Cloud Security Konsistente Security über Plattformen hinweg

Autor / Redakteur: Michael Gießelbach / Peter Schmitz

Laut dem 2021 State of Web Application and API Protection Report von Radware setzen 47 Prozent der Unternehmen, die in der Public Cloud arbeiten, Anwendungen auf mehr als nur einer einzigen Cloud-Umgebung ein. Darüber hinaus betreiben viele Unternehmen weiterhin Anwendungen entweder vor Ort oder in privaten Clouds.

Firma zum Thema

Es gibt viele Gründe, warum Unternehmen mehrere Plattformen nutzen, aber sie alle stehen vor einem gemeinsamen Problem: Wie kann man eine sich schnell ändernde Anwendungsumgebung schützen, die sich über mehrere Plattformen erstreckt?
Es gibt viele Gründe, warum Unternehmen mehrere Plattformen nutzen, aber sie alle stehen vor einem gemeinsamen Problem: Wie kann man eine sich schnell ändernde Anwendungsumgebung schützen, die sich über mehrere Plattformen erstreckt?
(© bluebay2014 - stock.adobe.com)

Laut dem Radware- Bericht gilt dies immer noch für 53 Prozent der Produktions-Anwendungen. Zudem verlagern Unternehmen ihre Anwendungsumgebungen, migrieren Workloads zwischen lokalen, privaten und öffentlichen Clouds und betreiben ein hybrides Anwendungsökosystem, das kontinuierlicher Veränderung unterworfen ist. Es gibt viele Gründe, warum Unternehmen mehrere Plattformen nutzen, aber sie alle stehen vor einem gemeinsamen Problem: Wie kann man eine sich schnell ändernde Anwendungsumgebung schützen, die sich über mehrere Plattformen erstreckt?

Schwierig erscheint die Absicherung einer verteilten Cloud-Umgebung vor allem deshalb, weil praktisch alle Plattformen über eigene, integrierte Sicherheitstools verfügen. Die Verwendung dieser nativen Tools kann zu disparaten Sicherheitssilos mit inkonsistenten Sicherheitsrichtlinien, unterschiedlichen Schutzniveaus und fragmentierter Protokollierung und Berichterstattung führen. Im Einzelnen gibt es drei Hauptherausforderungen, wenn es um den Schutz von Cloud-übergreifenden Assets geht.

Schaffung eines plattformübergreifenden Sicherheitsperimeters

Die erste Herausforderung ist die Absicherung von Anwendungen und Netzwerkressourcen gegen bösartigen Datenverkehr von außen. In der alten Welt der physischen Rechenzentren war dies relativ einfach. Netzwerkressourcen und Administratoren befanden sich im selben Netzwerk und häufig auch am selben physischen Standort. Die Administratoren hatten die Kontrolle über die Computerressourcen, und die Verteidigungsmaßnahmen waren in erster Linie darauf ausgerichtet, bösartigen Datenverkehr aus dem Unternehmensnetzwerk fernzuhalten.

Public Clouds sind anders: Die Computerinfrastruktur wird nicht mehr in physischen Rechenzentren unter der Kontrolle des Unternehmens gehostet, sondern auf gemeinsam genutzten Ressourcen in entfernten Rechenzentren betrieben, die von Dritten verwaltet werden. Bösartiger Datenverkehr kann über verschiedene Vektoren eindringen, und die Verteidigungsmaßnahmen müssen alle diese Vektoren abdecken. Sicherheitsverantwortliche müssen daher einen Sicherheitsperimeter schaffen, der jede Art von bösartigem Datenverkehr von ihren Anwendungen fernhält, unabhängig davon, wo sie eingesetzt werden.

Absicherung entfernter Cloud-Infrastrukturen

Die zweite Herausforderung betrifft den Schutz von Cloud-Infrastrukturen in dem Fall, dass der externe Perimeter durchbrochen wurde. Der Umzug in die Cloud bedeutet grundsätzlich einen Verlust an Sichtbarkeit und Kontrolle. Während in der "alten" Welt des On-Premise-Computing die Recheninfrastruktur unter der direkten Kontrolle von IT- und Netzwerkmanagern stand, hat die Verlagerung von Workloads in entfernte Cloud-Rechenzentren dazu geführt, dass Unternehmen die direkte Kontrolle über ihre Assets verlieren. In der Tat ist der alte Insider nun ein Außenseiter in Bezug auf seine eigenen Computing-Assets.

Der Zugriff auf in der Cloud gehostete Workloads wird nun per Fernzugriff über APIs verwaltet, die von den Cloud-Hosting-Anbietern bereitgestellt werden. Administratoren haben keine direkte Kontrolle mehr über ihre Workloads, und die Absicherung von Public-Cloud-Workloads ist nun eine gemeinsame Verantwortung zwischen dem Kunden und dem Public-Cloud-Anbieter. Das bedeutet, dass die Public-Cloud-Infrastruktur - das Backend, auf dem die Anwendungen laufen - jetzt ein potenzielles Ziel für böswillige Akteure ist und Unternehmen diese Plattformen gegen Eindringen und Missbrauch sichern müssen.

