ra2 studio - stock.adobe.com
Eine Observability-Strategie für die eigene Cloud entwickeln
Observability für die Cloud ist mehr als nur einfach ein besseres Monitoring der Workloads. Erfahren Sie hier, welche Komponenten wichtig sind und welche Tools Sie benötigen.
Der Einstieg in die Public Cloud ist oft schwieriger als zunächst gedacht. So erfordert dieser Schritt in der Regel einen ausgeprägten Fokus auf die Erkennung von Bedrohungen. Dazu kommen meist aufwändige Änderungen bei den sicherheitsrelevanten Abläufen im Unternehmen, beim Monitoring, dem Aufspüren von Angriffsversuchen sowie bei der Reaktion darauf.
Zum Glück gibt es ein breites Angebot an Tools und Diensten von Cloud- und Drittanbietern, die eine effektive Aufzeichnung, Aggregation und Analyse aller Ereignisse in der Cloud ermöglichen. Viele Unternehmen interessieren sich verstärkt für Lösungen zur Verbesserung der sogenannten Observability (Beobachtung), wenn es um Themen wie Monitoring, Detection und Response in ihren Cloud-Umgebungen geht.
Systeme zur Verbesserung der Observability helfen dabei, erweiterte Metriken und ein besseres Tracking zu entwickeln. So wird sichergestellt, dass die Sicherheit der Cloud-Infrastruktur kontinuierlich optimiert werden kann.
Der Begriff Observability stammt ursprünglich aus der Steuerungstechnik. Er konzentriert sich auf messbare Ereignisse bei den eingesetzten Systemen, um erwartetes und ungewöhnliches Verhalten bestimmen und überwachen zu können. Um als beobachtbar eingestuft zu werden, müssen das Verhalten und die Aktivitäten eines Systems so kontrolliert werden können, dass sich damit der aktuelle Status bestimmen lässt.
Grundlagen der Cloud Observability
Um eine umfassende Strategie für den Einsatz von Cloud Observability zu entwickeln, müssen IT-Entscheider genau verstehen, um was es geht. Observability erweitert die traditionellen Monitoring-Workloads auf die Control Plane sowie auf die Ebene des Netzwerks, der Anwendungen, Container und auf den Storage.
Control Plane Observability
Ein kritischer Bereich bei der Observability ist die Cloud-Umgebung selbst beziehungsweise die Kontrollebene, auch Control Plane genannt. Unternehmen sollten umfangreiche Maßnahmen ergreifen, um alle Aktivitäten innerhalb der Cloud zu protokollieren. Darüber hinaus sollten sie spezialisierte Dienste einsetzen, um kontinuierlich alle in ihrer Cloud-Umgebung genutzten Accounts und die gesamte Infrastruktur auf die Einhaltung der Best Practices sowie ihre Konfiguration und den Status der verwendeten Sicherheitsmaßnahmen zu überwachen.
Network Observability
Viele Techniken sind dazu geeignet, um mehr Observability im Netzwerk zu erhalten. Dazu gehören Firewalls, IDS- sowie IPS-Systeme (Intrusion Detection und Prevention), Load Balancer, Proxy-Server und Lösungen zur Kontrolle des Datenflusses im Netzwerk. Cloud-native Zugangskontrollen wie Sicherheitsgruppen und Firewall-Services, erweiterte Monitoring-Fähigkeiten wie Flow Logs und Traffic Mirroring können ebenfalls genutzt werden, um die Ereignisse und bestimmte Verhaltensweisen im Netzwerk besser zu überwachen und nachzuverfolgen.
Container und Serverless Observability
Von PaaS-Anwendungen (Platform as a Service) erstellte Log-Dateien und Events können automatisiert gesammelt und an eine zentrale Monitoring-Plattform gesendet werden, um für eine bessere Observability in Container- und Serverless-Umgebungen zu sorgen.
Datenbanken- und Storage Observability
Viele Cloud-Umgebungen setzen unterschiedliche Storage-Typen ein. Dazu gehören Block- sowie Objekt-basierte Speicher und herkömmliche Datenbanken. Die meisten in der Cloud untergebrachten Storage-Dienste bieten bereits diverse Logging-Arten sowie eine Reihe von zusätzlichen Konfigurationsmöglichkeiten, die überwacht und ausgewertet werden können.
Observability-Tools für die Cloud
In den meisten Cloud-Umgebungen sind Netzwerk-Monitoring-Logs, System-Logs und Environment-Logs die wichtigsten Datenquellen für Observability-Lösungen. Weitere mögliche Quellen sind Tools und Dienste, die Konfigurationen überprüfen. Dazu gehören AWS Config oder die Open-Source-Lösung Cloud Custodian soweit weitere Cloud-native Anwendungen.
In rein Cloud-basierten Diensten wie AWS Fargate oder Azure Functions ist es aber möglicherweise nicht realisierbar, Agenten oder andere traditionelle Werkzeuge zum Monitoring einzusetzen. Es ist daher eine höhere Herausforderung in einer solchen Umgebung für echte Observability zu sorgen. Viele Unternehmen sind in zunehmendem Maße von externen Feedback- und Monitoring-Mechanismen abhängig, die eine vereinheitlichte Software-Backplane nutzen, an die die einzelnen Workloads und Services angebunden sind.
Observability: Vorteile und Anwendungsfälle aus Sicherheitssicht
Das Entwickeln und Umsetzen einer Observability-Strategie für die Cloud-Umgebung in einem Unternehmen bringt erhebliche Vorteile für ihre Absicherung. Observability sorgt dafür, dass das kontinuierliche Monitoring verbessert, die Effizienz beim Entdecken von sicherheitsrelevanten Ereignissen und die Geschwindigkeit beim Reagieren darauf gestärkt werden.
Cloud Security Observability ist zudem hilfreich bei der Einführung automatisierter Techniken, bei denen etwa durch bestimmte Trigger ausgelöste Maßnahmen nach vorgegebenen Kriterien durchgeführt werden. So ist es möglich, dass die Mitglieder des Security-Teams Alerts erhalten, wenn bestimmte Ereignisse ins Log eingetragen oder wenn bestimmte Bedingungen in der IT-Umgebung registriert werden.
Auch wenn ein Scan eine gefährliche Schwachstelle registriert, können automatisierte Trigger bestimmte Serverless-Funktionen in AWS Lambda oder den Google Cloud Functions auslösen, um zum Beispiel eine laufende Instanz in Quarantäne zu verschieben. Denkbar ist auch, eine automatische Speicherung wichtiger Daten durchzuführen, die dann für eine spätere forensische Untersuchung genutzt werden können.