Security-Herausforderungen in hybriden Cloud-Architekturen
Jedes Unternehmen hat sie: eine Vielzahl von Sicherheitsprodukten. Doch erfüllen diese die Anforderungen, die eine hybride Cloud-Lösung unter Berücksichtigung von Risiko- und Governance-Richtlinien mit sich bringt?
Das Thema Security steht schon lange auf der Prioritäten-Liste jedes CIOs und wird mit der steigenden Nutzung von Cloud-Lösungen immer wichtiger. Um Unklarheiten gegenüber der Sicherheit von Cloud-Plattformen zu beseitigen, sind ein systematisches Vorgehen und eine entsprechende Strategie erforderlich.
Als Erstes sollte eine Cloud-Strategie aus der Perspektive des Unternehmens erstellt werden, die nicht nur technische Aspekte, sondern auch regulatorische, datenschutztechnische und andere sicherheitsrelevante Kriterien beinhaltet. Basierend auf dieser Strategie können Governance-Aspekte abgeleitet werden. Bei der eigentlichen Transformation in die Cloud müssen die neuen Sicherheitsmöglichkeiten in der Cloud-Umgebung mitberücksichtigt werden. Eine Automatisierung der Prozesse verringert beispielsweise das Potenzial für Fehlmanipulationen. Ist die Cloud-Plattform in Betrieb, müssen die Sicherheitsmassnahmen zum Geschäftsrisiko passen. Werden etwa kritische Geschäftsfunktionen in die Cloud transferiert, sind zusätzliche Massnahmen zu prüfen, wie die Verwendung von Cloud Access Security Broker, detaillierte Schutzmassnahmen und End-to-End-Verschlüsselung.
In Anbetracht dessen, dass Unternehmen heute bereits in der On-Premise-Umgebung zirka 70 Sicherheitsprodukte verwenden, steht der effiziente Einsatz der vorhandenen Lösungen mit Ergänzungen für die hybride Cloud-Umgebung im Vordergrund.
Der Schlüssel zum Erfolg
Da nur das optimale Zusammenspiel von Tools, Prozessen, Verhaltensregeln und technischen Vorgaben die Basis für die Sicherheit in der Cloud bilden, sind insbesondere folgende Aspekte neu zu beurteilen:
Shared-Security-Modell zwischen dem Hyperscaler, dem Cloud-Service-Provider und dem eigenen Unternehmen (inklusive der Zusammenarbeit im Falle eines Security Incidents wie meldepflichtige Databreaches etc.)
Wechsel von Perimeter-Security zu Identity und Access Management
Lifecycle Management aller Assets über eine verteilte Umgebung inklusive neuer Tools, Prozesse und Entwicklungsumgebungen in einer agilen Umgebung
Cloud-Governance-Themen
Um den Herausforderungen in einer hybriden Umgebung Rechnung zu tragen, sehen wir folgende Trends:
Governance: bestehende Sicherheitsrichtlinien sind in einer hybriden Umgebung nicht umsetzbar und blockieren die Cloud-Adoption; Cloud-Governance-Themen müssen mitberücksichtigt werden (z. B. Templates, Blueprints, Regeln zum Lifecycle Management)
Automation: mit der Einführung einer Cloud-Umgebung erfolgt die Einführung einer Container- und Microservice-zentrierten Entwicklung (DevOps); DevSecOps als neue Disziplin löst die statischen Projekt-Gates oder periodischen Sicherheitschecks durch automatisierte Sicherheitsüberprüfungen ab.
Cloud-Management-Tools: Standardisiertes und automatisiertes Management hybrider Umgebungen
Cloud Access Security Brokers (CASB): CASB als Absicherung von Cloud-Applikationen und zum Management von "Shadow"-Cloud
Security Threat Management: durch die Einführung von Cloud-Anwendungen kommt ein zusätzlicher Angriffsvektor dazu; durch gezieltes Monitoring und der Nutzung/Einführung von Security Operations Centers / Cyber Defense Centers werden mögliche Gefahrenherde identifiziert und entsprechend darauf reagiert.
Mit der Flexibilität einer hybriden Cloud-Infrastruktur muss die bestehende Sicherheitsinfrastruktur über den gesamten Lebenszyklus bei der Beurteilung/Einführung von neuen Tools und Prozessen mitberücksichtigt werden. Gleichzeitig bietet die Änderung der Architektur auch die Möglichkeit, Altlasten zu überprüfen und zeitgemässe Lösungen zu finden. Effizienz und Automatisierung stehen dabei im Vordergrund.
