Jakub Jirsák - stock.adobe.com
Cloud Workload Protection Platform: Funktionen und Vorteile
Die Cloud befindet sich in einem stetigen Wandel. Viele Kunden können kaum noch Schritt halten. CWPP-Lösungen sollen den Schutz der Workloads in dieser Situation wieder verbessern.
Es ist noch gar nicht so lange her, dass sich Security-Admins darauf verlassen konnten, dass eine Anwendung auch so bleibt, wie sie eingerichtet wurde. So hat eine Software, die auf einem physischen Computer im eigenen Netzwerk installiert wurde, auch nach zwei Wochen in der Regel noch denselben Host, dieselbe Konfiguration und dieselbe zugrundeliegende technische Basis.
In modernen Umgebungen ist das jedoch eher die Ausnahme als die Regel. So befindet sich eine am heutigen Tag in eine virtuelle Maschine (VM) oder in eine Private Cloud installierte Anwendung morgen vielleicht schon in einem Docker-Container oder in einer öffentlich zugänglichen Cloud.
Aus Sicht der IT-Security ist das eine massive Herausforderung. Was passiert zum Beispiel, wenn eine Workload in einer Umgebung eingerichtet wurde, die kontinuierlich mit Hilfe einer IDS-Lösung (Intrusion Detection System) überwacht wird und sie in nun in eine andere Umgebung verschoben wird, die dies nicht unterstützt?
Diese schwierige Situation wird zusätzlich durch die steigende Bedeutung von Multi-Cloud-Umgebungen verschlimmert. Heutzutage nutzen nur noch sehr wenige Unternehmen einen einzigen IaaS- oder PaaS-Anbieter, dem sie mehr oder weniger bedingungslos vertrauen. Allein die Nutzung einer einzigen Anwendung kann heute dazu führen, dass auf zwei oder drei unterschiedliche Provider und Umgebungen zurückgegriffen werden muss. Dadurch erhöht sich die Komplexität. Außerdem wird es schwierig, die richtigen Kontrollen an den richtigen Stellen für die richtigen Workloads zu verwenden.
Zum Glück befindet sich derzeit aber eine neue Kategorie von Sicherheitslösungen im Aufwind, die bei den angesprochenen Problemen helfen kann. Durch das Vereinheitlichen des Managements über mehrere Cloud-Anbieter, ein Verbinden von Kontrollen mit den jeweiligen Workloads und dem gleichzeitigen sicherstellen, dass diese Kontrollen von Grund auf auch auf die Cloud ausgerichtet sind, bietet eine Cloud Workload Protection Platform, oder kurz CWPP, die Chance, die genannten Herausforderungen und Probleme zu lösen.
Was ist eine Cloud Workload Protection Platform?
Die Bezeichnung Cloud Workload Protection Platform wurde ursprünglich von dem Marktforschungsunternehmen Gartner geprägt. Sie steht für eine Reihe von Sicherheitsstrategien und -Tools, die zum Schutz von Anwendungen in der Cloud entwickelt wurden.
Um CWPP besser zu verstehen, muss man sich aber zunächst damit befassen, was eine Workload eigentlich genau ist. Streng genommen bezieht sich der Begriff Workload nämlich auf eine winzige Funktionseinheit oder auch nur eine technische Fähigkeit, aber zusammen mit allem, was jeweils für ihren Betrieb benötigt wird. Dazu gehören auch die Daten und Netzwerkverbindungen. Eine Workload ist damit eine Einheit, die zur Cloud gehört.
In der Praxis kann eine Workload alles sein. Im einen Fall handelt es sich beispielsweise um eine API, die zu einer Lösung gehört, die auf die Nutzung durch die Kunden eines Unternehmens ausgerichtet ist. Eine andere Workload kümmert sich dagegen zum Beispiel um Berechnungen im Backend, während eine weitere das Frontend für eine intern genutzte Geschäftsanwendung liefert. Eine Workload kann eine VM in einer IaaS-Umgebung oder in einer privaten Cloud sein oder auch nur ein Container, der mitsamt seiner ihn unterstützenden Middleware in einer Umgebung wie Docker läuft.
Die Idee hinter CWPP ist, einen Mechanismus zu entwickeln und anzubieten, der diese Workloads auf eine einheitliche Weise vor Gefahren schützt. Dazu muss eine CWPP-Lösung mit verschiedenen Cloud-Umgebungen zusammenarbeiten wie zum Beispiel der privaten und der hybriden Cloud eines Unternehmens. Gleichgültig, was gerade geschieht, muss dieser Mechanismus aus Sicherheitssicht jeweils exakt dieselben Bedingungen bieten.
Die drei wichtigsten Vorteile von CWPP-Lösungen
Moderne CWPP-Lösungen lassen sich anhand von drei Hauptkategorien beschreiben:
1. Sie ermöglichen eine reduzierte Komplexität.
Da CWPP-Lösungen auf das Thema IT-Security in Cloud-Umgebungen spezialisiert sind, bieten sie vor allem einen Schutz für die Cloud, der nur mit deutlich höherem Aufwand und höheren Kosten mit Legacy-Tools zu erreichen wäre.
