Security für sich weiterentwickelnde Cloud-Netzwerke

Gastkommentar zu Sicherheit in Cloud-Netzwerken von Irene Marx, Country Manager Austria von Fortinet. [...]

Irene Marx, Country Manager Austria bei Fortinet
Irene Marx, Country Manager Austria bei Fortinet (c) Fortinet

Der wachsende Bedarf an On-Demand-Netzwerk- und Rechenkapazitäten übersteigt zunehmend verfügbare interne Ressourcen, selbst die von Private Clouds. Deshalb entscheiden sich immer mehr Unternehmen für die Public Cloud. Laut IDC implementieren derzeit 75 Prozent der Unternehmen Public-Cloud-Ressourcen oder erwägen diesen Schritt. Weiters gehen die IDC-Analysten davon aus, dass die Hälfte der Workloads von Unternehmen bis Ende 2018 in die Public Cloud verlagert sein wird.

Dieser neue Ansatz für die gemeinsame Nutzung von Infrastrukturen bringt erhebliche Sicherheitsprobleme mit sich. So muss z.B. ein verlässlicher Sicherheitsstatus über mehrere Domains hinweg gewahrt werden. Auch eine zentrale Sicht und Kontrolle sowie die Nutzung einer gemeinsamen Threat Intelligence gehören dazu. Weiter ist eine koordinierte Reaktion auf erkannte Bedrohungen notwendig. Neue Multi-Cloud-Architekturen verkomplizieren das Thema „Transparenz und Kontrolle“ zusätzlich: Denn bei diesem Konzept verteilen Unternehmen ihre Software, Plattform und sogar Infrastruktur auf mehrere Cloud-Anbieter, um von mehr Redundanz und Effizienz zu profitieren.

Laut dem aktuellen Fortinet Threat-Landscape-Report nutzen Unternehmen im Durchschnitt 62 verschiedene CloudAnwendungen oder –Dienste. Nie zuvor wurde so stark auf Infrastructure-as-a-Service (IaaS) zurückgegriffen. Dies entspricht fast einem Drittel aller verwendeten Anwendungen und Dienste und umfasst sämtliche Bereiche – von Datenspeicherung und Filesharing bis hin zu Meeting-Lösungen, Collaborative Workspaces und On-Demand-Infrastrukturen für Rechenzentren und Rechenleistung. Das Problem ist, dass die Transparenz über Daten in der Cloud drastisch abnehmen kann. Dazu kommt eine wachsende Schatten-IT, bei der Einzelne oder Teams cloudbasierte Dienste abonnieren und nutzen, ohne dem IT-Team Bescheid zu sagen. Dadurch lassen sich kritische Daten und die immer größere Angriffsfläche kaum noch – wenn überhaupt – schützen.

Ein Teil des Problems ist das heutzutage flachere Design von Rechenzentren. Das bedeutet, dass Bedrohungen, die erst einmal ins Netzwerk gelangt sind, wochen- oder sogar monatelang unentdeckt bleiben können. Um diese Herausforderung besser in den Griff zu bekommen, sollten einige Punkte bei der Auswahl und Umsetzung einer CloudSecurity-Strategie berücksichtigt werden. Dabei geht es im Kern nicht darum, eine Sicherheitsverletzung auf „Gedeih und Verderb“ zu vermeiden, sondern sich bestmöglich auf eine unvermeidliche Situation einzustellen. IT-Teams sollten sich fragen: „Was passiert, nachdem ein Cyber-Krimineller in unser Netzwerk eingedrungen ist?“ Diese Fragestellung führt zu einem anderen Design-Paradigma: Statt Sicherheit am Netzwerk-Rand zu verstärken, steht nun Erkennung und Response im Mittelpunkt. Denn nur so kann sichergestellt werden, dass kritische Ressourcen in der Cloud und im lokalen Netzwerk auch dann ausfallsicher und geschützt sind, wenn das Netzwerk kompromittiert wurde.

