Hybride cloud bezieht sich auf den Schutz von Workloads, Daten und Identitäten in Umgebungen, die lokale, private und öffentliche cloud umfassen. Im Gegensatz zu herkömmlichen Netzwerken sind hybride Umgebungen dynamisch und verteilt, wodurch Lücken entstehen, die Angreifer durch Fehlkonfigurationen, schwache Identitätskontrollen und Lieferkettenrisiken ausnutzen. Effektive cloud sorgt für Transparenz, Governance und Ausfallsicherheit in dieser sich ständig verändernden Landschaft.
Hybride cloud treten auf, wenn Unternehmen lokale, private und öffentliche cloud miteinander verbinden. Dieses Modell bringt Flexibilität und Skalierbarkeit mit sich, aber auch neue, hoch riskante Risiken. Angreifer zielen oft auf die Nahtstellen, an denen Umgebungen aufeinandertreffen, und nutzen falsch konfigurierte Arbeitslasten (APIs, Speicher, Geheimnisse), schwache oder inkonsistente Identitäts- und Zugriffskontrollen (überprivilegierte oder veraltete Konten, mangelhafte MFA/bedingter Zugriff) sowie Lücken in der einheitlichen Überwachung und Bedrohungserkennung.
Im Gegensatz zu herkömmlichen Infrastrukturen sind hybride Umgebungen sehr dynamisch: Arbeitslasten werden hoch- und runtergefahren, IP-Adressen werden recycelt, Datenströme kreuzen Umgebungen, und APIs werden zu kritischen Gateways. Für die Sicherheitsteams bedeutet dies, dass sich die Angriffsfläche ständig vergrößert und sich der traditionelle Perimeter auflöst.
Bei der hybriden cloud geht es nicht nur um den Schutz isolierter Systeme, sondern auch um kontinuierliche Transparenz, die konsequente Durchsetzung von Richtlinien (Governance und Least Privilege), strenge Identitätshygiene sowie schnelle Erkennung und Reaktion in einer verteilten, sich verändernden Infrastruktur. Vor allem in regulierten Sektoren geht es auch darum, die Einhaltung von Vorschriften zu gewährleisten, für Audits gerüstet zu sein und die Kosten durch die Verringerung des Toolwildwuchses zu kontrollieren.
Hybride cloud bieten Unternehmen Flexibilität und Skalierbarkeit, führen aber auch zu einer höheren Komplexität in Bezug auf Identität, Kontrolle und Transparenz. Da sich Arbeitslasten und Benutzeridentitäten zwischen On-Premise, IaaS, SaaS und PaaS verschieben, lösen sich herkömmliche Netzwerkgrenzen auf, und an den Nahtstellen zwischen den Umgebungen entstehen Erkennungslücken. Die Bedrohungen eskalieren schneller und umgehen oft die vorhandenen Abwehrmechanismen. Im Folgenden finden Sie die wichtigsten Risiken, die Sicherheitsverantwortliche kontinuierlich überwachen müssen:
Cloud sind nach wie vor eine der Hauptursachen für Sicherheitsverletzungen. Ungeschützte Speicherbereiche, übermäßig weitreichende Berechtigungen und falsch konfigurierte APIs sind häufige Einfallstore. Diese Fehler werden oft durch Automatisierung repliziert, was das Risiko in allen Umgebungen vergrößert. In der cloud gibt es keinen Schutzbereich, auf den man zurückgreifen kann, jede Fehlkonfiguration ist eine ungeschützte Oberfläche...
Insider-Bedrohungen werden in hybriden Umgebungen noch verstärkt. Angreifer kompromittieren häufig gültige Konten und bewegen sich seitlich unter Verwendung legitimer Anmeldedaten. Ohne traditionelle Segmentierung und Firewall-Grenzen erscheinen diese identitätsbasierten Angriffe als normales Benutzerverhalten und entgehen regelbasierten Erkennungssystemen.
Risiken in der Lieferkette nehmen weiter zu, insbesondere da immer mehr Unternehmen auf SaaS und verwaltete Dienste von Drittanbietern zurückgreifen. Eine kompromittierte Software-Abhängigkeit oder ein cloud kann eine Hintertür in mehrere Umgebungen schaffen. Vorfälle wie Operation Cloud Hopper zeigen, wie Angreifer das gemeinsame Vertrauen in cloud ausnutzen können, um in größerem Umfang einzudringen.
