natali_mis - stock.adobe.com
Cloud-Sicherheit: CASB, CSPM und CWPP im Überblick erklärt
Cloud Access Security Broker, Cloud Security Posture Management und Cloud Workload Protection Platform sind drei Ansätze, um den Schutz der Cloud zu verbessern. Ein Überblick.
Um die hohe Komplexität der modernen Cloud-Security auf den Punkt zu bringen, wurde auf dem Gartner 2020 Security & Risk Management Summit eine alarmierende Prognose veröffentlicht: „Mehr als 99 Prozent der Sicherheitsfehler in der Cloud sind auf die Schuld des Kunden zurückzuführen.“ Dies werde auch noch für längere Zeit so bleiben.
Cloud-Nutzer müssen sich nicht nur intensiv mit dem Shared-Responsibility-Modell auseinandersetzen, das für die meisten Cloud-Umgebungen gilt. Sie müssen auch alles daran setzen, Fehlkonfigurationen zu vermeiden, die auf den Einsatz traditioneller, On-Premises-basierter Methoden zurückzuführen sind.
Bis heute gibt es kein Allheilmittel zur Absicherung der Cloud. Die Analysten auf der Gartner-Veranstaltung sind jedoch überzeugt, dass es heutzutage bereits drei grundlegende Ansätze gibt, die eine immer größer werdende Bedeutung für den Schutz der Cloud gewinnen werden: Es sind das bereits bekannte Cloud Access Security Broker (CASB) sowie Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPPs).
Im Folgenden erläutern wir, was sich hinter den Kürzeln CASB, CSPM und CWPP verbirgt und wie Sie damit die Sicherheitsprobleme in der Cloud adressieren und lösen können.
CASB: Cloud Access Security Broker
Ein CASB-Tool soll die Komplexität reduzieren, die entsteht, wenn ein Unternehmen seine Anwendungen in die Cloud migriert. Es funktioniert dabei wie eine Art Gateway, das für die Durchsetzung der festgelegten Richtlinien sorgt. So kann sichergestellt werden, dass nur autorisierte Aktionen der Nutzer durchgeführt werden, die mit den Anforderungen des Unternehmens übereinstimmen. Ein CASB ist zudem ein geeignetes Werkzeug, um das Risiko durch nicht legitimierte Schatten-IT zu senken.
Die meisten CASB-Lösungen setzen auf vier Säulen: Visibility, Compliance, Schutz vor Bedrohungen sowie Datensicherheit.
Visibility beziehungsweise Transparenz wird durch ein Tracking der Cloud-Nutzung sowie durch intensives Reporting, Logging und Alerts erreicht. Dazu kommen Authentifizierung, Autorisierung, Single Sign-On (SSO) und die Durchsetzung regulatorischer Vorgaben, um die Compliance-Ziele zu erreichen.
Zum Schutz vor Bedrohungen und zur Erhöhung der Datensicherheit verfügen CASB-Lösungen auch über Antimalware-Funktionen. Außerdem agieren sie wie Firewalls und können Daten verschlüsseln sowie mittels Data Loss Prevention (DLP) vor Verlust schützen.
Unternehmen können ein CASB über spezielle APIs (Application Programming Interfaces) oder über Proxies im Netzwerk integrieren, so dass seine Funktionen einheitlich über alle IaaS- und SaaS-Anwendungen zur Verfügung stehen.
CSPM: Cloud Security Posture Management
In einem Unternehmen lässt sich ein CSPM einsetzen, um für eine dauerhafte Einhaltung der Compliance-Vorgaben zu sorgen. Außerdem kann es unerwünschte Konfigurationsänderungen verhindern und die Analyse von sicherheitsrelevanten Vorfällen im SOC (Security Operations Center) unterstützen. Auch beim Einsatz von DevOps ist ein CSPM hilfreich, da damit zum Beispiel alle zulässigen Einstellungen definiert und bestimmte Verhaltensweisen für die Cloud festgelegt werden können.
Auch Gartner empfiehlt die Verwendung einer CSPM-Lösung, um eines der hartnäckigsten Probleme bei der Absicherung vom Cloud-Umgebungen zu bekämpfen: Fehler bei ihrer Konfiguration. Mit einem CSPM-Tool ist es möglich, einheitliche Sicherheitsstandards in den immer komplexer werdenden Systemen durchzusetzen. Das gilt sowohl für hybride Clouds sowie für Multi-Cloud- und Container-Umgebungen.
