Multi-Cloud-Security

Sicherheit für Multi-Cloud-Netzwerke

| Autor / Redakteur: Christian Vogt / Peter Schmitz

Unternehmen setzen zunehmend auf dynamische Multi-Cloud-Umgebung, obwohl diese mit herkömmlichen Sicherheitslösungen und -strategien nur schwer abzusichern sind.
Unternehmen setzen zunehmend auf dynamische Multi-Cloud-Umgebung, obwohl diese mit herkömmlichen Sicherheitslösungen und -strategien nur schwer abzusichern sind. (Bild: Pixabay / CC0)

Unternehmen verlagern heute verstärkt Workloads in die Cloud und setzen dazu auf Multi-Cloud-Modelle, bei denen für bestimmte Funktionen, Standorte oder zur Kostensenkung mit verschiedenen Anbietern zusammen­gearbeitet wird. Gleichzeitig werden kritische Daten über unterschiedlichste cloudbasierte Anwendungen und Dienste verbreitet und verarbeitet.

Neben diversen Cloud-Anbietern haben immer mehr Unternehmen inzwischen auch eine Private Cloud, wobei fast die Hälfte diese Umgebungen mit mehreren Hypervisoren verwaltet wird. Hinzu kommt, dass Daten, Ressourcen und Workflows über diese hybriden Umgebungen hinweg übertragen und abgerufen werden. Das alles muss mit zahlreichen Anwendungen auf unterschiedlichsten Geräten funktionieren – auf unternehmenseigenen Laptops und PCs genauso wie auf dem privaten Smartphone.

Dies alles ist Teil der Digital Transformation, durch die Unternehmen nicht nur flexibler auf wechselnde Bedürfnisse von Kunden und Mitarbeitern reagieren können, sondern auch auf dynamische Daten-Anforderungen. Entscheidend ist dabei, wie schnell auf wechselnde Anforderungen reagiert werden kann – und dafür ist eine ständige Datenpflege unverzichtbar.

Multi-Clouds haben wesentlich höhere Sicherheitsanforderungen

Damit die Multi-Cloud-Security wirklich greift, sollten Unternehmen folgende vier Faktoren berücksichtigen.

Einheitlichkeit: Unternehmen wissen, dass die Security jede Phase der gesamten potenziellen Angriffsfläche abdecken muss. Da sich jedoch die Multi-Cloud-Infrastruktur vieler Firmen eher organisch entwickelt, wird die Sicherheit oft nur pro Projekt implementiert. Häufig führt das zu einer lückenhaften Security, weil sich Geräte nur isoliert verwalten lassen. Dies erschwert die Korrelation von Bedrohungsdaten und verhindert eine zentrale Sicht auf die gesamte Bedrohungslage. Abwehrmaßnahmen können dann weder koordiniert erfolgen noch Sicherheitsrichtlinien oder -protokolle konsequent durchgesetzt werden.

Schnelligkeit: Da Unternehmen sofort auf Benutzeranforderungen reagieren und schneller Entscheidungen treffen müssen, wird verstärkt auf Automatisierung gesetzt. Gleichzeitig explodiert das zu schützende Datenvolumen durch unzählige vernetzte IoT-Geräte (Internet of Things) und SaaS-Anwendungen (Software-as-a-Service), die mit höheren Durchsätzen arbeiten. Erschwerend kommt hinzu, dass über die Hälfte dieses Traffics mittlerweile verschlüsselt ist. Das Problem ist, dass eine SSL-Inspektion in diesem Umfang eine hohe Rechenleistung erfordert – was viele Sicherheitsgeräte in die Knie zwingt. Da jedoch Erfolg in einer solchen Umgebung in Mikrosekunden gemessen wird, können sich Unternehmen keine Security leisten, die das Netzwerk ausbremst. Die Folge ist, dass ein wachsender Anteil der Daten weder geprüft noch geschützt wird.

Unvorhersehbarkeit: Die Stärke einer cloudbasierten Unternehmensumgebung liegt in ihrer Skalierbarkeit und Elastizität. Rechenkapazitäten können fast unbegrenzt hinzugefügt werden, um Verschiebungen und Spitzen bei der Verarbeitung von Daten und Workloads zu bewältigen. Auch lassen sich Daten dynamisch umleiten, um den Anforderungen von Benutzern und Ressourcen gerecht zu werden. Daten-Routen sind nicht nur asynchron, sondern können sich auf unvorhersehbare Weise sofort ändern. Für viele Security-Lösungen ist jedoch die Vorhersagbarkeit von Daten wichtig. Ein isoliertes Sicherheitsgerät kann in einer derart komplexen, asynchronen Umgebung leicht den Überblick über Datenströme und -pakete verlieren, was die Security-Durchsetzung schwierig – wenn nicht unmöglich – macht.

Komplexität: Cyber-Kriminelle wissen, dass die komplexe Natur von Multi-Cloud-Umgebungen das Erkennen und Verfolgen raffinierter Angriffe erschwert. Sie gehen davon aus, dass verschiedene Sicherheitsgeräte sich gegenseitig nicht sehen oder austauschen können. Dadurch können Cyber-Kriminelle Sicherheitslücken zwischen verschiedenen Netzwerk-Segmenten und -Umgebungen ausnutzen und sich unbemerkt durch das erweiterte Netzwerk bewegen, indem sie mit Verschleierungstechniken ihre Aktivitäten als berechtigten Traffic ausgeben.

