In immer mehr Unternehmen etablieren sich Cloud-Umgebungen als fester Bestandteil der IT-Infrastruktur. Das erfordert eine Anpassung der Sicherheitslandschaft, besonders wenn Cloud-Systeme parallel zu On-Premises-Umgebungen zum Einsatz kommen. Durch eine identitätsbasierte Sicherheitsstrategie, ein konsolidiertes Sicherheitskonzept und cloud-gestützte Security-Tools gelingt ein sicherer und performanter Betrieb.
Die digitale Transformation ist in vielen Unternehmen ein Beschleuniger für Cloud-first- und Cloud-too-Strategien. Sie steigern die Agilität und Effizienz, bieten allerdings auch mehr Angriffsflächen für Cyberkriminielle. Um eine sichere Umgebung zu schaffen, müssen Verantwortliche daher Sicherheitskonzepte implementieren, die über den bloßen Perimeterschutz auf Netzwerkebene und Firewall-Lösungen hinausgehen.
Das macht auch deutlich, weshalb es nicht sinnvoll ist, das Thema Cloud-Sicherheit gedanklich im Aufgabenportfolio des Providers zu verorten. Durch die Nutzung einer Cloud-Umgebung entstehen in so vielen Bereichen neue Sicherheitsanforderungen, dass alle Beteiligten sich verantwortlich zeigen müssen. Dieses Prinzip der »Shared Responsibility« bedeutet in der Praxis also eine klare Aufgabenteilung. Während die Datensicherung, die Zugriffs- und Berechtigungsverwaltung in den Händen der Nutzer liegt (»Security in the Cloud«), ist der Provider für die Sicherheit der Infrastruktur (»Security of the Cloud«) verantwortlich.
Um die Sicherheitslandschaft zielgerichtet an die neuen Anforderungen adaptieren zu können, müssen IT-Teams vorab die Ausgangssituation analysieren. Dazu zählen diverse Bereiche, wie beispielsweise die Frage, ob bestehende Security-Prozesse den hohen Geschwindigkeiten in der Cloud standhalten und die vergrößerte Angriffsfläche abdecken können. Außerdem müssen die Security-Kontrollen dazu geeignet sein, Attacken auf die Cloud-Management-Konsolen abzuwehren. Trotz aller Sicherheitsmaßnahmen muss immer mit erfolgreichen Angriffen gerechnet werden. Daher ist ein konsolidierter Überblick über die Security aller Umgebungen essenziell in Form eines Cyber Defense Center. Schließlich muss der CISO nicht nur – wie vorher – den abgeschotteten On-Premises-Bereich im Blick haben, sondern auch die neuen Netzwerkgrenzen in der Cloud.
Vielzahl an Identitäten erfordert neue Sicherheitsstrategie. Erst nach dieser Analyse wird sich herausstellen, welche Sicherheitsvorkehrungen am dringlichsten sind. Am wichtigsten für die Cloud-Nutzung ist normalerweise das Identitäts- und Rechtemanagement, denn die Vielzahl an menschlichen und maschinellen Identitäten mit den dazugehörigen Berechtigungen sind ein potenzielles Sicherheitsrisiko. Der neue Sicherheitsansatz sollte also auf Identitäten basieren und User, Systeme, Anwendungen und Prozesse gleichermaßen und vollumfänglich berücksichtigen. Die IT-Abteilung muss an zentraler Stelle alle Berechtigungen verwalten, steuern und überwachen können und die Zugriffe auf administrative Oberflächen wie Cloud-Managementkonsolen und -portale strengstens regeln. Passende Sicherheitsmaßnahmen sind, neben der immer notwendigen Zweifaktor-Authentifizierung – zumindest für Rollen mit weitreichenden Rechten –, ein Rechte- und Rollenkonzept, und eine Access Governance, bei der die vergebenen Rechte regelmäßig überprüft werden.
