Androm - stock.adobe.com
Wer ist im Unternehmen für die Cloud-Sicherheit zuständig?
Bei der Bereitstellung und Nutzung von Cloud-Umgebungen in Unternehmen, ist häufig nicht eindeutig, wer sich um die Sicherheit kümmert. Automatisierung kann da Probleme lösen.
Für viele Unternehmen stellt es eine Herausforderung dar, detaillierte Einblicke in die von ihnen genutzten Public-Cloud-Umgebungen zu erlangen, um diese zu kontrollieren. Cloud-Umgebungen werden von den Anwendungs- und DevOps-Teams hochgefahren und verwaltet, doch in Bezug auf die Sicherheit haben die Abteilungen keine genaue Kenntnis davon, was innerhalb der Struktur vor sich geht. Dennoch erwartet das Management einen Bericht über die Cloud-Sicherheit, wofür die Abteilung wiederrum die Verantwortung hat.
Dies ist ein gängiges Problem in Unternehmen, die eine öffentliche Cloud nutzen. Laut einer Umfrage von AlgoSec , die zusammen mit der Cloud Security Alliance durchgeführt wurde, ist die Verantwortung für die Verwaltung der Sicherheit in der Cloud meist aufgeteilt.
Nur 36 Prozent der Befragten gaben an, dass die Verantwortung bei ihrem Sicherheitsteam liege, 28 Prozent nannten IT-Operations und 15 Prozent das Cloud-Team. Nur sechs Prozent meinten, dass die Anwendungseigentümer oder DevOps verantwortlich seien.
Isolierte Abteilungen erschweren die Prozesse
Oft arbeiten diese verschiedenen Abteilungen isoliert. Infolgedessen werden die Prozesse zur Bereitstellung neuer Anwendungen und zur Aktualisierung vorhandener nicht unter Einbeziehung der IT-Sicherheit durchgeführt: Verschiedene Geschäftsbereiche eröffnen häufig selbständig neue, öffentliche Cloud-Konten und starten neue Instanzen, die ihren Anforderungen gerecht werden.
Die Sicherheit hat häufig die Aufgabe, diese Bereitstellungen nachträglich zu schützen, obwohl sie nicht Teil des Bereitstellungsprozesses war – in einigen Fällen wurde sie nicht mal informiert.
Diese Änderungen vorhandener oder die Bereitstellung neuer Anwendungen können jedoch erhebliche Auswirkungen auf die allgemeine Sicherheits- und Compliance-Lage des Unternehmens haben. Sie erfordern Änderungen an Definitionen für den Zugriff auf die Netzwerksicherheit, Speicher- und Berechtigungskonfigurationen und mehr.
In der Regel machen sie neue Verbindungspfade zwischen den lokalen Netzwerken des Unternehmens und der Cloud-Umgebung erforderlich. Dies ist übrigens häufig der erste Zeitpunkt, wenn Sicherheitsabteilungen über Anwendungsänderungen oder Bereitstellungen in der Cloud überhaupt informiert werden – da neue Pfade auch Änderungen an den Firewalls des Unternehmens verlangen.
Solange nicht all diese Änderungen mit Blick auf die Sicherheit geplant und ausgeführt werden, können Cloud-Konfigurationen potenzielle Lücken aufweisen, die sich ein Hacker zunutze macht. Wenn Sicherheitsteams nicht die Möglichkeit haben, einen umfassenden Überblick des Gesamtstatus ihres Unternehmens in Cloud- und On-Premises-Netzwerken zu erlangen, können sie potenzielle oder tatsächliche Sicherheitsrisiken nur langsam identifizieren.
Können Unternehmen aber sicherstellen, dass all ihre Teams – DevOps sowie Anwendungsinhaber – einfach und effektiv zusammenarbeiten, damit Änderungen keine Sicherheits- oder Compliance-Probleme verursachen? Können sie gleichzeitig dafür sorgen, dass die Gewährleistung der Sicherheit die Agilität des Unternehmens nicht beeinträchtigt?
Abteilungen zusammenbringen
Wenn es darum geht, die verschiedenen Abteilungen zusammenzubringen, ihre jeweiligen Prozesse zu unterstützen und gleichzeitig die Sicherheit hoch zu halten, spielen Lösungen für die Netzwerkverwaltung eine Schlüsselrolle.
Eine Lösung zur Automatisierung der Netzwerksicherheit, welche die DevOps-Methodologie unterstützt, ermöglicht es den Teams, relevante Sicherheitsrichtlinien automatisch und problemlos anzupassen. Außerdem können sie die Regeln migrieren, sobald Anwendungen von der Entwicklungs- zur Test- und Produktionsphase übergehen. Darüber hinaus bietet eine solche Lösung die Transparenz und Kontrolle über die Sicherheit, die in der gesamten Netzwerkumgebung des Unternehmens erforderlich ist.
In der Praxis kann eine automatisierte Konsole die Verantwortlichen benachrichtigen, wenn Sicherheitsrichtlinien geändert werden, und auf neu eingeführte Risiken im Rest der On-Premises- und Cloud-Netzwerke des Unternehmens hinweisen.
Gleichzeitig können Entwickler die Lösung verwenden, um Konnektivitätsprobleme zu identifizieren und Änderungen schneller umzusetzen. Dies gilt insbesondere dann, wenn zusätzliche Prüfungen an den Netzwerksicherheitskontrollen erforderlich sind, beispielsweise Firewalls, die entweder On-Premises oder auf dem Übergang von der lokalen Umgebung zur Cloud oder als virtuelle Anwendungen in der Cloud bereitgestellt werden.
Keine Angst mehr vor hybriden IT-Umgebungen
Solche hybriden Infrastrukturen, welche die On-Premises-Anbindung an die öffentliche Cloud umfassen, sind in der Regel am schwierigsten zu verwalten und können den Start von Anwendungen verzögern. Da die IT-Sicherheitsabteilung auch für die Einhaltung der Richtlinien im gesamten Unternehmen verantwortlich ist, erhält sie mit einer Automatisierungslösung die nötige Transparenz und Kontrolle, um den allgemeinen Risiko- und Compliance-Status des Unternehmens bewerten zu können.
„Solche hybriden Infrastrukturen, welche die On-Premises-Anbindung an die öffentliche Cloud umfassen, sind in der Regel am schwierigsten zu verwalten und können den Start von Anwendungen verzögern.“
Yonatan Klein, AlgoSec
Der Einblick in Cloud-Assets und die zentrale Ansicht aller Sicherheitskontrollen und Sicherheitsgruppen für alle Konten und VPCs (Virtual Private Cloud), ermöglichen eine effizientere und einfachere Verwaltung des gesamten Bestands.
Aufgrund der Transparenz und Kontrolle über Cloud- und On-Premises-Netzwerke können die verschiedenen Entwicklungs-, Anwendungs- und Sicherheitsgruppen eines Unternehmens effizienter kooperieren und arbeiten. So kann die Streitfrage darüber, wer für die Sicherheit verantwortlich ist, beigelegt und gleichzeitig die allgemeine Sicherheits- und Compliance-Lage des Unternehmens verbessert werden.
Über den Autor:
Yonatan Klein ist Director of Product Management bei AlgoSec.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.