momius - Fotolia
5 einfache Schritte für effektive Cloud-Netzwerksicherheit
In hybriden Infrastrukturen funktionieren die alten Netzwerksicherheitssysteme nicht mehr. Unternehmen benötigen jetzt Strategien für eine effektive Cloud-Netzwerksicherheit.
Traditionelle Netzwerksicherheit schützt Endpunkte und das Data Center innerhalb des Perimeters, indem physische und softwarebasierte Kontrollen angewendet werden, um eine unbefugte Nutzung der Infrastruktur zu verhindern. Dieser Ansatz schützt Server und andere Unternehmensgeräte vor Angriffen, die Daten oder andere Werte stehlen oder kompromittieren können.
Doch Sicherheitsstrategien müssen sich weiterentwickeln, wenn Unternehmen Workloads in die Cloud verlagern. Die Cloud hat den Wandel vorangetrieben und zu hybriden Architekturen geführt, bei denen einige Workloads in der Cloud und andere On-Premises (lokal) ausgeführt werden.
Sichere Konnektivität ist entscheidend für die Stabilität dieser Umgebungen und den Schutz der darauf laufenden Assets. Aber diese hybride Architektur bringt auch neue Komplexitäten mit sich, da Unternehmen Aktivitäten über hochgradig verteilte Ressourcen hinweg verfolgen. Aus diesem Grund suchen Firmen nach Möglichkeiten, wirksame Sicherheitsmaßnahmen für die Cloud-Netzwerke auf mehreren Ebenen ihrer Infrastrukturen einzubetten.
Die Cloud-Netzwerksicherheit umfasst alle Richtlinien, Schutzvorkehrungen und Praktiken, die erforderlich sind, um die Infrastruktur, Systeme und Daten vor unbefugtem Zugriff oder missbräuchlicher Verwendung – ob absichtlich oder nicht – zu schützen. Eine erfolgreiche Sicherheitsstrategie für Cloud-Netzwerke baut auf den grundlegenden Komponenten der konventionellen Netzwerksicherheit auf: schützen, erkennen und reagieren. Sie erfordert außerdem, dass Unternehmen die besonderen Probleme verstehen, die mit der Absicherung von hybriden On-Demand-Umgebungen verbunden sind. Nachfolgend finden Sie fünf wesentliche Faktoren, die es zu berücksichtigen gilt.
1. Geteilte Verantwortung
Die Cloud verwischt die traditionellen Grenzen der Netzwerksicherheit. IaaS-Anbieter zum Beispiel integrieren Kontrollen in ihre physischen und virtuellen Infrastrukturen und verlassen sich bei der Absicherung der Umgebung auf Best Practices. In ähnlicher Weise betten SaaS-Anbieter (Software as a Service) Schutzmaßnahmen in ihre Anwendungen und Einrichtungen ein. Aber Unternehmen müssen wissen, dass ihre Daten nicht nur in der Cloud, sondern in der gesamten Umgebung geschützt sind. Das ist nicht einfach, weil es immer wieder blinde Flecken gibt, in denen sich potenzielle Schwachstellen verbergen können. Aus diesem Grund bieten Provider und Drittanbieter von Sicherheitslösungen eine Vielzahl von Zusatz-Tools an. Das Portfolio reicht von Monitoring-Software bis zu Paket-Sniffern, die dazu dienen, die Cloud-Netzwerksicherheit zu erhöhen. Telekommunikationsunternehmen offerieren unterdessen eine Reihe von Cloud-Sicherheits-Tools, die die Daten auf ihrem Weg durch die hybride Umgebung schützen sollen. Daher muss die IT alle Kontrollen verstehen, die die Provider in ihre Services einbetten, und erkennen, wo potenzielle Schwachstellen bestehen könnten. Ein Gespräch darüber sollte stattfinden, bevor Sie irgendwelche Verträge unterzeichnen.
