Sichere Kommunikation von Cloud-Workloads Babylonische Sprachverwirrung in der Cloud

Ein Gastbeitrag von Nils Ullmann*

Jedes Unternehmen mit Anwendungen in der Cloud hat das Problem, die Kommunikation der Apps ins Internet, untereinander oder zum Rechenzentrum, sicher zu gestalten. Durch die heutigen Multi-Cloud-Umgebungen mit allen großen Hyperscalern wird die Verwaltung der sicheren Erreichbarkeit von Workloads allerdings schnell zur Mammutaufgabe.

Anbieter zum Thema

Die Verbindungskomplexität und hohe Security-Anforderungen lassen den Ruf nach Simplifizierung laut werden; moderne Cloud-Workload-Lösungen auf Basis von Zero Trust schaffen Abhilfe.
Die Verbindungskomplexität und hohe Security-Anforderungen lassen den Ruf nach Simplifizierung laut werden; moderne Cloud-Workload-Lösungen auf Basis von Zero Trust schaffen Abhilfe.
(Bild: © Andrii Yalanskyi - stock.adobe.com)

Die Tatsache, dass ein in die Cloud verlagerter Workload auf unterschiedliche Art erreichbar sein muss, gerät in den heutigen Multi-Cloud-Szenarios in den Mittelpunkt einer Komplexitäts- und Sicherheitsdiskussion. Für die meisten Anwendungen in der Public Cloud sind drei Kommunikationsbeziehungen erforderlich. Die Workload bestehend aus Anwendung und Daten muss für die Administration durch die IT-Abteilung erreichbar sein, über das Internet mit anderen Applikationen kommunizieren können und über eine Anbindung an das zentrale Rechenzentrum verfügen. Werden die erforderlichen Zugriffsrechte in diese Richtungen nicht korrekt abgebildet, kann sich die Angriffsfläche auf die Infrastruktur eines Unternehmens vergrößern.

Der Aufwand für die sichere Kommunikation der Workloads wächst allerdings mit der Anzahl der Applikationen in der Cloud und den eingesetzten Cloud-Providern. Da die Hyperscaler auf eine dezentrale Infrastruktur setzen, stehen Anwendungsentwickler, Netzwerk- und Sicherheitsabteilungen in Unternehmen vor der Herausforderung, die Kommunikationsbeziehungen zu jeder Workload von jedem Cloud-Anbieter performant und zugleich sicher zu gestalten. Kommt herkömmliche Netzwerksicherheit zum Einsatz, sind die Verantwortlichen mit hohem Komplexitäts- oder Kostendruck konfrontiert.

Dass aufgrund der Komplexität von Multi-Cloud-Umgebungen die erforderlichen Sicherheitsvorkehrungen nicht immer ausreichend Beachtung finden, zeigt die jüngste „State of Cloud (In) Security“ Analyse von mehreren tausend Cloud-Workloads durch das Zscaler Threatlabz-Team. Im Vergleich zu 2020 wird deutlich, dass das Spektrum und die Häufigkeit von Cloud-Sicherheitsproblemen im Jahr 2021 zugenommen haben. Laut der Analyse wurde für 71 Prozent der Cloud-Konten, verglichen mit 63 Prozent im Vorjahr, keine Software- oder Hardware-basierte Multifaktor-Authentifizierung eingesetzt. 56 Prozent der Zugangsschlüssel fanden in den letzten 90 Tagen keine Erneuerung, was einem Anstieg von 6 Prozent gegenüber dem Vorjahr entspricht. Darüber hinaus waren 91 Prozent der Konten mit Berechtigungen ausgestattet, die überhaupt nicht genutzt wurden. Ein Großteil der erteilten Berechtigungen war nicht nur unnötig, sondern auch falsch konfiguriert. Ebenso schwerwiegend für die Sicherheit ist das Ergebnis, dass sich 90 Prozent der Unternehmen nicht bewusst waren, dass sie Drittanbietern umfangreiche Lese-Berechtigungen einräumen.

