Die Public Cloud bietet Unternehmen mehr Agilität, Flexibilität und Skalierbarkeit. Da immer mehr Unternehmen kritische Workloads in die öffentliche Cloud verschieben, vergrößert sich auch das Risiko, dass Cyberangreifer Daten, geistiges Eigentum oder Rechenressourcen stehlen. Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks nennt zehn Maßnahmen, wie sich die Public-Cloud-Nutzung sicherer gestalten lässt:
1. Umsetzung des Shared-Security-Modells: Die Infrastruktur wird durch den Cloud Service Provider geschützt, aber die Benutzer sind dafür verantwortlich, ihre eigenen Anwendungen und Daten zu schützen, wenn sich diese in der Cloud befinden. In diesem Sinne müssen Sicherheitspraktiken implementiert werden, um Workloads in der Cloud zu schützen sowie Datenverlust zu vermeiden, genauso als ob die Workloads im Rechenzentrum vor Ort wären.
2. Zusammenarbeit mit allen Beteiligten von Anfang an: Das Sicherheitsteam sollte mit Abteilungen wie dem DevOps-Team im Unternehmen frühzeitig zusammenarbeiten, vor allem in der ersten Phase von Public-Cloud-Projekten. So lässt sich sicherstellen, dass alle Entwicklungsanforderungen erfüllt sind, während eine solide Sicherheitsposition aufrechterhalten wird.
3. Die potenzielle Risikoexposition kennen: Generell geht es darum, Sichtbarkeit zu gewinnen und eine potenzielle Gefährdung durch „Schatten-IT“ zu minimieren. Es gilt daher, die Public-Cloud-Nutzung zu überwachen und eine ordnungsgemäße Konfiguration der Umgebung zu gewährleisten. Hinzu kommen die Zwei-Faktor-Authentifizierung und Sperrung des Zugriffs über SSH (Secure Shell).
4. Den Angreifer verstehen: Angreifer nutzen Automatisierung, um potenzielle Ziele innerhalb von Minuten zu finden. Sobald diese identifiziert sind, suchen sie nach Schwachstellen, überprüfen Standard-Passwörter, sondieren SSH nach fehlerhaften Konfigurationen und so weiter. Anders als in einem privaten Rechenzentrum ist die Angriffsfläche einer öffentlichen Cloud größer, was die Bedeutung der Sicherheit umso kritischer macht.
5. Evaluierung von Sicherheitsoptionen: Es gibt mehrere Sicherheitsoptionen für die Nutzung der Public Cloud, von denen die meisten ähnlich den Optionen für physische Netzwerke sind.
• Native Public-Cloud-Sicherheit: Cloud Service Provider bieten native Sicherheitsdienste inklusive Sicherheitsgruppen und Web Application Firewalls (WAFs).
• Punktuelle Lösungen: Einer der häufigsten Ansätze zur Sicherung der öffentlichen Cloud ist ein Host-basiertes punktuelles Produkt, um Bedrohungen zu erkennen und zu verhindern. Dabei wird davon ausgegangen, dass die native Sicherheit, kombiniert mit einem IDS (Intrusion Detection System) oder einem IPS (Intrusion Prevention System), ausreicht. In Wirklichkeit ist dieser Ansatz kontraproduktiv für die Geschwindigkeit und Agilität der Cloud, da eine manuelle Intervention und Sanierung erforderlich ist. Ein IPS erfasst zudem nur bekannte Bedrohungen und keine Zero-Day- oder unbekannten Bedrohungen. Darüber hinaus steht keine ganzheitliche Sicht auf die Public-Cloud-Umgebung zur Verfügung.
• Do-It-Yourself-Sicherheit: Einige Unternehmen wählen einen DIY-Ansatz zum Schutz der Public-Cloud-Workloads mittels Scripting- und Sichtbarkeitstools. Mögliche Nachteile dieser Strategie sind unzureichende Ressourcen, mangelnde Expertise zur Administration sowie eine nicht vorhandene Unterstützung bei Sicherheitsvorfällen.
