Mikrosegmentierung: Teile und herrsche – Neun Prüfsteine für die Absicherung von Cloud-Umgebungen

DevOps, IaaS, App-gesteuerte Prozesse: Die digitale Transformation beschleunigt eine Vielzahl an Geschäftsabläufen im Unternehmen. Aus Sicht der IT-Sicherheits­verantwortlichen stellt sich die Frage, ob sie ihre Sicherheitsstrategien an die veränderten Bedingungen angepasst haben? Es ist Zeit, die IT-Security-Strategie zu überdenken und den Fokus auf die Absicherung hybrider Cloud-Umgebungen zu legen.

Moderne Unternehmen und IT-Abteilungen haben viele geschäftliche Arbeitsprozesse umgestellt und werden das auch weiterhin vorantreiben (müssen). Immer mehr Organisationen setzen auf DevOps, Infrastructure as a Service (IaaS) und applikationsgesteuerte Verfahren. Im Kern verfolgen diese Umstellungen das Ziel, IT-Abläufe deutlich zu beschleunigen, effektiver auszurichten und veränderten Geschäftsanforderungen auf Unternehmensseite dadurch Rechnung zu tragen. 

Das Hauptproblem aktuell ist die fehlende Visibilität, Sicherheit und Kontrolle darüber, was innerhalb der Rechenzentren vor sich geht. An diesen neuralgischen Punkten befinden sich sensible Daten und kritische IT-Systeme, die unverzichtbar für den Unternehmenserfolg sind. Der klassische Sicherheitsansatz legt alle Anstrengungen darauf, unbefugte Zugriffe von außen auf Datacenter zu unterbinden. Gelingt es Angreifern dennoch, die vorgelagerten Firewalls, Einbruchserkennungssysteme und Viren-Schutzlösungen zu umgehen, fällt das Perimeter-Sicherheitskonzept in sich zusammen. Nun stehen alle Server und Applikationen innerhalb des Rechenzentrums offen und Hacker können unbeobachtet und frei ihre Pläne umsetzen.

Durch IaaS- und DevOps-Strukturen veränderte Geschäftsprozesse als Taktgeber einer innovativen und agilen IT-Infrastruktur erfordern, dass die IT-Abteilungen viel enger mit anderen Unternehmensbereichen zusammenarbeiten. 

Die Sicherstellung betriebswirtschaftlicher Geschäftsziele bedingt neue Strategien und Tools, die auf Skalierbarkeit, Flexibilität und Datenvisibilität für hybride Cloud-Umgebungen optimiert werden. Durch Implementierung entsprechender Security-Technologien müssen Unternehmen für die erforderliche Sichtbarkeit, Sicherheit und Kontrolle in hybriden Enterprise-Infrastrukturen sorgen, deren Schutz eine noch komplexere Aufgabe im Vergleich zu On-Premises-Umgebungen ist.

Hier sind neun Prüfsteine für die Absicherung von Cloud-Umgebungen:

 

 

Visibilität und Visualisierung
Sicherheitsverantwortliche sind auf der Suche nach Lösungen, die eine anwendungsbezogene Darstellung aller Datenströme innerhalb der IT-Firmenumgebung bieten. Eine detaillierte Sichtbarkeit auf die entsprechenden Applikationen und Prozesse ermöglicht die Erkennung verdächtiger Aktivitäten, Datenübertragungen und Schadsoftware. Die Sammlung dieser Informationen ist unbedingte Voraussetzung dafür, um die Vorgänge verständlich visualisieren und auch große Datenmengen intelligent auswerten zu können. Eine grafisch aufbereitete Übersicht über die gesamte IT-Landschaft ermöglicht eine individuell justierbare Analyse, welche Bedrohungen und Probleme akut sind, und wie sie sich am besten begrenzen lassen. Leistungsstarke Visibilitäts- und Visualisierungsfunktionen sind der erste Schritt, um die Kontrolle über die IT-Umgebung zurückzugewinnen.

 

 

Mikrosegmentierung
Netzwerksegmentierung beschreibt in der IT den Vorgang, mehrere Teile in einem Firmennetz zu schaffen, die nicht oder nur noch bedingt miteinander vernetzt sind. Die Unterteilung in Vertrieb, Personalabteilung und Buchhaltung hilft einerseits bei administrativen Aufgaben, um beispielsweise applikationsgesteuerte Kommunikationsprozesse zu beschleunigen. Darüber hinaus ergeben sich aber auch sicherheitstechnische Verbesserungen, wenn kritische Daten, Prozesse und Systeme gegen Hackerzugriffe abgegrenzt werden. Auch mit Blick auf gesetzliche Compliance-Vorgaben ist die Schaffung von Sicherheitszonen sinnvoll, um datenschutzrechtlich sensible Informationen zu schützen. Eine Mikrosegmentierung bis auf Applikationsebene spielt so eine entscheidende Rolle bei der Kontrolle und Sicherheit einer IT-Umgebung. 

