Die Public Cloud löst viele Ressourcen-Engpässe der traditionellen IT, wirft jedoch neue Probleme auf.
Betrachtet man die Benutzerfreundlichkeit und Kosteneffizienz der Public Cloud, verwundert es kaum, dass immer mehr Unternehmen Amazon Web Services, Microsoft Azure und die Google Cloud Platform nutzen. Innerhalb von Minuten lassen sich neue Instanzen einrichten und Ressourcen ganz nach Bedarf skalieren. Gezahlt wird nur für die Leistungen, die tatsächlich in Anspruch genommen werden – und hohe Anschaffungskosten für Hardware entfallen. Doch dabei gilt es einiges zu beachten – hier sind die wichtigsten Punkte:
Schritt 1: Kennen Sie Ihre Verantwortung
So banal wie es klingen mag, ist es nicht – denn in der Cloud gelten beim Thema Sicherheit spezielle Regeln. Public-Cloud-Anbieter wie Amazon Web Services, Microsoft Azure und die Google Cloud Platform setzen auf ein Shared-Responsibility- Modell – die Anbieter sorgen für die Sicherheit der Cloud, doch Sie selbst sind für die Sicherheit aller Inhalte verantwortlich, die Sie in die Cloud verlagern.
Der physische Schutz im Rechenzentrum sowie die virtuelle Trennung von Kundendaten und Umgebungen liegt im Verantwortungsbereich der Public-Cloud-Anbieter.
Eventuell erhalten Sie einige grundlegende Firewall-Regeln, mit denen Sie den Zugriff auf Ihre Umgebung regeln können. Wenn Sie diese jedoch nicht korrekt konfigurieren – z.B. Ports für die gesamte Welt offen lassen – haben Sie die Konsequenzen zu tragen. Sie müssen also wissen, für welche Bereiche der Sicherheit Sie verantwortlich sind.
Von Sophos zusammengefasste Darstellung des Shared-Responsibility-Modells.
Schritt 2: Planen Sie mehrere Clouds ein
Ein sogenannter Multi-Cloud-Ansatz ist heute nicht mehr bloß eine Option, sondern schlichtweg notwendig. Die Nutzung mehrerer Clouds ist aus vielen Gründen sinnvoll, z. B. im Hinblick auf Verfügbarkeit, mehr Agilität oder Funktionalität. Gehen Sie bei der Planung Ihrer Sicherheitsstrategie davon aus, dass Sie mehrere Clouds nutzen werden – wenn nicht jetzt, dann irgendwann in der Zukunft. So machen Sie Ihre Strategie zukunftssicher.
Überlegen Sie, wie Sie Sicherheit, Monitoring und Compliance für verschiedene Cloud-Anbieter in separaten Systemen und Konsolen verwalten wollen. Je einfacher die Verwaltung, desto schneller und besser können Sie auf Vorfälle reagieren, Bedrohungen erkennen und Compliance-Audits reibungslos über die Bühne bringen. So binden Sie auch wertvolle Mitarbeiter längerfristig, da eine komfortable Verantwortung für zufriedenes Personal sorgt.
Präferieren Sie agentenlose Lösungen, mit denen Sie die Umgebungen mehrerer Cloud-Anbieter in einer zentralen SaaA-Konsole kontrollieren können. So benötigen Sie weniger Tools, Zeit und Personal zur Verwaltung der Sicherheit mehrerer Cloud-Accounts und Regionen.
Schritt 3: Schaffen Sie Transparenz
Was Sie nicht sehen können, können Sie nicht schützen. Deshalb ist es für Ihre Sicherheit so wichtig, maximale Transparenz über Ihre gesamte Infrastruktur zu haben.
Nutzen Sie Tools, die die Netzwerktopologie und den Datenverkehr in Echtzeit abbilden und Ihr gesamtes Inventory aufschlüsseln, einschließlich Hosts, Netzwerken, Benutzerkonten, Speicherdiensten, Containern und serverlosen Funktionen.
