Palo Alto Networks zur sicheren Public-Cloud-Nutzung

Die 10 wichtigsten Tipps für die sichere Public Cloud

| Autor: Elke Witmer-Goßner

Die Nutzung der öffentlichen Cloud muss nicht an Sicherheitsbedenken scheitern.
Die Nutzung der öffentlichen Cloud muss nicht an Sicherheitsbedenken scheitern. (Bild: © lassedesignen - stock.adobe.com)

Zwei Herzen schlagen in der Brust vieler Unternehmen. Auf der einen Seite fordern kostenfokussierte Abteilungen in Unternehmen die Verlagerung in die öffentliche Cloud. Auf der anderen Seite sieht das IT-Sicherheitsteam darin potenzielle Sicherheitsrisiken und versucht, die Kontrolle nicht zu verlieren.

In der Regel versuchen Angreifer, Netzwerke zu kompromittieren und Benutzerdaten, geistiges Eigentum oder Ressourcen zu stehlen. Dabei spielt es keine Rolle, ob diese sich in der öffentlichen Cloud, in der privaten Cloud oder in einem physischen Rechenzentrum befinden. Auf Grundlage allgemeiner Erfahrungen gibt Palo Alto Networks folgende zehn Empfehlungen, anhand derer Unternehmen dafür sorgen können, dass der Sicherheit in der öffentlichen Cloud dieselbe Aufmerksamkeit gewidmet wird wie dem Schutz des eigenen Rechenzentrums.

1. Das Modell der gemeinsamen Sicherheitsverantwortung
Anbieter wie Amazon Web Services (AWS) und Microsoft Azure propagieren die „gemeinsame Verantwortung“ für die Sicherheit. Dabei ist der Betreiber dafür verantwortlich, dass die Plattform immer aktiv, verfügbar und aktuell ist. Der Kunde ist aber für den Schutz der eigenen Anwendungen und Daten in der öffentlichen Cloud selbst verantwortlich.

2. Frühzeitige Einbeziehung von Abteilungen und DevOps-Team
Zahlreiche Projekte im Zusammenhang mit der öffentlichen Cloud werden von Abteilungen wie DevOps vorangetrieben, die in kürzester Zeit neue Produkte oder funktionale Prototypen erstellen. Im Idealfall sollten das Sicherheitsteam und die betreffende Abteilung gemeinsam dafür sorgen, dass Sicherheitsrisiken vermieden werden.

3. Die eigene potenzielle Anfälligkeit kennen
Da es sehr einfach ist, ein Cloud-Konto einzurichten, wird die Nutzung der öffentlichen Cloud häufig als „Schatten-IT“ bezeichnet. Mitarbeiter können unwissentlich Sicherheitslücken schaffen. Daher ist es wichtig, den Überblick zu haben, wer im Unternehmen eine öffentliche Cloud nutzt, und es ist unabdingbar, sicherzustellen, dass die Umgebung fachgerecht konfiguriert wird.

4. Den Angreifer verstehen
Angreifer nutzen Automatisierung, um in Minutenschnelle potenzielle Ziele ausfindig zu machen. Dann suchen sie nach Sicherheitslücken oder falsch konfiguriertem SSH (Secure Shell) und probieren Standardkennwörter aus. Zu verstehen, wie Angreifer agieren, ist entscheidend für den effektiven Schutz von Anwendungen und Daten in der öffentlichen Cloud.

5. Auswertung von Sicherheitsoptionen
Beim Wechsel in die öffentliche Cloud stehen verschiedene Sicherheitsoptionen zur Auswahl:

- Cloud-Anbieter bieten system-eigene Sicherheitsdienste für die öffentliche Cloud wie Sicherheitsgruppen und WAFs (Web Application Firewalls) an. Diese Tools tragen zu einer Reduzierung der Angriffsfläche bei, enthalten jedoch selbst einige Sicherheitslücken. - Zum Erkennen und Abwehren von Bedrohungen dienen oft host-basierte punktuelle Sicherheitsprodukte. Ein IPS (Intrusion-Prevention-System) sucht jedoch nur nach bekannten Bedrohungen und übersieht möglicherweise Zero-Day- oder unbekannte Bedrohungen. Es bietet ebenso wie ein IDS (Intrusion-Detection-System) keine ganzheitliche Sicht auf die Cloud-Umgebung.

