Die Cloud stellt IT-Ressourcen dezentral bereit. Dieser Paradigmenwechsel verändert die Sicherheit fundamental und erfordert neue Konzepte und Tools. Hier sind drei Aspekte, die immer bedacht werden sollten.
Source: Original Postress-this.php?">Cloud-Migration: Was Sie über Cloud-Sicherheit unbedingt wissen sollten
Kaum ein anderer Bereich der IT weist eine so ungeheure Dynamik in seiner Entwicklung auf. Die Crux aus dem Blickwinkel der Sicherheit: Jede neue Errungenschaft, von der Container-Technologie bis zu Cloud-Native-Anwendungen, bringt neue Gefahren mit sich und Sicherheitsspezialisten haben ihre liebe Mühe, mit der Entwicklung Schritt zu halten.
“Es kommt ständig Neues hinzu”, bestätigt Michael Tegtmeier, IT-Security Consultant bei Bechtle. “Neue Ansätze werden permanent überdacht und das, was noch vor anderthalb Jahren der letzte Schrei war, ist heute Standard. Man kann nicht sagen, dass die Security-Anbieter der Cloud-Entwicklung hinterherlaufen, aber vorneweg laufen sie auch nicht unbedingt.”
Der Sicherheit nicht hinterherlaufen sollten auf jeden Fall IT- und Security-Verantwortliche in Anwenderunternehmen. Was aber bei Cloud-Projekten leicht passieren kann. Die zentrale IT hat Fachbereichen in den vergangenen Jahren eine Teilautonomie zugestanden, die Tatsachen geschaffen hat, die häufig mit Sicherheitsproblemen einhergehen. In diesem Zusammenhang gibt es drei Security-Aspekte, die bei jedem Cloud-Projekt zu berücksichtigen sind.
1. Cloud-Security hat eine dezentrale Architektur
On-Premises-Security hat eine aufs Rechenzentrum fokussierte Charakteristik. Alle wesentlichen Computing-Ressourcen wie auch die Anwendungen und die Mehrheit der Clients sind innerhalb des Perimeters eines Firmennetzwerks. Entsprechend besteht die Aufgabe der Sicherheitsverantwortlichen darin, diesen Perimeter so gut wie möglich gegen äußere Gefahren abzuschotten und die Kommunikationswege nach außen zu kontrollieren und zu schützen.
Cloud-Infrastrukturen hingegen sind dezentral organisiert. Computing-Ressourcen sind über externe Cloud-Instanzen und der eigenen Private Cloud verteilt. Hinzu kommen gehostete Cloud-Anwendungen wie Microsoft 365 oder Salesforce. Zudem ist ein großer Teil der Nutzer außerhalb des Firmengebäudes tätig und greift über das Internet auf Daten und Anwendungen zu. Somit verlagert sich ein maßgeblicher Teil der Netzwerkaktivität vom Firmennetz auf das Internet.
Traditionelle, auf den Schutz des Perimeters ausgerichtete Sicherheitsarchitekturen, greifen hier zu kurz. Als tragfähige, Cloud-gerechte Alternative kristallisiert sich immer mehr Secure Access Service Edge (SASE) heraus. Sie ist per Definition dezentral angelegt, äußerst flexibel und kann praktisch alle neuen Security-Tools wie Cloud Access Security Broker (CASB) oder Zero Trust Network Access (ZTNA) integrieren, die bei der Nutzung von Cloud-Anwendungen notwendig sind.
Der vielleicht entscheidende Vorteil von SASE besteht darin, dass sie einen sanften Übergang zulässt zu einer Cloud-orientierten, dezentralen Sicherheitsarchitektur. Das kommt Anwenderunternehmen entgegen, die in der Regel schrittweise in die Cloud migrieren. “Sind zunächst nur einzelne Cloud-Anwendungen wie Microsoft 365 im Einsatz, reicht auch ein CASB als Erweiterung”, erklärt Tegtmeier. “Sobald aber eine richtige Cloud-Infrastruktur aufgebaut wird oder Secure Web Proxies genutzt werden, lohnt es sich, über SASE nachzudenken.”
