Cloud Security

Wie die Erweiterung Ihres Unternehmens in die Cloud gelingt

| Autor / Redakteur: Christian Vogt* / Florian Karlstetter

Eine effektive Sicherheitslösung für Unternehmen von heute muss flexibel, leistungsfähig und wirklich integriert sein, damit Sie die Vorteile von modernen Infrastrukturen nutzen und gleichzeitig auf aktuelle und neue Bedrohungen reagieren können.
Eine effektive Sicherheitslösung für Unternehmen von heute muss flexibel, leistungsfähig und wirklich integriert sein, damit Sie die Vorteile von modernen Infrastrukturen nutzen und gleichzeitig auf aktuelle und neue Bedrohungen reagieren können. (Bild: © GKSD - stock.adobe.com)

Die offensichtlichen Vorteile der Verschiebung von Anwendungen in die Cloud bringen gleichzeitig große Herausforderungen mit sich. Ganz gleich, ob ein Unternehmen die öffentliche Cloud, eine private Cloud oder – wie es häufig der Fall ist – eine Hybrid-Cloud nutzt, muss dennoch immer die Anwendungsperformance optimiert werden, um alle Vorteile der Cloud-Technologie nutzen zu können und ein besseres Geschäftsmodell möglich zu machen.

Genauso wichtig ist es aber, die Sicherheit der Mitarbeiter und Informationen auf ihrem Weg durch das Netzwerk von On-Premises zur Cloud und zurück zu gewährleisten und diese verteilte Umgebung vor Angriffen zu schützen.

Es gibt viele Arten von öffentlichen Clouddiensten, wobei die wichtigsten Kategorien Infrastructure-as-a-Service (Iaas), Platform-as-a-Service (Paas) und Software-as-a-Service (SaaS) sind. Immer mehr Unternehmen setzen auf hybride Cloudumgebungen, d. h., dass sie ihre Anwendungen und Daten nicht nur in ihrer privaten Cloud, sondern auch in mehreren öffentlichen IaaS/PaaS/SaaS-Clouds bereitstellen, wodurch ein mehrdimensionales Cloudökosystem entsteht. In solch einer Umgebung sind Anwendungen und Daten extrem flexibel, dynamisch und agil. Die Ressourcen werden von unterschiedlichen Cloud-Lösungen und -Anwendungen verwendet und die Daten werden oft zwischen diesen Clouds ausgetauscht bzw. verschoben. Es ist extrem wichtig, diese Umgebungen und den darin stattfindenden Datenverkehr zu schützen; und das ist eine große Herausforderung.

Bei der Bewertung einer Cloud- Sicherheitslösung sollte man sich zunächst ein paar allgemeine Fragen stellen:

  • Ist sie skalierbar? Eine umfassende Sicherheitsstrategie muss sowohl in der Tiefe (Performance und verschärfte Inspektion) als auch der Breite (End-to-End) elastisch sein.
  • Ist sie wirklich sicher? Die Tools, die Ihr Netzwerk schützen, müssen als ein integriertes System mit Sichtbarkeit und Kontrolle über das gesamte Netzwerk zusammenarbeiten.
  • Kann sie umgesetzt werden? Sie benötigen ständig aktualisierte Bedrohungsinformationen und zentrale Orchestrierung, durch die sich das System ständig an neu entdeckte Angriffsmethoden dynamisch anpassen kann.
  • Wie offen ist sie? Gut definierte, offene APIs ermöglichen es Ihren Technologiepartnern, Teil Ihrer Security Fabric zu werden. So können Sie den maximalen Nutzen aus Ihren Investitionen ziehen und sich gleichzeitig dynamisch an Änderungen anpassen.
  • Bietet sie einen umfassenden Überblick? Sie müssen nicht nur nachverfolgen können, wie Ihre Daten in Ihr Netzwerk hinein- und hinaus fließen, sondern auch, wie sie sich darin bewegen und wer Zugriff auf sie hat.
  • Kann man sie automatisieren? Durch den Mangel an Fachkräften in der Cybersicherheit und der Notwendigkeit, blitzschnell auf moderne Bedrohungen zu reagieren, ist es wichtiger als jemals zuvor, die Netzwerksicherheit so weit wie möglich zu automatisieren.

