Anpassung an Veränderungen bei der Sicherung der Cloud

Anpassung an Veränderungen bei der Sicherung der cloud

Der Bedarf an Schnelligkeit und Flexibilität im heutigen digitalen Unternehmen, das immer eingeschaltet und verbunden ist, hat IT-Teams dazu veranlasst, die herkömmliche Infrastruktur vor Ort in cloud-native Architekturen umzuwandeln. Das Aufkommen von DevOps und die Nutzung von Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) waren die Grundlage für diesen Wandel und sind heute die Norm. Doch wo die Sicherheit traditionell in den Händen spezieller Teams lag, liegt sie nun oft bei den Entwicklern selbst. Das hat zur Folge, dass mit zunehmender Geschwindigkeit und Agilität auch das Risiko der Einführung von Sicherheitsproblemen steigt.

Lebenszyklus von Cyberangriffen

Auf den ersten Blick scheint der Angriffszyklus in cloud dem eines herkömmlichen Netzwerks zu ähneln; bei näherer Betrachtung gibt es jedoch einige wichtige Unterschiede, die die Art und Weise ändern, wie die Sicherheit betrachtet werden muss.

Was sind die verschiedenen Arten von cloud Implementierungen und ihre Sicherheitsprobleme?

Gemeinsame Verantwortung in der cloud

Bei der Einführung von cloud Diensten wird die Sicherheit zu einem Modell mit geteilter Verantwortung. In diesem Modell obliegt es den Kunden des Cloud Service Providers (CSP), ihre Hälfte der Sicherheitsmaßnahmen ständig anzupassen und bereitzustellen, die sich perfekt an die sich ändernde Bedrohungslage anpassen, die durch die CSP-Architektur entsteht.

Was sind die größten Herausforderungen für die Sicherheit von cloud ?

Infrastruktur als Dienstleistung

Auf den ersten Blick scheint sich die IaaS-Sicherheit im Vergleich zu Ihrer lokalen Umgebung am wenigsten zu ändern. Schließlich handelt es sich bei cloud nur um Ihre Anwendung, die auf einem fremden Computer läuft.

Aber Cloud Security Providers (CSPs) liefern Ihnen diesen Computer, zusammen mit einer völlig neuen und ungewohnten Verwaltungs- und Kontrollebene, neuen Identitäts- und Zugriffsparadigmen und neuen Formen der Speicherung.

Die erste Generation von Sicherheitsverletzungen im Zusammenhang mit cloud war darauf zurückzuführen, dass Unternehmen dieses neue Paradigma nicht verstanden und vertrauliche Informationen auf cloud speicherten, während sie den Zugang zum Internet offen ließen.

Im Unternehmen ist ihnen das nie passiert, da ihre Netzwerk-Firewalls und die Segmentierung einen Schutz vor dieser Art von Fehlkonfiguration boten. Was hat sich geändert? Es gibt keine Möglichkeit, alle Anlagen auf cloud physisch mit einem Netzwerk zu umgeben und Firewalls am Rande dieses Netzwerks zu platzieren.

Der Kernpunkt des Problems ist einfach: CSPs bieten unglaublich komplexe Ökosysteme, die sich ständig verändern, wenn neue Funktionen hinzugefügt werden.

Plattform als Dienstleistung

Die Auswirkungen der Einführung von PaaS auf die Sicherheit werden von vielen Unternehmen nicht richtig verstanden. Die fraglichen Dienste reichen von einfachen (z. B. Speicher) bis zu komplexen (z. B. Analysestacks). Und jeder dieser Dienste hat seine eigenen Sicherheitsnuancen.

Bei allen Diensten, die über PaaS bereitgestellt werden, gibt es eine umfassendere Herausforderung: Sicherheitsteams haben in der Regel keine bestehenden Modelle, wie ein in eine Anwendung eingebetteter Dienst gesichert werden kann, ohne ihn mit einem sicheren Netzwerk zu umgeben. Es gibt keine Möglichkeit, dieses Modell auf PaaS-bereitgestellte Dienste anzuwenden.

Beachten Sie auch, dass die Ziele der CSPs sich von denen ihrer Kunden unterscheiden. Bei der Einführung neuer Dienste werden die CSPs, die diese Dienste entwickeln, an der Akzeptanz des Dienstes gemessen.

Bei der Entscheidung über die Standard-Sicherheitsvorkehrungen eines neuen Dienstes werden CSPs in der Regel eher Hindernisse beseitigen, um den Kunden die Einführung zu erleichtern, als Sicherheitskontrollen hinzuzufügen, die auch die Akzeptanz durch die Kunden verlangsamen könnten.

Software als Dienstleistung

Bei SaaS gibt es keine Illusionen darüber, dass alles gleich ist, da man nur Zugriff auf Konten und Identitäten hat. SaaS hat sich jedoch auf breiter Front durchgesetzt, da Unternehmen erkannt haben, dass sie damit neue Anwendungen buchstäblich über Nacht einführen können, ohne sich um Software-Upgrades, Backups und andere banale Supportaufgaben kümmern zu müssen.