Suchen Sie für maximale Transparenz nach Tools, die in der Lage sind, potenzielle Schwachstellen innerhalb Ihrer Architektur zu erkennen, damit Sie diese bereits vor einer Ausnutzung beseitigen können. Potenzielle Risikobereiche:
- Datenbanken mit offenen Ports zum öffentlichen Internet, über die sich Angreifer Zugriff verschaffen könnten
- Public Amazon S3 Simple Storage Services
- Verdächtige Benutzeranmeldungen und API-Aufrufe – z. B. mehrere Anmeldungen gleichzeitig am selben Konto oder Anmeldungen eines Nutzers aus unterschiedlichen Teilen der Welt am selben Tag
Schritt 4: Integrieren Sie Compliance in tägliche Abläufe
Bei einer Migration von Workloads in die Cloud müssen Sie Compliance-Vorschriften in einem weiter verteilten Netzwerk erfüllen, oft mit regelmäßigen Entwicklungs- Releases. Um die Compliance sicherzustellen, müssen Sie präzise Reports über Assets und Netzwerkdiagramme Ihres Cloud Footprint erstellen und dafür sorgen, dass die Kriterien Ihrer Compliance-Checkliste in einer dynamischen Umgebung erfüllt werden.
Um Audit-Fristen einzuhalten, ziehen viele Unternehmen als kurzfristige Lösung Ressourcen von rentablen Geschäftsprojekten ab. Dies ist jedoch keine Dauerlösung, da tägliche Snapshots schnell überholt sind und keine kontinuierliche Compliance-Prüfung erfolgt, die jedoch für Standards und Verordnungen wie ISO 27001, HIPAA und die DSGVO erforderlich ist.
Suchen Sie nach Lösungen, mit denen Sie die Compliance-Standards erhöhen können, ohne mehr Personal einstellen zu müssen. Die Lösungen sollten Ihnen Echtzeit-Snapshots Ihrer Netzwerktopologie liefern und Änderungen an Ihren Cloud- Umgebungen automatisch in Echtzeit erkennen. Achten Sie außerdem darauf, dass sich Richtlinien auf die spezifischen Anforderungen Ihrer Branche anpassen lassen.
Natürlich ist Reporting nur ein Compliance-Aspekt unter vielen. Sie müssen auch in der Lage sein, bei Compliance-Problemen entsprechend zu reagieren. Leider mangelt es oft an geeigneten Kollaborationskanälen, sodass sich eine Zusammenarbeit der zuständigen Mitarbeiter in Operations, Entwicklung und Compliance nur schwer realisieren lässt.
Um die Reaktion bei Compliance-Problemen reibungslos zu gestalten, sollten Sie sich für Lösungen entscheiden, die sich in Ihre bestehende Ticketing- Lösung integrieren lassen. Dazu gehören auch Warnmeldungen, auf deren Basis Problemfälle erstellt, zugewiesen und bis zur Erledigung nachverfolgt werden können. So gehen wichtige Aufgaben nie verloren, selbst während eines Release.
Schritt 5: Automatisieren Sie Ihre Sicherheitskontrollen
Die Möglichkeit, Prozesse zu automatisieren, ist einer der großen Vorteile von DevOps. Aber genau wie Ihre Teams gerne die Bereitstellung von Infrastrukturvorlagen und -skripten automatisieren und dadurch Stunden an Entwicklungszeit einsparen, sollten auch Sie überlegen, welche Sicherheitskontrollen Sie automatisieren können.
Im kollaborativen Framework von DevOps ist Sicherheit eine gemeinsame, durchgängig integrierte Verantwortung. Diese Denkweise führte zur Prägung des Begriffs „DevSecOps“: Er betont die Notwendigkeit, starke Sicherheitsgrundlagen in DevOps-Initiativen zu integrieren.
Das Bedürfnis nach automatisierter Sicherheit liegt auf der Hand, denn auch die Cyberkriminellen setzen bei ihren Angriffen zunehmend auf Automatisierung: Mit gestohlenen Benutzer-Anmeldeinformationen automatisieren sie beispielsweise die Bereitstellung von Instanzen für Aktivitäten wie Cryptojacking, das Ändern von Kontoeinstellungen oder die Sperrung legitimer Benutzer, um unerkannt zu bleiben. Das Ausspionieren von Cloud-Umgebungen nach Passwort-Schwachstellen, Sicherheitsgruppen-Einstellungen und Code gehört mittlerweile zum Alltag.
