Sicherheit in Public Clouds

Die öffentliche Cloud bietet Organisationen große Flexibilität, aber wie steht es mit der Sicherheit?

Ein Beitrag von unserem Gastautor Robert Blank, DACH Lead / Regional Sales Manager bei AlgoSec

[datensicherheit.de, 12.06.2019] Das Management von Konten in der öffentlichen Cloud kann eine mitunter aufwändige Aufgabe für IT-Sicherheitsteams sein. Innerhalb von Unternehmen wird die Verwaltung dieser Konten deshalb häufig auf einzelne Cloud-Teams aufgeteilt, um Zeit und Kosten zu sparen. Um ausreichende Sicherheit zu gewährleisten, erhält jedes einzelne Konto individuelle Zugangsdaten, die nur den jeweiligen Teams bekannt sind.

Komplexität kann Geschäftsanwendungen behindern oder sogar blockieren

Hierdurch entsteht allerdings eine Komplexität, die im Ernstfall dafür sorgen kann, dass Geschäftsanwendungen behindert oder gar blockiert werden. Insbesondere bei Änderungen an jenen Anwendungen, die sich über mehrere Cloud-Konten erstrecken oder beim Austausch von Infrastrukturkomponenten kann es zu Behinderungen kommen, die im schlimmsten Fall die Anwendung und damit Teile des Geschäftsbetriebs lahmlegen können.

Selbst wenn Unternehmen eine einzige öffentliche Cloud-Plattform wie AWS nutzen, hat jedes Konto seine eigenen Sicherheitskontrollen, die mitunter zahlreich sein können. Jede VPC hat in allen Bereichen des Kontos ihre eigenen Sicherheitsgruppen und Zugriffslisten. Selbst, wenn sie die gleiche Richtlinie enthalten, müssen sie individuell geschrieben und eingesetzt werden. Jedes Mal, wenn eine Änderung vorzunehmen ist, müssen die Teams in all diesen Bereichen Doppelarbeit leisten.

Datensicherung und Anwendungssicherung mitunter schwierig

Die Sicherung von Anwendungen und Daten in diesen Umgebungen stellt sich mitunter als schwierig heraus. Laut „State of the Cloud Report“ haben 2018 92 Prozent der knapp 1000 befragten Unternehmen Anwendungen und Daten bereits in die Cloud migriert. Schwierigkeiten sahen die befragten Unternehmen vor allem in der Sicherung dieser Unternehmenswerte, besonders wenn sie nicht auf eine reine Cloud-Integration, sondern eine Hybrid-Lösung setzten, also einer Kombination aus On-Premises und Cloud.

Bild: AlgoSec

Robert Blank, DACH Lead / Regional Sales Manager bei AlgoSec

Es stellt sich die Frage, wie Sicherheitsteams Einblick in all diese Cloud-Accounts mit ihren unterschiedlichen Konfigurationen erlangen können, um sicherzustellen, dass entsprechend der Sicherheitsrichtlinien des Unternehmens alle Accounts ordnungsgemäß geschützt sind. Es ist nahezu unmöglich, dies mithilfe manueller Prozesse zu bewältigen, ohne potentielle Schwachstellen zu übersehen oder gar einzubauen.

Doch wie gelingt es den Teams, die für Hunderte dieser Konten verantwortlich sind, diese effektiv zu verwalten?

Dies sind die drei wichtigsten Schritte: 

1. Einblick in das gesamte Netzwerk erlangen
   Das erste Problem, das es zu bewältigen gilt, ist der fehlende Einblick in alle AWS-Cloud-Konten und zwar aus einem einzigen Blickwinkel. Die Sicherheitsteams müssen in der Lage sein, alle Sicherheitskontrollen quer durch alle Konten/Regionen/VPC-Kombinationen zu beobachten.
2. Änderungen von einer einzigen Konsole aus verwalten
   Die meisten Änderungen an Netzwerksicherheitsrichtlinien müssen sich auch mit dem Mix der eigenen Sicherheitskontrollen der Cloud-Anbieter sowie mit anderen Kontrollmechanismen beschäftigen, sowohl in der Cloud als auch On-Premises. Eine Cloud-Anwendung ist keine „Insel“ – sie muss auf Ressourcen in anderen Bereichen der Implementierungen einer Organisation zugreifen. Werden Änderungen an den Netzwerksicherheitsrichtlinien in all diesen unterschiedlichen Sicherheitskontrollen von einem einzelnen System aus verwaltet, können Sicherheitsrichtlinien einheitlich, effizient und mit einem vollständigen Audit Trail für jede Änderung angewandt werden.
3. Sicherheitsprozesse automatisieren
   Automatisierung ist für die effiziente Verwaltung mehrerer öffentlicher Cloud-Konten unverzichtbar. Die Automatisierung der Sicherheit beschleunigt Änderungsprozesse ganz erheblich und ermöglicht die konsequentere Durchsetzung und Auditierung der Erfüllung gesetzlicher Auflagen. Auch hilft sie Organisationen, Qualifikationsdefizite und personelle Beschränkungen zu überwinden. Mit einer Automatisierungslösung, die diese Schritte abwickelt, können Organisationen über eine zentrale Konsole ein ganzheitliches Sicherheitsmanagement in all ihren öffentlichen Cloud-Konten sowie in ihren privaten Cloud- und On-Premises-Implementierungen betreiben.

Fazit

Die Cloud wird auch in Zukunft nichts an Wichtigkeit einbüßen, es werden immer mehr Unternehmen ihre Anwendungen und Daten in Hybrid- oder Public Clouds verlegen. Um eine ausreichende Sicherheit zu gewährleisten und gleichzeitig die eigenen IT-Sicherheitsteams zu entlasten, sollten sich Unternehmen nach Lösungen für das Management von Firewall-Sicherheitsrichtlinien umschauen, die viele dieser Prozesse automatisieren können. Somit wird der Arbeitsaufwand für die IT-Teams verringert. Darüber hinaus bleibt kein Raum für menschliche Fehler, die bei der Änderung von Richtlinien auftreten können. Eine Auditierung aller Änderungsprozesse hilft dabei, diese nachzuverfolgen und Compliance-Anforderungen gerecht zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 08.05.2019
Public-Cloud-Ressourcen: Drei Tipps zur Absicherung

datensicherheit.de, 27.03.2019
Schneller sein als die Hacker: IT-Schwachstellen im Unternehmen suchen und finden

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

datensicherheit.de, 03.10.2018
Multi-Cloud: Umdenken bei der Planung von IT-Budgets erforderlich