Die Migration in eine Cloud-Umgebung stellt für 43 Prozent der Security-Verantwortlichen eine der drei größten Hürden für die Sicherheit von Anwendungen dar. Das zeigte der Application Protection Report 2018. Gleichzeitig sagen Anbieter und viele Nutzer, die Cloud sei so sicher, dass bisherige Kontrollmaßnahmen und auch die Verantwortlichen dafür überflüssig werden. Wer hat nun recht? [...]
So paradox es klingt: beide Seiten. Ob die Cloud die Sicherheit eines Unternehmens verbessert oder verschlechtert, hängt von den jeweils eingesetzten Prozessen und Workflows ab. So vereinfachen Cloud-Umgebungen einige Security-Herausforderungen, verkomplizieren aber andere. Dies erfordert ein kritisches Überdenken der bisher genutzten Methoden und Ziele. Dabei sollten sich Verantwortliche immer fragen: „Warum wurde etwas so gesichert?“ Technische Details sind bei der Transformation in die Cloud dagegen erst im zweiten Schritt wichtig.
Welche Sicherheitsrisiken können durch Cloud Computing entstehen?
Zunächst geht es um die Best Practices für die IT-Sicherheit. In manchen Unternehmen wurden diese nicht mehr konsequent eingehalten, sei es aus Bequemlichkeit oder Ressourcenmangel. Bekannte Schwachstellen bleiben dadurch offen, abgelaufene Benutzerkonten werden nicht gesperrt und die Zugriffsregeln für Firewalls aufgeweicht. Das rächt sich bei der Migration in die Cloud.
Da Unternehmen oft ihre bisherige Architektur einfach per „Lift and Shift“ in eine Public-Cloud-Umgebung übertragen, können sich bereits bestehende Schwachstellen erweitern. Diese befinden sich dann an einer einzigen Stelle und sind leicht aufzuspüren. Zudem gibt es das Problemfeld „Monokultur“. Während bislang unterschiedliche IT-Infrastrukturen zum Einsatz kamen, läuft nun alles in derselben Art und Weise. Dadurch gibt es einen deutlichen Sicherheitsunterschied zwischen einem herkömmlichen Benutzer-Account und einem Intranet–Cloud-Zugang. Der eine erlaubt meist nur den Zugriff auf ein System, der andere auf alle Cloud-basierten Anwendungen eines Unternehmens.
In der Cloud sind APIs weit verbreitet. Dadurch entstehen mehr flexible Anteile, wobei diese Komplexität sehr einfach und abstrakt dargestellt wird. Das kann Betreiber und Sicherheitsverantwortliche täuschen und in einem falschen Sicherheitsgefühl wiegen. Cloud-Systeme sind darüber hinaus skalierbar. Das bedeutet, sie können sich nach Bedarf ohne menschliches Eingreifen oder Kontrolle selbstständig vermehren und migrieren.
Hybride Architekturen, die On-Premises-Systeme und verschiedene Cloud-Anbieter kombinieren, können ebenfalls Sicherheitslücken vergrößern. Denn unterschiedliche „cloudifizierte“ Anwendungen weisen oft je nach Speicherort unterschiedliche Sicherheitsprofile auf. Alle diese Risiken sind zunächst nicht sichtbar und werden erst entdeckt, wenn Probleme bei der Sicherheit oder Zuverlässigkeit auftauchen.
Faktor Mensch gilt auch in der Cloud
Zwar entstehen durch Cloud und DevOps viele neue Prozesse, doch für die Sicherheit sind weiterhin die Menschen verantwortlich. Beispielsweise lassen sich viele Cloud-Incidents auf Testumgebungen zurückführen, die mit Live-Daten oder Produktionssystemen genutzt werden. Dabei erkennen die Anwenderseigner häufig nicht, dass ihre Fahrlässigkeit zu großen Sicherheitsrisiken führt.
