Multi-Cloud braucht Zero Trust Komplexität ist Gegenspieler der IT-Sicherheit

Autor / Redakteur: Rich Campagna* / Elke Witmer-Goßner

Die Migration vom Rechenzentrum zu Cloud-Plattformen soll Unternehmen mehr Agilität und Flexibilität und damit Geschwindigkeitsvorteile im Arbeitsalltag bringen. Nicht selten geht dieser Wandel allerdings zu Lasten der IT-Sicherheit.

Firma zum Thema

Die zunehmende Komplexität sowie Konfigurationsfehler machen Multi-Cloud-Umgebungen immer angreifbarer und damit unsicher.
Die zunehmende Komplexität sowie Konfigurationsfehler machen Multi-Cloud-Umgebungen immer angreifbarer und damit unsicher.
(Bild: © aphichetc - stock.adobe.com)

Die Geschichte der Informationssicherheit hat gezeigt, dass die Komplexität der Infrastrukturen schon immer Feind der Security war. Ein verschachteltes Konstrukt aus Appliances und komplizierte Regelwerke sind anfällig für Fehler in der Administration oder führen mitunter zu Kompromissen im Sicherheitskonzept. Für die Cloud gibt Gartner dazu eine düstere Prognose ab: 99 Prozent der Sicherheitsvorfälle in der Cloud werden bis im Jahr 2023 von Unternehmen selbst verschuldet sein.

Die meisten Fehler werden demnach von den eigenen Mitarbeitern mit limitiertem Wissen über sichere Cloud-Konfiguration herbeigeführt. Außerdem sind Sicherheitsvorfälle der Komplexität der Migration statischer, veralteter Sicherheitsarchitekturen in hochdynamische Cloud-Umgebungen geschuldet. Die Cloud ist also nicht per se unsicher, sondern deren fehlerhafte Konfiguration bietet Anlass zur Sorge.

Von der einfachen Bereitstellung zur unsicheren Komplexität

Doch wie kommen solche Fehlkonfigurationen zustande und was ist die Ursache für die Komplexität von Cloud-Landschaften? Im Folgenden wird beispielhaft dargestellt, wie sich Cloud-Umgebungen wandeln und zu einem potenziellen Sicherheitsrisiko werden können.

Zu Beginn steht die relativ einfache Bereitstellung in einer einzelnen AWS-Umgebung, die von einem Anwendungs-Entwicklungsteam für ein neues Projekt aufgesetzt wird. Leider versäumen Entwickler manchmal grundlegende Sicherheitskonfigurationen, sodass diese Umgebung durch nicht begrenzte Bewegungsmöglichkeiten oder ungesicherte Zugänge anfällig für Sicherheitsverletzungen ist.

Ein neuer Entwickler stößt zum ursprünglichen Team hinzu, der zum Beispiel aus einem Cloud-first Start-up kommt. Dort wurde AWS eingesetzt, aber ansonsten nicht viel hinsichtlich der Sicherheit unternommen. Da die Umgebung bei dem neuen Unternehmen benutzergesteuert ist, richtet dieser Entwickler eine neue, bisher unbekannte „Virtual Private Connection“ (VPC) ein, für die aus Unwissenheit keine Sicherheitsrichtlinien angewendet werden. Anschließend werden neue Sicherheitskomponenten hinzugefügt, um den Verkehr zwischen den beiden vorhandenen VPCs zu verwalten. Da sich das Setup der bereitgestellten Cloud-Umgebungen in der gleichen Region befindet und noch keine externe Konnektivität hat, ist die Komplexität bis hierher relativ überschaubar.

Beispielhafte Komplexität einer Multi-Cloud-Umgebung.
Beispielhafte Komplexität einer Multi-Cloud-Umgebung.
(Bild: Zscaler 2021)

In einem nächsten Schritt beschließt das Unternehmen jedoch, die Anwendungen und die Umgebung einem breiteren Benutzerkreis zugänglich zu machen. Damit einhergehend werden der Umgebung verschiedene Sicherheits-Appliances hinzugefügt, darunter mehrere virtuelle Firewalls und VPNs. Ab diesem Schritt setzt die Komplexität ein, denn es müssen statische, Netzwerk-basierte Richtlinien verwaltet und die Limitierungen beim Skalieren von IPSec VPNs gehandhabt werden. Einige der nun wachsenden Workloads benötigen Internetzugang, z.B. für Software-Updates und API-Anbindungen zu Drittanbieterdiensten. Zum Schutz der Umgebung vor Internet-basierten Bedrohungen werden weitere virtuelle Firewalls eingerichtet, was den Verwaltungsaufwand weiter erhöht.

