Jakub Jirsák - stock.adobe.com
Eine Strategie für ein sicheres Netzwerk in der Cloud
Der Aufbau eines sicheren Netzwerks in der Cloud unterscheidet sich vom gewohnten Vorgehen. Nur wenn Sie Ihre Strategie anpassen, verhindern Sie Angriffe und schützen Ihre Daten.
Der Aufbau eines Netzwerks in der Cloud unterscheidet sich vom traditionellen Vorgehen innerhalb eines Unternehmens. Innerhalb der eigenen Grenzen hat die IT-Abteilung die volle Kontrolle über alle Schichten des Netzwerks. In der Cloud gibt es dagegen keine vergleichbaren Switches. Alle Einstellungen des Netzwerks erfolgen auf Basis von Software, die Steuerung erfolgt somit softwaredefiniert.
Viele Unternehmen werden die bisherigen hardwarebasierten Netzwerkplattformen allerdings nicht wirklich vermissen. Sie müssen sich jedoch auf die von ihren Cloud-Anbietern bereitgestellten Tools verlassen können. Nicht immer entsprechen die angebotenen Funktionen dem, was sie bisher gewohnt waren.
Es gibt eine Reihe von Möglichkeiten, um einen soliden Schutz für ein Cloud-basiertes Netzwerk zu erreichen. Sie erfordern jedoch in der Regel andere Tools und Dienste als in traditionellen Netzwerken. Manche der bisherigen Werkzeuge funktionieren etwa nicht mehr in der Cloud. Auch der Einsatz herkömmlicher Netzwerkgeräte wie Switches, Router und Gateways trifft auf die Cloud meist nicht mehr zu, weil die Kunden keinen Einfluss auf den Hypervisor haben.
Welche Netzwerkkomponenten ändern sich in der Cloud?
Die einfache Antwort auf diese Frage lautet: Praktisch alle. Das liegt an den umfassenden softwaredefinierten Komponenten, die in der Cloud zur Verfügung stehen, und dem Mangel an geeigneten Angeboten im Bereich Netzwerksicherheit für die Cloud.
Andere wichtige Änderungen betreffen folgende Bereiche:
Große Netzwerke mit flachen Hierarchien. In der Cloud sind viele Subnetze flach strukturiert. Das bedeutet, dass viele Systeme direkt miteinander kommunizieren können, wenn Sie für keine Kontrollen sorgen.
Kein integriertes Monitoring des Datenverkehrs zwischen den eingesetzten Servern. Ein Überwachen der Daten zwischen den diversen Systemen erfordert entweder aufwändige strukturelle Änderungen beim Routing oder Host-basiertes Monitoring. Tools wie VPC Flow Logs können aber zum Beispiel Zugriffsversuche innerhalb von Netzwerksegmenten protokollieren.
Begrenzte Kontrolle über das Routing. Der Versuch, das Routing in der Cloud mit Hilfe der vom Provider bereitgestellten Werkzeuge zu kontrollieren, lässt vieles zu wünschen übrig. Die meisten vorhandenen Einstellmöglichkeiten sind äußerst simpel und bieten nur wenige Funktionen, um sowohl das interne als auch das öffentliche Routing festzulegen. In manchen Cloud-Umgebungen stehen jetzt immerhin Möglichkeiten zur Verfügung, um BGP-Routing (Border Gateway Protocol) zu nutzen.
Einfache, integrierte Firewalls und Möglichkeiten, um die Zugriffe auf das Netzwerk zu kontrollieren. Die meisten angebotenen Firewalls arbeiten auch heute noch auf den Layern 3 und 4. Einige bieten auch noch nicht alle Funktionen einer echten Stateful Inspection. Die von AWS (Amazon Web Services) angebotenen ACLs (Access Control Lists) sind ein gutes Beispiel dafür.
Traffic Capture und interne Intrusion Detection. Diese Fähigkeiten sind in keinem Fall einfach zu implementieren. Es gibt aber mittlerweile erfolgversprechende Werkzeuge wie Azure Network Watcher, die Daten aus softwaredefinierten Netzwerken sammeln und so die Sichtbarkeit erhöhen können.
Content-based Inspection. Malware-Sandboxing und DLP-Tools (Data Loss Protection) für Netzwerke sind heute noch selten. Die Angebote der Hersteller in diesem Bereich werden aber langsam besser.
Wie man eine sichere Cloud-Netzwerk-Strategie aufbaut
Es gibt eine Reihe von Möglichkeiten, um eine dauerhafte Sicherheitsstrategie für Ihr Netzwerk in der Cloud zu entwickeln.
Zum Ersten sollten Sie sich mit neuen Cloud-basierten Technologien wie den Security Groups in AWS und den Network Security Groups in Azure auseinandersetzen. Darüber hinaus benötigen Sie aber weitere Sicherheits-Tools der führenden Firewall- und Intrusion-Prevention-Anbieter.
Die meisten Unternehmen brauchen darüber hinaus zusätzliche Möglichkeiten, um den Datenverkehr in der Cloud kontrollieren zu können. Dieses Ziel lässt sich meist nur mit einem hybriden Ansatz erreichen. Setzen Sie zunächst die Cloud-basierten Funktionen ein, um die Zugriffe auf Workload-zu-Workload-Basis zu kontrollieren, also etwa die Verbindungen zwischen Ihren virtuellen Servern. Der gesamte Datenverkehr aus dem Internet oder einem anderen Rechenzentrum sollte jedoch durch spezielle virtuelle Appliances laufen, wo er geprüft und gefiltert werden kann. Datenverkehr, der von den Admins genauer analysiert werden muss, kann je nach Bedarf ebenfalls innerhalb der Cloud durch diese Appliances geroutet werden.
Zweitens sollten Sie bestimmte Teile des Netzwerks zum Beispiel mit Virtual Private Cloud (VPC) in AWS oder Virtual Network (VNet) in Azure isolieren und dann je nach den Umständen direkt miteinander verbinden. Dieses Vorgehen eignet sich für viele Zwecke. Unternehmen können auf diese Weise etwa ein dediziertes VPC oder VNet einrichten, in dem das gesamte Security Monitoring und die Kontrollen über den Datenverkehr erfolgen können. So lässt sich eine weit feinere Kontrolle darüber erreichen, welche Segmente miteinander überhaupt kommunizieren dürfen.
Drittens sollten Sie, wo immer möglich, für einen Einsatz von Flow Logs sorgen. Senden Sie die damit gewonnenen Daten zu einem zentralen Storage Node. Dort können Sie dann Cloud-basierte Werkzeuge wie AWS GuardDuty oder spezialisierte Monitoring-Plattformen von anderen Anbietern nutzen, um auch Langzeitveränderungen im Datenverkehr und offensichtliche Angriffsversuche entdecken zu können.
Zuletzt sollten Sie außerdem noch einen Blick auf hybride Tools werfen, um in Mikrosegmentierung und Zero Trust einzusteigen. Diese funktionieren oft sowohl in der Cloud als auch im eigenen Rechenzentrum. Diese Vorgehensweise basiert auf dem Verhalten von bestimmten Anwendungen und Beziehungen zwischen Systemen, um Sicherheitsprobleme leichter aufspüren zu können und um Angriffe zu verhindern. In Zukunft wird das noch wichtiger werden. Eine Reihe von Anbietern haben bereits passende Produkte im Portfolio.