Die Cloud-Plattformen von Amazon, Microsoft und Google bieten unterschiedliche Security-Tools und -Features. Ein Überblick. [...]
Die Sicherheit in der Public Cloud basiert auf dem Konzept der geteilten Verantwortung: Die größten Cloud-Service-Provider liefern eine sichere, skalierende Umgebung, aber es liegt in der Verantwortung des Kunden, die Daten zu schützen, die er in die Cloud stellt. Diese Pflichtenteilung kann für Unternehmen beim Umstieg auf die Cloud eine Herausforderung darstellen, die sich im Fall einer Multi-Cloud-Umgebung noch potenziert.
Für CISOs besteht die Herausforderung vor allem darin, die Angebote der drei großen Hyperscaler Amazon Web Services (AWS), Microsoft und Google miteinander zu vergleichen und die Unterschiede herauszuarbeiten. Dabei dreht sich regelmäßig alles um die Frage: Welcher Anbieter bietet die besten nativen Tools für den Schutz der Cloud-Ressourcen?
Geht es darum, die Cloud selbst zu schützen, machen alle Hyperscaler nach Einschätzung von Experten einen guten Job, schließlich ist die Bereitstellung einer sicheren Cloud-Umgebung Kern ihres Geschäftsmodells. Dabei scheinen die Cloud-Anbieter über unbegrenzte Ressourcen zu verfügen. „Aufgrund ihrer globalen Präsenz beobachten sie täglich eine Vielzahl maliziöser Aktivitäten. Das versetzt die Hyperscaler in die Lage, ihre Verteidigungsmaßnahmen auf der Grundlage dieser Informationen zu stärken“, erklärt Doug Cahill, Senior Analyst bei der Enterprise Strategy Group (ESG).
Dabei halten die Hyperscaler ihre internen Prozesse und Verfahren zwar unter Verschluss, leisten aber nach Auffassung von Richard Mogull, CEO von Securosis, hervorragende Arbeit beim physischen Schutz ihrer Rechenzentren, der Absicherung des Virtualisierungs-Layers, auf dem Anwendungen und Entwicklungsplattformen laufen sowie bei der Abwehr von Innentätern. „Trotzdem hat jede dieser Plattformen auch einen Haken. Die Herausforderung besteht darin, Security über mehrere Clouds hinweg zu implementieren“, so Mogull.
Amazon Web Services
AWS ist unter den Cloud-Hyperscalern der älteste und ausgereifteste. „Der größte Vorteil von AWS ist, dass eine Menge Wissen und Tools bereitstehen. Das macht es deutlich einfacher, Unterstützung beziehungsweise Tools zu finden und zu nutzen. Hinzu kommt der Umfang der Plattform“, sagt Mogull.
Amazons „Shared Responsibility“-Sicherheitsmodell besagt, dass das Unternehmen für die Sicherheit der zugrundeliegenden Cloud-Infrastruktur verantwortlich ist und der Kunde für die Absicherung der in der Cloud bereitgestellten Workloads verantwortlich ist. Konkret ergeben sich daraus folgende Verantwortlichkeiten für AWS-Kunden:
- Schutz von Kundendaten
- Absicherung von Plattformen, Anwendungen und Betriebssystemen
- Implementierung von Identity and Access Management (IAM)
- Konfiguration von Firewalls
- Verschlüsselung von Client-seitigen Daten, server-seitigen Dateisystemen und des Netzwerkverkehrs
AWS stellt seinen Kunden eine breite Palette von Services zur Verfügung und leistet auch gute Arbeit, wenn es um Standard-Konfigurationen geht:
- Überwachung der API-Aktivität
- Grundlegende Bedrohungsinformationen
- Web Application Firewalls (WAFs)
- Schutz vor Datenlecks
- Risikobewertung
- Security Event Trigger für die Automatisierung
„Zwei der besten Security Features von AWS sind die Implementierung von Firewalls und granulares IAM„, meint Mogull. Die Sicherheit von AWS basiere auf der Isolierung der einzelnen Services (es sei denn, der Zugriff wird explizit freigegeben). Das funktioniere aus Sicherheitsperspektive gut, berge aber den Nachteil, dass es die Verwaltung auf Unternehmensebene schwieriger macht. „Trotz dieser Einschränkungen bildet Amazon Web Services in der Regel den besten Startpunkt für die Cloud, da Sie dort nur mit wenigen Sicherheitsproblemen zu rechnen haben“, meint der CEO.
Microsoft Azure
Microsoft Azure basiert auf einem ähnlichen Modell der „Shared Responsibility“ wie AWS. In einem IaaS-Szenario ist der Kunde beispielsweise zuständig für:
- Datenklassifizierung,
- Client– und Endpunktschutz,
- Identitäts- und Zugriffsmanagement sowie
- Kontrollen auf Anwendungs- und Netzwerkebene.
Laut Mogull steht Azure bezüglich seines Reifegrads hinter AWS zurück, insbesondere in den Bereichen Konsistenz und Dokumentation. Dazu komme die Tatsache, dass viele Services standardmäßig weniger sichere Konfigurationen aufweisen.