Die Cloud-Umgebung wächst weiter an und in diesem Zuge sollen weitere Regionen Zugang bekommen und andere Cloud-Plattformen integriert werden. Diese Erweiterung führt zu einem Anstieg an Richtlinien für virtuelle Firewalls, weiteren IPSec-VPNs und steigenden Komplikationen, die durch die verschiedenen Cloud-Plattformen zustande kommen, die alle ihre Eigenheiten im Umgang mit Konnektivität und Sicherheitsdiensten haben. Mit dem Hinzufügen weiterer Cloud-Plattformen muss für jede neue Umgebung der Security-Ansatz repliziert werden, um einen sicheren Betrieb zu gewährleisten. Dabei sollten die jeweiligen spezifischen Anforderungen jeder einzelnen Plattform berücksichtigt werden. Auf diese Weise entsteht eine hoch komplexe und vielschichtige Multi-Cloud Infrastruktur, die an verschiedensten Stellen Sicherheitsrisiken in sich bergen kann.

Sichere Konfiguration von Multi-Cloud-Umgebungen

Die dynamische Vorgehensweise von Entwicklungsteams beim Aufbau ihrer jeweiligen Cloud-Umgebungen findet oftmals nicht in Absprache mit den Sicherheitsteams statt. In der Folge entstehen komplexe Multi-Cloud-Umgebungen, die Einfallstore für Hacker bieten. Unternehmen tun gut daran, ihre Angriffsflächen in Cloud-Umgebungen zu minimieren und sich dazu eine Strategie für ihre sichere Konfiguration von Cloud-Umgebungen zurechtzulegen und laterale Bewegung von Schadcode und Angreifern zu verhindern.

Automatisierung und leicht verständliche Richtlinien auf Unternehmensebene können sicherstellen, dass sich die Cloud-Sicherheitsstrategie automatisch und an die sich ändernde Art der Bereitstellungen anpasst und damit das Risiko menschlicher Fehler minimiert.

Die folgenden Punkte sollten Unternehmen dabei berücksichtigen:

Überwachung der Cloud Security Posture
Der erste Schritt zum Schutz der Cloud-Umgebung ist die sichere Konfiguration jeglicher Infrastruktur und Dienste. Entwickler und DevOps-Teams sind oftmals keine Sicherheitsexperten und unterliegen in ihrer Arbeit einem engen Zeitplan, der zur Vernachlässigung wichtiger Konfigurationsschritte beim Einrichten neuer Dienste führen kann. Dennoch müssen die Dienste schon beim Deployment und auch im Anschluss fortlaufenden internen Kontrollen und regulatorischen Auflagen genügen.

Sicherer App-Zugriff ohne Angriffsfläche
Sobald die Infrastruktur und Dienste sicher konfiguriert sind, ist das nächste Puzzleteil die Bereitstellung des sicheren Mitarbeiter- und B2B-Zugriffs auf Cloud-Anwendungen. Dabei können Zero-Trust-Ansätze helfen, die private Apps für das Internet unsichtbar machen und ausschließlich autorisierten Benutzern den Zugriff auf erforderliche Anwendungen gewähren. Da es bei diesem Sicherheitsmodell kein Virtual Private Network gibt, entfällt die damit einhergehende Komplexität und auch die schlechte Anwendererfahrung beim Zugriff kann dadurch vermieden werden.

Sichere App-to-App-Kommunikation über Cloud Anbieter hinweg
Ist die laterale Bewegung innerhalb der Cloud-Infrastruktur durch einen Zero Trust-Ansatz ausgeschaltet, besteht der nächste Schritt darin, die Workload-Kommunikation zum Internet, zu anderen Clouds und zu den Rechenzentren abzusichern. Dabei müssen die Anforderungen der Workloads an eine Internet-Anbindung ebenso berücksichtigt werden, wie API-Verbindungen zu den Diensten von Drittparteien oder Software-Updates. Dementsprechend müssen Workloads mit dem gleichen Sicherheitsniveau und Kontrollfunktionen geschützt werden, dass für den Internetzugang der Mitarbeiter gilt. Ist dieser Schritt richtig implementiert, erhalten Workloads einen sicheren, kontrollierten Zugriff auf erforderliche internetbasierte Dienste und reduzieren gleichzeitig die Angriffsfläche über unerwünschte Verbindungen.