 

 

Bestandserkennung und -überwachung
Verteidigen kann man sich nur gegen Angriffe, die zuvor identifiziert wurden. Für DevOps-Teams gilt das auf besondere Weise, da sie neue IT-Systeme in einem viel höheren Tempo bereitstellen. Diese Systeme müssen den Asset-Bestand erkennen können oder in bestehende Asset-Management-Lösungen integriert werden, die diese Aufgabe übernehmen. So lassen sich Sicherheitsstatus und Funktionsfähigkeit der Netzwerksysteme überwachen, damit im Bedarfsfall durch Implementierung passender IT-Werkzeuge die gesamte Unternehmens-IT geschützt werden kann. 

 

 

Konfigurationsmanagement
Softwarewerkzeuge für das Konfigurationsmanagement wie Chef und Puppet unterstützen DevOps-Teams dabei, relevante Prozesse der Server-Verwaltung zu automatisieren. Konfigurationen lassen sich damit testen, versionieren und replizieren, um IT-Systeme möglichst schnell bereitzustellen. Zur Minimierung von Risiken sollten indes auch IT-Sicherheitsverantwortliche mit den DevOps-Teams direkt zusammenarbeiten und eine zeitnahe Bereitstellung von Sicherheitsprogrammen gewährleisten.

 

 

Erkennen von Netzwerkeinbrüchen
Die Studie »2017 Cost of a Data Breach« des Ponemon Institutes belegt, dass Organisationen rund 1 Million Dollar sparen, wenn sie Angriffe innerhalb von 100 Tagen erkennen. Können sie eine Sicherheitsverletzung in weniger als 30 Tagen eindämmen, sparen sie ebenfalls rund 1 Million Dollar. Noch brauchten Unternehmen allerdings durchschnittlich 197 Tage, um eine Datenpanne zu identifizieren (in Deutschland sind es im Schnitt 138 Tage), und für deren Eindämmung 69 Tage (Deutschland: 41 Tage). Zur Identifizierung von Netzwerkeinbrüchen reicht es nicht mehr aus, klassische Sicherheitssysteme zu installieren, die Schadsoftware aufspüren. Vielmehr müssen verdächtige Datenübertragungen erkannt werden, wenn Angreifer sensible Informationen von einem System zum anderen verschicken. Nur so lassen sich Attacken rechtzeitig stoppen und und komplexe Angriffsmethoden analysieren.

 

 

Unabhängigkeit von IT-Infrastrukturen
In hybriden Cloud-Umgebungen gilt es Workloads zu schützen, die sich auf lokale Netze und verschiedene Cloud-Infrastrukturen verteilen. Folgerichtig müssen die implementierten IT-Werkzeuge beide Welten abdecken. Es reicht nicht, in ein Tool zu investieren, das ausschließlich VMware-Systeme unterstützt, während für AWS-Dienste ein separates Tool und für Microsoft Azure noch ein drittes Tool eingesetzt werden. Erforderlich ist ein einheitliches IT-Werkzeug für alle Umgebungen, das eine Komplettsicht auf alles und mit durchgängig gleicher Funktionalität bietet. 

 

 

Erweiterbarkeit
Wenig zielführend ist die Implementierung von Punktlösungen, die nicht mit anderen Lösungen zusammenarbeiten. Sicherheitsadministratoren benötigen Technologien mit offener Programmierschnittstelle, die eine Anbindung weiterer Lösungen erlaubt, Reaktionsmöglichkeiten automatisiert und eine Kommunikation zwischen den Tools zulässt. Diese technische Erweiterbarkeit hilft Unternehmen bei der Schließung von Sicherheitslücken und möglichst schnellen Umsetzung geeigneter Maßnahmen. 

 

 

Plattformkonvergenz
In diesem Zusammenhang empfiehlt sich auch die Implementierung von IT-Plattformen, die über ein integriertes Werkzeugset verfügen und nicht nur einzelne Anforderungen als Punktlösung adressieren. Solche IT-Plattformen reduzieren die Komplexität bei der Einbindung von Unternehmensnetzen und vereinfachen das Sicherheitsmanagement, weil die Bedienungsführung nicht mehrfach erlernt werden muss.

 

 

Skalierbarkeit
Mit Blick auf die Herausforderungen bei der Absicherung hybrider Cloud- und Datacenter-Strukturen ist es notwendig, dass die implementierten Lösungen auf größere IT-Umgebungen mit höheren Datendurchsatzraten skalieren können. Die gewählten IT-Plattformen müssen durch Autoskalierung auch ein explosionsartig steigendes Datenaufkommen unterstützen. Es versteht sich von selbst, dass die Performance der IT-Systeme dabei nicht beeinträchtigt werden darf. 


Torsten Wiedemeyer,
Regional Director
DACH & Eastern Europe
bei GuardiCore

 

 

 

Illustration: © MJgraphics/shutterstock.com

 

Mit vorheriger ROI-Analyse sind Cloud-Migrationen zu 44 Prozent erfolgreicher

2016: Völlig neue Cyberbedrohungen erfordern veränderte Spielregeln

Die 5 häufigsten Bedenken hinsichtlich der Public-Cloud-Sicherheit

Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit

Die Vorteile ausgereifter Cloud-Sicherheitsstrategien

Cloud-Sicherheit im Wandel – Unternehmen müssen umdenken