Um die dynamischen und temporeichen Umgebungen von heute effizient zu schützen, müssen die Systeme vor allem folgende Eigenschaften bieten:

Umfangreich, skalierbar und leistungsfähig

Cloud Computing ermöglicht die schnelle Entwicklung und Bereitstellung von extrem skalierbaren Anwendungen. Das Sicherheitssystem muss also elastisch sein, um parallel zur eigentlichen Cloudinfrastruktur zu wachsen und transparenten Schutz zu bieten, ohne dabei die Performance zu beeinträchtigen.

Die Cloud-Umgebungen von heute benötigen sowohl physische Firewalls für private Clouds als auch virtuelle Firewalls für die öffentliche Cloud, um sowohl den Nord-Süd- als auch den Ost-West-Verkehr zu schützen. Die Komponenten Ihres Sicherheitssystems müssen zusammenarbeiten und Ihre Daten auf ihrem Weg durch dieses Multicloud-Ökosystem sowie die gesamte Umgebung vor Angriffen schützen und die Übertragung von Daten nach außen verhindern können.

Leistungsfähige Firewalls und Netzwerksicherheit-Appliances müssen sowohl vertikal als auch horizontal skaliert werden – ersteres, damit die Anforderungen an das Volumen und die Performance erfüllt werden, und zweiteres, um die Datenströme aus dem Internet der Dinge (IoT)/von den Endpunkten, im verteilten Netzwerk/Rechenzentrum und in der Cloud nahtlos nachverfolgen und sichern zu können.

Schließlich benötigt man noch einen fortschrittlichen Hypervisor mit einem einzigen Control Center, in dem Sie alle Ihre virtualisierten Dienste bereitstellen und managen können. Er muss über ausreichend Leistung, Speicher und Arbeitsspeicher für optimale Rechen-, Netzwerk- und Sicherheitsleistung verfügen.

Segmentierung

Durch das Pooling von Ressourcen (z. B. Rechnen, Speicher, Netzwerk) mit Technologien wie der Virtualisierung und softwaredefinierte Netzwerke (SDN) hat die IT-Effizienz erheblich zugenommen. Dadurch entstehen immer mehr aggregierte Cloud-Umgebungen – bis zu dem Punkt, dass sogar ganze Rechenzentren konsolidiert werden können. Wenn jedoch ein Angreifer den Cloud-Umkreis mithilfe einer einzigen angreifbaren Anwendung durchbricht, kann man normalerweise nicht mehr viel tun, um kritische Assets in einem offenen internen Netzwerk zu schützen. Um dieses ernst zu nehmende Schadens- und Verlustrisiko so gering wie möglich zu halten, müssen Geschäftseinheiten und -anwendungen isoliert werden. Netzwerke müssen intelligent in funktionale Sicherheitszonen unterteilt werden, um den Ost-West, also internen, Verkehr zu kontrollieren.

Die vollständige Segmentierung einer Infrastruktur gewährleistet eine hohe Sichtbarkeit des Ost-West-Datenverkehrs im verteilten Netzwerk, begrenzt die Ausbreitung von Malware und ermöglicht die Identifikation und Quarantäne von infizierten Geräten. Eine sinnvolle End-to-End-Segmentierung umfasst interne Firewalls in Rechenzentren, Niederlassungen und Zweigstellen.

Offen und ausbaufähig

Die Lösungen sollten auf einer erweiterbaren Plattform mit Anwendungsprogrammierschnittstellen (APIs) (REST und JSON) und anderen Schnittstellen beruhen, damit sie mit Hypervisoren, SDN-Controllern, Tools für das Cloud-Management und die Orchestrierung sowie softwaredefinierten Rechenzentren und Clouds integriert werden können. So entsteht ein Sicherheitssystem, das sich dynamisch an die sich weiterentwickelnde Netzwerkarchitektur und die sich ändernde Bedrohungslandschaft anpasst.

Die Möglichkeit, all Ihre Sicherheitsgeräte – selbst die von unterschiedlichen Anbietern – zu verbinden, ermöglicht es Ihnen, Ihre Sicherheitsinvestitionen optimal zu nutzen. Damit lassen sich Lücken in der Sichtbarkeit und Durchsetzung, die Angreifer gerne ausnutzen, schließen und Ihre Sicherheitsoperationen und die Reaktion auf Vorfälle beschleunigen.

