Intelligentes Risikomanagement – Zeitgemäße Sicherheit für die Multi-Cloud-Infrastruktur

Illustration: Absmeier, JanBaby

Die Multi-Cloud ist die neue Realität für viele Unternehmen, ob als Strategie gewählt oder durch andere Mittel erzwungen – wie Kundenpräferenz, Fusionen und Übernahmen oder staatliche Vorschriften. Vorausschauende Unternehmen haben sich damit abgefunden, dass diese Realität für ihr Unternehmen eintreten wird – oder bereits eingetreten ist. Unternehmen planen, mehrere Clouds intelligent zu verwalten und proaktiv Maßnahmen zu ergreifen, um eine kontinuierliche Compliance zu gewährleisten.

 

Neben den zahlreichen Chancen und Vorteilen ist der Multi-Cloud-Ansatz jedoch auch mit Risiken verbunden, wie Palo Alto Networks erklärt. Einige der Risiken, die Unternehmen verwalten müssen, sind technischer Natur, zum Beispiel Unterschiede bei der Authentifizierung und bei Autorisierungslösungen oder bei der Konfiguration von Netzwerk-Routing und Sicherheit. Andere Risiken liegen auf der menschlichen Seite der Unternehmen. Ein häufiges Risiko, das durch übermäßige Prozesse und Verfahren verursacht wird, kann dazu führen, dass schnelllebige Teile der Unternehmen ein wenig aus dem Ruder laufen und zu einem IT-Kopfschmerz werden.

 

Automatisierung ist die neue Grundlinie

Es ist nahezu unmöglich für ein Unternehmen, sich alle Fähigkeiten anzueignen, die nötig sind, um die Feinheiten zu erlernen, wie man alles in jeder Cloud macht. Es sind enorme Mengen an Anlaufzeit und Budget erforderlich, um die notwendige Expertise zu finden. Automatisierung ist der Grundstein für die Unterstützung mehrerer Clouds.

Wenn Unternehmen mit einem Multi-Cloud-freundlichen Automatisierungsprodukt beginnen, sparen sie eine unermessliche Menge an Zeit. Dies gilt insbesondere dann, wenn es sich um ein Produkt handelt, das dieselben Bereitstellungen und dieselben Compliance-Prüfungen für jede Cloud im Mix durchführen kann. Da die Automatisierung wiederholbar ist, fällt weniger Zeit für das Cross-Training neuer Teammitglieder an – egal, ob es sich um eine Rolle als Sicherheitsadministrator oder DevOps-Ingenieur handelt. Ansible, Puppet und Terraform sind führende Multi-Cloud-Automatisierungs-Frameworks.

 

Flexible Richtlinien und Prozeduren

Ein Automatisierungsframework übernimmt den Großteil der Implementierung. Dadurch können Unternehmen Richtlinien und Prozeduren etwas flexibler gestalten und die Unterschiede zwischen Cloud-Implementierungen berücksichtigen. Sie sind in der Lage, sich auf das Ziel zu konzentrieren und nicht auf die genaue Vorgehensweise. Dies steht im krassen Gegensatz zu Prozeduren, die traditionell in On-Premises-Umgebungen geschrieben werden, wo die verwendeten Technologien viel strenger kontrolliert werden.

Ein einzelnes Netzwerk in Google Cloud kann zum Beispiel Subnetze aus mehreren Regionen unterstützen. Damit Subnetze aus verschiedenen Regionen überhaupt voneinander wissen, sind in Azure mehrere virtuelle Netzwerke mit konfiguriertem Peering erforderlich.

Flexibilität ist im DevOps-Bereich nach Meinung von Experten sogar noch wichtiger. Es gibt viel mehr Variablen und Optionen. Angefangen bei der Art und Weise, wie die Anwendung verpackt wird, bis hin zum Deployment auf Kubernetes, Fargate, AppEngine und sogar auf einer vorhandenen, gemeinsam genutzten virtuellen Maschine.

