Evaluierung von Cloud-Sicherheitslösungen In zehn Schritten zum sicheren Cloud-Netzwerk

Autor / Redakteur: Christine Schönig* / Elke Witmer-Goßner

Die IT-Sicherheit der Cloud ist zu einem kritischen Faktor geworden, da Unternehmen ihre Cloud-Präsenz erweitern und vertiefen. Laut dem Check Point 2020 Cloud Security Report sind 75 Prozent der Befragten entweder sehr oder äußerst besorgt über ihre Cloud-Sicherheit.

Firmen zum Thema

Die von Cloud-Anbietern angebotenen Werkzeuge sind wichtige Elemente bei der Absicherung von Cloud-Netzwerken, müssen aber dennoch durch weitere Security-Lösungen ergänzt werden.
Die von Cloud-Anbietern angebotenen Werkzeuge sind wichtige Elemente bei der Absicherung von Cloud-Netzwerken, müssen aber dennoch durch weitere Security-Lösungen ergänzt werden.
(Bild: ©Studio-FI - stock.adobe.com)

Eine kürzlich veröffentlichte Forrester-Studie ergänzt dies und nennt Vertrauen in die Absicherung der Cloud als wichtiges Kriterium, wenn Cloud-Dienste eingeführt werden sollen. Abhilfe schafft nicht eine punktuelle Lösung, sondern eine umfangreiche IT-Sicherheitsarchitektur.

Die Ebenen einer Unified Cloud Native Security Platform: Aufbau einer mehrschichtigen, einheitlichen Cloud-Sicherheitsplattform.
Die Ebenen einer Unified Cloud Native Security Platform: Aufbau einer mehrschichtigen, einheitlichen Cloud-Sicherheitsplattform.
(Bild: Checkpoint)

Stets muss bedacht werden, dass die Cloud-Sicherheit mit geteilter Verantwortung einhergeht. Auf der Infrastrukturebene (IaaS) sind die Cloud-Anbieter für die Sicherung ihrer Rechen-, Netzwerk- und Speicherinfrastrukturen verantwortlich. Die Nutzer der Cloud-Dienste sind für den Schutz der Daten, Anwendungen und anderer auf Cloud-Infrastruktur bereitgestellter Dinge zuständig. Hierbei gilt: Die von den Cloud-Anbietern zu diesem Zweck angebotenen Werkzeuge sind zwar wichtige Elemente jeder Sicherheitslösung für Cloud-Netzwerke, doch Cloud-Anbieter sind keine Sicherheitsspezialisten. Die Abwehr muss um Sicherheitslösungen von Partnern und Experten ergänzt werden, um in der Cloud eine Netzwerksicherheit auf dem gewohnten Niveau klassischer Firmen-Perimeter zu erreichen.

Die Sicherheit des Cloud-Netzwerks bildet die Grundlage, auf der Unternehmer virtuelle Gateways einsetzen sollten, um fortschrittlichen Schutz gegen moderne Bedrohungen, eine Datenverkehrsprüfung und die berühmte Mikro-Segmentierung einführen zu können. Solche Sicherheitslösungen setzen auf mehrschichtige Konzepte, wie Firewall, Intrusion Prevention System (IPS), Anwendungskontrolle oder Data Loss Prevention (DLP).

In zehn Schritten zur guten Cloud-Plattform

Welche Plattform zur Cloud-Netzwerksicherheit gewählt werden sollte, lässt sich mithilfe von zehn Ratschlägen einfacher ermitteln:

1. Prävention und Deep Security
Die bloße Erkennung von Bedrohungen reicht nicht aus, um Cloud-Umgebungen wirksam zu schützen. Unternehmer benötigen eine mehrschichtige Echtzeit-Bedrohungsabwehr gegen bekannte und unbekannte (Zero-Day) Schwachstellen. Die Lösung muss spezielle Funktionen bieten, wie granulare und tiefgreifende Datenverkehrsprüfung, erweiterte Bedrohungsdaten und Sandboxing, um verdächtige Dateien und Anfragen zu isolieren. Außerdem müssen diese Funktionen mit dem Nord-Süd-Verkehr (eingehend/ausgehend) und dem Ost-West-Verkehr (seitlich, innerhalb der Cloud) umgehen können.

2. Grenzenlosigkeit
Die passende Lösung muss trotz komplexer Multi-Cloud- und Hybrid-Umgebungen (öffentlich/privat/vor Ort) transparent und konsistent funktionieren. Eine einheitliche Verwaltungsschnittstelle, manchmal als Single Pane-of-Glas bezeichnet, sollte die zentrale Oberfläche für die Cloud-Netzwerksicherheit sein und eine Befehls- sowie Kontrollkonsole bereithalten.

3. Granulare Prozessinspektion und -steuerung
Achten sollten die Verantwortlichen auf Firewall-Funktionen der nächsten Generation (Next Generation Firewall), darunter Feinabstimmung, die über das einfache Whitelisting hinausgeht, sowie Deep Inspection, um sicherzustellen, dass der Datenverkehr dem Zweck der zugelassenen Ports entspricht. Hinzu gehört erweiterte Filterung auf der Grundlage von URL-Adressen und Kontrollen, die nicht nur auf Port-Ebene, sondern auf Anwendungsebene stattfindet.