Automatisiert und informiert

Die zugrundeliegende Sicherheitsinfrastruktur muss nicht nur skalierbar und segmentierbar sein, sondern auch automatische Informationen über dynamische Änderungen in der Cloud-Umgebung erhalten können, um einen nahtlosen Schutz zu gewährleisten. Es ist nicht ausreichend, mit separaten Sicherheitsgeräten böswilligen Datenverkehr zu erkennen oder Malware zu blockieren. Das Sicherheitssystem muss mit Sicherheitsinformationen und Ereignismanagement (SIEM) sowie anderen Analysetools in der privaten und öffentlichen Cloud integriert sein, um Änderungen an Sicherheitsrichtlinien/strategien als Reaktion auf Vorfälle und Ereignisse automatisch orchestrieren zu können. Die einzelnen Elemente müssen zu einem integrierten Sicherheitssystem mit Sichtbarkeit und Kontrolle werden.

Durch die zunehmende Komplexität und Diversität der Umgebungen wird es für Menschen immer schwieriger, schnell intelligente Entscheidungen zu treffen und dabei alle Variablen in die Gleichung einzubeziehen. Daher ist ein automatisches Sicherheitssystem das Ziel. Man benötigt dafür eine Feedbackschleife mit Tools, die den Netzwerkdatenverkehr ständig automatisch überwacht. Diese Schleife beginnt idealerweise mit der Firewall zu den fortschrittlichen Tools zur Bedrohungserkennung wie einer Sandbox hin zum Security Information Event Management kurz SIEM.

An dieser Stelle sind die Bedrohungsinformationen extrem wichtig. Für die effektive Automatisierung des Sicherheitssystems müssen immer die aktuellsten Bedrohungsinformationen vorliegen, da man ansonsten den Anschluss an die schnelle Bedrohungsentwicklung rasch verpasst. Es geht im Grunde darum, zu wissen, welche Daten Sie in Ihr Netzwerk lassen möchten, und welche nicht.

Wie sieht die Zukunft der Automatisierung aus? Ihr Ziel sollte es sein, dass Ihr Sicherheitssystem ab einem bestimmten Punkt automatisch und ohne menschliches Zutun lernen kann. Das bedeutet letztendlich, dass Sie beginnen müssen, AI in Ihre Security zu integrieren. Mit menschlichem Zutun kann ein Sicherheitssystem einfach nicht so schnell reagieren wie ein automatisiertes System. Die Frage lautet daher: Wie kann man die Automatisierung vermehrt einsetzen? Wie funktioniert das Lernen ohne menschliches Zutun? Denn das ist die einzige Möglichkeit, Netzwerke in Zukunft zu schützen.

Beim Sicherheitsdesign für die grenzenlosen, dynamischen, weit verteilten Netzwerke von heute darf man Sicherheit nicht mehr als Plattform betrachten, sondern als Gefüge bzw. Gewebe (auf Englisch: Fabric), die alles miteinander verbindet. Eine Security Fabric in Ihrem gesamten komplexen Netzwerk einschließlich der Cloud bietet Ihnen ein einziges Sichtfenster für alle Geräte und Ereignisse und ermöglicht es dadurch, Informationen auszutauschen, Ihre unterschiedlichen Sicherheitslösungen zu integrieren und Reaktionen auf Bedrohungen zu automatisieren.

Der Grad der Automatisierung, also, wie viel Sie den Maschinen überlassen, wird sich mit der Zeit garantiert ändern. Und dennoch: Ohne Automatisierung werden Sie schon bald nicht mehr mit den sich ständig ändernden Bedrohungen Schritt halten können. Eine wirklich effektive Sicherheitslösung für Unternehmen von heute muss flexibel, leistungsfähig und wirklich integriert sein, damit Sie die Vorteile von modernen Infrastrukturen nutzen und gleichzeitig auf aktuelle und neue Bedrohungen reagieren können.

* Christian Vogt, Senior Regional Director Germany, Fortinet

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44807097 / Risk Management)