Security für die Public Cloud 

Sicherheitsbedenken sind der größte Hinderungsgrund beim Schritt in die Public Cloud, insbesondere bei der Auswahl eines IaaS- oder PaaS-Anbieters. Um dieses Problem anzugehen, haben Cloud-Anbieter unterschiedlichste Sicherheitslösungen implementiert, die Daten und Ressourcen beim Verarbeiten und Speichern in der Cloud schützen sollen.

Doch dies kann schnell dazu führen, dass IT-Teams noch mehr isolierte SecurityTools entwickeln und verwalten müssen. Ein derart segmentierter Ansatz bei der Sicherheit kann begrenzte IT-Ressourcen schnell überfordern. Wir kennen das von lokalen Netzwerken, wo für SDNs und physische Netzwerke schon heute recht unterschiedliche SecurityTools verwendet werden. Tatsächlich müssen IT-Teams derzeit im Durchschnitt Tools auf 14 verschiedenen Security-Konsolen verwalten. Entsprechend kompliziert und ineffizient werden die Korrelation und Abwehr von Bedrohungen. Noch mehr Komplexität dürfte also kaum der richtige Ansatz sein.

Was fehlt, ist ein gemeinsames Sicherheitsmodell. Eine wachsende Zahl von Security-Anbietern bietet nun Cloud-basierte Lösungen an, die die für lokale Netzwerke verfügbaren Tools spiegeln. Die Standardisierung auf gemeinsame, zentral eingesetzte Tools kann die Komplexität verringern und einen einzigen, einheitlichen Sicherheitsstatus ermöglichen. Diese Tools – ob lokal oder in der Cloud – sollten über eine zentrale Management-Schnittstelle verfügbar und verwaltbar sein. Das erleichtert nicht nur die Sammlung und Korrelation von Bedrohungsdaten (Threat Intelligence), sondern auch die Verfolgung und Orchestrierung allgemeingültiger Sicherheitsrichtlinien.

Bei SaaS-Lösungen sollten sich Unternehmen auf jeden Fall für spezielle CloudSecurityTools entscheiden. Das können z.B. Cloud Access Security Broker (CASB) sein, die entweder On-Premise oder in der Cloud implementiert werden. Damit lassen sich Durchsetzungspunkte für Sicherheitsrichtlinien zwischen Cloud-Nutzern und CloudService-Providern schaffen, um die Sicherheit zu wahren sowie Daten zu inspizieren und zu schützen, die in Cloud Domains verlagert werden. Diese Tools sollten auch unter dem Gesichtspunkt ausgewählt werden, wie gut sie sich in eine zentrale, einheitliche SecurityManagementPlattform integrieren lassen.

Security für die Private Cloud 

Die Grundlage für die Private Cloud ist die Virtualisierung. Denn damit lassen sich Daten und Ressourcen dynamisch bereitstellen und nach Bedarf verwenden, um wechselnden Netzwerk-Anforderungen gerecht zu werden. Die Umstellung von einer physischen auf eine softwarebasierte Security-Lösungsstrategie geht jedoch mit ganz eigenen Herausforderungen einher.

Ähnlich wie bei der Public Cloud hat die Unterstützung von Features wie mehrere Hypervisoren oder der Mikro-Segmentierung zur Folge, dass viele SecurityTools aus physischen Netzwerken für eine virtuelle Umgebung ungeeignet sind. Auch erfolgen Entscheidungen über das Infrastruktur-Design oft isoliert. Das bedeutet, dass Sicherheitsteams häufig eine völlig separate Security-Architektur für das SDN oder das Private-Cloud-Netzwerk aufbauen müssen. Auch hier liegt die Herausforderung in der unnötigen Komplexität.

Genauso wie bei der Public Cloud ist es wichtig, dass Security-Lösungen gewählt werden, die nahtlos zwischen verschiedenen Netzwerk-Ökosystemen eingesetzt werden können. Nur so lässt sich eine einheitliche Kontrolle und mehr Transparenz über das gesamte verteilte Netzwerk erhalten.