Wie Teams Zugang zu Clouds erhalten, erfordert weitere Flexibilität. Herkömmliche, unternehmensinterne Beschaffungsprozesse, die konkurrierende Angebote und andere bürokratische Hürden beinhalten, sind kontraproduktiv. Die Kontrollpunkte der Unternehmen werden oft umgangen, was zu kritischen Sicherheitslecks und technischen Schulden führen kann. Instanzen können nur durch umfangreiche Durchsuchungen von Spesenabrechnungen gefunden werden. Dies ist »Schatten-IT« – und das ist nach Erfahrung von Palo Alto Networks ein echtes Problem.

 

Standardisierung der Komponenten so weit wie möglich

Auch wenn mehrere Clouds im Einsatz sind, ist es möglich, die Anzahl der im Spiel befindlichen Technologien zu minimieren. Dies geschieht durch die Standardisierung so vieler Kerntechnologien wie möglich. Oft beinhaltet dies die Verwendung von Komponenten von Drittanbietern.

Wann immer möglich, sollten Unternehmen sich an Lösungen halten, die mehrere Clouds unterstützen. Dies kann bedeuten, dass man bei einer sehr spezifischen punktuellen Lösung auf ein Nice-to-have-Feature verzichtet. Die gewonnene Konsistenz und Effizienz überwiegen jedoch die Vorteile eines »Nice-to-have«-Features bei weitem. Nur wenn es sich um eine Must-Have-Anforderung handelt, sind Single-Cloud-Management-Lösungen den Aufwand wert.

Ansätze zur Standardisierung beginnen bereits in der Anwendungsentwicklungspipeline. Dies wäre Verwendung von generischen und beliebten IDEs wie Visual Studio Code zum Beispiel, oder einer einzigen CI/CD-Pipeline, die alle Anwendungen mit Containern erstellt, die auf etwas wie Red Hat UBI als Cloud-unabhängige Basis basieren. Wenn sich dann der Stack nach oben verschiebt, empfiehlt es sich, bei der Verwendung von Kubernetes für die Container-Orchestrierung zu bleiben und immer eine PostgreSQL-basierte Datenbank-Engine zu verwenden. Monitoring- und Log-Aggregation-Tools von Drittanbietern gewährleisten eine möglichst einheitliche Sicht auf alle aktiv genutzten Clouds.

Es gibt noch viel mehr Beispiele. Aber es geht darum, einen Schritt zurückzutreten und nur bei Bedarf Cloud-spezifische Tools zu verwenden, um eine Anbieterbindung zu vermeiden, genau das, was alle Cloud-Anbieter zu erreichen versuchen. Ein Beispiel wäre, dass es besser ist, MongoDB von MongoDB zu erwerben, anstatt eine Cloud-eigene Implementierung davon zu nutzen.

 

Multi-Cloud-Management für Compliance und Kostenverfolgung

In Multi-Cloud-Umgebungen ist es von größter Wichtigkeit, dass Einblicke in die Kosten und die Einhaltung von Sicherheitsvorschriften für diejenigen, die diese Informationen benötigen, auf Abruf verfügbar sind. Es gibt eine Kategorie von Tools, die eine oder beide dieser Aktivitäten durchführen können. Diese arbeiten eng mit den größten Hyperscale-Cloud-Anbietern zusammen, damit die Lösungen aktuell sind. Sie beinhalten die neuesten Erweiterungen der Sicherheitsrichtlinien, um sicherzustellen, dass eine Richtlinie, wenn sie angewendet und validiert wird, so konsistent wie möglich über alle Clouds im Mix ist.

Diese Tools für das Cloud Security Posture Management, kurz CSPM, können Unternehmen dabei helfen, die mit Multi-Cloud-Umgebungen verbundenen Risiken intelligent zu verwalten. Der Leitfaden »Cloud Security and Compliance for Dummies« von Palo Alto Networks erläutert die Bedeutung von CSPM als Teil eines ganzheitlichen Cloud-nativen Sicherheitsprogramms.