2. Verteilte Rollen zwischen Provider und Kunde
Wer genau ist für die Sicherheit verantwortlich, wenn Sie die Public Cloud nutzen? Es kommt darauf an, von welchem Bereich der IT-Sicherheit und von welchem Nutzungsmodell die Rede ist. Geht es um SaaS, PaaS oder IaaS? Eine genaue Aufschlüsselung des üblichen “Shared Responsibility”-Modells finden Sie in diesem Whitepaper.
Darüber hinaus gibt es einige Fakten, die man im Hinterkopf behalten sollte.
Für die Sicherheit der Computing-Infrastruktur ist grundsätzlich der Provider zuständig und als Kunde kann man davon ausgehen, dass sie dort in guten Händen ist. Große wie kleinere Provider investieren viel in Tools und Mechanismen, von denen Mittelständler nur träumen können.
Für die Sicherheit der Daten und der eigenen Anwendungen, die in der Cloud laufen, ist allerdings der Kunde verantwortlich. Hierfür stehen sowohl Angebote der Provider als auch Tools von Drittfirmen zur Verfügung.
Provider wie Microsoft oder AWS bieten gegen Gebühr eine Reihe eigener Tools, beispielsweise um Anwender zu authentifizieren. Häufig reichen sie aus, wenn die Infrastruktur einigermaßen homogen ist. “Doch kommen eine On-Premises-Infrastruktur, mehrere Cloud-Provider plus Cloud-Anwendungen wie Office 365 oder Salesforce ins Spiel, wird es komplexer “, sagt Tegtmeier. “In diesem Fall kann man davon ausgehen, dass Dienste und Produkte von Security-Anbietern notwendig werden.”
3. Business Continuity braucht ein anderes Setup
Traditionelle Backup & Recovery-Methoden und -Tools haben es häufig schwer, mit der Komplexität verteilter Infrastrukturen mitzuhalten. Andererseits gibt es auch mehr Möglichkeiten, den Geschäftsbetrieb gegen Unterbrechungen abzusichern und den ganzen Prozess sogar zu vereinfachen. “Bei Cloud-Backup muss man sich beispielsweise nicht mit Hardware-Fragen beschäftigen, sondern bucht einfach die Ressourcen”, erklärt Tegtmeier. “Auch lassen sich Daten einfach örtlich redundant sichern, indem das zweite Backup in einem anderen Rechenzentrum stattfindet.”
Solche Möglichkeiten bieten auch die Provider selbst. Bei ihnen hat Business Continuity naturgemäß einen enormen Stellenwert und entsprechend sind sie gerüstet in Hinsicht auf redundante Strukturen und Ausfallsicherheit.
Dennoch haben externe Anbieter wie Veeam oder Druva ihre Berechtigung, sowohl konzeptionell als auch technologisch. Sie sind vor allem gefragt, wenn IT-Infrastruktur und Anwendungslandschaft eine gewisse Diversität vorweisen. So bietet Microsoft zum Beispiel eine Reihe von Tools für den Bereich Modern Workplace. Doch geht es darum, Anwendungen anderer Anbieter zu integrieren, ist es häufig ratsam, auch Lösungen von Drittherstellern in Betracht zu ziehen.
Security by Design ist Pflicht in der Cloud!
Die Implementation einer tragfähigen Sicherheitsarchitektur und die Wahl der passenden Anbieter und Tools sollte unbedingt Teil des Planungsprozesses sein, mahnt Tegtmeier. “Bei Cloud-Projekten neigt man gerne dazu, zunächst einfach zu machen und stellt hinterher fest, dass sich die eine oder andere Sicherheitslücke aufgetan hat. ‘Einfach machen' bedeutet: Man läuft der Sicherheit hinter. Das darf niemals der Fall sein. Security sollte immer im Voraus bedacht werden, damit man die Zügel in der Hand hat.”
Daher sind Tegtmeier und sein Team bei Bechtle froh, wenn sie bei Cloud-Projekten von Anfang an dabei sind. “Je früher wir hinzugezogen werden, desto mehr können wir beitragen, idealerweise schon in der Konzeptionsphase. Werden bestimmte Aspekte nicht zu Beginn berücksichtigt, ist es schwierig, das während der Implementation nachzuholen. So lässt sich kaum das Versprechen der Cloud realisieren, vieles einfacher und kostengünstiger zu gestalten.”, so Tegtmeier.
Wie Sie verhindern, dass die Kosten für Sicherheit in Ihrem Cloud-Projekt aus dem Ruder laufen, zeigt dieses Whitepaper.