Zusätzlich werden durch technologische Veränderungen und neue Deployment-Methoden viele bisherige Sicherheitsmaßnahmen ineffektiv. Zum Beispiel reicht der Schutz des Perimeters heute nicht mehr aus. Auch die Zugriffskontrolle ist nun eine große Herausforderung, da viele Server und Systeme nicht mehr lokal im Rechenzentrum sind und sich alle Benutzer remote anmelden. Transparenz wird ebenfalls schwieriger, wenn große Teile der App-Infrastruktur in einer Cloud-Umgebung virtualisiert und veränderbar sind. Selbst einfache Sicherheitstools wie Intrusion Detection und Malware Detection müssen Cloud-fähig sein.
Kurz gesagt, wir können nicht erwarten, dass alle unsere traditionellen On-Premises-Tools in der Cloud tadellos funktionieren. Aus diesem Grund blockieren viele Sicherheitsexperten die Migration ihres Unternehmens in die Cloud. Doch das führt häufig zu einer Schatten-IT.
Wie die Cloud mehr Sicherheit bringt
Mit den richtigen Fähigkeiten, Tools und Prozessen kann der Übergang zur Cloud aber einen erheblichen Fortschritt in Bezug auf Sicherheit, Verfügbarkeit und Effizienz bringen. Dazu müssen Unternehmen jedoch bisherige Sicherheitsmaßnahmen modernisieren, sich auf übergeordnete Sicherheitsziele konzentrieren und die neuen Paradigmen der Cloud berücksichtigen.
In der Cloud geht es beim Thema Sicherheit vor allem um Kontroll-Ziele, nicht um Kontroll-Funktionen. So dürfen nur berechtigte Nutzer und Prozesse autorisierte Aktionen durchführen. Dabei sollten sich IT-Verantwortliche nicht in den einzelnen Benutzerkonten, Passwörtern und Zugriffsrechten verlieren. Cloud-Systeme nutzen häufig APIs, temporäre Instanzen und unabhängige Services. Dies erfordert eine Verschärfung der Berechtigungen und des zulässigen Kontextes. Eine Überprüfung der geringsten Zugriffsrechte ist dabei wichtiger als eine Kontosperre für fehlgeschlagene Passwortversuche.
Ebenso verlagern die meisten Cloud-Umgebungen die Verantwortung nach oben, so dass anwendungsorientierte Sicherheitstools wie Web Application Firewalls und Service Event Monitoring immer wichtiger werden. Dagegen fallen die Härtung der Infrastruktur und die Netzwerküberwachung oft in die Zuständigkeit des Cloud-Providers.
Große Vorteile bieten dabei virtuelle Maschinen, die aus Skripten aufgebaut sind, da sich die Speicher- und Betriebsprozesse vollständig überwachen lassen. Ein Beispiel: Sieht die Maschine plötzlich anders aus? Dann könnte sie gehackt worden sein und wird durch eine neue ersetzt. Dies kann vollständig automatisiert ablaufen. So verringern sich die Angriffsmöglichkeiten wesentlich. Zudem können hochwertige Systeme mit Microservices isoliert und bei Bedarf durch gepatchte, gehärtete und getestete Modelle erneuert werden. Das heißt: Man „repariert“ keine gehackten oder defekten Systeme mehr, sondern baut sie neu auf.
Sicherheitsverantwortliche müssen umdenken
Um diese neuen Möglichkeiten zu nutzen, benötigen Unternehmen entsprechendes Fachwissen für die Entwicklung und den Betrieb in der Cloud. Dies bedeutet sowohl Schulungen und das Hinzuziehen von externem Know-how als auch ein Umdenken bei der Bereitstellung von Anwendungen. Dazu müssen Unternehmen wissen, was gesichert werden soll und warum sie überhaupt in die Cloud migrieren.
Dabei sollten Unternehmen einerseits sicherstellen, dass Vertraulichkeit nicht die Bereitstellung von Anwendungen beeinträchtigt. Andererseits müssen Sicherheit und Verfügbarkeit langfristig als zwei Seiten der gleichen Medaille funktionieren. Cloud kann für die Sicherheit ein Fluch oder ein Segen sein. Es liegt an den IT-Verantwortlichen, die richtigen Sicherheitsmaßnahmen zu planen und angemessen umzusetzen.
*Ralf Sydekum ist Technical Manager DACH bei F5 Networks.
Be the first to comment