4. Automatisierung
Um mit der Geschwindigkeit und Skalierbarkeit von DevOps-Projekten mithalten zu können, muss die Cloud-Lösung ein hohes Maß an Automatisierung unterstützen. Dazu gehören die programmatische Steuerung von Sicherheits-Gateways, die nahtlose Integration in CI/CD-Prozesse, automatisierte Workflows zur Reaktion auf Bedrohungen und zur Behebung von Problemen sowie dynamische Richtlinienverwaltung, die kein menschliches Eingreifen erfordert.

5. Integration und Benutzerfreundlichkeit
Die Lösung muss gut mit der Konfiguration des Unternehmens zusammenarbeiten, einschließlich der Unterstützung von Rechenleistung über Infrastructure as Code. Darüber hinaus muss die Lösung tief in die Angebote der Cloud-Anbieter integriert sein, um Probleme bei der Abstimmung zu vermeiden. Allgemein sollte das Ziel sein, die Abläufe zu vereinfachen und die Benutzerfreundlichkeit zu erhöhen, indem die Anzahl der einzelnen Sicherheitslösungen, die separat implementiert und verwaltet werden müssen, gesenkt wird.

6. Sichtbarkeit
Die Dashboards, Protokolle und Berichte der Lösung sollten durchgängig und umgehend alle Ereignisse sichtbar machen und verständlich darstellen. Beispielsweise empfiehlt es sich, dass Protokolle und Berichte leicht zu analysierende Cloud-Objektnamen anstelle von obskuren IP-Adressen verwenden. Diese Transparenz hilft bei einer forensischen Analyse, falls es zu einem Einbruch kommt.

7. Skalierbarer und sicherer Fernzugriff
Eine gute Cloud-Sicherheitslösung kann den Fernzugriff auf die Cloud-Umgebung des Unternehmens mit modernen Funktionen sichern, wie Multi-Faktor-Authentifizierung, Endpunkt-Compliance-Scanning und Verschlüsselung der übertragenen Daten. Der Fernzugriff sollte außerdem schnell skalierbar sein, damit in Zeiten von großen Störungen, wie der Corona-Krise, eine beliebige Anzahl von Mitarbeitern weiterhin produktiv im Home Office arbeiten kann.

8. Inhaltsbezogene Sicherheit
Es hilft sehr, wenn eine Plattform viele Informationen über die gesamte IT-Umgebung – ob öffentliche oder private Clouds und On-Premise-Netzwerke – aggregieren und korrelieren kann, damit die Sicherheitsrichtlinien auf den Inhalt der Bedrohung bezogen geschrieben werden und konsistent sind. Änderungen an Netzwerk-, Anlagen- oder Gruppenkonfigurationen sollten dabei automatisch in den entsprechenden Sicherheitsrichtlinien berücksichtigt werden.

9. Bewertung des Herstellers
Neben den Funktionen und Möglichkeiten der Lösung sollte der Hersteller selbst unter die Lupe genommen werden: Wird er von unabhängigen Analysten und externen Tests gut bewertet? Kann er die SLAs des Unternehmens erfüllen? Hat er eine nachweisbare Erfolgsbilanz vorliegen? Kann er weitere Werte bieten, wie Beratungsdienste für Netzwerksicherheit? Kann er die globalen Aktivitäten der Firma unterstützen? Setzt er sich für Innovationen ein, damit seine Lösung auf der Höhe der Zeit bleibt? Ist seine Software ausgereift, weist wenige Schwachstellen auf und wird regelmäßig untersucht, um diese zu beheben?

10. Kosten der Einführung
Die Kosten werden von einer Reihe von Faktoren bestimmt, die alle im Rahmen des Kaufprozesses berücksichtigt werden sollten: Die Flexibilität des Lizenzmodells die mögliche Integration in bestehende IT-Systeme, die Anzahl des für die Verwaltung des Systems erforderlichen Personals, die MTTR- und Verfügbarkeits-SLAs des Anbieters – um nur einige zu nennen. Niemand will von versteckten oder vergessenen Infrastruktur- oder Personalkosten überrascht werden, die plötzlich auftauchen, wenn das System bereits in Betrieb ist. Stattdessen soll die Cloud-Sicherheitsplattform sämtliche Abläufe optimieren, Personalmangel ausgleichen, Innovationen geschützt beschleunigen und somit die Kosten senken.

Die Mühe der genauen Auswahl lohnt sich

Zusammengefasst lässt sich sagen: Es wollen viele Unternehmer ihre Daten auch in der Cloud kontrollieren und geheim halten können, den Datenfluss steuern und die neue IT-Umgebung mit dem bewährten Rechenzentrum verbinden. Hinzu kommen die gesetzlichen Vorgaben, welche eingehalten werden müssen, wie die Europäische Datenschutzgrundverordnung (DSGVO) oder die Europäische Zahlungsdienstrichtlinie (ZaDiRL; PSD2) für die Sicherheit bei der Bezahlung über Dienstleister. Außerdem sollen die Vorteile einer Cloud-Sicherheitsplattform genossen werden können, nicht von unvorhergesehenen Kosten oder unzureichender Ausstattung überschattet.

Christine Schönig, Checkpoint Software Technologies GmbH.
Christine Schönig, Checkpoint Software Technologies GmbH.
(Bild: Checkpoint)

Aus diesem Grund lohnt sich die genaue Auswahl dieser Plattform vor dem Kauf sehr, zusätzlicher Aufwand hin oder her. Hinterher ist jeder froh darüber, diese Arbeit auf sich genommen zu haben.

* Die Autorin Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei der Check Point Software Technologies GmbH.

(ID:47781016)