Zu den vielversprechenden CSPM-Funktionen, auf die Sie ebenfalls achten sollten, gehören „einheitliche Sicherheitsdienste für die Cloud“, wie sie Richard Bartley, Senior Director und Analyst bei Gartner auf dem 2020 Security & Risk Management Summit vorstellte.
Außerdem werden voraussichtlich Techniken wie künstliche Intelligenzen (KI) und maschinelles Lernen in die nächste Generation von CSPM-Werkzeugen implementiert. Gartner rechnet auch mit wesentlichen Verbesserungen bei den von vielen Providern für ihre Cloud-Umgebungen selbst entwickelten Sicherheits-Tools sowie bei der Orchestrierung von Containern.
CWPP: Cloud Workload Protection Platform
Zu den größten Hürden, wenn es um die Absicherung der Cloud geht, gehört die Vielzahl von Zuständen, in denen einzelne Workloads existieren können. So kann sich eine Workload zum Beispiel zum jetzigen Zeitpunkt in einem Docker-Container in einer öffentlichen Cloud-Umgebung befinden und nur kurz darauf schon in einer abgegrenzten privaten Cloud. Die Beantwortung der Frage, wo sich eine Workload eigentlich gerade befindet, wird noch dadurch erschwert, dass zunehmend hybride und Multi-Cloud-Umgebungen genutzt werden.
Das Sicherstellen, dass die richtigen Workloads an den richtigen Stellen und mit den richtigen Kontrollen eingesetzt werden, ist jedoch ein zunehmend komplexer werdender Prozess. Hier liegt auch einer der Gründe dafür, dass sicherheitsrelevante Vorfälle so häufig auftreten. Ein CWPP kann das Management aber über mehrere Cloud-Anbieter hinweg vereinheitlichen und dabei alle Arten von Workloads integrieren, also nicht nur virtuelle Maschinen (VMs), sondern auch physische Server, Container und Serverless-Funktionen.
Ein CWPP sorgt also für eine einzige Ebene zur Verwaltung und zum Schutz von Umgebungen, die sich sowohl On-Premises als auch in der Cloud befinden, erläutert der Analyst und Vice President bei Gartner Neil MacDonald. Die damit erreichbare Transparenz sei eine wesentliche Voraussetzung, um bereits im Vorfeld für Sicherheit und die Einhaltung der Compliance-Vorgaben in hybriden und Multi-Cloud-Umgebungen sorgen zu können.
Bevorstehende Änderungen im Markt für Cloud-Sicherheit
Der Markt für CASB-, CSPM- und CWPP-Lösungen befindet sich laut Bartley im Wandel. „Wir sehen einen deutlichen Trend zur Konsolidierung“, so der Analyst. Viele CASB-Anbieter seien zudem bereits in die Entwicklung eigener CSPM-Tools eingestiegen.
Bereits jetzt bestünden Überschneidungen bei den Funktionen von CASB-, CSPM- und CWPP-Tools. IT-Entscheider sollten sich daher zuerst darüber informieren, ob ihr CASB-Anbieter eventuell auch schon eine CSPM-Lösung im Portfolio hat, bevor sie sich auf die Suche nach der Anwendung eines anderen Herstellers machen. Das Bündeln von Diensten ist zudem hilfreich, um die Komplexität zu reduzieren. Dazu kommen die Vorteile einer zentralen Managementkonsole. Hüten Sie sich aber vor einer zu engen Bindung an einen einzigen Lieferanten.
Jedes Unternehmen sollte zunächst alle seine Sicherheitsanforderungen definieren, bevor es sich für den Kauf einer bestimmten Lösung entscheidet. Gartner empfiehlt Entscheidern, sich erst mit allen betroffenen Fachabteilungen und Personen im Unternehmen zu beraten, um ihre Ziele und Bedürfnisse im Bezug auf die Cloud zu erfassen. Informieren Sie sich darüber hinaus über die von Ihrem Cloud-Provider angebotenen eigenen Sicherheits-Tools. Viele Anbieter haben bereits Werkzeuge in ihr Portfolio aufgenommen, die wichtige CSPM-Anforderungen erfüllen. Eventuell reicht das für Ihre Belange bereits aus.
Bartley rät zudem dazu, sich nur auf für einen relativ kurzen Zeitraum laufende Verträge einzulassen, wenn es um das Thema Cloud-Security-Tools geht. Das liegt daran, dass er mit baldigen Änderungen im Markt für CASB-, CSPM- und CWPP-Lösungen rechnet. Das starke Wachstum in diesem Bereich werde auch sich in absehbarer Zukunft weiter fortsetzen.