Sergey Nivens - stock.adobe.com

Mit Cloud-nativer Sicherheit die Angriffsfläche verringern

Daten und Anwendungen in die Cloud auszulagern, hat viele Vorteile, vergrößert aber auch die Angriffsfläche eines Unternehmens. Cloud-native IT-Sicherheit kann dem entgegenwirken.

Den Sprung in die Cloud haben bereits viele Unternehmen gewagt. Der Nutzen dezentraler Datenspeicherung und Computing-Prozesse liegt auf der Hand. Damit man es nicht bereut, Daten und Anwendungen in die Cloud verlegt zu haben, darf auch die Security nicht zu kurz kommen.

Das tut sie jedoch häufig. Denn herkömmliche IT-Security-Vorgehensweisen, die On-Premises funktionieren, sind nicht unbedingt direkt auf die Cloud anwendbar. Laut einer Untersuchung von Dynatrace (PDF) sehen 74 Prozent der Chief Information Security Officer (CISO) traditionelle Security-Maßnahmen als ungenügend für eine Cloud-native Welt.

Doch auch wenn Cloud-Anwendungen immer beliebter werden, verabschieden sich die meisten Firmen trotzdem nicht komplett von eigenen Rechenzentren oder gar den Servern auf dem Firmengelände. „Cloud-first“ heißt nicht „Cloud-only“. Das bedeutet: Wer On-Premises mit Cloud Services mischt, muss aufseiten der Security zwei Welten zusammenbringen.

Cloud-Infrastruktur versus On-Premises

Die meisten Betriebe haben schon eine über Jahre gewachsene Security-Infrastruktur. Diese ist jedoch häufig lediglich auf klassische Firmennetze ausgelegt, welche vor Ort gehostet werden. Cloud-Infrastrukturen hingegen laufen über das Internet, sie sind quasi „always on“. Dementsprechend hoch ist die Wahrscheinlichkeit, dass sie stetig Angriffsversuchen ausgesetzt sind. IT-Teams sollten Zugänge und Cloud-Gateways deswegen besonders sichern.

Dafür bieten sich Multifaktor-Authentifizierungen an. Passwörter sollten ebenfalls regelmäßig gewechselt werden. Wichtig dabei ist, dass sowohl die Mitarbeiter als auch das IT-Team ohne signifikant höheren Zeitaufwand mit den gewählten Lösungen arbeiten können. Denn Angestellte müssen immer mehr Tools in ihrer täglichen Arbeit nutzen, dementsprechend gibt es immer mehr individuelle Zugänge.

Doch zu viele manuelle Authentifizierungsprozesse können Ineffizienzen schaffen. Für Administratoren gilt das Gleiche. Auch sie können durch zusätzliche Berechtigungs-Layer unter unnötigen Zeitdruck geraten. Möglicherweise bleibt an anderer Stelle dafür etwas liegen. Hier sollten die Verantwortlichen einen Mittelweg zwischen Sicherheit und Praktikabilität wählen.

Wer komplizierte Workarounds vermeiden möchte und in seinem Security Stack keine Provisorien schaffen will, sollte spezielle Cloud-native Security-Lösungen in Betracht ziehen. Diese Programme wurden für Cloud-Umgebungen entwickelt und sind auf die Bedürfnisse dieses Bereichs zugeschnitten. Sie bauen auf flexiblen Microservices und Containern auf. Das hat Vorteile, denn die Cloud eines Unternehmens weist meist keine monolithische Struktur auf, sondern besteht in der Regel aus den Angeboten mehrerer Anbieter. Daher sollte der Security-Ansatz ebenso variabel sein. Container und Microservices sind außerdem modular. Der Anwender muss also nur das nutzen, was er benötigt.

Über Standard-APIs lassen sich die Tools ohne Probleme in den bereits bestehenden Software Stack eingliedern. Da sie selbst auch über die Cloud laufen, muss man für sie aus dem Firmennetz außerdem keine zusätzliche Rechenleistung bereitstellen. Werden Anwendungen „As a Service“ gebucht, liegt die Aktualisierung und Wartung beim Anbieter und nicht dem User. Wie umfangreich diese Services sein sollen, lässt sich individuell über die Service Level Agreements (SLA) abstimmen.

