CloudFest 2022 wieder vor Ort Die Cloud-Sicherheit auf dem Weg zur Einfachheit

Cloud-Dienste lassen sich auf Knopfdruck bestellen, doch die Cloud-Sicherheit ist bislang weitaus komplizierter. Security-Lösungen, die auf dem CloudFest 2022 in Rust präsentiert wurden, zeigen, dass Sicherheit für die Cloud so einfach werden kann wie Security aus der Cloud. Cloud-Security auf Knopfdruck kommt langsam näher – eine Entwicklung, die überfällig ist.

Anbieter zum Thema

Das CloudFest 2022 fand vom 22. bis 24. März im Europa-Park Rust statt.
Das CloudFest 2022 fand vom 22. bis 24. März im Europa-Park Rust statt.
(Bild: Oliver Schonschek, Insider Research)

Security-Lösungen findet man seit vielen Jahren auf Konferenzen wie dem CloudFest, das im März 2022 wieder vor Ort im Europa-Park Rust stattgefunden hat. Da gibt es zum einen die Security-Funktionen für Websites und CMS, die Sicherheitslösungen für Mail und den Anti-DDoS-Schutz, den jeder Cloud-Anbieter und Cloud-Nutzer haben sollte.

Security aus der Cloud und für die Cloud

Es gibt aber auch zunehmend Lösungen auf den Konferenzen, die die Security der Cloud-Infrastrukturen und Public Cloud – Dienste selbst in den Blick nehmen, unter anderem als Ergänzung der bestehenden Sicherheitsfunktionen der großen Provider wie Google, Azure und AWS. Für Cloud-Sicherheitslösungen Dritter spricht natürlich der Trend, mehrere Cloud-Anbieter parallel zu nutzen, also der Multi-Cloud-Ansatz, wobei die Hyperscaler dazu übergehen, selbst Security-Lösungen zu bieten, die sich auch für Dienste der Wettbewerber nutzen lassen.

Doch es gibt einen weiteren Aspekt, der für Drittanbieterlösungen für Cloud-Sicherheit spricht, die notwendige Providerunabhängigkeit, die aus Compliance-Gründen gefordert wird. So kann man kaum die Daten gegen Zugriffe eines Cloud-Anbieters schützen, wenn die Verschlüsselung nicht providerunabhängig möglich wäre.

Sicherheitsrichtlinien und Fehlkonfigurationen

Leider ist Cloud-Sicherheit in der Regel nicht so einfach zu erreichen, wie die berühmte Bestellung eines Cloud-Services per Knopfdruck. Tatsächlich ist es so kompliziert, die richtigen Sicherheitseinstellungen vorzunehmen, dass Fehlkonfigurationen zu den größten Risiken und Schwachstellen im Cloud Computing zählen.

Interessant ist hier zum Beispiel der Open Policy Agent (OPA), den Styra auf dem CloudFest präsentiert hat. „Hören Sie auf, für jedes Produkt und jeden Dienst, den Sie verwenden, eine andere Richtliniensprache, ein anderes Richtlinienmodell und eine andere Richtlinien-API zu verwenden. Verwenden Sie OPA für ein einheitliches Toolset und Framework für Richtlinien im gesamten Cloud-nativen Stack“, so die Botschaft des Anbieters.

Einheitliche Cloud-Sicherheitsrichtlinien oder die einheitliche Entwicklung und Pflege der Cloud-Policies ist somit durchaus möglich, so dass sich die Komplexität verringern lässt.

Fachkräftemangel und Schulungsbedarf

Ein großes Problem in der Security und damit auch in der Cloud-Sicherheit ist bekanntlich der Fachkräftemangel, der letztlich auch dazu führt, dass es so viele Fehlkonfigurationen und Schwachstellen in der Cloud gibt.