Babylonische Zustände der Workload-Kommunikation

Durch die Zunahme der Public Cloud-Workloads in den vergangenen zwei Jahren sehen sich viele Unternehmen mit einem komplexen Verbindungschaos zu ihren Cloud-Anwendungen konfrontiert, das nur mit einem hohen Aufwand zu verwalten ist. Die Komplexität kommt durch verschiedenste Routing-Anforderungen des Datenverkehrs zur Anwendung in der Cloud, der Kommunikation von Cloud-basierten Apps untereinander und von der Anwendung zurück ins Rechenzentrum zustande. Darüber hinaus tragen Faktoren, wie die geforderte Erreichbarkeit der Dienste über unterschiedliche Regionen und Verfügbarkeitszonen hinweg oder gar redundant angelegte Applikationen zu verschachtelten Kommunikationswegen bei.

Verkompliziert wird die Überwachung und Strukturierung von Multi-Cloud-Umgebungen zudem, wenn es mehrere Applikationen oder Applikationsteile in der öffentlichen Cloud gibt, die miteinander kommunizieren müssen oder wenn Bestandteile der Anwendungen in verschiedensten Hyperscalern angelegt sind. An Komplexität nicht zu überbieten sind Workloads, die nicht nur in sich redundant sind, sondern sich auch über Regionen und über Cloud-Provider erstrecken, um Computing-Netzwerke zur Erzielung massiver Skalierungen oder für Big Data-Anwendungen zu erzielen. Werden solche komplizierte Anwendungsszenarien auf klassischen WAN-Netzwerken und Hardware-basierten Sicherheitsarchitekturen aufgesetzt, müssen umfangreiche Regelwerke in den Firewalls zur Abbildung des North-South-Traffics von Servern mit dem Internet und dem East-West-Traffic von Servern untereinander aufgesetzt und verwaltet werden.

In Abhängigkeit des Datenvolumens und bei dedizierten Geschwindigkeiten für die Synchronisation von Workloads im Terabyte-Bereich kommen Unternehmen nicht um die Implementierung von Glasfaserstandleitungen oder die direkte Anbindung an Hyperscaler herum. Dedizierte Punkt-zu-Punkt-Verbindungen adressieren die Anforderung der Kommunikation von Workloads zurück ins Rechenzentrum. Als Alternative boten sich Unternehmen mit geringerem Datenvolumen der Workloads nur die aufwändige Verwaltung von VPN-Tunnels oder eine Kombination von Angeboten mit Carriern an, die zum Administrationsaufwand beitragen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Vielfältige Kommunikationskanäle als Komplexitätstreiber

Anhand des Praxisbeispiels eines Online-Shops werden die unterschiedlichen Kommunikationsbeziehungen deutlich. Bei der Erstellung des Shops ist zuallererst ein Web-Interface notwendig, das für die Erreichbarkeit des Shops für Kunden im Internet sorgt. Der Online-Shop muss mit Artikeln gefüllt werden, die entweder als Artikelliste über das Rechenzentrum bezogen oder von einer Produktionsdatenbank in der Cloud gespeist werden. Eleganter ist allerdings der umgekehrte Weg der Implementierung der Web-Anwendung, so dass stets im Vorfeld eines Bestellvorgangs on-demand die Artikelverfügbarkeit in der Datenbank im Rechenzentrum überprüft wird. Dafür sorgt unter Umständen ein ERP-System, das die Stücklisten zur Verfügung stellt und zeitgleich an die Lieferkette angebunden ist. Dadurch kann das Warenwirtschaftssystem idealerweise automatisch eine Nachbestellung bei geringem Lagerbestand in Auftrag geben. Ein solches Szenario erfordert die sichere Kommunikation von Cloud-Workloads in unterschiedliche Richtungen.

