Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

Empfehlungen für eine effiziente und effektive Umsetzung

[datensicherheit.de, 07.08.2019] Die Herausforderungen seien Cloud-spezifisch und vielfältig – und aktuell ein vieldiskutiertes Thema. Die Bewertung und Auswahl des richtigen Cloud-Sicherheitsangebots für Multi-Cloud-Umgebungen, die AWS, Azure und Google Cloud Platform umfassen, überdies nicht einfach.

Die folgenden sieben Merkmale, die nach Meinung von Palo Alto Network entscheidend sein können, helfen bei der Orientierung.

1. Multi-Cloud-Unterstützung – AWS, Azure und GCP mindestens
   Viele Unternehmen verfolgen bereits eine Multi-Cloud-Strategie, andere bewegen sich zumindest in diese Richtung. Vor diesem Hintergrund ist es wichtig, eine Lösung zu wählen, die verschiedene Cloud-Angebote abdeckt und einen wirklich integrierten Multi-Cloud-Support bieten kann. Sinnvoll ist ein zentralisierter Ansatz, der die Transparenz über alle Cloud-Umgebungen heute und in Zukunft nahtlos vereinheitlicht.
2. 100 Prozent SaaS-basiert und API-gesteuert – keine Agenten oder Proxies.
   Eine 100 Prozent API-basierte SaaS-Lösung ist die einzige Möglichkeit, die dynamische, verteilte Natur von Cloud-Umgebungen effektiv zu verwalten. Die Erfahrung zeigt, dass Agenten- oder Proxy-basierte punktuelle Produkte erhebliche Reibungsverluste verursachen und blinde Flecken hinsichtlich der Sicherheit hinterlassen. Die Bereitstellung und Wartung von nicht-API-basierten Produkten sorgt für zu viel Aufwand, insbesondere manuelle Arbeit, bei erhöhtem Risiko.
3. Kontinuierliche Ressourcenermittlung
   Was nicht sichtbar ist, lässt sich nicht schützen. Es ist wichtig, eine Lösung auszuwählen, die alle Cloud-Ressourcen kontinuierlich überwacht und dynamisch erkennt. Hierzu zählen z. B. virtuelle Maschinen, Datenbankinstanzen, Speicherbereiche, Benutzer, Zugriffsschlüssel, Sicherheitsgruppen, Netzwerke, Gateways, Snapshots und mehr. Eine zentralisierte und sich automatisch aktualisierende Inventarisierung, die den Sicherheits- und Konformitätsstatus jeder eingesetzten Ressource anzeigt, ist die Grundlage für eine wirklich effektive Cloud-Sicherheitsstrategie.
4. Automatisierte Ressourcenüberwachung
   Ebenso wichtig ist die Fähigkeit der Lösung, automatisch robuste Sicherheitsrichtlinien anzuwenden und Fehlkonfigurationen schnell zu beheben, um die Einhaltung unternehmensweit definierter Sicherheitsrichtlinien zu gewährleisten. Diese Funktionen müssen alle wichtigen Risikofaktoren in den Cloud-Umgebungen abdecken, einschließlich:
   • Konfigurationsprüfungen: Jüngste Untersuchungen des Forschungsteams Unit 42 von Palo Alto Networks zeigen, dass 32 Prozent der Unternehmen bereits mindestens einen Cloud-Speicherdienst versehentlich öffentlich zugänglich gemacht haben. Konfigurationsprüfungen helfen sicherzustellen, dass jede eingesetzte Cloud-Ressource ordnungsgemäß konfiguriert ist und sich innerhalb definierter Grenzen bewegt, und keine Konfigurationsveränderungen in den Public-Cloud-Umgebungen von AWS, Azure und GCP vorliegen.
   • Netzwerkaktivitäten: Unit 42 hat auch herausgefunden, dass bei 11 Prozent der Unternehmen derzeit Cryptojacking-Aktivitäten in ihrer Umgebung durchgeführt werden. Um einen vollständigen Überblick über verdächtigen Netzwerkverkehr und -aktivitäten zu gewinnen, muss die Sicherheitslösung in der Lage sein, die Cloud-Umgebungen kontinuierlich zu überwachen. Es reicht nicht aus, nur Konfigurations- und Konformitätsprüfungen durchzuführen, denn diese zeigen nur auf, was schiefgehen kann, aber nicht, was schiefläuft.