Eins-zu-eins-Übertragungen sind nicht zielführend. Die Erfahrung hat gezeigt, dass eine reine Eins-zu-eins-Übertragung von Anwendungen in die Cloud – also ein Lift-and-Shift-Verfahren – nicht die erhofften Ergebnisse liefert. Die Migration sollte deswegen sehr gut geplant werden und nicht nur eine Umstellung auf moderne IT-Architekturen mit Containern, Serverless-Computing und cloud-nativen Plattformen umfassen, sondern auch der Sicherheitsumgebung. Security-Teams müssen also umdenken. Sie sind nicht mehr nur für das Netzwerk verantwortlich, sondern sollten auch Kompetenzen in der Anwendungsentwicklung haben und Security bereits in die Entwicklung integrieren. Solche möglichst automatisierten Security-Tests sind ein großer Vorteil für Softwareentwicklungsprozesse, weil Fehler früher entdeckt werden und sich so die Produktqualität erhöht ohne Entwicklungsgeschwindigkeit einzubüßen.
Mit steigender Komplexität entstehen neue Sicherheitslücken. Die Cloud-Transformation ist für viele Unternehmen ein wichtiges Ziel. Allerdings ist das Thema Sicherheit nach Erfahrung von CGI meistens nur zweitrangig. Resultat ist daher häufig eine heterogene Sicherheitsinfrastruktur aus Lösungen, die entweder die On-Premises-Umgebung oder die Cloud-Infrastruktur abdecken. Doch solch ein Wildwuchs ist schwer zu verwalten und zudem teuer. Außerdem laufen Unternehmen Gefahr, dass die Security-Verantwortlichen bei der komplexen Struktur Sicherheitslücken übersehen. Ziel muss deswegen eine Konsolidierung der Sicherheitsmaßnahmen sein, die Berechtigungen, Firewall-Regeln, Virenscanner, Security-Monitoring oder SIEM-Systeme für die komplette Cloud- und On-Premises-Landschaft vereinheitlicht.
Bevor Unternehmen nun in neue Sicherheitslösungen investieren, sollten sie zuerst das Potenzial nutzen, das in der Cloud selbst liegt. Schließlich bieten viele Cloud-Provider auch gleich die passenden Security-Tools, die sich zudem deutlich einfacher konfigurieren lassen als in einer On-Premises-Umgebung. Ein Beispiel ist das Identity Management; ein wichtiges Element für die Cloud Security. Cloud-Provider stellen als Service in der Regel eine Rollenbasierte Zugriffskontrolle (Role Based Access Control – RBAC) zur Verfügung. Hier können IT-Verantwortliche sehr leicht definieren, welche User, Maschinen und Services Berechtigungen erhalten.
Gleiches gilt für die Umsetzung von Least-Privilege-Prinzipien mit Just-in-Time-Zugriffsmethoden. Sie ist zwar auch on-premises möglich, aber aufwändig und mit teilweise hohen Kosten für die erforderlichen Tools verbunden. Auch das Unterteilen des Netzwerkes in kleinere Subnetzwerke – also die Netzwerksegmentierung – ist ein effektives Sicherheitstool, das Unternehmen in der Cloud deutlich leichter umsetzen können als On-Premises. Die Cloud erlaubt sogar eine Microsegmentierung, bei der zum Beispiel festgelegt wird, welche Server miteinander über welches Protokoll kommunizieren dürfen.
Automation senkt viele Risiken und steigert die Effizienz. Die Nutzung von Security-Tools aus der Cloud hat aber nicht nur technologische Vorteile. Die Automatisierung entlastet zudem Security-Teams und ist daher ein wichtiges Mittel gegen den Fachkräftemangel. Anstatt Zeit mit manuellen Aufgaben zu verlieren, können sich IT-Experten auf andere Themen konzentrieren und haben mehr Kapazitäten frei.
Die Verlagerung von Anwendungen in die Cloud führt zu einer deutlich höheren Agilität und Flexibilität, mit der Unternehmen schnell auf neue Situationen reagieren und neue Geschäftschancen ergreifen können. Aber die Migration sollte Hand in Hand mit einer Neukonzeption der Security gehen. Die Cloud bietet dafür eigene Sicherheitstools, die ergänzend zur vorhandenen On-Premises-Sicherheit eine konsolidierte und stabile Umgebung schaffen. Die neue IT-Infrastruktur ist so nicht nur die optimale Basis für ein geschäftliches Wachstum, sondern stärkt auch die Abwehr von Bedrohungen.
Martin Stemplinger ist Security-Architekt
mit Schwerpunkt Cloud Security und
Managed Security Services
bei CGI in München