Ransomware und malware umfassen jetzt sowohl die On-Premise- als auch die cloud . In hybriden Umgebungen nutzen Gruppen wie Rhysida nutzen diese Verflechtung aus, indem sie die Kompromittierung von endpoint mit der Persistenz von cloud kombinieren. Durch die Einbettung in Verzeichnisdienste und die Deaktivierung von Verteidigungsmechanismen beschleunigen sie die laterale Bewegung über IaaS-, SaaS- und Identitätsebenen hinweg. Diese domänenübergreifende Reichweite erschwert die Eindämmung erheblich und erhöht das Risiko eines weitreichenden Datenzugriffs oder einer Verschlüsselung.
API- und Identitätsmissbrauch ist eine wachsende Bedrohung in der hybriden cloud, wo APIs und föderierte Identitätssysteme für die Workload-Integration von zentraler Bedeutung sind. Angreifer stehlen Token, nutzen Synchronisierungsdienste aus oder umgehen schwache MFA, um Privilegien in cloud zu erlangen. Sobald sie Zugang erhalten haben, imitieren sie vertrauenswürdige Prozesse und saugen sensible Daten ab, oft ohne herkömmliche Warnungen auszulösen.
Diese Angriffe sind effektiv, weil sie genau die Systeme ausnutzen, auf die sich Unternehmen für Konnektivität und Vertrauen verlassen. Wenn man die Techniken aufschlüsselt, wird klar, warum Identitäts- und API-Kontrollen in hybriden Umgebungen zu den Hauptzielen geworden sind:
Diese Taktiken zeigen, wie Angreifer das Vertrauen in hybriden Umgebungen ausnutzen und warum der Schutz von APIs und Identitäten für die Sicherung moderner Unternehmen heute von zentraler Bedeutung ist.
Da Angreifer die unscharfen Grenzen zwischen cloud, Identitäts- und On-Premise-Systemen ausnutzen, wird die Notwendigkeit einer einheitlichen Transparenz und Kontrolle immer wichtiger. Diese Taktiken zeigen, wie Angreifer das Vertrauen in hybriden Umgebungen ausnutzen und warum der Schutz von APIs und Identitäten für die Absicherung moderner Unternehmen heute von zentraler Bedeutung ist.
Hybride cloud bringen eine Komplexität mit sich, für die herkömmliche Sicherheitsmodelle nicht ausgelegt sind. Jede Ebene, von APIs über Identitäten bis hin zu Netzwerken, wird immer flüchtiger, verteilter und dynamischer. Diese Veränderungen schaffen Lücken in der Sichtbarkeit, Durchsetzung und Kontrolle, die Angreifer schnell ausnutzen können.
Lücken in der Sichtbarkeit werden immer größer, wenn Unternehmen kurzlebige Workloads, verschlüsselten Datenverkehr und föderierte Identitätsdienste einsetzen. Herkömmliche Perimeter-basierte und signaturgesteuerte Überwachungstools übersehen oft diese flüchtigen Verhaltensweisen, insbesondere wenn Workloads innerhalb von Sekunden hoch- und runterfahren oder wenn API-Aktivitäten vorhersehbare Netzwerkflüsse ersetzen.
Die Ausbreitung cloud Clouds stellt eine zusätzliche Herausforderung dar, da verschiedene CSPs unterschiedliche Standardsicherheitsmaßnahmen anwenden. Da die Richtlinien plattformübergreifend abweichen, verlieren Unternehmen die Konsistenz bei der Zugriffskontrolle, Protokollierung und Reaktion. Diese Inkonsistenzen werden zu blinden Flecken, die Angreifer ausnutzen können, um sich Zugang zu verschaffen und sich seitlich zu bewegen.
Die Herausforderungen der Einhaltung verschärfen sich ebenfalls. Regulatorische Standards wie HIPAA, PCI DSS und FedRAMP verlangen eine kontinuierliche Durchsetzung einheitlicher Kontrollen. Dies in einer hybriden Architektur zu erreichen, in der die Assets über SaaS, IaaS und On-Premise verteilt sind, macht die Audit-Bereitschaft und Rechenschaftspflicht zunehmend schwieriger.
Laut Gartner sind 99 % der Sicherheitsmängel cloud vom Kunden selbst verschuldet. Die Realität ist, dass die cloud aufgrund ihrer schieren Größe und ihres Umfangs in Verbindung mit ständigen Veränderungen niemals sicher konfiguriert werden kann. Im Idealfall möchten Sie Einblick in die Erstellung und Änderung von Konten sowie in die Nutzung von Diensten haben, ohne sich auf Agenten oder statische Richtlinienregeln zu verlassen.