• Inline-virtualisierte Appliances: Eine Inline-virtualisierte Appliance, wie eine virtualisierte Next-Generation-Firewall, bietet Sichtbarkeit in den gesamten Traffic in der Cloud-Implementierung. Unternehmen können den Schutz für Anwendungen und Daten in der Public Cloud erhöhen, indem sie applikations-, benutzer- und inhaltsbasierte Identifikationstechnologien nutzen, um genau zu verstehen, worauf zugegriffen wird und für welche Zwecke. Auf diese Weise kann eine dynamische Sicherheitspolitik durchgesetzt werden, um Anwendungen, Inhalte und Benutzer unabhängig vom Standort vor gezielten und unbeabsichtigten Bedrohungen zu schützen.
6. Wissen ist Macht: In der Public-Cloud-Sicherheit geht es vor allem darum, dass der Traffic auf sichere Weise die gesamte Umgebung durchquert, also auch die mobile Umgebung, das eigene Netzwerk und die Cloud. Das Volumen dieses Datenverkehrs kann sehr groß sein. Eine virtualisierte Next-Generation-Firewall – als Teil einer nativ integrierten, umfassenden Sicherheitsplattform – liefert den notwendigen Einblick in die Identität und Charakteristiken des Netzverkehrs. Dadurch lassen sich besser fundierte Entscheidungen treffen, um Applikationen und Daten vor Bedrohungen zu schützen. Native Public-Cloud-Tools bieten nur wenig Sichtbarkeit auf der Applikationsschicht.
7. Prävention ist möglich: Es gibt Kritiker, die glauben, dass die Angreifer ohnehin bereits „gewonnen“ haben und daher einen Detection- und Remediaton-Ansatz bevorzugen. Allerdings ist mit einem umfassenden Bewusstsein für die Umgebung ein Präventionsansatz in der Tat möglich. Das Verhindern erfolgreicher Cyberangriffe in der Public Cloud erfordert vier Schlüsselkompetenzen: vollständige Sichtbarkeit, Verringerung der Angriffsoberfläche, Vermeidung bekannter Bedrohungen und Verhinderung unbekannter Bedrohungen.
8. Cloud-zentrischer-Ansatz: Die öffentliche Cloud ermöglicht es, Geschäftsanforderungen mit einem agilen, skalierbaren Ansatz gerecht zu werden. Um die Vorteile der Cloud voll auszuschöpfen, empfiehlt es sich, die Konzepte des Rechenzentrums zu nutzen, aber die traditionellen Konstrukte hinter sich zu lassen. So können Unternehmen eine hohe Verfügbarkeit erreichen und von der Skalierbarkeit der Public Cloud profitieren. Der Cloud-zentrische Ansatz nutzt die Cloud-Provider-Infrastruktur mit ihren Resilienz-Features, wie Load Balancing, um das Ziel der Hochverfügbarkeit zu erreichen.
9. Einsatz von Automatisierung, um Engpässe zu beseitigen: Automatisierung ist ein zentraler Grundsatz der Public Cloud. Durch die Automatisierung der Sicherheit können Unternehmen „Reibungsprobleme“ eliminieren und die Flexibilität und Agilität der öffentlichen Cloud besser nutzen. Zu den Automatisierungsfunktionen für Public-Cloud-Sicherheit zählen „Touchless Deployments“-Features wie Bootstrapping für ein schnelles Konfigurieren der Firewall, bidirektionale Integration mit Drittanbieter-Ressourcen wie ServiceNow, um effektiv Servicetickets und Workflows zu generieren sowie „Commitless“-Richtlinienaktualisierungen durch automatische Funktionen wie XML-API und dynamische Adressgruppen, wenn sich Workloads ändern.
10. Durchsetzung der Richtlinienkonsistenz durch zentrale Verwaltung: Um die Sicherheit für Daten und Applikationen in der öffentlichen Cloud aufrechtzuerhalten, ist die Richtlinienkonsistenz essenziell. Die Steuerung eines verteilten Netzes von physischen und virtualisierten Firewalls von einem zentralen Ort aus und die Anwendung einer einzigen, konsistenten Sicherheitsregelbasis vom Netzwerk bis zur Cloud ist entscheidend für die Sicherheit. Zentralisiertes Management bietet netzwerkweit Einblick in den Traffic und zu Bedrohungen und vereinfacht die Administration. Dadurch hinkt die Sicherheit nicht hinterher, wenn sich Workloads in der Cloud ändern.
www.paloaltonetworks.com