     Hierzu ein Beispiel: Konfigurationsprüfungen können helfen, lose konfigurierte Sicherheitsgruppen zu erkennen, die eingehenden Datenverkehr auf allen Ports von allen IP-Adressen zulassen. Dies könnte ein geschäftskritisches Problem sein. Ohne Netzwerküberwachung lässt sich jedoch nicht feststellen, ob diese Schwachstelle ausgenutzt wurde oder ob bösartiger Datenverkehr eingedrungen ist.
     • Überwachung von Benutzern und Zugriffsschlüsseln: Daten von Unit 42 zeigen auch, dass 29 Prozent der Unternehmen potenzielle Kompromittierungen von Accounts aufweisen, was nicht nur zu Datenverlust, sondern auch zu Kontrollverlust und letztlich zu Vertrauensverlust hinsichtlich ihrer Cloud-Umgebungen führen kann. Die Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) und andere ML-basierte Funktionen (Machine Learning) können helfen, hinterhältige Aktivitäten wie z.B. gestohlene Zugangsdaten zu erkennen. Diese Funktionen ermöglichen es, nach anomalen Aktivitäten zu suchen und diese zu erkennen. Ohne UBA ist es fast unmöglich, anspruchsvolle Angriffe rechtzeitig zu erkennen.
     • Überwachung von Schwachstellen und Bedrohungserkennung: Es ist wichtig, ein Cloud-Sicherheitsangebot auszuwählen, das Bedrohungs- und Schwachstellendaten von Drittanbietern korrelieren und kontextualisieren kann.
5. Viele Daten miteinander verknüpfen
   Die kontinuierliche Kontextualisierung mehrerer, unterschiedlicher Datensätze ist entscheidend für den Aufbau eines tiefgehenden Verständnisses der Sicherheitslage. Erst wenn Unternehmen ihr Sicherheitsprofil und ihre Risiken vollständig verstanden haben, können sie Probleme schnell beheben. Hierzu zählen beispielsweise Workloads mit übermäßig zulässigen Sicherheitsgruppenkonfigurationen, erkannten Hostschwachstellen und Traffic von verdächtigen IP-Adressen etc. Ein weiteres Beispiel ist die Identifizierung von privilegierten Benutzeraktivitäten in Cloud-Umgebungen, die an ungewöhnlichen (noch nie beobachteten) Orten durchgeführt werden.
6. Remediation ist gut, automatische Remediation ist besser.
   Remediation bedeutet in diesem Zusammenhang die Behebung von Sicherheitsvorfällen. Mehrere Remediationsoptionen (sowohl geführte als auch automatisierte) sind hierbei wichtig, um das Risikofenster zu reduzieren. Wenn die Sicherheitslösung beispielsweise eine öffentlich zugängliche Netzwerksicherheitsgruppe identifiziert, die einem sensiblen Workload zugeordnet ist, ist die Fähigkeit, den Zugriff automatisch einzuschränken, von größter Bedeutung. Die Fähigkeit, auch individuelle, auf die spezifischen Bedürfnisse zugeschnittene Remediationsregeln zu schreiben, ist entscheidend. Eine „Selbstheilungsfunktion“ ermöglicht es Unternehmen, sicherzustellen, dass ihre hohen Sicherheits- und Compliance-Richtlinien stets eingehalten werden.
7. Integration
   Schließlich ist es wichtig, eine offene Plattform zu nutzen, die es ermöglicht, Cloud-Alarme an bestehende Tools und Workflows wie SIEM, SOAR, Ticketing-Systeme, Collaboration-Tools etc. zu senden.

Unternehmen, die diese sieben Empfehlungen berücksichtigen, werden nach Meinung von Palo Alto Networks in der Lage sein, ihre Cloud-Sicherheitsstrategie sowohl effizienter als auch effektiver umzusetzen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.08.2019
Datenpanne bei Capital One – Datenverantwortung darf nicht in der Cloud aufhören

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 24.07.2019
Die Bedeutung des Cloud-Computing für die digitale Transformation