Sichere Cloud-Migration Damit das angesagte Verlagern von Workloads in die Cloud auch wirklich sicher erfolgt, müssen Unternehmen ihr Hauptaugenmerk auf drei Aspekte richten: Datenverantwortung, Konfiguration und Zugangsberechtigungen.
Source: Der Weg zur sicheren Cloud
Der Trend geht klar zur Multi- oder Hybrid-Cloud. Bis 2021 werden über 75 Prozent der mittleren und großen Unternehmen eine Strategie für solche Umgebungen einführen, sagt das Marktforschungsunternehmen Gartner voraus. Die Motive für das Konsumieren von Public-Cloud-Services liegen auf der Hand: höhere Ausfallsicherheit der Applikationen, „Quality of Service (QoS)“ auch bei Lastspitzen und Kosten nach Verbrauch. Unternehmen führen eine Migration zu Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder zu Infrastructure-as-a-Service (IaaS) durch. Das Verlagern von Standard-Software erfolgt in der Regel im Lift-and-Shift-Verfahren, die dazugehörigen Daten werden dabei zu einer SaaS-Anwendung verschoben. Bei Bezug von IaaS ist der Ansatz ebenso möglich. Dabei wird die bestehende Systemarchitektur auf die IaaS-Komponenten übertragen. Die Alternative besteht darin, individuell vorzugehen, indem man zunächst Systeme sowie Software prüft und danach Cloud-ready macht. Diese Migrationsvariante ist aufwendig, aber sie führt zu einem effizienten Cloud-Betrieb. Wie auch immer Unternehmen nun die Cloud-Migration angehen, eines darf nicht auf der Strecke bleiben: die Sicherheit.
Aus den Sicherheitsrisiken die nötigen Schlüsse ziehen
Das größte Sicherheitsrisiko geht weiterhin von Fehlkonfigurationen aus, stellt der jüngste Cloud-Sicherheitsbericht von Trend Micro fest. Der Cyber-Security-Provider hat durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag identifiziert. Alles potenzielle Einladungen an Cyberkriminelle, Ransomware einzuschleusen, Cryptomining zu starten, Zahlungsdaten abzugreifen oder geschäftskritische Firmendaten zu stehlen. Schon eine falsche Einstellung kann in der Cloud fatale Folgen haben. Mitunter lässt sich mit dem Aufruf einer einzigen API (Programmierschnittstelle) eine Infrastruktur starten, die vorher ein lokales Rechenzentrum komplett ausfüllte.
Weitere Angriffspunkte entstehen in der Praxis, weil die Datenverantwortung nicht geklärt ist und der Datenzugriff ungenügend geregelt wird. Die Schlussfolgerung kann daher nur lauten: Die Sicherheit von Cloud-Migration und nachfolgendem Cloud-Betrieb beruht im Wesentlichen auf drei Aspekten: Unternehmen kennen und beachten das Prinzip der geteilten Verantwortung, prüfen sowie überwachen Konfigurationen und setzen Zugangsbeschränkungen anhand stringenter Sicherheitsrichtlinien durch.
Die Verantwortungsfrage
Was die geteilte Verantwortung im Sinne der europäischen Datenschutz-Grundverordnung (EU-DSGVO) bedeutet, klingt zunächst einfach: Ein Cloud-Provider steht dafür gerade, dass seine Systeme und Services sicher sind. Seine Sicherheitsgarantie meint jedoch Verfügbarkeit. Gemäß EU-DSGVO steht das Cloud-nutzende Unternehmen in der Pflicht, die Daten in der Cloud zu sichern. Dazu stellen Provider Dienste zum Verschlüsseln bereit. Aktivieren, einrichten und einsetzen muss die Firma den Service jedoch selbst. Genauso ist sie verantwortlich, den Datenzugriff zu regeln, beispielsweise über ein Identity & Access Management (IAM).
Im Alltag halten sich jedoch noch hartnäckig Missverständnisse, etwa wenn ein IT-Administrator eine virtuelle Maschine (VM) in seiner gebuchten IaaS-Umgebung starten will. Der Provider macht es ihm leicht, stellt die VM vorkonfiguriert bereit. Der IT-Mitarbeiter klickt ein paar Mal, und die VM läuft. Er brauche sich um nichts mehr kümmern – ist sein Gedanke. Der ist falsch, denn er und sein IT-Team müssen nun die Cloud-Instanz patchen, härten und warten. Bei einem IaaS-Bezug beginnt die Verantwortung eines Unternehmens auf der Betriebssystemebene und reicht bis zum Datenumgang. Auf den beschränkt sich die Zuständigkeit einer Firma in der SaaS-Nutzung. In dem Fall hält der Provider die Applikationen aktuell und spielt Patches auf. Die Verantwortungsfrage muss unbedingt vor der Inbetriebnahme von Workloads in der Cloud geklärt sein, sonst entsteht ein Sicherheitsrisiko.