2. Software-defined Access
Ein optimaler Cloud-Betrieb erfordert, dass Sicherheit ein integraler Bestandteil des Netzwerks ist. Dieser Ansatz umfasst richtlinienbasierte, Software-defined-Verfahren, die über die Cloud in einem sogenannten Secure Access Service Edge (SASE) bereitgestellt werden. SASE wiederum stützt sich auf eine Vielzahl von Cloud-basierten Diensten zum Schutz von Werten in der gesamten hybriden Umgebung. Dazu zählen Cloud Access Security Broker (CASB), Secure Web Gateways (SWG), Firewall as a Service und Funktionen wie Browser-Isolation. Zero Trust, bei dem alle Entitäten als potenziell schädlich gelten, bis sie als sicher authentifiziert sind, ist eine wichtige Komponente von SASE. Viele Unternehmen verwenden Zero Trust Network Access (ZTNA). Hierbei werden IP-Adressen unkenntlich gemacht und der Anwendungszugriff vom Netzwerkzugriff getrennt. Auf diese Weise lassen sich Netzwerkressourcen vor Bedrohungen wie Malware schützen, die auf einem kompromittierten System läuft. Der Anwendungszugriff wird nur Benutzern und Geräten gewährt, die authentifiziert und autorisiert sind.
3. Netzwerksegmentierung
ZTNA kann in Verbindung mit Netzwerksegmentierung die Cloud-Netzwerksicherheit erhöhen. Bei der Netzwerksegmentierung wird das physische Netzwerk in kleinere Teile gesplittet. Die IT kann mithilfe von Virtualisierung das Netzwerk mikrosegmentieren und so Netzwerkzonen einrichten, die präzise genug sind, um eine einzelne Workload zu unterstützen. Diese Zonen dienen als virtuelle Mauern, um Cyberangreifer daran zu hindern, sich ungehindert durch die hybride Umgebung zu bewegen. Fortschritte in der Automatisierung ermöglichen es Unternehmen heute, Zonen auf Grundlage sich ändernder Bedingungen und etablierter Policies zu erstellen. Dadurch kann man neue Zonen schaffen, wenn die Umgebung größer wird, und die Anzahl der Segmente reduzieren, wenn sie kleiner wird.
4. Verschlüsselung
Unternehmen sollten sicherstellen, dass sowohl Data at Rest als auch Data in Transit verschlüsselt werden. Cloud Provider bieten üblicherweise Verschlüsselungsdienste an, aber Vorsicht: sie sind nicht alle gleich. Außerdem benötigt nicht jeder Anwendungs-Workload den gleichen Grad an Verschlüsselung. E-Mails beispielsweise benötigen möglicherweise nur einen Schutz auf Transit-Ebene. Hierbei werden Nachrichten nur auf ihrem Weg durch das Netzwerk verschlüsselt. Im Gegensatz dazu werden bei einer Ende-zu-Ende-Verschlüsselung die Nachrichten erst entschlüsselt, wenn sie ihr Ziel erreichen. Ersteres ist weniger sicher, aber auch weniger kostspielig als Letzteres.
5. Test und Reaktion
Ein wichtiger Bestandteil einer effektiven Cloud-Netzwerksicherheit ist das Testen, um sicherzustellen, dass die richtigen Kontrollen in allen Bereichen vorhanden sind. Führen Sie zwischen den Audits Penetrationstests durch, um Schwachstellen aufzudecken, damit sie behoben werden können, bevor Angreifer sie für Exploits nutzen. Kontinuierliche Tests können auch dafür sorgen, dass Sie einem Compliance Audit gelassener entgegensehen. Zu guter Letzt sollten Sie auch eine Strategie für den Fall haben, dass es zu einer Sicherheitsverletzung kommt. Beauftragen Sie ein Incident-Response-Unternehmen, um die Auswirkungen eines erfolgreichen Angriffs einzudämmen. Stellen Sie sicher, dass Sie einen Plan parat haben, wie Sie Ihre Systeme effektiv wieder online bringen. Automatisieren Sie so viel wie möglich, um manuelle Fehler zu vermeiden und die Wiederherstellung der Services zu beschleunigen. Last not least: Überprüfen Sie die Protokolle, um die beste Möglichkeit zu finden, den Betrieb wiederaufzunehmen.