Die Security-Standards der Cloud-Anbieter reichen nicht

Aber warum überhaupt in Cloud-spezifische Security investieren, Anbieter wie AWS, Microsoft oder Google haben doch bestimmt sichere Infrastrukturen? Das stimmt zum Teil. Eine Grundsicherheit können die Hyperscaler schon gewähren, stoßen darüber hinaus allerdings schnell an ihre Grenzen. Cybersicherheit ist nicht ihr Kerngeschäft, ihre Kernkompetenzen liegen beim Datenhosting.

Firmen, die beispielsweise mit vielen Zulieferern arbeiten und diese auch in ihr Netzwerk einbeziehen möchten, werden zusätzliche Security-Funktionalitäten brauchen. Da es bei der Kooperation mit Zulieferern um geschäftskritische Vorgänge geht, sollte man bei der Security nicht „geizen“.

Wolfgang Kurz, indevis

„Die Cloud-Strategie eines Unternehmens ist selten statisch. Das gleiche sollte auch für die begleitende Sicherheitsstrategie gelten.“

Wolfgang Kurz, indevis

Cloud Computing ist zwar kein Neuland mehr, allerdings hat der Boom erst vor Kurzem eingesetzt. Auch durch die Anforderungen der Pandemie haben viele Unternehmen im Schnellgang Cloud-Projekte umgesetzt. Was die Sicherheit dieser Umgebungen angeht, gibt es – verständlicherweise – noch Nachholbedarf. Die Vielzahl an Angeboten auf dem Markt macht es Firmen, die gerade erst mit dezentralen Cloud-Diensten beginnen, nicht einfacher, die richtigen und passenden Tools zu erkennen und auszuwählen.

Die Security-Strategie muss zum Unternehmen passen

Dabei können Betriebe auch jenseits der namhaften Security-Größen fündig werden. Denn die „Etablierten“ sind nicht unbedingt auf Cloud-Anwendungen spezialisiert. Ein Managed Security Services Provider (MSSP) unterstützt bei der Suche. Er scannt den Markt und wählt die Angebote aus, die zum Anforderungsprofil des Kunden passen.

Bei der Suche nach einem MSSP sollte dementsprechend darauf geachtet werden, dass er sowohl Erfahrungen mit On-Premises-Lösungen als auch mit Cloud-Anwendungen hat. Denn die meisten Firmen hosten nicht alles über die Cloud. Für eine hybride Infrastruktur benötigt man dementsprechend auch ein „hybrides“ Sicherheitskonzept.

Die Cloud-Strategie eines Unternehmens ist selten statisch. Das gleiche sollte auch für die begleitende Sicherheitsstrategie gelten. Wer auf flexible und skalierbare Angebote achtet, muss bei zukünftigen Erweiterungen nicht „neu“ anfangen.

Unternehmen, die ihre Geschäftstätigkeiten oder ihr Geschäftsmodell zukünftig stärker in Richtung Cloud entwickeln wollen, sollten sich bei der Security Cloud-native aufstellen. Denn diese Anwendungen wurden speziell für Cloud-Anforderungen entwickelt. Sie lassen sich einfach in die Umgebungen integrieren sowie managen und sind skalierbar.

Es kann sich auch lohnen, bestehende Security-Programme, die dem Ende ihrer Laufzeit entgegengehen, durch Cloud-native-Tools zu ersetzen. Das sollten die Verantwortlichen jedoch von den Zukunftsaussichten abhängig machen. Wer weiterhin primär On-Premises arbeiten möchte, hat wenig davon, seine Security-Infrastruktur für die Cloud zu optimieren. Wer unsicher ist, kann und sollte die Dienste eines MSSPs in Anspruch nehmen, der sich in beiden Bereichen auskennt und entsprechend beraten kann.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management