Keine Regeln für Multi-Clouds Verhaltensbasierte Sicherheit reduziert Komplexität

Autor / Redakteur: Bernd Mährlein* / Elke Witmer-Goßner

Verschiedene Gründe sprechen für die parallele Nutzung ähnlicher Cloud-Services von unterschiedlichen Cloud-Providern, denn die Dienste sind nicht identisch und haben jeweils eigene Stärken und Schwächen. Unternehmen kombinieren Anbieter, um die jeweiligen Anforderungen an Compute-Power, Speicherplatz etc. im Sinne eines Best-of-Breed-Ansatzes optimal zu erfüllen.

Firma zum Thema

Verhaltensbasierte Cloud-Sicherheit verspricht die vollständige Überwachung aller Aktivitäten in der Multi-Cloud und eine vollkommen automatisierte Auswertung.
Verhaltensbasierte Cloud-Sicherheit verspricht die vollständige Überwachung aller Aktivitäten in der Multi-Cloud und eine vollkommen automatisierte Auswertung.
(Bild: gemeinfrei© Gerd Altmann / Pixabay )

Manchmal werden auch sehr spezifische Applikationen genutzt, die Cloud-Dienste mit bestimmten Merkmalen erfordern oder für die einige Provider optimierte Services bereitstellen. Darüber hinaus lassen sich durch Multi-Clouds zu große Anbieterabhängigkeiten vermeiden, sodass auf Ausfälle, Preisänderungen oder veränderte Funktionalität flexibler reagiert werden kann. In einigen Fällen entstehen Multi-Clouds aber auch einfach, weil zwar internationale Cloud-Strategien des Unternehmens eingehalten werden müssen, aber für einige lokale Aufgaben auch andere Provider eingesetzt werden können.

Cloud-Sicherheit tickt anders

Für die IT-Sicherheit bringt der Trend zur Multi-Cloud allerdings in jedem Fall erhebliche Herausforderungen mit sich: Cloud-Sicherheit funktioniert anders als die bekannte On-Premises-Sicherheit und erfordert spezifisches Know-how, das zudem in kurzen Abständen erneuert werden muss. Multi-Cloud-Komponenten sind auf vielfältige Weise miteinander verbunden, sodass sich die Angriffsoberfläche vergrößert und Vektoren kaum nachvollzogen werden können.

Mitarbeiter müssen sich detailliert mit den Besonderheiten aller eingesetzten Cloud-Provider auskennen, um Konfigurationsfehler zu vermeiden. Häufig werden Multi-Clouds zudem in Verbindung mit Containern und Serverless-Funktionen eingesetzt, bei denen traditionelle Kontrollpunkte der IT-Sicherheit fehlen, wie zum Beispiel Betriebssystem oder virtuelle Maschinen.

Herkömmliche Ansätze stoßen an Grenzen

Angesichts der Komplexität und neuartigen Anforderungen der Multi-Cloud-Sicherheit stoßen die bislang bewährten Sicherheitsansätze an ihre Grenzen. Punktlösungen haben einen zu engen Fokus, was zu Informationssilos führt. Dadurch können Vorfälle nicht Cloud-übergreifend erfasst und im Kontext bewertet werden. Ohne sinnvolle Priorisierung werden Sicherheitsteams aber mit einer Flut isolierter Alarme konfrontiert.

Gleichzeitig verursacht die Definition granularer Regeln einen erheblichen Aufwand und ist aufgrund der Umgebungsdynamik nie abgeschlossen. So werden zum Beispiel AWS Infrastrukturressourcen per CloudFormation bereitgestellt, vergleichbare Services sind Azure Resource Manager und Google Cloud Deployment Manager. Damit die Ausführung von Build-Skripts in allen drei Clouds gemäß der aktuellen Sicherheitsregeln erfolgt, ist also eine dreifache Regeldefinition erforderlich. Regeln werden zudem meist für klar beschreibbare Bedrohungsszenarien geschrieben, da ansonsten die False Positives explodieren. Das beeinträchtigt die Effektivität bei neuen, unbekannten Bedrohungen und Verdachtsfällen in der Grauzone.

Hinzu kommen technische Limitierungen bisheriger Sicherheitsarchitekturen, die nicht kompensiert werden können. In containerisierten Umgebungen können Network Intrusion Detection Systeme zum Beispiel eingesetzt werden, um den ein- und ausgehenden Datenverkehr zu AWS EC2 Instanzen zu überwachen, aber der Datenverkehr zwischen Containern auf derselben EC2 Instanz bleibt dabei unsichtbar.

