sommersby - stock.adobe.com
Container, VMs und Workloads in der Cloud absichern
Selbst bewährte lokale Sicherheitsmaßnahmen lassen sich nicht einfach auf die Cloud übertragen. Optimal ist ein Mix aus Tools von Drittanbietern und den Angeboten der Provider.
Der Einstieg in die Nutzung von Cloud-Diensten hat einen erheblichen Einfluss auf die Sicherheit der Daten. So sind zum Beispiel meist nicht alle bislang intern erfolgreich genutzten Tools kompatibel mit der Infrastruktur der diversen Cloud-Provider auf dem Markt.
Dazu kommen erhebliche Bedenken bezüglich der Skalierbarkeit und der Geschwindigkeit bei der Bereitstellung, die ebenfalls direkt mit der Cloud zusammenhängen. In den meisten Firmen darf das Thema IT-Sicherheit auf keinen Fall für eine Beeinträchtigung der geschäftlichen Aktivitäten sorgen. Deshalb muss in der Regel schnellstmöglich ein Weg gefunden werden, um die benötigten Sicherheitsmaßnahmen in die standardisierten Verfahren zur Bereitstellung zu integrieren und kontinuierlich zu überwachen.
Wenn Sie bereits dabei sind, einen Plan für die Absicherung Ihrer Workloads in der Cloud zu erstellen, dann sollten Sie die folgende Liste mit in Ihre Überlegungen einbeziehen:
- Wahrscheinlichste Bedrohungen abhängig von den genutzten Workloads (zum Beispiel für virtuelle Maschinen, Container oder Serverless-Funktionen);
- Art der Daten und ihre Bedeutung für das Unternehmen;
- Anforderungen an die genutzten Systemversionen und Kontrollmaßnahmen;
- Security-Lage in der ausgewählten Cloud-Umgebung sowie
- bislang bereits intern genutzte Sicherheitsmaßnahmen versus Cloud-nativen Möglichkeiten.
Die Sicherheit von virtuellen Maschinen und Workloads in der Cloud
Für die meisten Unternehmen ist es nicht empfehlenswert, wenn sie versuchen sollten, genau dieselben Sicherheitsmaßnahmen, die sie lokal bereits einsetzen, auch auf die Cloud anzuwenden. Stattdessen sollten sie lieber speziell an die neue Umgebung angepasste Werkzeuge und Maßnahmen verwenden, die sie optimal dabei unterstützen, ihre Workloads zu schützen.
Dafür eignen sich sowohl Lösungen von auf die Cloud spezialisierten Drittanbietern als auch proprietäre Software der jeweiligen Provider. Da viele Cloud-Workloads aus VMs (virtuellen Maschinen) bestehen, lassen sich die meisten verfügbaren Tools in diesem Bereich als Agenten in die VMs integrieren. Beispiele für diese Vorgehensweise sind Dome9, Cloud Passage und sogar manche traditionellen Agenten wie sie von Firmen wie Carbon Black, Crowdstrike und anderen angeboten werden.
Die meisten Antimalware-Anbieter haben ihre Lösungen mittlerweile ebenfalls an die Cloud angepasst und bieten sie häufig als eigenständige Appliances an. Diese kommunizieren entweder über eigene Agenten in den einzelnen VMs oder über APIs (Application Programming Interfaces), die der jeweilige Cloud-Anbieter zur Verfügung stellt. Dadurch lassen sich die Auswirkungen auf die Performance der genutzten Workloads minimieren.
Es gibt auch schon eine Handvoll neuerer Tools, die sich das Thema Mikrosegmentierung für die Cloud auf die Fahnen geschrieben haben. Dabei handelt es sich um spezielle Software, die meist über eine eigene interne Richtlinienverwaltung verfügt und direkt auf den Hosts eingerichtet werden kann. Letzte Möglichkeit mag in hybriden Umgebungen am flexibelsten sein, sie birgt jedoch die Gefahr des Vendor-Lock-ins und kann zu Problemen bei der Performance führen.
Ein weiterer kritischer Punkt beim Sichern von virtuellen Workloads sind die Bereiche Patch- und Konfigurationsmanagement. In nahezu jedem Fall ist es daher eine gute Idee, sich intensiver mit den in die jeweilige Cloud integrierten Diensten wie dem AWS Systems Manager, dem Cloud Deployment Manager in der Google Cloud Platform (GCP) oder Azure Update Management zu beschäftigen.
Diese Services sind in alle APIs und Automatisierungskomponenten integriert und in der Regel leicht einzurichten. Weitere gut geeignete Möglichkeiten für hybride Cloud-Umgebungen sind Konfigurationsautomatisierungs- und Orchestrierungs-Tools wie Puppet, Chef, Ansible, Salt und vergleichbare Produkte, die sich um eine kontinuierliche Umsetzung und Überprüfung der Konfigurationen kümmern. Außerdem sind sie dabei behilflich, wenn es um das Erhalten eines einmal definierten, bekannt sicheren Status geht.
Container in der Cloud sicher betreiben
Bei Containern auf Basis von Docker, Kubernetes oder einer anderen der integrierten Service-Plattformen sieht es etwas anders aus. Ein Schutz von Workloads in diesen Umgebungen erfordert normalerweise einen Einsatz von Container-basierten Werkzeugen, die sowohl die verwendeten Images scannen als auch die laufenden Instanzen vor Infektionen mit Schadsoftware schützen können.
Es ist äußerst ratsam, nach dem Festlegen einer Konfiguration für Ihre Container-Images, einen Scan auf verwundbare Bibliotheken oder andere Komponenten durchzuführen. Hier gibt es viele nützliche Tools von Drittanbietern wie Aqua Security, der Palo-Alto-Tochter Twistlock, Sysdig und anderen. Auch die Provider selbst bieten Möglichkeiten an, um Images zu überprüfen. Beispiele dafür finden sich in AWS Elastic Container Registry, GCP Container Registry und dem Azure Security Center, das auf die Azure Container Registry zugreifen kann.
Ein Runtime-Schutz für Container lässt sich allerdings meist besser mit Spezial-Tools von Drittanbietern als mit den internen Angeboten der Cloud-Provider realisieren. Eine hohe Aufmerksamkeit sollten Sie auch auf Serverless-Funktionen legen, die von Ihren Admins regelmäßig auf Code-Fehler sowie fehlerhafte Berechtigungen und Zugangskontrollen überprüft werden sollten.