Zahlreiche Unternehmen setzen auf eine Multi-Cloud-Strategie. Die Nutzung mehrerer Cloud-Plattformen kann zahlreiche betriebliche und wirtschaftliche Vorteile bringen. [...]
Jedoch ist es von grösster Bedeutung, diese auch effektiv zu sichern – nicht zuletzt aus Compliance-Gründen. Dabei ist ein plattformunabhängiger und standardisierter Sicherheits-Ansatz erforderlich. Wie aber kann eine solche Multi-Cloud-Sicherheitsstrategie aussehen?
1. Gemeinsame Verantwortung
Sicherheit liegt in der gemeinsamen Verantwortung von Unternehmen und Cloud-Service Providern (CSP). Als Faustregel gilt das Shared-Responsibility-Modell (siehe Grafik), wonach der CSP für die Sicherheit der Cloud zuständig ist und der Kunde für die Sicherheit in der Cloud.
2. Von Perimeter- zu Host-basierter Sicherheit
Ein moderner Cloud-Sicherheitsansatz sollte Host-basiert sein. Statt den Verkehr am Perimeter zu blockieren, wird per Mikrosegmentierung festgelegt, welcher Verkehr auf einer granularen Ebene, wie der einzelnen virtuellen Maschine, erlaubt ist. Dabei ist es möglich, einfach hoch oder herunter zu skalieren, was automatisiert werden sollte.
Das einfache Starten neuer Workloads stellt dabei einen wesentlichen Vorteil der Public Cloud dar, birgt aber auch potentielle Bedrohungen. Um Schatten-IT zu vermeiden, ist es deshalb wichtig, eine ganzheitliche Sicht auf die gesamte Umgebung zu haben, einschliesslich der Workloads bei Public-Cloud-Anbietern.
3. Virtuelles Patching
Um alle Server in einer Multi-Cloud-Infrastruktur wirksam zu schützen, bedarf es zentralisierter, hostbasierter Sicherheit. Hier ist „Virtual Patching“ gefragt, das Intrusion-Detection- und -Prevention-Technologien nutzt, um Schwachstellen abzuschirmen, bevor ein Patch zur Verfügung steht. Auf diese Weise sind Unternehmen ständig geschützt.
4. Sicherheit auf Applikations-Ebene
Moderne Cloud-Sicherheitslösungen, wie Trend Micro Deep Security, können Veränderungen in der Software erkennen. Sobald das Modul zur Applikationskontrolle aktiviert ist, werden alle Softwareänderungen protokolliert und Events erzeugt, wenn neue oder geänderte Software auf dem Dateisystem erkannt wird. Werden Änderungen auf dem Host erkannt, kann die Software zugelassen oder blockiert und optional der Computer oder Server gesperrt werden.
Anwendungen lassen sich aber auch auf Netzwerkebene durch Intrusion Prevention schützen. Das Intrusion-Prevention-Modul überprüft dafür eingehenden und ausgehenden Datenverkehr, um verdächtige Aktivitäten zu erkennen und zu blockieren. Dies verhindert die Ausnutzung von bekannten und Zero-Day-Schwachstellen und kann auch Web-Anwendungen schützen.
5. Richtlinien und Automatisierung
Richtlinien stellen in der Cloud-Security ein wichtiges Werkzeug dar. Um optimalen Nutzen aus einer Multi-Cloud zu ziehen, ist es wichtig, Prozesse für Bestellungen, Konfiguration oder Upgrades von Dienstleistung bestmöglich zu automatisieren. Auf diese Weise lässt sich nicht nur die Bereitstellung der Umgebungen beschleunigen, sondern sie werden auch automatisch skalierbar und „selbstheilend“. Durch richtlinienbasierte Automatisierung wird selbstständig die aktuelle Unternehmensrichtlinie angewendet und die Umgebungen mit den geltenden Sicherheitsregeln versehen.
Eine Multi-Cloud-Strategie kann einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Jedoch müssen Unternehmen dazu sicherstellen, dass die richtigen Massnahmen ergriffen wurden und die Kontrolle über die Cloud bewahrt ist.
*Daniel Schmutz ist Regional Marketing Manager ALPS bei Trend Micro.
Be the first to comment