- Einige Unternehmen verwenden zum Schutz der Cloud-Bereitstellungen Skripting- und Transparenz-Tools. Mögliche Nachteile dieser Sicherheitsstrategie der Marke Eigenbau sind fehlendes Know-how bei der Verwaltung sowie nicht vorhandener Support im Falle einer Sicherheitsverletzung.

- Eine virtualisierte Inline-Appliance wie eine virtualisierte Firewall bilden die Grundlage für den Überblick über den gesamten Datenverkehr in der Cloud-Bereitstellung. Mithilfe von anwendungs-, benutzer- und inhalts-basierten Erkennungstechnologien lässt sich exakt ermitteln, wer zu welchem Zweck worauf zugegriffen hat. Entsprechend kann eine Richtlinie zur dynamischen Sicherheit umgesetzt werden, um Daten und Anwendungen in der öffentlichen Cloud vor gezielten Bedrohungen und Bedrohungen aus Unachtsamkeit zu schützen.

6. Wissen ist Macht
Das Wissen bringt in diesem Fall Gewissheit, dass der gesamte Datenverkehr die aus mobilen Geräten, Netzwerk und Cloud bestehende Umgebung sicher passiert. Durch die Nutzung einer virtualisierten Next-Generation-Firewall im Rahmen einer integrierten Sicherheitsplattform können sich Unternehmen den Überblick zu Identität und Merkmalen des Datenverkehrs verschaffen, um besser fundierte Entscheidungen zum Schutz von Anwendungen und Daten treffen zu können.

7. Abwehr ist alles
Es gibt diejenigen, die glauben, dass die Angreifer bereits „gewonnen“ haben und daher ein Erkennungs- und Wiederherstellungskonzept implementieren. Mit einer umfassenden Übersicht über die Umgebung ist eine effektive Abwehr jedoch tatsächlich möglich. Im Wesentlichen sind hierzu vier Funktionen erforderlich: Vollständige Transparenz, eine geringere Angriffsfläche, die Abwehr bekannter Bedrohungen und die Abwehr unbekannter Bedrohungen.

8. Cloud-orientiertes Konzept
Im eigenen Rechenzentrum werden die hohen Anforderungen an die Verfügbarkeit durch redundante Hardware erfüllt. Beim cloud-orientierten Konzept wird dies mithilfe der Struktur des Cloudanbieters und den entsprechenden Ausfallsicherheitsfunktionen wie etwa dem Lastausgleich problemlos und schnell erzielt.

9, Automatisierung zur Vermeidung von Engpässen
Durch die schnellere, präzisere Aktualisierung von Sicherheitsregeln ist ein Betrieb mit der Geschwindigkeit der Cloud möglich. Unternehmen sollten in den Sicherheitsmechanismen ihrer öffentlichen Cloud nach den folgenden Automatisierungstools Ausschau halten: Berührungslose Bereitstellungen z.B. mithilfe wie Bootstrapping; bidirektionale Integration in Ressourcen von Drittanbietern via API; und Richtlinienaktualisierungen mithilfe von Automatisierungsfunktionen wie XML API und DAG (Dynamic Address Groups).

10. Durchsetzung von Richtlinienkonsistenz durch zentrales Management
Die zentrale Steuerung des verteilten Netzwerks mit physischen und virtualisierten Firewalls und die Nutzung einer einzigen konsistenten Basis mit Sicherheitsregeln vom Netzwerk bis zur öffentlichen Cloud ist besonders wichtig. Dadurch wird bei sich ändernden Workloads in der öffentlichen Cloud das Management vereinfacht und Verzögerungen werden minimiert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45156924 / Cloud und Virtualisierung)