 

626 Artikel zu „Multi-Cloud Sicherheit“

Cloud-Prognose für 2021: Mehr Multi-Cloud, mehr Sicherheit und höhere Kosten

Die Covid-19-Pandemie hat den Zeitplan für den Übergang in die Cloud für viele Unternehmen beschleunigt. Die Ausfälle bei vielen der größten Cloud-Service-Provider und die jüngsten Hacker- und Ransomware-Angriffe zeigen jedoch die Herausforderungen in Bezug auf Verfügbarkeit, Skalierbarkeit und Sicherheit von Cloud-Umgebungen. Für das Jahr 2021 prognostiziert Radware 5 wesentliche Trends:   Fortgesetzte Investitionen in Cloud-Migration…

Cybersicherheit mit KI-Unterstützung – Rückblick und Ausblick

Bereits im Januar 2004 wurde ein loser Zusammenschluss von CISOs namens Jericho Forum offiziell gegründet, um das Konzept der De-Perimeterization zu definieren und zu fördern. Das Jericho Forum vertrat die Position, dass der traditionelle Netzwerkperimeter erodiert und Unternehmen die Sicherheitsauswirkungen eines solchen Abdriftens nicht verinnerlicht hatten. Seither ist in Sachen Cybersicherheit viel passiert.   Andreas…

Security-Praxistipps: Sechs DevSecOps-Metriken für DevOps- und Sicherheitsteams

Mitarbeiter im DevOps-Team bekommen leicht das Gefühl, dass das Sicherheitsteam dazu da ist, ihnen die Arbeit schwerer zu machen. Sicherheitsfachkräfte haben vielleicht das Gefühl, dass DevOps ihre Prioritäten nicht teilt und die Sicherheit nie so ernst nehmen wird, wie sie es gerne hätten. Glücklicherweise muss das nicht so sein. Durch das Festlegen und Verfolgen gemeinsamer…

Alternative Lösungswege bei sinkenden IT-Budgets – Optionen für IT-Sicherheit in Krisenzeiten

In Zeiten der Unsicherheit ist es nur verständlich, dass Unternehmen dazu neigen, sich zurückzuziehen und ihre Ausgaben zu reduzieren, wo immer dies möglich ist. Im Jahr 2020 zeigt sich dies ganz offensichtlich im Veranstaltungsbereich: Konferenzen und Kongresse wurden abgesagt oder virtuell abgehalten, während Geschäftsreisen für viele Unternehmen zum Stillstand gekommen sind. Dies ist aber nicht…

Die fünf größten Sicherheitsgefahren für Smart Cities

Immer mehr Kommunen verfolgen Smart-City-Initiativen, etwa um Ressourcen besser zu verwalten oder die Bürgerservices zu optimieren und generell die Lebensqualität zu steigern. Durch die dafür notwendige Erfassung entsprechender Daten, deren Vernetzung und Verarbeitung steigen aber auch die Sicherheitsgefahren. NTT Ltd., ein weltweiter Technologie-Dienstleister, nennt die fünf größten Bedrohungen für Smart Cities. Die Smart City, also…

Auf dem SaaS-Auge blind – Angst vor E-Mail-Angriffen blendet Sicherheitsverantwortliche

Der E-Mail-Verkehr gilt immer noch als kritischstes Einfalltor für Cyberangriffe, während SaaS-basierte Angriffe zunehmen – Sicherheitsverantwortliche nehmen das Risiko bislang jedoch kaum war. Vectra AI, tätig im Bereich NDR (Network Detection and Response), weist im Zuge der jüngsten Sicherheitsvorfälle in Zusammenhang mit SaaS-Anwendungen erneut darauf hin, wie kritisch dieser Bedrohungsvektor ist. Im Zuge der digitalen…