Für einen weiteren Anstieg der Kommunikationsbeziehungen sorgen APIs mit zusätzlichen Diensten, die beispielsweise bei der Eingabe der Adresse die Richtigkeit über externe Datenbanken überprüfen oder aber die Werbewirkung erhöhen durch die Anbindung an soziale Netzwerke und damit einhergehend die Integration diverser Buttons für die leichte Navigation durch den Anwender. Dieses einfache Beispiel verdeutlicht, wie schnell die Verschachtelung der Kommunikationsbeziehung steigt und wie kompliziert die Abbildung und Verwaltung der Zugriffsrechte werden kann. Müssen Teile der Anwendung kommunizieren, erfolgt das bei einem traditionellen Aufbau über Transit-Gateways und zwischengeschaltete Firewalls für die Sicherheit, die für die Überwachung der Zugriffsberechtigungen sorgen. Die Kommunikation von der Anwendung zurück ins Rechenzentrum wird herkömmlicherweise über eine VPN-Anbindung abgesichert, deren Zugriffsrechte ebenfalls administriert werden müssen. Die Komplexität der physikalischen Anordnung der Netzwerk-Security-Komponenten und deren Regelverwaltung wächst mit jeder abzusichernden Kommunikationsrichtung.

In einem solch komplexen Cloud-Szenario bleibt die Frage nach der Verantwortung für die Sicherheit von Cloud-Workloads und damit einhergehenden Infrastrukturen nicht selten unbeantwortet. War die Aufgabenverteilung bei im Netzwerk gehosteten Anwendungen noch klar zwischen Anwendungsverantwortung, Netzwerk-Teams und Sicherheitsabteilung getrennt, verschwimmen die klassischen Zuständigkeiten mit der Cloud. Stillschweigend wird die Verantwortlichkeit für die Sicherheit der Cloud-Workload auch im Zuständigkeitsbereich der Cloud-Anwendung angesiedelt. Die Kernkompetenz der Entwickler liegt allerdings oftmals auf der Anwendungsprogrammierung und nicht unbedingt im Bereich der Netzwerk- und Sicherheitsinfrastruktur, wodurch sich Sicherheitslücken ergeben können.

Zero-Trust-Konzept zur Überwachung von Cloud-Workloads

In den letzten Jahren hat das Zero Trust-Konzept an Popularität gewonnen, um den Anwenderdatenverkehr ins Internet sowie den Remote-Zugriff auf Anwendungen im Rechenzentrum oder Cloud-Umgebungen abzusichern. Die sichere Kommunikation erfolgt dabei richtlinienbasiert durch definierte Zugangsberechtigungen und folgt damit dem Prinzip des Least-Privileged-Zugriffs. Für die Umsetzung der Policies sorgt bei diesem Ansatz ein zwischengeschalteter Sicherheitslayer in Form einer Sicherheits-Plattform. Ein solcher Sicherheitsservice operiert zwischen Internet, Anwendungen und dem User und überwacht die sichere Kommunikation. Vorteilhaft ist in einem solchen Szenario ein Cloud-basierter Ansatz, der die nötige Skalierung ermöglicht und geringen Verwaltungsaufwand sicherstellt.

Dieses Konzept auf Basis von Zero Trust lässt sich auch auf die Strukturierung und Überwachung der Beziehungen von Cloud-Workloads übertragen und kann für die Vereinfachung der Komplexität sorgen. Dafür muss jede Anwendung in einem ersten Schritt mit einem Cloud Connector in Form einer virtuellen Maschine versehen werden. Im Prinzip ist dieser Connector so einfach aufgebaut wie ein Router und übernimmt auch diese Funktion. Der Datenverkehr wird auf diese Maschine geroutet, die sich wiederum über eine verschlüsselte Verbindung nach außen mit der Cloud oder mit dem nächsten Data Center verbindet. Auf der anderen Seite der Verbindung sind die Anwendungen über einen Applikations-Connector mit der Cloud-Plattform verbunden. Mittels Richtlinien werden dem Workload Zugriffsrechte auf die notwendigen Applikationen eingeräumt. Auf diese Weise wird Abstand von der Verbindung von Netzwerken genommen und zugunsten einer granularen Verbindung auf Ebene der einzelnen Applikation realisiert.

