der Ansatz sichert den Datenverkehr ab und schützt den Zugriff auf alle notwendigen Anwendungen der jeweiligen Rechenzentren oder Cloud-Umgebungen. Wer zu welchen Daten Zugriff hat, nach dem Least-Privilege-Prinzip festgelegt. Technisch kann die Überwachung der Policies über einen Sicherheitsservice umgesetzt werden, der als Sicherheits-Layer zwischen Nutzer, Applikation und Internet geschaltet ist, der den Datenverkehr überwacht. Eine über die Cloud bereitgestellte Lösung bietet sich hier durch ihre Skalierbarkeit und den niedrigen Verwaltungsaufwand besonders an.

Wie locker in manchen Organisationen und Unternehmen dabei noch mit der Verteilung von Zugriffsrechten und Zugangsschlüsseln umgegangen wird, zeigt die letzte „State of Cloud (In) Security“ Analyse von mehreren tausend Cloud-Workloads durch das Zscaler Threatlabz-Team. Dieser Report verdeutlicht, dass von allen an der Studie teilnehmenden Organisationen 91 Prozent ihrer Konten mit Berechtigungen versehen waren, die nicht benötigt oder gar nicht erst genutzt wurden.

Das Gros dieser Zugriffsberechtigungen war dabei nicht nur überflüssig, sondern zudem nicht korrekt konfiguriert. Jede einzelne dieser unnötigen Berechtigungen stellt dabei ein vermeidbares Sicherheitsrisiko dar. Moderne IT-Sicherheit muss sich daher vom Netzwerkmodell verabschieden, die Komplexität vereinfachen und das Konzept von Zero Trust etablieren. Dafür bedarf es auch eine Reorganisation der bisherigen Architektur von Workload-Verbindungen.

Weg vom Netzwerk, hin zur Workload-Verbindung

Zero Trust macht es möglich, Cloud-Workload-Anbindungen zu strukturieren, zu überwachen und deren Kommunikation untereinander zu erleichtern. Technisch möglich macht dies eine virtuelle Maschine, die als Cloud Connector fungiert und der Anwendung vorangestellt ist. Der Connector operiert funktionsähnlich wie ein herkömmlicher Router. Jeglicher Datenverkehr wird über besagte virtuelle Maschine geroutet, woraufhin sich diese über eine verschlüsselte Verbindung mit der Sicherheits-Cloud zur Regelung der Zugriffsberechtigungen verbindet.

Auf der anderen Verbindungsseite sind die Applikationen oder auch Anwender ebenfalls über einen Connector mit der Cloud-Plattform verbunden. Die Verbindung zu Netzwerken wird somit zurückgefahren und durch eine granulare Verbindung auf Ebene der Workload ersetzt. Workloads in der Cloud können somit mit vorher festgelegten Zielen verbunden werden, um beispielsweise Updates zu implementieren oder die Kommunikation über diverse Clouds und dem Rechenzentrum zu gewährleisten. Unabdinglich ist hierfür die vorherige Definition von Zugriffsrechten, um unerwünschten oder unerlaubten Zugang zu unterbinden.

Laterale Bewegungen verhindern und Angriffsflächen verringern

Die traditionelle Komplexität der Verbindungen von Applikationen in der Multi-Cloud lässt sich mit dem vorgestellten Zero Trust-Ansatz nicht nur reduzieren. Diese Policy-basierte Vorgehensweise macht den gesamten Datenverkehr sicherer, indem Autorisierungen dediziert nach Privilegien zugewiesen. Unautorisierte Anwender haben keinen Einblick in die Cloud-Umgebungen ganz nach dem Prinzip von Zero Trust: Wer nicht autorisiert ist sieht nicht einmal die Workloads. Somit schafft die Mikrosegmentierung, die technisch über den Cloud-Connector umgesetzt wird, einen zusätzlichen Sicherheitsfaktor und entscheidet über die neu verteilten Zugriffsrechte der Server-Kommunikation untereinander.

Selbst wenn ein Eindringen Unbefugter von außen erfolgt, wird die Reichweite lateraler Bewegungen auf diese Weise erheblich eingeschränkt. Dieser Lösungsansatz funktioniert ohne den sonst üblichen Umweg des Datenverkehrs über Netzwerkgeräte außerhalb der eigenen Umgebung, die dann zunächst die Firewall passieren müssen. Die erforderliche Kommunikation der Workloads kann so einfacher geroutet werden. Die Dreiteilung der üblichen Sicherheits-Policies nach Verantwortlichkeit in Anwendung, Sicherheit und Netzwerk wird auf diese Weise ebenfalls wiederhergestellt, sodass Unsicherheiten über die Zuständigkeiten beseitigt werden.

Lediglich der Cloud-Connector muss implementiert werden und mit Aufsetzen der Policies wird die Sicherheit wieder an die Sicherheitsabteilung zurückgespielt. Die Workloads sind nicht länger sichtbar und dem Zugriff Dritter ausgesetzt, wodurch sich die Angriffsfläche aller Institutionen, die Zero Trust in Verbindung mit dem Umstieg auf Cloud-basierte Sicherheit, drastisch reduziert. Weniger Komplexität bedeutet gleichzeitig mehr Sicherheit in einer zukunftsträchtigen Technologie: der Cloud.

Nils Ullmann ist Solution Architekt bei Zscaler.

Zscaler

Lesen Sie auch