Gastkommentar zu Sicherheit in Cloud-Netzwerken von Irene Marx, Country Manager Austria von Fortinet. [...]
Der wachsende Bedarf an On-Demand-Netzwerk- und Rechenkapazitäten übersteigt zunehmend verfügbare interne Ressourcen, selbst die von Private Clouds. Deshalb entscheiden sich immer mehr Unternehmen für die Public Cloud. Laut IDC implementieren derzeit 75 Prozent der Unternehmen Public-Cloud-Ressourcen oder erwägen diesen Schritt. Weiters gehen die IDC-Analysten davon aus, dass die Hälfte der Workloads von Unternehmen bis Ende 2018 in die Public Cloud verlagert sein wird.
Dieser neue Ansatz für die gemeinsame Nutzung von Infrastrukturen bringt erhebliche Sicherheitsprobleme mit sich. So muss z.B. ein verlässlicher Sicherheitsstatus über mehrere Domains hinweg gewahrt werden. Auch eine zentrale Sicht und Kontrolle sowie die Nutzung einer gemeinsamen Threat Intelligence gehören dazu. Weiter ist eine koordinierte Reaktion auf erkannte Bedrohungen notwendig. Neue Multi-Cloud-Architekturen verkomplizieren das Thema „Transparenz und Kontrolle“ zusätzlich: Denn bei diesem Konzept verteilen Unternehmen ihre Software, Plattform und sogar Infrastruktur auf mehrere Cloud-Anbieter, um von mehr Redundanz und Effizienz zu profitieren.
Laut dem aktuellen Fortinet Threat-Landscape-Report nutzen Unternehmen im Durchschnitt 62 verschiedene Cloud–Anwendungen oder –Dienste. Nie zuvor wurde so stark auf Infrastructure-as-a-Service (IaaS) zurückgegriffen. Dies entspricht fast einem Drittel aller verwendeten Anwendungen und Dienste und umfasst sämtliche Bereiche – von Datenspeicherung und Filesharing bis hin zu Meeting-Lösungen, Collaborative Workspaces und On-Demand-Infrastrukturen für Rechenzentren und Rechenleistung. Das Problem ist, dass die Transparenz über Daten in der Cloud drastisch abnehmen kann. Dazu kommt eine wachsende Schatten-IT, bei der Einzelne oder Teams cloudbasierte Dienste abonnieren und nutzen, ohne dem IT-Team Bescheid zu sagen. Dadurch lassen sich kritische Daten und die immer größere Angriffsfläche kaum noch – wenn überhaupt – schützen.
Ein Teil des Problems ist das heutzutage flachere Design von Rechenzentren. Das bedeutet, dass Bedrohungen, die erst einmal ins Netzwerk gelangt sind, wochen- oder sogar monatelang unentdeckt bleiben können. Um diese Herausforderung besser in den Griff zu bekommen, sollten einige Punkte bei der Auswahl und Umsetzung einer Cloud–Security-Strategie berücksichtigt werden. Dabei geht es im Kern nicht darum, eine Sicherheitsverletzung auf „Gedeih und Verderb“ zu vermeiden, sondern sich bestmöglich auf eine unvermeidliche Situation einzustellen. IT-Teams sollten sich fragen: „Was passiert, nachdem ein Cyber-Krimineller in unser Netzwerk eingedrungen ist?“ Diese Fragestellung führt zu einem anderen Design-Paradigma: Statt Sicherheit am Netzwerk-Rand zu verstärken, steht nun Erkennung und Response im Mittelpunkt. Denn nur so kann sichergestellt werden, dass kritische Ressourcen in der Cloud und im lokalen Netzwerk auch dann ausfallsicher und geschützt sind, wenn das Netzwerk kompromittiert wurde.