Viele herkömmliche Werkzeuge wurden für aus der Ferne gemanagte Clients oder für physische Server entwickelt. Nur selten standen dabei schon die Themen Virtualisierung oder Container im Vordergrund.
Das gilt sogar noch weniger, wenn es um Serverless-Umgebungen oder um Functions as a Service (FaaS) geht. Zusammenfassend lässt sich sagen, dass ein CWPP die erwarteten Sicherheitsleistungen auch dann erbringen kann, wenn es innerhalb einer VM oder einem Container eingesetzt wird, selbst dann, wenn ein Unternehmen keine Kontrolle über die unteren Ebenen des Technologie-Stacks hat.
2. Sie ermöglichen Beständigkeit.
Der nächste Punkt ist Beständigkeit. Er ist besonders in Anbetracht dessen wichtig, wie die meisten Unternehmen die Cloud nutzen. So hat beispielsweise die Microservices-Architektur zu zahlreicheren und zugleich kleineren Workloads geführt.
Der Trend zu DevOps hat wiederum dafür gesorgt, dass sich die Lebensspanne der einzelnen Workloads deutlich verkürzt hat, da sie auf Basis eines ausgewählten Release-Zyklus schneller mit neuen Workloads ersetzt werden. Andere Entwicklungen wie hybride Clouds sowie der Trend zur Multi Cloud haben dazu geführt, dass immer wieder auch unterschiedlichste Umgebungen gemeinsam genutzt werden. Langfristig ergibt sich daraus jedoch eine verringerte Transparenz.
Ein CWPP ermöglicht dagegen eine einheitlichere Sichtweise, unabhängig davon wie viele Workloads es gibt oder wo sie sich befinden.
3. Sie ermöglichen eine Übertragbarkeit von Leistungen.
Die dritte wichtige Auswirkung bezieht sich auf die Übertragbarkeit einer Workload. Egal wo sie sich befindet oder wie sie aufgebaut ist, muss sie jederzeit sicher und geschützt sein. Das muss zum Beispiel auf eine Workload zutreffen, die heute noch auf einem intern gehosteten Hypervisor läuft und morgen schon zu einem IaaS-Anbieter verschoben wird. Ebenso muss es für einen Container gelten, der sich aktuell noch in einer dedizierten IaaS-Umgebung befindet, der aber zu etwa AWS Fargate oder Azure Container verlegt werden soll.
Cloud Workload Protection Platform: Die wichtigsten Funktionen und Anbieter
Es muss allerdings betont werden, dass nicht jedes CWPP-Produkt bereits alle genannten Funktionen und Vorteile bietet. Das Gegenteil ist sogar der Fall. Manche angebotenen Systeme sind nur auf einen einzigen Service-Provider ausgelegt, so dass ihre Übertragbarkeit stark eingeschränkt ist.
Andere eignen sich nur für eine bestimmte Nutzung, also zum Beispiel nur für virtuelle Maschinen, aber nicht für Container, so dass ihre Beständigkeit eingeschränkt ist. Wieder andere konzentrieren sich nur auf ein eingeschränktes Set an Sicherheitsfunktionen wie zum Beispiel Scans nach Schwachstellen, Verschlüsselung oder Konfigurationsmanagement.
Es gibt also einige CWPP-Lösungen, die sich in der Art der von ihnen angebotenen Sicherheitsfunktionen unterscheiden und zudem in der Weise, wie sie sie bereitstellen. Manche der Tools sind nur bei einzelnen Cloud Providern verfügbar.
So bietet etwa das Azure Security Center von Microsoft ein übergreifendes Security-Management über mehrere Betriebssysteme, angefangen von einer Transparenz auf der Netzwerkebene, einer Überprüfung der Konfigurationen bis zum Schutz vor Bedrohungen. Der Amazon Inspector ist dagegen bei der Suche nach Schwachstellen und beim Erkennen von Konfigurationsfehler behilflich.
Andere, breiter ausgelegte Angebote kommen von etablierten und bereits seit Jahren im Sicherheitsbereich tätigen Akteuren wie Palo Alto Networks. Die Prisma Cloud des US-Anbieters konzentriert sich auf die Segmentierung von Workloads und zusätzliche Sicherheitsfunktionen für sowohl virtuelle Workloads als auch für in Containern untergebrachte Workloads.
Andere CWPP-Lösungen sind spezifischer und unterstützen Unternehmen nur bei einem Ausschnitt der genannten Probleme. So ist etwa Capsule8 auf die Erkennung von Angreifern ausgerichtet, während Anchore sich um Schwachstellenscans für Container kümmert.
Die genannten Plattformen sind nur ein kleiner Ausschnitt aus der großen Zahl von Herstellern und Anbietern in diesem Bereich. Aus Sicht der IT-Security ist jedoch schon ein großer Schritt getan, wenn die zugrunde liegenden Veränderungen im Markt und die Konsequenzen, die sich daraus ergeben, verstanden wurden.