Cyber-Sicherheitsprognosen für 2021

Es wird einen Zuwachs bei Angriffen mit Erpressersoftware geben. Weitere Prognosen sind, dass mit Hilfe künstlicher Intelligenz generierte Identitäten für neue Spielarten des Social Engineering genutzt werden, dass Cyberkriminelle verstärkt ihre Hacking-Dienste gegen Bezahlung anbieten und neue Vorgehensweisen, Werkzeuge und Strategien entwickeln, um Sicherheitslücken im Home Office auszunutzen. BAE Systems Applied Intelligence hat seine Prognosen…

Datensicherheit von der Edge über Core bis in die Cloud – Modernes Datenmanagement

Seit drei Jahrzehnten gibt Veritas den Weg vor, wie sicheres und Compliance-konformes Datenmanagement funktioniert. Das Herzstück ist dabei die Lösung NetBackup, die aktuell in Version 8.3 verfügbar ist und Unternehmen die Freiheit gibt, ihre Anwendungen und IT-Infrastruktur unabhängig von der darunterliegenden IT-Architektur noch ausfallsicherer zu betreiben.

Cybersicherheit ist Teil eines allgemeinen Nachhaltigkeitstrends in Unternehmen.

Cybersicherheit: 98 Prozent der Industrieunternehmen erachten Nachhaltigkeit als wichtig, knapp die Hälfte plant Einstellung eines Chief Sustainability Officers. Der Schutz vor Cyberbedrohungen, die die Gesundheit von Beschäftigten und Dritten beeinträchtigt, ist eine der dringlichsten Herausforderungen in Industrieunternehmen, wie eine aktuelle weltweite Umfrage von Kaspersky zeigt [1]. Fast alle Unternehmen (98 Prozent) glauben, dass eine Strategie…

Sicherheitsspezialisten plädieren für Vielfalt und Neurodiversität

Studie: 47 % sehen in Neurodiversität eine Strategie gegen Fachkräftemangel und blinde Flecken. Kein Zweifel: Der Mangel an IT-Sicherheits-Fachkräften und -Expertise ist dramatisch. Rund drei von zehn Cybersecurity-Spezialisten in Deutschland sagen laut einer Bitdefender-Studie einen gravierenden Effekt voraus, wenn der Mangel an Cybersecurity-Expertise für fünf weitere Jahre anhalten wird: 21 % der deutschen Befragten sagen,…

Sicherheit in Unternehmen: 84 Prozent der Unternehmen würden gerne nur Mac-Geräte nutzen

Mehr als drei Viertel der Unternehmen, die Mac- und Nicht-Mac-Geräte parallel verwenden, halten den Mac für das sicherere Gerät. Die Covid-19-Pandemie hat eine nie zuvor gekannte Abwanderungswelle von Angestellten ins Home Office ausgelöst und Unternehmen vor die Aufgabe gestellt, auch in dezentral arbeitenden Teams die Endgerätesicherheit jederzeit zu gewährleisten. Anlässlich des Cybersecurity-Awareness-Monats Oktober befragte Jamf,…

BSIMM: Ein Fahrplan in Richtung Softwaresicherheit

Das Building Security In Maturity-Modell ist ein Studiendesign zu real existierenden Software Security Initiatives, kurz SSIs [1]. Hier werden die Praktiken vieler verschiedener Unternehmen quantifiziert und hinsichtlich von Gemeinsamkeiten sowie individuellen Variationen beschrieben. Dadurch liefert der Bericht quasi ein Spiegelbild der Softwaresicherheit von Unternehmen rund um den Globus.   Die Ergebnisse sind zwar besonders relevant für Unternehmen, die Softwarekomponenten…

IAM im Finanzwesen: Den Spagat zwischen Usability und IT-Sicherheit bewältigen

Das Finanzwesen ist im Umbruch. Schon längst werden Transaktionen nicht mehr am Schalter in den Filialen getätigt, sondern sowohl Kunden als auch Berater wollen von überall und jederzeit Zugriff auf Informationen und Anwendungen haben. Damit die Benutzer-Administration trotzdem höchste Sicherheitsansprüche erfüllt, brauchen Banken moderne IAM-Lösungen, die auch regulatorische Anforderungen flexibel umsetzen können.   Vom Smartphone…