Security für die Public Cloud
Sicherheitsbedenken sind der größte Hinderungsgrund beim Schritt in die Public Cloud, insbesondere bei der Auswahl eines IaaS- oder PaaS-Anbieters. Um dieses Problem anzugehen, haben Cloud-Anbieter unterschiedlichste Sicherheitslösungen implementiert, die Daten und Ressourcen beim Verarbeiten und Speichern in der Cloud schützen sollen.
Doch dies kann schnell dazu führen, dass IT-Teams noch mehr isolierte Security–Tools entwickeln und verwalten müssen. Ein derart segmentierter Ansatz bei der Sicherheit kann begrenzte IT-Ressourcen schnell überfordern. Wir kennen das von lokalen Netzwerken, wo für SDNs und physische Netzwerke schon heute recht unterschiedliche Security–Tools verwendet werden. Tatsächlich müssen IT-Teams derzeit im Durchschnitt Tools auf 14 verschiedenen Security-Konsolen verwalten. Entsprechend kompliziert und ineffizient werden die Korrelation und Abwehr von Bedrohungen. Noch mehr Komplexität dürfte also kaum der richtige Ansatz sein.
Was fehlt, ist ein gemeinsames Sicherheitsmodell. Eine wachsende Zahl von Security-Anbietern bietet nun Cloud-basierte Lösungen an, die die für lokale Netzwerke verfügbaren Tools spiegeln. Die Standardisierung auf gemeinsame, zentral eingesetzte Tools kann die Komplexität verringern und einen einzigen, einheitlichen Sicherheitsstatus ermöglichen. Diese Tools – ob lokal oder in der Cloud – sollten über eine zentrale Management-Schnittstelle verfügbar und verwaltbar sein. Das erleichtert nicht nur die Sammlung und Korrelation von Bedrohungsdaten (Threat Intelligence), sondern auch die Verfolgung und Orchestrierung allgemeingültiger Sicherheitsrichtlinien.
Bei SaaS-Lösungen sollten sich Unternehmen auf jeden Fall für spezielle Cloud–Security–Tools entscheiden. Das können z.B. Cloud Access Security Broker (CASB) sein, die entweder On-Premise oder in der Cloud implementiert werden. Damit lassen sich Durchsetzungspunkte für Sicherheitsrichtlinien zwischen Cloud-Nutzern und Cloud–Service-Providern schaffen, um die Sicherheit zu wahren sowie Daten zu inspizieren und zu schützen, die in Cloud Domains verlagert werden. Diese Tools sollten auch unter dem Gesichtspunkt ausgewählt werden, wie gut sie sich in eine zentrale, einheitliche Security–Management–Plattform integrieren lassen.
Security für die Private Cloud
Die Grundlage für die Private Cloud ist die Virtualisierung. Denn damit lassen sich Daten und Ressourcen dynamisch bereitstellen und nach Bedarf verwenden, um wechselnden Netzwerk-Anforderungen gerecht zu werden. Die Umstellung von einer physischen auf eine softwarebasierte Security-Lösungsstrategie geht jedoch mit ganz eigenen Herausforderungen einher.
Ähnlich wie bei der Public Cloud hat die Unterstützung von Features wie mehrere Hypervisoren oder der Mikro-Segmentierung zur Folge, dass viele Security–Tools aus physischen Netzwerken für eine virtuelle Umgebung ungeeignet sind. Auch erfolgen Entscheidungen über das Infrastruktur-Design oft isoliert. Das bedeutet, dass Sicherheitsteams häufig eine völlig separate Security-Architektur für das SDN oder das Private-Cloud-Netzwerk aufbauen müssen. Auch hier liegt die Herausforderung in der unnötigen Komplexität.
Genauso wie bei der Public Cloud ist es wichtig, dass Security-Lösungen gewählt werden, die nahtlos zwischen verschiedenen Netzwerk-Ökosystemen eingesetzt werden können. Nur so lässt sich eine einheitliche Kontrolle und mehr Transparenz über das gesamte verteilte Netzwerk erhalten.