So lassen sich beispielsweise Workloads in der Cloud mit definierten Zielen im Internet verbinden, um Updates zu implementieren, oder mit anderen Anwendungen in anderen Clouds oder dem eigenen Rechenzentrum zu kommunizieren. Die Grundlage der sicheren Kommunikation sind auch in diesem Fall definierte Zugriffsberechtigungen zur Cloud-Workload, von Workloads untereinander oder zum Rechenzentrum. Überwacht wird die Durchsetzung ausschließlich autorisierter Kommunikationsbeziehungen durch eine Vermittlungsinstanz in der Cloud, zu der der Cloud-Connector eine eingekapselte Verbindung herstellt. In der Cloud-Security-Plattform werden nicht nur die Zugriffsrechte umgesetzt, sondern auch weitere Sicherheitsfunktionalität zur Überwachung des Datenverkehrs verwaltet, wie beispielsweise die Analyse von SSL-verschlüsseltem Traffic auf versteckten Schadcode.

Cloud-Workloads bieten keine Angriffsfläche mehr

Ein solcher Ansatz geht nicht nur mit einer Reduktion der Komplexität einher, sondern kann auch die Angriffsfläche von Cloud-Workloads im Internet reduzieren. Da die Kommunikation von Apps untereinander über einen gekapselten Weg stattfindet, werden die Anwendungen im Internet nicht sichtbar dargestellt. Unautorisierte Personen können dementsprechend nicht darauf zugreifen. Zusätzlich wird über den Cloud-Connector der Trend zur Mikrosegmentierung adressiert. Über die einmal definierten Policies der Zugriffsrechte wird festgelegt, welcher Server unter welchen Umständen mit einem anderen Server kommunizieren darf, ohne dabei den Datenverkehr über externe Netzwerkgeräte zur Anwendung von Firewall-Regeln schicken zu müssen.

Da dieser Umweg über die Firewall zur Netzwerk-Segmentierung und über Proxies für die Anwendung von Sicherheitsfunktionalität entfällt, lässt sich das Routing der erforderlichen Kommunikationsbeziehungen von Workloads einfacher abbilden. Da der Connector seine Funktion Cloud-übergreifend ausspielt, selbst wenn unterschiedliche Cloud-Provider eingesetzt werden, wird über diesen Cloud-basierten Ansatz den dezentralisierten Ansätzen der Hyperscaler entgegengewirkt.

Gleichzeitig wird die klassische Trennung der Verantwortlichkeit für die Applikation, das Netzwerk und die Sicherheit wieder hergestellt. Der Anwendungsentwickler ist lediglich für die Implementierung des Cloud-Connectors in der Anwendung verantwortlich und transferiert die Sicherheit der Cloud-Infrastruktur mit dem Aufsetzen der Policies wieder an die Security-Abteilung zurück. Da die Anwendungen nicht mehr im Internet exponiert sind für ihre Kommunikation, erreicht das Unternehmen schließlich auch das Ziel einer reduzierten Angriffsfläche.

Die Cloud lässt Cloud-Workloads sicher kommunizieren

Die Verbindungen von Workloads in der öffentlichen Cloud müssen heute ebenso sicher gestaltet werden wie der Zugriff des einzelnen Users auf seine Apps in der Cloud. Durch die Übertragung der Zero-Trust-Prinzipien von der Anwenderkommunikation auf Cloud-Workloads lässt sich auch deren Kommunikation einfach und sicher abbilden und damit die Angriffsfläche von Unternehmen im Internet reduzieren.

Nils Ullmann, Zscaler.
Nils Ullmann, Zscaler.
(Bild: Daniel Kuntze)

Die Reduktion der Komplexität durch eine Umstrukturierung der Datenströme und eine starke Sicherheit lässt sich über diesen Ansatz gleichwertig umsetzen und damit den heutigen Cloud-First-Ansätzen in Unternehmen Rechnung tragen.

* Der Autor Nils Ullmann ist Solution Architekt bei Zscaler.

(ID:48105231)