----------
Der Diebstahl von Credentials ist eine der grössten Gefahren
Statische Sicherheitsrichtlinien, Projektgates und Checklisten eignen sich nicht für Cloud-Lösungen, sondern die Sicherheit muss in jede Phase des Lifecycles integriert werden. Was berücksichtigt werden muss, erklärt Michael Plüss, Expert Consultant bei Avectris. Interview: Coen Kaat
Was ist bei der Einführung von Cloud-Infrastrukturen zu beachten?
Michael Plüss: Wichtig ist, dass die Sicherheitsaspekte nicht isoliert betrachtet werden. Oftmals gibt es eine Silo-Bildung in den Unternehmen: die "alte" On-Premise-Welt und die "neue" Cloud-Welt. Dieser Ansatz birgt Risiken: Es entstehen entweder blinde Flecken, Ineffizienzen durch den isolierten Zukauf von neuen Tools, oder Prozesse werden nicht durchgängig entworfen. Zudem muss das Monitoring über alle Assets, ob Cloud oder On-Premise, möglich sein, da man ansonsten mögliche Gefahren übersieht.
Früher wurde der Fokus auf den Perimeterschutz gelegt. Ist dies noch der richtige Ansatz?
Identität ist der neue Perimeter. Eine der wichtigsten Erkenntnisse ist, dass der Perimeterschutz allein nicht mehr genügt. Die meisten Unternehmen kommen zur Erkenntnis, dass der Bereich Identity Management miteinbezogen wird. Ein erfolgreicher Zugriffsschutz durchgängig über alle Systeme ist dabei von grosser Wichtigkeit. Dabei ist zu beachten, dass vor allem auch privilegierte Accounts speziell geschützt werden, da der Diebstahl von Credentials einer der grössten Gefahren darstellt.
Welche Massnahmen empfehlen Sie zur Erhöhung des Schutzes?
Erstens: Visibilität schaffen über alle Assets – in der Cloud sowie On-Premise. Zweitens: die Evaluation, welche zusätzlichen Risiken/Angriffspunkte sich durch die Einführung einer Cloud-Umgebung ergeben. Drittens: die Ermittlung des aktuellen Sicherheits-Levels und der eingesetzten Tools. Viertens: die Bewertung der identifizierten Lücken, wie beispielsweise sensible, ungeschützte Ressourcen, keine Verschlüsselung, fehlende Updates, fehlende Firewalls für die Cloud Assets oder "vergessene" Cloud Assets. Fünftens: die gezielte Ergänzung von entsprechenden Tools und Prozessen, wie etwa Cloud Access Security Brokers, kurz CASB. Und sechstens: ein integriertes Monitoring über alle Assets, zum Beispiel über ein eigenes oder über einen Managed Security Service Provider.
Wie sollen die Unternehmen mit dem Thema Security in den DevOps-Prozessen umgehen?
DevSecOps als neues Thema hat sich etabliert. Dabei bietet der DevOps-Ansatz mehr Chancen, um die Sicherheit von Softwaresystemen zu verbessern. Container und Microservices sind heute ein wichtiger Bestandteil von DevOps-Initiativen, und die Sicherheit von DevOps muss sich anpassen, um den Sicherheitsanforderungen nachzukommen. Statische Sicherheitsrichtlinien, Projektgates und Checklisten eignen sich nicht für Cloud-Lösungen, sondern die Sicherheit muss in jede Phase des Lifecycle integriert werden. Zentral ist dabei die Schaffung von Security-Know-how innerhalb der integrierten Teams.
Wohin bewegt sich die Security-Landschaft?
Mit dem Eintritt der Hyperscaler ändert sich diese im Bereich Cybersecurity-Plattformen als PaaS- oder sogar SaaS-Lösungen massiv. Viele Kunden suchen nicht mehr die Best-of-Breed-Lösung in den einzelnen Bereichen, sondern setzen auf die Lösung, welche die beste Integration bietet. Da viele Unternehmen verschiedene Security-Lösungen nutzen, kann diese Strategie, wenn richtig eingesetzt, eine effizientere Lösung darstellen. Mit den Cloud-Lösungen treten auch immer mehr automatisierte softwaredefinierte Security-Lösungen durch Managed-Security-Anbieter in den Vordergrund. Auch die automatisierte Security Incident Response wird noch an Bedeutung gewinnen. Wir empfehlen den Blick auf das Thema Security zu erweitern: von den Informationssicherheits-Policies über den Schutz in einer hybriden Umgebung, Monitoring durch Managed-Security-Services-Spezialisten und der Security Incident Response inklusive Forensik. Unsere erfahrenen Security Consultants unterstützen gerne dabei.