Trotz umfassender IT-Budgetkürzungen: Cybersicherheit bleibt Investitionspriorität

Auch während der Covid-19-Pandemie hat IT-Security wachsende Relevanz. Cybersicherheit hat auch 2020 für Unternehmen eine hohe Priorität hinsichtlich der Entscheidung für entsprechende Investitionen, wie eine aktuelle Kaspersky-Umfrage unter Entscheidungsträgern zeigt [1]. Ihr Anteil an den IT-Ausgaben ist bei KMUs von 23 Prozent im vergangenen Jahr auf 26 Prozent 2020 und bei großen Unternehmen im gleichen…

Speichern in der Cloud: Fünf Tipps, um Benutzerfreundlichkeit und Sicherheit zu kombinieren

Mit Hilfe von Cloud-Lösungen lassen sich im Prinzip unlimitierte Mengen an Daten standort- und geräteunabhängig sichern. Der Speicherplatz auf den eigenen Geräten und innerhalb der eigenen Infrastruktur wird so geschont. Dafür benötigt der Nutzer nur eine Internetverbindung und eine entsprechende Anwendung – innerhalb kürzester Zeit steht das zusätzliche Laufwerk auf Cloud-Basis zur Verfügung. Und nicht…

Sicherheitslücken in der Public Cloud

Mehr als die Hälfte der Unternehmen in Deutschland hat in den letzten zwölf Monaten Verdachts- oder Vorfälle der Datensicherheit in der Public Cloud registriert. Laut KPMG Cloud-Monitor 2020 ist der Anteil der Unternehmen mit bestätigten Vorfällen von 2018 auf 2019 um vier Prozent gesunken, allerdings haben im gleichen Zug mehr Public Cloud-Nutzer Verdachtsfälle geäußert. 2019…

DNS-over-HTTPS: Diskussionspapier macht Vorschläge für mehr Sicherheit in Netzwerkumgebungen 

DNS-over-HTTPS (DoH) hilft Man-in-the-Middle-Angriffe zu verhindern. Eigene DoH-Resolver ermöglichen aktuelle, sichere und hochleistungsfähige Internet-Services. DNS (Domain Name System)-Anfragen – zum Beispiel das Aufrufen einer Website im Browser – sind noch häufig unverschlüsselt. Das birgt Sicherheitsrisiken. Um dies zu ändern, nutzt das 2018 vorgestellte DNS-over-HTTPS (DoH)-Protokoll die etablierte HTTPS-Verschlüsselung. Mit den bevorstehenden Updates von Apple iOS…

Die Cloud verändert alles –Auswirkungen von »as a Service« auf die Cybersicherheit

Auf die eine oder andere Art haben praktisch alle Unternehmen Berührungspunkte mit der Cloud, selbst wenn es vielen nicht unbedingt direkt bewusst sein mag. Je nach Art und Umfang der Cloud-Nutzung entstehen dadurch direkte Folgen für die Cybersicherheit, die Andreas Müller, Director DACH bei Vectra AI erläutert.   Die Migration von Unternehmen in die Cloud…

Warum DLP für eine umfassende Sicherheitsstrategie erweitert werden muss

  Data-Loss-Prevention-Lösungen (DLP) sind nun schon seit mehr als zehn Jahren ein fester Bestandteil der IT-Sicherheitsstrategie vieler Unternehmen. Was zunächst als Nischen-Technologie im Militär begonnen hat, wird heute von den meisten Unternehmen eingesetzt, um den Verlust sensibler Daten zu vermeiden. Zweifellos stellen DLP-Lösungen auch weiterhin ein wertvolles Tool zum Schutz kritischer Informationen dar. Allerdings hat…