Zusammengenommen schaffen diese Faktoren eine Umgebung, in der eine einzige Fehlkonfiguration oder eine nicht überprüfte Identität zu einem schwerwiegenden Sicherheitsverstoß führen kann, und zwar nicht aufgrund mangelnder Bemühungen, sondern weil sich die Kontrolle und der Kontext außerhalb der traditionellen Grenzen verlagert haben.
Jüngste Vorfälle zeigen, wie Angreifer hybride Komplexität als Waffe einsetzen, um herkömmliche Verteidigungsmaßnahmen zu umgehen und ihre Wirkung zu maximieren.
In einem Fall nutzten die Angreifer ransomware , um sich zunächst über einen anfälligen endpoint Zugang zu verschaffen, und gelangten dann in die cloud , indem sie mithilfe von Open-Source-Tools Anmeldedaten abfingen. Sobald sie in Azure AD und Exchange eingedrungen waren, umgingen sie MFA, stellten eine Persistenz in den cloud her und löschten schließlich VMs und Speicherkonten.
Diese auf Anmeldeinformationen basierende Kompromittierung zeigte, wie laterale Bewegungen die Grenzen zwischen endpoint, Identität und Infrastrukturebene überschreiten können, wobei die hybride Natur der Umgebung den Radius der Explosion vervielfacht.
Die gleiche domänenübergreifende Reichweite war bei der Operation Cloud Hopper zu beobachten, einer globalen Kampagne, die der APT10-Gruppe:
Diese Beispiele unterstreichen die Notwendigkeit für Sicherheitsteams, Identitäts-, SaaS- und IaaS-Domänen als einheitliches Ökosystem und nicht als unverbundene Silos zu überwachen. Die Fähigkeit, die Verwendung von Anmeldeinformationen, laterale Bewegungen und die Ausweitung von Privilegien über verschiedene Plattformen hinweg zu erkennen und zu korrelieren, ist heute unerlässlich, um moderne Angriffe abzuwehren.
Übernahme von zero trust um sicherzustellen, dass kein Benutzer und keine Arbeitslast standardmäßig vertrauenswürdig ist. Kontinuierliche Überprüfung, Minimierung von Berechtigungen und eingeschränkte seitliche Bewegung begrenzen die Reichweite von Angreifern und reduzieren die Verweildauer.
Bereitstellung von cloud zur Vereinheitlichung der Sichtbarkeit über SaaS, IaaS und Identität. Dies ermöglicht die Erkennung von verdecktem Missbrauch im TLS-Datenverkehr, Missbrauch von Verbundkonten und Exfiltration von Anmeldeinformationen, selbst wenn Angreifer normales Benutzerverhalten imitieren.
Implementieren Sie kontinuierliche Überwachung und beschleunigen Sie die Reaktion mit KI-gesteuerter Erkennung die Angriffsmuster früher in der Angriffskette erkennt. Von heimlichen Seitwärtsbewegungen, die in verschlüsselten Kanälen versteckt sind, bis hin zu inszenierter Aufklärung über Domänen hinweg - KI-Analysen decken Verhaltensweisen auf, die herkömmlichen Tools entgehen.
Einhaltung von Vorschriften und behördlichen Auflagen durch Angleichung an Standards wie HIPAA, PCI DSSund FedRAMP. Die Erfüllung dieser Vorgaben erfordert eine einheitliche Kontrolle über Identität, Daten und Infrastruktur, was mit herkömmlichen Tools in isolierten Umgebungen nicht möglich ist.
Um mithalten zu können, benötigen Verteidiger Strategien, die die Sichtbarkeit vereinheitlichen, die Erkennungslatenz verringern und sich über Identitäts-, SaaS- und cloud hinweg anpassen. Der nächste Schritt besteht darin, zu verstehen, wie diese Anforderungen in praktische Verteidigungsmaßnahmen umgesetzt werden können, die in realen Umgebungen funktionieren.
Dies bedeutet, dass wir uns mit drei Bereichen befassen müssen, die die Zukunft der Sicherheit heute bestimmen:
Mit der zunehmenden Verbreitung von Hybriden verstärken Angreifer ihre Bemühungen durch Automatisierung. Das Abgreifen von Zugangsdaten, die Kompromittierung der Lieferkette und der API-Missbrauch erfolgen zunehmend über Skripte und sind schnelllebig.
Verteidiger werden KI benötigen, um dieser Automatisierung entgegenzuwirken. Automatisierte Erkennung, Korrelation und Reaktion werden unerlässlich sein, um die Lücke zu schließen.
