Was ist Cloud Security?

Cloud Computing ist die Bereitstellung von gehosteten Diensten, einschließlich Software, Hardware und Speicherung, über das Internet. Die Vorteile des schnellen Einsatzes, der Flexibilität, der niedrigen Vorlaufkosten und der Skalierbarkeit haben Cloud Computing für Organisationen aller Größenordnungen praktisch universell gemacht, häufig als Teil einer Hybrid-/Multi-Cloud-Infrastrukturarchitektur.

 

Cloud Security (Cloud Sicherheit) bezieht sich auf die Technologien, Richtlinien, Kontrollen und Dienste, die Cloud-Daten, -Anwendungen und -Infrastrukturen vor Bedrohungen schützen.

Was ist Cloud Security?

Cloud-Sicherheit ist eine gemeinsame Verantwortung

Cloud-Sicherheit ist eine Verantwortung, die zwischen dem Anbieter und dem Kunden geteilt wird. Im Modell der gemeinsamen Verantwortung gibt es grundsätzlich drei Kategorien von Verantwortlichkeiten: Verantwortlichkeiten, die immer die des Anbieters sind, Verantwortlichkeiten, die immer die des Kunden sind, und Verantwortlichkeiten, die je nach Servicemodell variieren: Infrastructure-as-a-Service (IaaS), Plattform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS), wie beispielsweise Cloud-E-Mail.

 

Die Sicherheitsverantwortlichkeiten, die immer in der Verantwortung des Anbieters liegen, beziehen sich auf die Sicherung der Infrastruktur selbst sowie auf den Zugang zu, das Patchen und die Konfiguration der physischen Hosts und des physischen Netzwerks, auf dem die Recheninstanzen laufen und in dem sich die Speicher- und anderen Ressourcen befinden.

 

Die Sicherheitsverantwortlichkeiten, die immer in der Verantwortung des Kunden liegen, schließen die Verwaltung der Benutzer und ihrer Zugangsberechtigungen (Identitäts- und Zugangsmanagement), den Schutz von Cloud-Accounts vor unbefugtem Zugriff, die Verschlüsselung und den Schutz von Cloud-basierten Datenbeständen sowie die Verwaltung ihrer Sicherheitsstellung (Compliance) ein.

Die 7 größten Herausforderungen für erweiterte Cloud Sicherheit

Da die Public Cloud über keine klaren Perimeter verfügt, stellt sie eine grundlegend andere Sicherheitsrealität dar. Diese werden noch schwieriger zu bewältigen, wenn moderne Cloud-Ansätze wie automatisierte Continuous Integration und Continuous Deployment (CI/CD)-Verfahren, verteilte serverlose Architekturen und flüchtige Assets wie Functions-as-a-Service und Container verwendet werden.

Einige der erweiterten Herausforderungen für die Sicherheit in der Cloud und die verschiedenen Risikostufen, denen sich die heutigen Cloud-orientierten Organisationen gegenübersehen, umfassen:

  1. Größere Angriffsfläche: Die Public Cloud-Umgebung ist zu einer großen und äußerst attraktiven Angriffsfläche für Hacker geworden, die schlecht gesicherte Cloud-Zugangsports ausnutzen, um auf Workloads und Daten in der Cloud zuzugreifen und diese zu stören. Malware, Zero Day, die Übernahme von Konten und viele weitere bösartige Bedrohungen sind alltäglich geworden.
  2. Ein Mangel an Sichtbarkeit und Tracking: Im IaaS-Modell haben die Cloud-Anbieter die volle Kontrolle über die Infrastrukturebene und stellen diese nicht ihren Kunden zur Verfügung. Der Mangel an Transparenz und Kontrolle wird in den PaaS- und SaaS-Cloud-Modellen noch weiter verstärkt. Cloud-Kunden können häufig ihre Cloud-Assets nicht effektiv identifizieren und quantifizieren oder ihre Cloud-Umgebungen nicht visualisieren.
  3. Sich ständig ändernde Arbeitsbelastung: Cloud Assets werden dynamisch bereitgestellt und stillgelegt – in großem Umfang und mit hoher Geschwindigkeit. Herkömmliche Sicherheitstools sind einfach nicht in der Lage, Schutzrichtlinien in solch einer flexiblen und einer dynamischen Umgebung mit ihren ständig wechselnden und kurzlebigen Workloads durchzusetzen.
  4. DevOps, DevSecOps und Automation: Organisationen, die die hochgradig automatisierte DevOps CI/CD-Kultur übernommen haben, müssen sicherstellen, dass angemessene Sicherheitskontrollen frühzeitig im Entwicklungszyklus im Code identifiziert und eingebettet sind. Sicherheitsbezogene Änderungen, die implementiert werden, nachdem Workload in der Produktion bereitgestellt wurde, können die Sicherheit von Unternehmen untergraben und die Zeit bis zur Markteinführung verzögern.
  5. Granulare Berechtigungs- und Schlüsselverwaltung: Es kommt häufiger vor, das Cloud-Benutzerrollen sehr locker konfiguriert werden, sodass Benutzerberechtigungen erteilt werden, die nicht erwünscht oder erforderlich sind. Ein gängiges Beispiel hierfür ist die Vergabe von Lösch- oder Schreibberechtigungen für Datenbanken an ungeschulte Benutzer oder Benutzer, die keine Datenbank-Assets löschen oder hinzufügen sollen. Auf Anwendungsebene setzen unsachgemäß konfigurierte Schlüssel und Berechtigungen die Sessions Sicherheitsrisiken aus.
  6. Komplexe Umgebungen: Ein konsistentes Sicherheitsmanagement in den hybriden und Multi-Cloud-Umgebungen, die heutzutage von Unternehmen bevorzugt werden, erfordert Verfahren und Instrumente, die nahtlos zwischen Public-Cloud-Anbietern, Private-Cloud-Anbietern und Einsätzen vor Ort funktionieren – einschließlich Edge Protection in Niederlassungen für geografisch verteilte Organisationen.
  7. Cloud-Compliance und -Governance:Alle führenden Cloud-Provider haben ihre Services an den bekanntesten Akkreditierungsprogrammen wie PCI 3.2, NIST 800-53, HIPAA und DSGVO ausgerichtet. Die Kunden sind jedoch dafür verantwortlich, dass ihre Workloads und Daten auf konforme Weise verarbeitet werden. Angesichts der schlechten Sichtbarkeit sowie der Dynamik der Cloud-Umgebung wird der Compliance-Audit-Prozess nahezu unmöglich, wenn nicht Instrumente eingesetzt werden, um eine kontinuierliche Compliance-Prüfung zu erreichen und Echtzeit-Warnungen über Fehlkonfigurationen auszugeben.

Zero Trust und warum Sie das Konzept übernehmen sollten

Der Begriff Zero Trust wurde erstmals 2010 von John Kindervag eingeführt, der damals ein leitender Analyst von Forrester Research war. Das Grundprinzip von Zero Trust in der Cloud-Sicherheit besteht darin, nicht automatisch irgendjemandem oder irgendetwas innerhalb oder außerhalb des Netzwerks zu vertrauen und alles zu überprüfen (d. h. zu autorisieren, zu überprüfen und zu sichern).

 

Zero Trust fördert beispielsweise eine „Least-Privileged“-Strategie, bei der Benutzern nur Zugriff zu den Ressourcen gegeben wird, die sie für die Durchführung ihrer Aufgaben benötigen. In ähnlicher Weise werden Entwickler aufgefordert, dafür zu sorgen, dass Web-Anwendungen ordnungsgemäß gesichert werden.  Wenn der Entwickler zum Beispiel Ports nicht durchgängig gesperrt oder Berechtigungen nicht „nach Bedarf“ implementiert hat, hat ein Hacker, der auf die Anwendung zugreift, die Berechtigung, Daten aus der Datenbank abzurufen und zu ändern.

 

Darüber hinaus nutzen Zero-Trust-Netzwerke die Mikrosegmentierung, um die Sicherheit von Cloud-Netzwerken wesentlich granularer zu gestalten. Die Mikrosegmentierung schafft sichere Zonen Rechenzentren und Cloud-Bereitstellungen und segmentiert so die Workloads voneinander, sichert alles innerhalb der Zone und wendet Sicherheitsrichtlinien für den sicheren Verkehr zwischen den Zonen an.

Die 6 Säulen einer robusten Cloud Security

Während Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure (Azure) und Google Cloud Plattform (GCP) viele native Cloud-Sicherheitsfunktionen und -dienste anbieten, sind zusätzliche Lösungen von Drittanbietern unerlässlich, um Cloud-Workloads auf Unternehmensebene vor Verstößen, Datenlecks und gezielten Angriffen in der Cloud-Umgebung zu schützen. Nur ein integrierter Cloud-Native/Drittanbieter-Sicherheits-Stack bietet die zentralisierte Sichtbarkeit und richtlinienbasierte granulare Kontrolle, die für die Bereitstellung der folgenden branchenspezifischen bewährten Praktiken erforderlich sind:

  1. Granulare, richtlinienbasierte IAM- und Authentifizierungskontrollen über komplexe Infrastrukturen hinweg: Arbeiten Sie mit Gruppen und Rollen anstatt auf der individuellen IAM-Ebene, um die Aktualisierung von IAM-Definitionen bei sich ändernden Geschäftsanforderungen zu erleichtern. Gewähren Sie nur die minimalen Zugangsberechtigungen zu Assets und APIs, die für eine Gruppe oder Rolle zur Erfüllung ihrer Aufgaben unerlässlich sind. Je umfangreicher die Berechtigungen sind, desto höher ist die Authentifizierungsstufe. Dabei sollten Sie die gute IAM-Hygiene nicht vernachlässigen, indem Sie strenge Passwort-Richtlinien, Zeitüberschreitungen bei Berechtigungen usw. durchsetzen.
  2. Zero-trust Cloud-Netzwerksicherheits-Kontrollen über logisch isolierte Netzwerke und Mikrosegmente hinweg: Bereitstellung von geschäftskritischen Ressourcen und Anwendungen in logisch isolierten Abschnitten des Cloud-Netzwerks des Anbieters, wie z. B. Virtual Private Clouds (AWS und Google) oder vNET (Azure). Verwenden Sie Subnetze, um Workloads voneinander zu mikrosegmentieren, mit granularen Sicherheitsrichtlinien an Subnetz-Gateways. Verwenden Sie dedizierte WAN-Verbindungen in hybriden Architekturen und verwenden Sie statische benutzerdefinierte Routing-Konfigurationen, um den Zugriff auf virtuelle Geräte, virtuelle Netzwerke und ihre Gateways sowie öffentliche IP-Adressen anzupassen.
  3. Durchsetzung von Richtlinien und Prozessen zum Schutz virtueller Server wie Änderungsmanagement und Software-Updates: Anbieter von Cloud-Sicherheitsdiensten bieten ein robustes Cloud Security Posture Management, bei dem Regeln und Vorlagen für Governance und Compliance bei der Bereitstellung virtueller Server konsequent angewendet, auf Konfigurationsabweichungen geprüft und wenn möglich automatisch korrigiert werden.
  4. Schutz aller Anwendungen (und insbesondere Cloud-nativer verteilter Anwendungen) mit einer Web Application Firewall der nächsten Generation: Damit wird der Datenverkehr zu und von Web-Anwendungsservern granular geprüft und gesteuert, die WAF-Regeln werden automatisch in Reaktion auf Änderungen des Datenverkehrsverhaltens aktualisiert, und es wird näher an den Mikrodiensten eingesetzt, die Workloads ausführen.
  5. Verbesserter Datenschutz: Verbesserter Datenschutz mit Verschlüsselung auf allen Transportschichten, sichere Dateifreigaben und Kommunikation, kontinuierliches Compliance-Risikomanagement und die Aufrechterhaltung einer guten Hygiene der Datenspeicherressourcen, wie z. B. das Erkennen falsch konfigurierter Buckets und das Beenden verwaister Ressourcen.
  6. Threat Intelligence, die bekannte und unbekannte Bedrohungen in Echtzeit erkennt und behebt: Drittanbieter von Cloud-Sicherheit fügen Kontext zu den großen und vielfältigen Strömen von Cloud-nativen Protokollen hinzu, indem sie aggregierte Protokolldaten intelligent mit internen Daten wie Anlagen- und Konfigurationsverwaltungssystemen, Schwachstellen-Scannern usw. und externen Daten wie Informationen zu öffentlichen Bedrohungsinformations-Feeds, Geolokalisierungsdatenbanken usw. abgleichen. Sie stellen auch Werkzeuge zur Verfügung, die helfen, die Bedrohungslandschaft zu visualisieren und abzufragen und schnellere Reaktionszeiten bei Vorfällen zu fördern. KI-basierte Algorithmen zur Erkennung von Anomalien werden angewendet, um unbekannte Bedrohungen abzufangen, die dann einer forensischen Analyse unterzogen werden, um ihr Risikoprofil zu bestimmen. Warnmeldungen in Echtzeit bei Eindringversuchen und Richtlinienverstößen verkürzen die Zeit bis zur Abhilfe und lösen manchmal sogar automatische Abhilfe-Workflows aus.

Erfahren Sie mehr über Check Point CloudGuard-Lösungen

Die vereinheitlichte Cloud-Sicherheitsplattform CloudGuard von Check Point lässt sich nahtlos in die Cloud-nativen Anbieter-Sicherheitsdienste integrieren, um sicherzustellen, dass Cloud-Benutzer ihren Teil des Modells der gemeinsamen Verantwortung einhalten und Zero-Trust-Richtlinien für alle Säulen der Cloud-Sicherheit einhalten: Zugangskontrolle, Netzwerksicherheit, Compliance für virtuelle Server, Workload- und Datenschutz sowie Bedrohungsanalyse.

Diese Website verwendet Cookies, um höchste Benutzerfreundlichkeit zu gewährleisten. Verstanden, danke! MEHR INFOS