Darüber hinaus bringen Private-Cloud-Umgebungen einzigartige Sicherheitsherausforderungen mit sich. Jedes Mal, wenn beispielsweise eine virtuelle Maschine oder neuer Workload bereitgestellt wird, müssen sämtliche Sicherheitsrichtlinien gleichzeitig auf das neue Netzwerk-Element angewendet werden. Mit welchen Geräten, Anwendungen und Diensten darf diese neue Ressource kommunizieren? Auf welche Daten darf zugegriffen werden? Und was passiert, wenn diese Ressource nicht mehr benötigt wird? Jede cloudbasierte Security-Lösung muss Daten und Anwendungen isolieren können, um das Scale-up oder Scale-down von virtualisierten Rechenzentren mitzumachen. Angesichts des zunehmenden Ost-West-Datenverkehrs in softwaredefinierten Umgebungen ist auch wichtig, dass Sie bestimmte Arten von Datenverkehr z.B. per Mikro-Segmentierung oder mit Containern separieren können.
Security für die Hybrid Cloud
Das größte Problem bei der Absicherung einer Hybrid Cloud ist es, für eine einzige Management-Konsole über verschiedene Cloud-Umgebungen hinweg zu sorgen, um eine tiefe Transparenz, eine zentralisierte Richtlinien-Orchestrierung, eine integrierte Ereigniskorrelation sowie konsistente Kontrollen und Reaktionen zu gewährleisten. Integration ist daher das A und O. Sie brauchen Tools, die entweder nativ für die Zusammenarbeit in verschiedenen Umgebungen entwickelt sind oder die auf offenen Standards und APIs basieren, damit Sie eine zentrale Security-Operations-Lösung erhalten.
Ein weiteres Problem ist die sichere Connectivity. Hybride Lösungen müssen eine robuste VPN-Funktionalität unterstützen, um bei Bedarf einen sicheren temporären Zugriff auf Ressourcen zu erlauben und zugleich das restliche Netzwerk zu schützen. Darüber hinaus erfordern die Datenmigration, der Zugriff auf große Datenbestände oder auch cloudbasierte Analytik-Dienste von Drittanbietern sichere Verbindungen zu externen Netzwerken. Jede Security-Lösung muss deshalb in der Lage sein, einen Schutz auf Grundlage dieser wichtigen Netzwerk-Verbindungen zu bieten.
Security für Multi-Cloud-Netzwerke
Security-Lösungen für die Cloud müssen nicht nur mit anderen Sicherheitslösungen im Netzwerk integrierbar sein. Neben einer einheitlichen Durchsetzung von Richtlinien, Transparenz und Security für alle Netzwerk-Umgebungen müssen sie auch die einzigartigen Anforderungen von cloudbasierten Umgebungen erfüllen.
Security-Teams müssen prüfen, ob Lösungen auch den Anforderungen an die Elastizität und das dynamische Wachstum einer Cloud– oder Multi-Cloud-Umgebung gerecht werden. Auch sollten kritische Systeme, Workloads und Anwendungen auf Grundlage einzigartiger Risikoprofile einfach und dynamisch getrennt und segmentiert werden können.
Cloud Computing und die digitale Transformation haben für IT- und Security-Experten einen Paradigmenwechsel gebracht. Vorbei sind die Zeiten, als Netzwerke klar definierte Perimeter hatten und sich die nur auf externe Bedrohungen konzentrierte, die an die „Firewall-Tür klopften“. Heutige Cloud–Security-Lösungen müssen die einzigartigen Anforderungen jeder Variante des Cloud Computing angehen: Public-, Private-, Hybrid- und auch neue, zunehmend komplexere Multi-Cloud-Umgebungen. Zugleich sollten alle Cloud-Umgebungen in einem einzigen, integrierten Security Framework ineinandergreifen, das eine zentrale Transparenz und Kontrolle über die gesamte verteilte, hochelastische Angriffsfläche bietet.
*Irene Marx ist Country Manager Austria bei Fortinet.
Be the first to comment