Laterale Bewegungen zwischen Cloud-Workloads eliminieren
Doch selbst wenn Umgebungen anhand von Sicherheits-Best Practices konfiguriert wurden ist es immer noch möglich, dass Angreifer über kompromittierte Anmeldeinformationen, Malware oder Ransomware Eingang in Netzwerke erhalten. In flachen Netzwerken, die unkontrollierte laterale Bewegungen zulassen, kann Schaden angerichtet werden. Dazu tragen aufgrund ihrer Statik auch Netzwerk-basierte Firewall-Richtlinien bei, die komplex und damit schwer verwaltbar sind und zu exponierten Cloud-Dienste führen können.

Identitätsbasierte Segmentierung bietet einen Weg zur Beseitigung von Angriffsflächen innerhalb und zwischen den Clouds, und können laterale Bewegungen stoppen, ohne die Komplexität einer Netzwerksegmentierung. Die Erweiterung des Netzwerks über Cloud-Anbieter hinweg ohne Einsatz von VPN bedeutet, dass die Komplexität, die Kosten und die schwerfällige Verwaltung von Transit-Gateways, Transit-Hubs, virtuellen Firewalls, VPNs, Routern, Netzwerkrichtlinien und Peering wegfallen.

Zero Trust auch für Cloud-Workloads

Zero Trust ist in den letzten Jahren zum Synonym für den sicheren Benutzerzugriff auf Anwendungen avanciert. Durch den granularen, identitätsbasierten Zugriff auf Applikationen wird die Angriffsfläche im Unternehmen minimiert und die Möglichkeit für Angreifer eingeschränkt, sich innerhalb eines Netzwerks frei zu bewegen. Technisch gesehen ist dieser Zero-Trust-Ansatz ebenso gut für Workloads in Cloud-Umgebungen anwendbar.

Mit der Verlagerung von Unternehmen in die Cloud ist die Anwendung von Zero-Trust-Prinzipien auf Cloud-Workloads genauso wichtig, wie für den Benutzerzugriff. Auch hier sollte der Grundsatz zur Anwendung kommen, dass das interne und externe Netzwerk nicht vertrauenswürdig sind und zuerst eine Verifizierung erfolgen muss, bevor Zugang erlaubt wird. Bei Workloads sind Authentifizierung und Autorisierung etwas schwieriger zu bewerkstelligen, aber mit den richtigen Technologien dennoch machbar.

In den meisten Implementierungen werden Workloads zuerst als nicht vertrauenswürdig eingestuft und die Kommunikation unterbunden, bis sie durch eine Reihe von Attributen – wie einem Fingerabdruck oder einer Identität – verifiziert werden konnten. Zscaler Workload Segmentation berechnet dazu einen kryptografischen Fingerabdruck als Identität für jeden Prozess. Diese Identität berücksichtigt Dutzende von Variablen, darunter Hashes, Prozesskennungen, Verhaltensweisen, Container- und Host-ID-Variablen, Reputation, Hostnamen und mehr. Diese Identität wird jedes Mal überprüft, wenn ein Prozess versucht zu kommunizieren. Die Entscheidung, ob der Zugriff gewährt wird oder nicht, erfolgt auf Basis von „Least Privilege“ Richtlinien.

Den Angreifern Fußfesseln verpassen

Die Umsetzung des Zero-Trust-Modells für Cloud-Workloads bedeutet, dass die Richtlinien nur den Zugriff auf die Benutzer und Anwendungen erlauben, die der Prozess benötigt, um ordnungsgemäß zu funktionieren. Bösartige Software kann sich nicht authentifizieren und wird komplett vom Netzwerk ferngehalten.

Rich Campagna, Zscaler.
Rich Campagna, Zscaler.
(Bild: Zscaler)

Und selbst wenn ein bösartiger Akteur in der Lage ist, einen Workload zu kompromittieren, wird die Fähigkeit des Angreifers, sich im Netzwerk zu bewegen, stark eingeschränkt. Unternehmen können ihr Sicherheitsniveau durch den Einsatz von Cloud Security Posture Management und den Zero-Trust-Ansatz für Cloud Workloads signifikant erhöhen.

* Der Autor Rich Campagna ist Senior Vice President Cloud Protection bei Zscaler.

(ID:47303361)