Nun könnte man möglichst umfangreiche Schulungen zur Cloud-Sicherheit als Gegenmittel ansehen, das ist es aber nicht, da die Cloud-Administration kaum Zeit hat, sich auch noch in die Sicherheitsfunktionen einzuarbeiten. Das Ziel sollte es also sein, möglichst keine umfangreichen Schulungen absolvieren zu müssen, sondern die notwendige Sicherheit auf Knopfdruck zu bekommen, also eine möglichst automatisierbare Cloud-Sicherheit.

Orca Security bietet Instant-On Security und sieht keine umfangreichen Schulungen für Anwender vor, für die viele Unternehmen kaum die Zeit und Ressourcen haben.
Orca Security bietet Instant-On Security und sieht keine umfangreichen Schulungen für Anwender vor, für die viele Unternehmen kaum die Zeit und Ressourcen haben.
(Bild: Oliver Schonschek, Insider Research)

Orca Security, ebenfalls Aussteller auf dem CloudFest 2022, spricht von „Instant-on Security und Compliance“ und bietet dies für AWS, Azure und Google. Orca Security bietet dazu SideScanning, einen Cloud-Sicherheitsansatz, mit dem sich die Nachteile agentenbasierter Lösungen vermeiden lassen, so der Anbieter. Die Daten zur Risikoanalyse werden automatisch im Hintergrund direkt aus der Cloud-Konfiguration und den Speicherbereichen der laufenden Prozesse geladen und überprüft.

Das Ziel: Security-Automatisierung

Check Point stellte mit CloudGuard ebenfalls eine Lösung zur Vereinfachung der Cloud-Sicherheit vor, bis hin zu einem Cloud Security Bot.
Check Point stellte mit CloudGuard ebenfalls eine Lösung zur Vereinfachung der Cloud-Sicherheit vor, bis hin zu einem Cloud Security Bot.
(Bild: Oliver Schonschek, Insider Research)

Der Ansatz von Check Point, die ebenfalls auf dem CloudFest vertreten waren, ist es, einheitliche native Cloud-Sicherheit für die Multi-Cloud-Assets und Workloads zu ermöglichen und die Sicherheit auf Wunsch des Anwenders zu automatisieren. So kann Check Point CloudGuard den Anwender bei der Sicherheit unterstützen und vor Bedrohungen warnen, aber auch mittels Security Bot die notwendigen Einstellungen zur Vermeidung von Schwachstellen automatisch vornehmen.

Trend Micro zeigte auf dem CloudFest, wie sich mit Cloud One die Cloud Security vereinfachen lässt: Flexibilität, Unterstützung von Multi-Cloud und Automatisierung.
Trend Micro zeigte auf dem CloudFest, wie sich mit Cloud One die Cloud Security vereinfachen lässt: Flexibilität, Unterstützung von Multi-Cloud und Automatisierung.
(Bild: Oliver Schonschek, Insider Research)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Trend Micro, ein weiterer Security-Anbieter auf dem CloudFest, stellte die Lösung Cloud One vor. Damit sind zum Beispiel automatisierte, regelmäßige Sicherheits- und Compliance-Checks möglich, um die Einhaltung branchenspezifischer Best Practices zu prüfen, darunter SOC2, ISO 27001, NIST, CIS, DSGVO, PCI DSS, HIPAA, AWS und Azure Well-Architected Frameworks und CIS Microsoft Azure Foundations Security Benchmark.

Es zeigt sich: Durch die Vereinfachung der Cloud-Sicherheit, wie sie die erwähnten Lösungen der verschiedenen Anbieter bieten, erhöht sich der Schutz, insbesondere da durch eine Automatisierung die Fehleranfälligkeit bei den Konfigurationen sinkt.

Einfacher wird nicht nur die Bereitstellung und Umsetzung der Cloud-Sicherheit. Auch die Bezahlung wird zunehmend so, wie Anwender es von den bezogenen Cloud-Services kennen. Bezahlt wird die Cloud-Sicherheit nach Verbrauch, Security-Funktionen müssen nicht langfristig vorgehalten werden, sondern nach Bedarf. Damit folgt die Cloud-Sicherheit dem generellen Geist der Cloud.

(ID:48135245)