Der neue Ansatz: Verhaltensbasierte Sicherheit

Ein Ende des Komplexitätswachstums ist nicht absehbar, ebenso wenig wie ein Ende des Fachkräftemangels. Weitere Punktlösungen verursachen nur zusätzliche Komplexität. In dieser Situation sind viele Unternehmen bereit, ihre Cloud-Sicherheit grundsätzlich zu überdenken. Als Alternative zu herkömmlichen Ansätzen hat sich hier verhaltensbasierte Cloud-Sicherheit positioniert, die eine vollständige Überwachung aller Aktivitäten in der Multi-Cloud und vollkommen automatisierte Auswertung verspricht. Manuelle Eingriffe durch Regeln und Log-Auswertungen sollen eliminiert werden.

Per Machine Learning wird hierbei zunächst der Normalzustand der Umgebung analysiert, also die Gesamtzahl der regulären Aktivitäten von Anwendern, Workloads, Applikationen und anderen Cloud-Entitäten im Zeitverlauf. Vor dem Hintergrund der etablierten Baseline lassen sich sodann alle Anomalien identifizieren. Dabei wird das aktuelle Verhalten einer Cloud-Entität mit ihrem aus der Vergangenheit bekannten Verhalten sowie auch mit dem Verhalten der Peer-Gruppe verglichen, in der sich andere, ähnliche Cloud-Entitäten befinden. Ob eine Angriffsvariante zum ersten oder wiederholten Male auftaucht, spielt dementsprechend keine Rolle. Die Kenntnis der Baseline erlaubt es außerdem, viele reguläre Aktivitäten als Bedrohung auszuschließen. Das reduziert die Zahl der False Positives.

Fokus auf Prozesse…

Voraussetzung für diesen Ansatz ist das absolut lückenlose Monitoring der gesamten Multi-Cloud-Umgebung. Im Fokus der Überwachung stehen daher Prozesse als kleinste vom Betriebssystem unterstützte Einheiten. Zu jeder einzelnen Applikation gehören bestimmte Prozesse, die nicht zwischen verschiedenen Applikationen gemischt werden. Prozesse sind verantwortlich für die gesamte Kommunikation miteinander und mit externen Hosts. Sie haben zudem Startumstände, Hashwerte, Zwecke und Lebenszyklen, die nachverfolgt werden können. Im Gegensatz zu Traffic-Monitoring erfasst Prozess-Monitoring also die Gesamtheit der Aktivitäten in der Multi-Cloud, beispielsweise auch die Kommunikation zwischen Containern auf derselben EC2 Instanz oder innerhalb einer Datei.

Darüber hinaus adressiert dieser Ansatz das Problem der „Flüchtigkeit“ von Cloud-Komponenten: Container und Microservices werden on-demand gestartet und sind oft nur wenige Stunden oder sogar nur Minuten aktiv. Sicherheitsrelevante Daten, die nicht im kurzen Zeitraum bis zur Löschung erfasst wurden, gingen bislang verloren. Beim Prozess-Monitoring bleiben die Logs bestehen, sodass Anomalien zum Ursprung verfolgt werden können.

…und welche Vorteile daraus entstehen

Der Abgleich mit der fortlaufend aktualisierten Baseline fördert Anomalien zutage, darunter auch Zero-Day-Bedrohungen und Angriffe, für die kaum wirksame Regeln erstellt werden können. Durch die Bewertung der Aktivitäten im Kontext und im Zeitverlauf ist eine neue Sicht auf Vorfälle möglich:

  • Ein Anwender mit legitimen Credentials greift zu ungewöhnlichen Zeiten auf neue Ressourcen zu.
  • Eine containerisierte Applikation startet plötzlich unerwartete API-Aufrufe.
  • Bei einem S3 Bucket kommt es zu auffälligem Datenabfluss bzw. Zufluss.
  • Zu einem Orchestrator-Interface soll eine irreguläre Verbindung gestartet werden.

Bernd Mährlein, Lacework.
Bernd Mährlein, Lacework.
(Bild: Lacework)

Verhaltensbasierte Cloud- und Container-Sicherheit stellt den Normalzustand in den Fokus und will damit die Komplexitätsspirale der IT-Sicherheit entschärfen. In Multi-Cloud-Umgebungen können Sicherheitsverantwortliche nicht mehr verstreute Puzzleteile in verschiedenen Dashboards zusammensetzen, dafür ist der Komplexitätsgrad zu groß. Ganzheitliche Sichtbarkeit und Automation müssen daher die Eckpfeiler der Cloud-Sicherheitsstrategie bilden.

* Der Autor Bernd Mährlein ist Area Director Central Europe bei dem Cloud-Sicherheitsanbieter Lacework.

(ID:47761006)