Was ist Cloud-Sicherheit?

Cloud-Sicherheit ist eine geteilte Verantwortung

Cloud-Sicherheit ist eine Verantwortung, die zwischen dem Cloud-Anbieter und dem Kunden geteilt wird. Es gibt grundsätzlich drei Kategorien von Verantwortlichkeiten im Modell der geteilten Verantwortung: Verantwortlichkeiten, die immer beim Anbieter liegen, Verantwortlichkeiten, die immer beim Kunden liegen, und Verantwortlichkeiten, die je nach Servicemodell variieren: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS), wie z. B. Cloud-E-Mail.

Die Sicherheitsverantwortlichkeiten, die immer beim Anbieter liegen, beziehen sich auf die Sicherung der Infrastruktur selbst sowie auf den Zugang zu den physischen Hosts und dem physischen Netzwerk, auf denen die Recheninstanzen laufen und auf denen sich der Speicher und andere Ressourcen befinden, sowie auf das Patchen und die Konfiguration derselben.

Die Sicherheitsverantwortung, die immer beim Kunden liegt, umfasst die Verwaltung von Benutzern und ihren Zugriffsrechten (Identitäts- und Zugriffsmanagement), den Schutz von Cloud-Konten vor unbefugtem Zugriff, die Verschlüsselung und den Schutz von Cloud-basierten Datenbeständen sowie die Verwaltung der Sicherheitslage (Compliance).

Die 7 größten Herausforderungen für die Cloud-Sicherheit

Da die öffentliche Cloud keine klaren Grenzen hat, stellt sie eine grundlegend andere Sicherheitsrealität dar. Dies wird noch schwieriger, wenn moderne Cloud-Ansätze wie automatisierte Continuous-Integration- und Continuous-Deployment-Methoden (CI/CD), verteilte serverlose Architekturen und ephemere Assets wie Functions as a Service und Container eingeführt werden.

Zu den fortgeschrittenen Cloud-nativen Sicherheitsherausforderungen und den mehrschichtigen Risiken, mit denen heutige Cloud-orientierte Unternehmen konfrontiert sind, gehören:

1. Erhöhte Angriffsfläche

   Die öffentliche Cloud-Umgebung ist zu einer großen und äußerst attraktiven Angriffsfläche für Hacker geworden, die schlecht gesicherte Cloud-Ingress-Ports ausnutzen, um auf Workloads und Daten in der Cloud zuzugreifen und diese zu stören. Malware, Zero-Day, Account-Takeover und viele andere bösartige Bedrohungen sind zur täglichen Realität geworden.

2. Mangel an Sichtbarkeit und Nachverfolgung

   Im IaaS-Modell haben die Cloud-Anbieter die volle Kontrolle über die Infrastrukturebene und legen sie für ihre Kunden nicht offen. Der Mangel an Sichtbarkeit und Kontrolle wird in den PaaS- und SaaS-Cloud-Modellen noch verstärkt. Cloud-Kunden können ihre Cloud-Assets oft nicht effektiv identifizieren und quantifizieren oder ihre Cloud-Umgebungen visualisieren.

3. Ever-Changing Workloads

   Cloud-Assets werden dynamisch bereitgestellt und außer Betrieb genommen – in großem Umfang und mit hoher Geschwindigkeit. Herkömmliche Sicherheitstools sind einfach nicht in der Lage, Schutzrichtlinien in einer solch flexiblen und dynamischen Umgebung mit ihren sich ständig ändernden und kurzlebigen Arbeitslasten durchzusetzen.

4. DevOps, DevSecOps und Automatisierung

   Organisationen, die die hochautomatisierte DevOps-CI/CD-Kultur übernommen haben, müssen sicherstellen, dass geeignete Sicherheitskontrollen identifiziert und früh im Entwicklungszyklus in Code und Vorlagen eingebettet werden. Sicherheitsrelevante Änderungen, die nach der Bereitstellung eines Workloads in der Produktion implementiert werden, können die Sicherheitslage des Unternehmens untergraben und die Zeit bis zur Markteinführung verlängern.

5. Granulares Rechte- und Schlüsselmanagement

   Oft sind Cloud-Benutzerrollen sehr locker konfiguriert und gewähren weitreichende Rechte, die über das hinausgehen, was beabsichtigt oder erforderlich ist. Ein häufiges Beispiel ist die Erteilung von Datenbanklösch- oder -schreibrechten an ungeschulte Benutzer oder Benutzer, die keine geschäftliche Notwendigkeit zum Löschen oder Hinzufügen von Datenbankbeständen haben. Auf der Anwendungsebene setzen unsachgemäß konfigurierte Schlüssel und Berechtigungen Sitzungen Sicherheitsrisiken aus.