Fehlkonfigurationen aufdecken und Sicherheitsrichtlinien durchsetzen
Gerade das Multi-Cloud-Modell bringt IT-Teams schnell an ihre Grenzen, da sie Services von verschiedenen Providern über unterschiedliche Administrationsportale zu steuern haben. Jeden Zugriffsweg auf die Cloud über eine Webplattform oder APIs, die andere Anwendungen an die Cloud anbinden, müssen die IT-Mitarbeiter sicher einrichten. Auch beim Einstellen von Switching, Routing, Networking und E-Mail-Infrastruktur sowie dem Implementieren von Anti-Spam-, Verschlüsselungs-, Sandboxing- und Antiviruslösungen darf ihnen kein Fehler unterlaufen. Wenn kleine Teams eine Multi-Cloud einrichten, passieren so leicht Missgeschicke. Die Quote an solchen einfachen Fehlern lässt sich drastisch senken, indem eine Firma das Konfigurieren so weit wie möglich automatisiert. Die dann noch verbleibenden Fehlkonfigurationen sind konsistenter. Ihnen begegnet man am besten mit einem CASB.
Ein CASB scannt alle Public-Cloud-Services im Unternehmen, macht die Cloud-Umgebung transparent und zeigt genau, welcher Dienst von wo erreichbar ist und mit wem er kommuniziert. Der CASB ist ein SaaS, der die Konfigurationen prüft und warnt, sobald Einstellungen von Best Practices abweichen. Eine zentrale Administrationskonsole befähigt dazu, Sicherheitsrichtlinien in verschiedenen Public-Cloud-Services wie AWS, Azure und Google Cloud Platform zu konfigurieren und durchzusetzen. Zuvor muss das IT-Team die Daten über den CASB klassifizieren. Die Policies regeln den Umgang mit den definierten Datenklassen. Es empfiehlt sich beispielsweise, die geschäftskritischen Daten für einen Client über einen Reverse Proxy laufen zu lassen und dort zu verschlüsseln, bevor sie in die Cloud geschickt werden. Zudem kann man über einen CASB Applikationen klassifizieren und solche Anwendungen blocken, die sonst als Schatten-IT zum Einsatz kämen.
Zusätzliche Authentifizierungsebene
Administratoren profitieren also in vielerlei Hinsicht von der Sicherheitslösung. Sie hilft ihnen, das Sicherheitsniveau in einer Multi-Cloud zu vereinheitlichen und zu erhöhen. Zudem lässt sich ein CASB auch für die Multi-Faktor-Authentifizierung verwenden, indem er zum Beispiel ein zusätzliches Einmalpasswort oder ein Zertifikat bei der Nutzeridentifikation verlangt. Zusätzlich lassen sich Geo-Informationen, also von wo ein Nutzer versucht sich einzuloggen, mit Threat Intelligence auswerten, um verdächtige Zugriffe herauszufiltern und zu blockieren.
Mit Technik und Wissen in die Cloud
Das Verlagern von Workloads in Multi- oder Hybrid-Cloud-Umgebungen können Unternehmen so vorbereiten, dass dieser Kraftakt sicher abläuft. Dazu stehen Sicherheitslösungen wie CASBs bereit, die das Wahrnehmen der Verantwortung für die Daten immens vereinfachen. So erleichtert die Technik das Umsetzen einer Data-Loss-Prevention-Strategie, weil sie Schwachstellen schließt sowie unberechtigten Zugriff auf Daten und deren ungewollten Abfluss verhindert. Dennoch müssen IT-Teams Cloud-Know-how aufbauen, um die richtigen Sicherheitslösungen auszuwählen und zu betreiben. Die Cyber-Security-Spezialisten von Axians unterstützen hierbei mit Wissenstransfer, Technologieberatung und -implementierung bis hin zu Überwachung und Betrieb der IT-Systeme im Rahmen von Managed Services.
*Der Autor: Tobias Olgemöller ist Senior IT Security Consultant bei Original Postortfolio/security/" target="_blank" rel="noreferrer noopener">Axians IT Security.