Azure hat jedoch auch einige Vorteile: Azure Active Directory kann mit der Active Directory des Unternehmens verknüpft werden, um eine „Single Source of Truth“ für das Zugriffsmanagement bereitzustellen. „Die Verwaltung läuft bei Azure im Vergleich zu AWS einfacher und ist konsistenter, dafür sind die Umgebungen weit weniger isoliert und so auch weniger geschützt. Die Identitäts- und Zugriffsverwaltung von Azure ist von Haus aus sehr hierarchisch aufgebaut und einfacher zu verwalten als bei AWS, dafür bietet Amazon Web Services aber weitergehende Einstellmöglichkeiten“, meint Mogull.
Azure bringt zwei weitere Funktionen mit, die für Unternehmensanwender wichtig sind: Aktivitätsprotokolle decken standardmäßig Konsolen- und API-Aktivitäten für das gesamte Unternehmen ab. Gleiches gilt für die Management-Konsole des Azure Security Center. Diese kann so eingerichtet werden, dass lokale Teams ihre eigenen Alerts verwalten können.
Google Cloud
Google Cloud bietet solide Onboard-Sicherheits-Tools, beispielsweise:
- Schutz vor Datenverlust in der Cloud
- Schlüsselverwaltung
- Asset Inventory
- Verschlüsselung
- Firewalls
- Geschützte virtuelle Maschinen
Das Google Security Command Center bietet zentrale Kontrollmöglichkeiten für die Kunden. So können Fehlkonfigurationen, Schwachstellen und Bedrohungen aufgedeckt und die Einhaltung von Compliance-Richtlinien überwacht werden. Durch die Übernahme von Stackdriver – inzwischen umbenannt in Google Cloud Operations – ist Google in der Lage, erstklassiges Monitoring und Log-Analysen anzubieten. Darüber hinaus stehen über die BeyondCorp Enterprise Zero-Trust-Plattform auch Identitäts- und Zugriffskontrollen zur Verfügung.
„Googles vergleichsweise geringer Marktanteil von sieben Prozent ist jedoch ein Problem, weil es weniger Sicherheitsexperten mit tiefgehender Google-Cloud-Erfahrung gibt. Das schlägt sich in einer weniger robusten Community und einer geringeren Anzahl von Tools nieder“, weiß Mogull. Zwar biete die Google Cloud eine starke Zentralisierung und sichere Vorkonfigurationen, insgesamt sei das Angebot jedoch weniger ausgereift als das von Amazon Web Services und biete eine niedrigere Bandbreite an Security-Funktionen, so der Experte.
Cloud-Sicherheitstipps
Egal, für welchen Hyperscaler Sie sich entscheiden: Die damit verbundenen Security-Verantwortlichkeiten lassen sich nicht umschiffen. Der Aufbau von internem Fachwissen sei in jeder Public Cloud wichtig, so Mogull. Dabei gebe es drei kritische Fehler, die Unternehmen bei der Implementierung von Cloud-Sicherheit machen:
- Cloud-Sicherheit ist nicht das gleiche wie in Ihrem Rechenzentrum oder Ihrer Private Cloud. Jede Plattform ist anders. An der Oberfläche wirken die Dinge vertraut, unter der Haube sieht es anders aus. Unternehmen müssen ein tiefgehendes Verständnis für die Technologieplattform aufbauen, um in der Cloud erfolgreich zu sein.
- Umzug in eine Multi-Cloud-Welt, bevor das Unternehmen bereit ist. Wenn ein Unternehmen in drei Clouds einsteigen will, muss es die interne Expertise für alle drei Umgebungen aufbauen. Der bessere Weg: Einen Gang runterschalten, und zunächst Expertise in einer Cloud-Umgebung aufbauen, bevor Sie zur nächsten springen.
- Mangelnder Fokus auf Governance. Die meisten Breaches in der Cloud stehen mit verlorengegangenen oder gestohlenen Logindaten in Zusammenhang.
Laut ESG-Analyst Cahill sind Cloud-Konsolen allzu oft mit schwachen Passwörtern ausgestattet. Auf einen Schutz durch Multifaktor-Authentifizierung wird in vielen Fällen verzichtet. Der Experte gibt folgende Empfehlungen zum Schutz von Unternehmensdaten in der Cloud:
- Machen Sie sich dem „Shared Responsibility“-Modell für die Cloud-Sicherheit vertraut und verstehen Sie, wo die Grenzen liegen.
- Legen Sie den Fokus auf sichere Cloud-Konfigurationen.
- Implementieren Sie Least-Privilege-Zugriff für alle Cloud-Identitäten.
- Nutzen Sie Automatisierung, damit die Security mit DevOps Schritt halten kann. Am Ende sollte Security über den gesamten Lebenszyklus der Anwendungen automatisiert integriert werden.
- Stellen Sie sicher, dass Security-Implementierungen Team-übergreifend wiederholt werden können. Gerade große Unternehmen verfügen über viele Projektteams, die ihre eigenen Security-Kontrollmechanismen implementieren.
- Setzen Sie auf einen Top-Down-Ansatz, um konsistente Sicherheitsrichtlinien über alle Projektteams hinweg sicherzustellen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
*Neal Weinberg schreibt als freiberuflicher Autor unter anderem für unsere US-Schwesterpublikation Network World.
Be the first to comment