Darüber hinaus bringen Private-Cloud-Umgebungen einzigartige Sicherheitsherausforderungen mit sich. Jedes Mal, wenn beispielsweise eine virtuelle Maschine oder neuer Workload bereitgestellt wird, müssen sämtliche Sicherheitsrichtlinien gleichzeitig auf das neue Netzwerk-Element angewendet werden. Mit welchen Geräten, Anwendungen und Diensten darf diese neue Ressource kommunizieren? Auf welche Daten darf zugegriffen werden? Und was passiert, wenn diese Ressource nicht mehr benötigt wird? Jede cloudbasierte Security-Lösung muss Daten und Anwendungen isolieren können, um das Scale-up oder Scale-down von virtualisierten Rechenzentren mitzumachen. Angesichts des zunehmenden Ost-West-Datenverkehrs in softwaredefinierten Umgebungen ist auch wichtig, dass Sie bestimmte Arten von Datenverkehr z.B. per Mikro-Segmentierung oder mit Containern separieren können.

Security für die Hybrid Cloud 

Das größte Problem bei der Absicherung einer Hybrid Cloud ist es, für eine einzige Management-Konsole über verschiedene Cloud-Umgebungen hinweg zu sorgen, um eine tiefe Transparenz, eine zentralisierte Richtlinien-Orchestrierung, eine integrierte Ereigniskorrelation sowie konsistente Kontrollen und Reaktionen zu gewährleisten. Integration ist daher das A und O. Sie brauchen Tools, die entweder nativ für die Zusammenarbeit in verschiedenen Umgebungen entwickelt sind oder die auf offenen Standards und APIs basieren, damit Sie eine zentrale Security-Operations-Lösung erhalten.

Ein weiteres Problem ist die sichere Connectivity. Hybride Lösungen müssen eine robuste VPN-Funktionalität unterstützen, um bei Bedarf einen sicheren temporären Zugriff auf Ressourcen zu erlauben und zugleich das restliche Netzwerk zu schützen. Darüber hinaus erfordern die Datenmigration, der Zugriff auf große Datenbestände oder auch cloudbasierte Analytik-Dienste von Drittanbietern sichere Verbindungen zu externen Netzwerken. Jede Security-Lösung muss deshalb in der Lage sein, einen Schutz auf Grundlage dieser wichtigen Netzwerk-Verbindungen zu bieten.

Security für Multi-Cloud-Netzwerke 

Security-Lösungen für die Cloud müssen nicht nur mit anderen Sicherheitslösungen im Netzwerk integrierbar sein. Neben einer einheitlichen Durchsetzung von Richtlinien, Transparenz und Security für alle Netzwerk-Umgebungen müssen sie auch die einzigartigen Anforderungen von cloudbasierten Umgebungen erfüllen.

Security-Teams müssen prüfen, ob Lösungen auch den Anforderungen an die Elastizität und das dynamische Wachstum einer Cloud– oder Multi-Cloud-Umgebung gerecht werden. Auch sollten kritische Systeme, Workloads und Anwendungen auf Grundlage einzigartiger Risikoprofile einfach und dynamisch getrennt und segmentiert werden können.

Cloud Computing und die digitale Transformation haben für IT- und Security-Experten einen Paradigmenwechsel gebracht. Vorbei sind die Zeiten, als Netzwerke klar definierte Perimeter hatten und sich die Security nur auf externe Bedrohungen konzentrierte, die an die „Firewall-Tür klopften“. Heutige CloudSecurity-Lösungen müssen die einzigartigen Anforderungen jeder Variante des Cloud Computing angehen: Public-, Private-, Hybrid- und auch neue, zunehmend komplexere Multi-Cloud-Umgebungen. Zugleich sollten alle Cloud-Umgebungen in einem einzigen, integrierten Security Framework ineinandergreifen, das eine zentrale Transparenz und Kontrolle über die gesamte verteilte, hochelastische Angriffsfläche bietet.

*Irene Marx ist Country Manager Austria bei Fortinet.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*