6. Komplexe Umgebungen

   Die konsistente Verwaltung der Sicherheit in den hybriden und Multi-Cloud-Umgebungen, die von Unternehmen heutzutage bevorzugt werden, erfordert Methoden und Tools, die nahtlos mit Public-Cloud-Anbietern, Private-Cloud-Anbietern und On-Premise-Implementierungen zusammenarbeiten – einschließlich des Schutzes von Zweigstellen für geografisch verteilte Unternehmen.

7. Cloud Compliance und Governance

   Alle führenden Cloud-Anbieter haben sich den meisten bekannten Akkreditierungsprogrammen wie PCI 3.2, NIST 800-53, HIPAA und GDPR angeschlossen. Die Kunden sind jedoch dafür verantwortlich, dass ihre Workloads und Datenprozesse konform sind. In Anbetracht der geringen Sichtbarkeit und der Dynamik der Cloud-Umgebung wird der Prozess der Konformitätsprüfung nahezu unmöglich, es sei denn, es werden Tools eingesetzt, die kontinuierliche Konformitätsprüfungen durchführen und Echtzeitwarnungen über Fehlkonfigurationen ausgeben.

Zero Trust und warum Sie es annehmen sollten

Der Begriff Zero Trust wurde erstmals 2010 von John Kindervag eingeführt, der damals ein leitender Analyst bei Forrester Research war. Das Grundprinzip von Zero Trust in der Cloud-Sicherheit besteht darin, niemandem oder nichts innerhalb oder außerhalb des Netzwerks automatisch zu vertrauen und alles zu verifizieren (d. h. zu autorisieren, zu überprüfen und zu sichern).

Zero Trust fördert beispielsweise eine Governance-Strategie mit geringstmöglichen Rechten, bei der Benutzer nur auf die Ressourcen zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen. In ähnlicher Weise werden die Entwickler aufgefordert, dafür zu sorgen, dass Webanwendungen ordnungsgemäß abgesichert sind. Wenn der Entwickler beispielsweise die Ports nicht konsequent blockiert oder die Berechtigungen nicht nach Bedarf implementiert hat, hat ein Hacker, der die Anwendung übernimmt, die Berechtigung, Daten aus der Datenbank abzurufen und zu ändern.

Darüber hinaus nutzen Zero-Trust-Netzwerke die Mikrosegmentierung, um die Sicherheit von Cloud-Netzwerken wesentlich granularer zu gestalten. Durch Mikrosegmentierung werden sichere Zonen in Rechenzentren und Cloud-Implementierungen geschaffen, wodurch Workloads voneinander getrennt werden, alles innerhalb der Zone gesichert wird und Richtlinien zur Sicherung des Datenverkehrs zwischen den Zonen angewendet werden.

Die 6 Säulen robuster Cloud-Sicherheit

Während Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure (Azure) und Google Cloud Platform (GCP) viele Cloud-native Sicherheitsfunktionen und -dienste anbieten, sind zusätzliche Lösungen von Drittanbietern unerlässlich, um einen unternehmensgerechten Schutz von Cloud-Workloads vor Sicherheitsverletzungen, Datenlecks und gezielten Angriffen in der Cloud-Umgebung zu erreichen. Nur ein integrierter Cloud-nativer Sicherheits-Stack von Drittanbietern bietet die zentrale Transparenz und die richtlinienbasierte, granulare Kontrolle, die notwendig ist, um die folgenden Best Practices der Branche zu erfüllen:

1. Granulare, richtlinienbasierte IAM- und Authentifizierungskontrollen über komplexe Infrastrukturen hinweg

   Arbeiten Sie mit Gruppen und Rollen anstatt auf der individuellen IAM-Ebene, um die Aktualisierung von IAM-Definitionen bei sich ändernden Geschäftsanforderungen zu erleichtern. Gewähren Sie nur die minimalen Zugriffsrechte auf Assets und APIs, die für eine Gruppe oder Rolle zur Ausführung ihrer Aufgaben erforderlich sind. Je umfangreicher die Privilegien sind, desto höher sind die Authentifizierungsstufen. Und vernachlässigen Sie nicht eine gute IAM-Hygiene, indem Sie strenge Kennwortrichtlinien, Zeitlimits für Berechtigungen usw. durchsetzen.