Multi-Cloud-Netzwerke brauchen ein integriertes Security Framework

Es kann praktisch unmöglich werden, eine dynamische, hochelastische Multi-Cloud-Umgebung mit herkömmlichen Sicherheitslösungen und -strategien angemessen zu sichern. Isolierte Geräte, die für klassische Netzwerk-Umgebungen mit vorhersagbaren Datenströmen und Performance-Anforderungen entwickelt wurden, sind dieser Aufgabe nicht mehr gewachsen. Stattdessen brauchen digitale Umgebungen von heute ein integriertes, fabricbasiertes Security-Konzept, das das „Unmögliche möglich“ macht.

Dies beginnt mit der Auswahl von Sicherheitsgeräten und -lösungen, die so schnell und effektiv arbeiten, wie es heutige Netzwerke erfordern. Um aber eine Security-Lösung richtig einzuschätzen, müssen bei der Messung der Bedrohungsabwehr und Performance alle wichtigen Funktionen aktiviert sein – einschließlich erweiterter Firewall-Schutz, Application Control, Intrusion Prevention (IPS), Anti-Virus, Anti-Malware, Zero-Day-Erkennung/Sandboxing und SSL-Inspektion. Da verschiedene Hersteller mit unterschiedlichen Standards und Methoden für ihre Technologien werben, lassen sich Security-Lösungen oft nicht leicht vergleichen, was die Kaufentscheidung erschwert. Hier können Testergebnisse von namhaften, unabhängigen Anbietern hilfreich sein.

Security-Technologien, die im gesamten Netzwerk eingesetzt werden, müssen zudem gesammelte Bedrohungsdaten – so genannte „Threat Intelligence“ – austauschen können. Tools wie Next-Gen-Firewalls (NGFW), Web Application Firewalls (WAF), Internal Segmentation Firewalls (ISFW), Anti-Virus und Anti-Malware (AV) sowie Advanced Threat Protection (ATP) müssen selbstverständlich an verschiedenen Stellen im Netzwerk und in mehreren Formfaktoren bereitgestellt werden.

Um jedoch wirklich effektiv und verwaltbar zu sein, müssen die Cloud-Infrastruktur und die eingesetzten Sicherheitslösungen Informationen miteinander austauschen. Alle Security-Komponenten sollten Bedrohungsdaten automatisch korrelieren und auf jede im gesamten Netzwerk erkannte Bedrohung koordiniert reagieren können.

Zentralisierte Transparenz, Orchestrierung und Kontrolle bilden die Grundlage jeder effektiven Sicherheitsstrategie. Wir müssen Technologien wählen, die sich nicht nur gemeinsam eine umfassende Transparenz schaffen können, sondern auch in der Lage sind, auf geteilte Bedrohungsdaten mit Abwehrmaßnahmen zu reagieren, Bedrohungen zu melden und geänderte Sicherheitsvorgaben durchzusetzen. Angesichts der Geschwindigkeit, mit der Cyber-Bedrohungen ein System kompromittieren können, sollte die Datenkorrelation zwischen einzelnen Lösungen soweit wie möglich automatisiert sein. Unternehmen, Security Operation Center (SOC) und Managed Security Service Provider (MSSPs) profitieren gleichermaßen von integrierten SIEM-Technologien (Security, Information und Event Management). Diese verbessern die Erkennung raffinierter Bedrohungen, erleichtern die Priorisierung von Indicators of Compromise (IOC) und ermöglichen die Automatisierung einer gemeinsamen Reaktion.

Zu guter Letzt müssen Sicherheitslösungen auch auf intelligente Weise netzwerkfähig sein: Sie sollten dynamische Workflows und Hypervisoren verstehen sowie einen wechselnden Ressourcen-Bedarf und Schatten-ITs berücksichtigen können. Auch muss eine Security-Lösung in der Lage sein, Sicherheitsrichtlinien und -protokolle dynamisch an diese hochelastischen Angriffsflächen anzupassen. Durch eine solche koordinierte Zusammenarbeit können integrierte Security Tools den Datenverkehr auch während der Übertragung über mehrere Cloud-Domains hinweg verfolgen und schützen.

Wie schaut es konkret mit der Absicherung von den „großen“ Clouds – also AWS, Azure und Google – aus? Eine Grundvoraussetzung ist, dass die Sicherheitslösung die verschiedenen Cloud-Umgebungen abdeckt und entsprechende APIs zur Verfügung stellt. Außerdem sollte der Hersteller Kunden und Partner aktiv bei der Entwicklung und Integration von Cloud-IT unterstützen. Weiterhin sollen mithilfe von entsprechenden Konnektoren dynamische Objekte und Informationen einfach und automatisiert von AWS, Azure und Google Cloud übernommen werden können und Threat Response-Aktivitäten sich ebenso einfach und automatisiert auf die jeweilige Cloud-Infrastruktur (beispielsweise über AWS Lambda) erweitern lassen.

Die Digital Transformation, die die Einführung von Multi-Cloud-Netzwerken vorantreibt, erfordert eine entsprechende Transformation der Security. Unternehmen müssen jetzt mit der Implementierung eines fabricbasierten Security Frameworks beginnen. Nur so lassen sich Daten, Workflows und Ressourcen schützen und zugleich die Herausforderungen an Performance, Skalierbarkeit und Komplexität einer sich ständig weiterentwickelnden Multi-Cloud-Umgebung erfolgreich meistern.

Über den Autor: Christian Vogt ist Senior Regional Director Germany bei Fortinet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45454436 / Cloud und Virtualisierung)