Es gibt zwei Hauptgründe, warum Angriffe auf Public-Cloud-Umgebungen gelingen: Die Architektur ist nicht sicher konfiguriert und die Reaktion auf Bedrohungen hinkt den Angreifern hinterher. Um diese Probleme in den Griff zu bekommen, ist eine Automatisierung von Sicherheitskontrollen entscheidend.
Eine Lösung zum Schutz Ihrer Public-Cloud-Umgebungen sollte Folgendes können:
- Automatische Behebung von Schwachstellen in der Benutzer- und Ressourcen- Konfiguration, unabhängig von Quelle oder Port
- Erkennen verdächtiger Konsole-Anmeldungen und API-Aufrufe, die darauf schließen lassen, dass ein Angreifer geteilte oder gestohlene Anmeldeinformationen nutzt
- Melden von Auffälligkeiten im ausgehenden Datenverkehr, um Ihr Unternehmen vor Aktivitäten wie Cryptojacking oder der Exfiltration von Daten zu warnen
- Aufdecken verborgener Anwendungs-Workloads vom Verhalten der Host- Computer-Instanz, um versteckte Schwachpunkte aufzuzeigen (z. B. Datenbanken)
Schritt 6: Schützen Sie ALLE Umgebungen (auch Entwicklung und QA)
Liest man Schlagzeilen über Datenpannen in einer Public Cloud, so ist in der Regel die Produktionsumgebung eines Unternehmens betroffen. Für Aktivitäten wie Cryptojacking nehmen sich Angreifer aber genauso gerne die Rechenleistung Ihrer Entwicklungs- oder QA-Umgebung vor.
Sie benötigen eine Lösung, die alle Ihre Umgebungen (Produktion, Entwicklung und QA) schützen kann, und zwar reaktiv und proaktiv. Die Lösung sollte in der Lage sein, Ihre Aktivitätsprotokolle (z. B. VPC-Flow- und CloudTrail-Protokolle) zu erfassen, um bereits aufgetretene Probleme zu identifizieren, beispielsweise wenn ein unerwünschter Port in der Firewall geöffnet ist. Gleichzeitig sollte die Lösung in der Lage sein, Infrastructure-as-Code-(IaC-)Vorlagen aus Ihren Repositories wie GitHub proaktiv zu scannen, und sie sollte sich in Ihre CI/CD Pipeline Tools wie Jenkins integrieren lassen. So können Schwachstellen im Code bereits frühzeitig erkannt werden – bevor sie auf Ihre Server gelangen und Sie damit in den Schlagzeilen landen.
Schritt 7: Setzen Sie auf Bewährtes
IT-Sicherheit für lokale Systeme ist das Ergebnis jahrzehntelanger Erfahrung und Forschung. Beim Schutz Ihrer cloudbasierten Server vor Infektionen und Datenverlusten sollten Sie also auf bewährte Verfahren zurückgreifen, die Sie bereits in Ihrer traditionellen Infrastruktur angewendet haben, und diese für die Cloud anpassen:
- Next-Gen Firewall: Sorgen Sie dafür, dass Bedrohungen gar nicht erst auf Ihre cloudbasierten Server gelangen können, indem Sie eine Web Application Firewall (WAF) an Ihrem Cloud Gateway installieren. Ziehen Sie auch ein IPS (zur Compliance-Unterstützung) und eine Kontrolle für ausgehende Inhalte in Betracht, um Ihre Server/VDI zu schützen.
- Server-Sicherheit: Installieren Sie auf Ihren cloudbasierten Servern effektive Cybersecurity wie auf Ihren physischen Servern.
- Endpoint-Sicherheit: Ihr Netzwerk haben Sie vielleicht in die Cloud migriert. Laptops und andere Geräte bleiben jedoch lokal, und eine Phishing-E-Mail oder Spyware reicht aus, um an Anmeldeinformationen für Ihre Cloud-Accounts zu gelangen. Sorgen Sie deshalb dafür, dass Endpoint- und E-Mail-Security auf Ihren Geräten auf dem neuesten Stand sind, damit sich niemand Zugriff auf Ihre Cloud-Accounts verschaffen kann.