2. Zero-Trust-Cloud-Netzwerksicherheitskontrollen in logisch isolierten Netzwerken und Mikrosegmenten

   Stellen Sie geschäftskritische Ressourcen und Anwendungen in logisch isolierten Abschnitten des Cloud-Netzwerks des Anbieters bereit, z. B. in Virtual Private Clouds (AWS und Google) oder vNET (Azure). Verwenden Sie Subnetze, um Arbeitslasten voneinander abzugrenzen, mit granularen Sicherheitsrichtlinien an Subnetz-Gateways. Verwenden Sie dedizierte WAN-Verbindungen in hybriden Architekturen und statische, benutzerdefinierte Routing-Konfigurationen, um den Zugriff auf virtuelle Geräte, virtuelle Netzwerke und deren Gateways sowie öffentliche IP-Adressen anzupassen.

3. Durchsetzung von Richtlinien zum Schutz virtueller Server und Prozessen wie Änderungsmanagement und Software-Updates:

   Cloud-Sicherheitsanbieter bieten ein robustes Cloud Security Posture Management, das bei der Bereitstellung virtueller Server konsequent Governance- und Compliance-Regeln und -Vorlagen anwendet, auf Konfigurationsabweichungen prüft und nach Möglichkeit automatisch Abhilfe schafft.

4. Sicherung aller Anwendungen (und insbesondere verteilter Cloud-nativer Anwendungen) mit einer Web Application Firewall der nächsten Generation

   Diese prüft und kontrolliert den Datenverkehr zu und von Web Application Servern granular, aktualisiert die WAF-Regeln automatisch als Reaktion auf Änderungen des Datenverkehrsverhaltens und wird näher an den Microservices eingesetzt, auf denen Workloads ausgeführt werden.

5. Verbesserter Datenschutz

   Verbesserter Datenschutz durch Verschlüsselung auf allen Transportebenen, sichere Dateifreigaben und Kommunikation, kontinuierliches Compliance-Risikomanagement und Aufrechterhaltung einer guten Hygiene der Datenspeicherressourcen, z. B. durch Erkennung falsch konfigurierter Buckets und Beendigung verwaister Ressourcen.

6. Threat Intelligence, die bekannte und unbekannte Bedrohungen in Echtzeit erkennt und beseitigt

   Drittanbieter von Cloud-Sicherheit fügen den großen und vielfältigen Strömen von Cloud-nativen Protokollen einen Kontext hinzu, indem sie aggregierte Protokolldaten mit internen Daten wie Asset- und Konfigurationsmanagementsystemen, Schwachstellenscannern usw. und externen Daten wie öffentlichen Threat Intelligence Feeds, Geolocation-Datenbanken usw. intelligent miteinander vergleichen. Sie stellen auch Tools zur Verfügung, die helfen, die Bedrohungslandschaft zu visualisieren und abzufragen und die Reaktionszeiten auf Vorfälle zu verkürzen. KI-basierte Algorithmen zur Erkennung von Anomalien werden eingesetzt, um unbekannte Bedrohungen zu erkennen, die dann einer forensischen Analyse unterzogen werden, um ihr Risikoprofil zu bestimmen. Echtzeitwarnungen zu Eindringlingen und Richtlinienverstößen verkürzen die Zeit bis zur Behebung und lösen manchmal sogar automatische Behebungsworkflows aus.

Erfahren Sie mehr über Check Point CloudGuard-Lösungen

Die einheitliche CloudGuard-Cloud-Sicherheitsplattform von Check Point lässt sich nahtlos in die Cloud-nativen Sicherheitsservices der Anbieter integrieren, um sicherzustellen, dass Cloud-Anwender ihren Teil des Shared-Responsibility-Modells einhalten und Zero-Trust-Richtlinien über alle Säulen der Cloud-Sicherheit hinweg einhalten: Zugriffskontrolle, Netzwerksicherheit, Compliance für virtuelle Server, Schutz von Workloads und Daten sowie Threat Intelligence.

Check Point Unified Cloud Security Solutions

• Cloud Native Cloud Security Solutions
• Cloud Security Posture Management
• Cloud Workload Protection
• Cloud Intelligence und Threat Hunting
• Cloud Network Security
• Serverless Security
• Container Security
• AWS Security
• Azure Security
• GCP Security
• Branch Cloud Security