Auch neue Angriffstechniken sind auf dem Vormarsch. Von KI, die darauf abzielt, Abwehrmechanismen zu umgehen, bis hin zu phishing , die auf Deepfakes basieren, erfordern neue Bedrohungen ein Gleichgewicht zwischen maschinengesteuerter Erkennung und menschlicher Reaktion.
Bei der hybriden cloud geht es nicht mehr darum, stärkere Mauern zu errichten. Es geht um dynamische, anpassungsfähige Verteidigungsmaßnahmen, die sich mit den Strategien der Angreifer weiterentwickeln und Transparenz über Identitäts-, SaaS- und cloud hinweg bieten.
Sehen Sie, wie Vectra AI hybride cloud absichert mit Attack Signal Intelligence sichert.
Die Sicherheit in hybriden cloud beinhaltet die Verwaltung von Risiken in verschiedenen Umgebungen, On-Premise, Private und Public Clouds, in denen Arbeitslasten dynamisch sind, Grenzen sich auflösen und APIs und Identitäten zum Kern des Zugangs werden. Im Gegensatz zu statischen Netzwerken ändern sich hybride Umgebungen schnell, was eine konsistente Sichtbarkeit und Kontrolle erschwert.
Aufgrund der Komplexität und Automatisierung in hybriden Umgebungen kommt es häufig zu Fehlkonfigurationen. Fehler wie freiliegender Speicher oder zu freizügige IAM-Einstellungen werden schnell repliziert und führen zu einer weitreichenden Gefährdung, ohne dass ein traditioneller Perimeter das Risiko eindämmen kann.
Angreifer stehlen häufig Anmeldeinformationen und missbrauchen föderierte Identitätssysteme, so dass sie MFA umgehen, Privilegien erweitern und sich seitlich über IaaS-, SaaS- und On-Premise-Systeme hinweg bewegen können - alles unter dem Deckmantel legitimer Benutzer.
In hybriden Umgebungen können laterale Bewegungen Identitäts-, cloud und On-Premise-Ebenen umfassen. Angreifer verwenden gültige Anmeldedaten oder Trojaner für den Fernzugriff, um sich über Domänen hinweg zu bewegen, wobei die Erkennung aufgrund der fragmentierten Überwachung oft umgangen wird.
Es zeigte sich, dass Angreifer einen einzelnen Managed Service Provider kompromittieren und sich dann seitlich über Mieter und Infrastrukturebenen hinweg bewegen können. Sie nutzten phishing, PowerShell und malware Fernzugriff, um die Tarnung aufrechtzuerhalten und Daten in großem Umfang zu exfiltrieren.
Die Cloud ist zwischen Anbietern und Kunden aufgeteilt. CSPs sichern die Infrastruktur, während die Kunden für Daten, Identitäten, Zugriffskontrolle und die Sicherung der von ihnen eingesetzten Arbeitslasten verantwortlich sind. Wenn dieses gemeinsame Modell nicht gehandhabt wird, entstehen blinde Flecken.
Gruppen wie Rhysida vereinen die Kompromittierung vor Ort mit der Persistenz von cloud . Sie deaktivieren Abwehrmechanismen, erweitern die Berechtigungen und verschlüsseln oder exfiltrieren Daten über IaaS- und SaaS-Ebenen, was die Behebung und Eindämmung erschwert.
Herkömmliche Tools haben Schwierigkeiten, Bedrohungen in kurzlebigen Workloads, verschlüsseltem API-Datenverkehr und föderierten Identitätsströmen zu erkennen. Ohne einheitliche Überwachung können kritische Signale übersehen werden, wenn sie sich über Silos hinweg bewegen.
Zu den wichtigsten Strategien gehören die Einführung von Zero Trust, die Implementierung von kontinuierlicher Bedrohungserkennung mit KI/UEBA, die Vereinheitlichung der Sichtbarkeit über SaaS/IaaS/Identität hinweg und die Anpassung an Compliance-Rahmenwerke wie HIPAA und PCI DSS.
Da sich die Bedrohungen weiterentwickeln und Angreifer den Diebstahl von Zugangsdaten und seitliche Bewegungen automatisieren, müssen sich Verteidiger verstärkt auf KI-gesteuerte Erkennung und automatisierte Reaktion verlassen. Die hybride Sicherheit verlagert sich von perimeterbasierten Verteidigungsmaßnahmen zu adaptiven, verhaltensgesteuerten Modellen, die mit cloud arbeiten können.