Die Fähigkeit zur Veränderung

Die dritte Herausforderung ist der Veränderungsprozess selbst, der ein unvermeidlicher Bestandteil der Cloud-Migration ist. Denn die Migration in die Cloud ist kein einmaliger, sofortiger, statischer Prozess. Vielmehr handelt es sich um einen kontinuierlichen, dynamischen Prozess mit mehreren Anläufen, Meilensteinen und Änderungen. Es ist nicht ungewöhnlich, sondern mittlerweile eher die Norm, dass sich die Zielumgebungen ändern, dass Anwendungen hinzugefügt, verändert oder entfernt werden und dass ganz neue Cloud-Umgebungen hinzugefügt werden, zusätzlich zu den bestehenden und laufenden Implementierungen.

Die Kombination aus größerer Angriffsfläche, geringerer Sichtbarkeit, erhöhter Anfälligkeit von Anwendungen und sich schnell ändernden Cloud-Umgebungen bedeutet, dass Unternehmen in der Lage sein müssen, schnell Sicherheitsrichtlinien zu implementieren, die mehrere - und sich häufig ändernde - Cloud-Umgebungen gleichzeitig schützen können.

Erstellen einer plattformübergreifenden Sicherheitsarchitektur

Damit Unternehmen ihre Cloud-Anwendungsumgebung absichern können, müssen sie eine plattformübergreifende Sicherheitsarchitektur schaffen, die einen umfassenden Schutz von Cloud-Anwendungen und der Cloud-Infrastruktur vor jeder Art von Anwendungsbedrohung bietet - unabhängig davon, ob sie auf die Anwendungsoberfläche oder die Anwendungsinfrastruktur abzielt. Diese Architektur muss zudem konsistent sein - also ein einheitliches Schutzniveau für alle Anwendungen und über mehrere Umgebungen hinweg gewährleisten. Dabei darf es keine Rolle spielen, ob eine bestimmte Anwendung vor Ort, in einer privaten Cloud oder in der öffentlichen Cloud läuft.

Eine weitere Anforderung an die Sicherheitsarchitektur ist Anpassungsfähigkeit. Sie muss in der Lage sein, sich an Änderungen in der Anwendungsumgebung und der IT-Architektur und -Infrastruktur anzupassen.

Um die genannten Herausforderungen zu bewältigen, muss die Sicherheitsarchitektur einen vollständigen Satz von App-Sicherheitstechnologien umfassen, die auf einfache Weise integriert sind. Zudem müssen Tools und Lösungen identische Fähigkeiten in verschiedenen physischen, virtuellen und Cloud-Umgebungen zur Verfügung stellen. Weitere Anforderungen sind die Bereitstellung von KPIs über verschiedene Umgebungen hinweg und einfache Fehlersuche in verschiedenen Umgebungen. Und schließlich sollte die Einführung von Multi-Cloud das Budget nicht übermäßig belasten, denn Kosteneinsparung ist schließlich einer der Hauptgründe für die Einführung der Cloud.

Eine umfassende Sicherheitsarchitektur beinhaltet daher konkret mindestens folgende Elemente:

  • Integrierte App-Sicherheit: Die Lösung der Wahl muss ein komplettes Set von Modulen für den Anwendungsschutz enthalten, um eine optimale Sicherheitsabdeckung für alle Bedrohungsoberflächen von Anwendungen zu bieten:
  • Web Application Firewall zum Schutz vor webbasierten Angriffen (OWASP Top 10 und darüber hinaus)
  • Bot Manager zum Schutz vor automatisierten, Bot-basierten Bedrohungen
  • Umfassende API Security zum Schutz von APIs und für volle Transparenz bei API-bezogenen Bedrohungen
  • Threat Intelligence zum Schutz vor unbekannten und aktiven Angreifern.

Weitere wesentliche Anforderungen an Sicherheitslösungen sind schnelle Bereitstellung und Agilität. Sie müssen einfach zu implementieren, zu verwalten und zu warten sein, möglichst ohne dass Experten im eigenen Haus benötigt werden. Hier können Managed Services eine gute Lösung darstellen. Beim Eigenbetrieb sollte man darauf achten, dass die DevOps- und SecOps-Teams vorgefertigte Sicherheitsrichtlinien als Self-Service-Vorlage erstellen können. Nach der Implementierung geht es dann um die kontinuierliche Optimierung und Weiterentwicklung der bereitgestellten Richtlinien. Und zum Schluss noch eine Grundregel: Angreifer sind hochgradig lernfähig - Sicherheitslösungen müssen es ebenfalls sein. Gegen KI-basierte Angriffe stehen manuelle Sicherheitssysteme in jedem Fall auf verlorenem Posten.

Über den Autor: Michael Gießelbach ist Regional Director DACH bei Radware.

(ID:47533194)