Auf diese SaaS-Anwendungen kann von überall aus zugegriffen werden, und es wird erwartet, dass Elemente von endpoint detection and response (EDR) auf dem Gerät, das auf sie zugreift, wenn man Glück hat, und vielleicht ein cloud access security broker (CASB) die Sicherheit von früher wiederherstellen.

Außerdem sind SaaS-Anwendungen unglaublich komplex geworden. Und vergessen Sie nicht, dass dies nur ein Teil einer viel größeren Aufgabe für IT-Organisationen ist, die mit der Bereitstellung und dem Entzug des Zugriffs und der Überwachung von Sicherheitsfragen für Anwendungen betraut sind.

Wenn ein Endbenutzer erfolgreich gephisht wird oder ein Fehler bei der Konfiguration eines Teils der Anwendung cloud gemacht wird, haben Angreifer schnell Zugriff auf Ihre Daten und einen großartigen Einstiegspunkt für andere Dienste.

Abbildung verschiedener cloud Sicherheitslösungen auf den Lebenszyklus von Angriffen

Ihre cloud Sicherheitsabdeckung hängt davon ab, welche cloud Sicherheitslösung Sie wählen. Im Folgenden erfahren Sie, wie die verschiedenen Tools eine unterschiedliche Breite und Tiefe der Abdeckung bieten.

Definitionen

CASB

Cloud Access Security Broker

Steht zwischen cloud Servicekunden und cloud Serviceanbietern, um Sicherheits-, Compliance- und Governance-Richtlinien für cloud Anwendungen durchzusetzen.

CWPP

Cloud Plattform zum Schutz der Arbeitsbelastung

Wird in erster Linie zur Sicherung von Server-Workloads in öffentlichen cloud Infrastructure-as-a-Service (IaaS)-Umgebungen unter Verwendung eines Agenten verwendet.

CSPM

Cloud Management der Sicherheitslage

Unterstützt Unternehmen bei der Erkennung, Bewertung und Behebung von cloud Fehlkonfigurationen durch die Überwachung von Richtlinien.

IDPS

System zur Erkennung und Verhinderung von Eindringlingen

Ein Gerät oder eine Softwareanwendung, das/die ein Netzwerk oder Systeme auf bösartige Aktivitäten oder Richtlinienverstöße überwacht, die in der Regel signaturbasiert sind.

Web-Anwendungs-Firewalls

Eine Web Application Firewall filtert, überwacht und blockiert den HTTP-Verkehr zu und von einer Webanwendung.

Web- und E-Mail-Sicherheit

Verschiedene Sicherheitstools zum Schutz eines bestimmten Dienstes, z. B. E-Mail.

NAC

Netzzugangskontrolle

Vereinheitlichung der endpoint Sicherheitstechnologien (z. B. Virenschutz, Host Intrusion Prevention und Schwachstellenanalyse), Benutzer- oder Systemauthentifizierung und Durchsetzung der Netzwerksicherheit.

Die Verhinderung einer Kompromittierung wird immer schwieriger, nicht aber die Erkennung der auftretenden Verhaltensweisen - von der Befehls- und Kontrollfunktion bis hin zur Datenexfiltration -.

‍

Erkennen und reagieren

Während die Umstellung auf cloud unmittelbare Vorteile in Bezug auf Kosten und Flexibilität mit sich bringt, steigt das Risiko aufgrund der mangelnden Transparenz deutlich und spürbar an. Der isolierte Ansatz zur Erkennung von Bedrohungen in der hybriden cloud Welt macht Sie blind für gefährdete Benutzer, Konten, Rollen und Fehlkonfigurationen.

Bei der herkömmlichen hardwarebasierten Methode konnte die Sicherheit nach der Bereitstellung in Form von Firewalls und virtuellen Patches hinzugefügt werden, was bei der Bereitstellung auf cloud nicht mehr möglich ist. Sobald eine Bereitstellung auf cloud live ist, ist es bereits zu spät, um über präventive Sicherheit nachzudenken.

Laut Gartner sind 99 % der Sicherheitsmängel bei cloud vom Kunden selbst verschuldet. Die Realität ist, dass cloud aufgrund der schieren Größe und des Umfangs in Verbindung mit ständigen Änderungen niemals sicher konfiguriert sein wird. Im Idealfall möchten Sie Einblick in die Erstellung und Änderung von Konten sowie in die Nutzung von Diensten haben, ohne sich auf Agenten oder statische Richtlinienregeln zu verlassen.

Veraltete Abläufe und Sicherheitspraktiken lassen sich nicht gut auf die öffentliche cloud übertragen, und die zu schützende und zu prüfende cloud Oberfläche ändert sich ständig.