dolphfyn - stock.adobe.com
Eine sichere Multi-Cloud-Strategie aufbauen und pflegen
Die Zeit, als in Firmen nur eine einzige oder gar keine Cloud-Lösung genutzt wurde, ist vorbei. Die heutigen Multi-Cloud-Umgebungen sind äußerst komplex und nur schwer abzusichern.
Es gibt ein paar Dinge im Leben, die nahezu immer in Gruppen auftreten. Wenn Sie etwa einen Schädling in Ihrem Garten bemerken, können Sie meist darauf wetten, dass in einer versteckten Ecke noch viel mehr nur darauf warten, über Ihre Pflanzen herzufallen.
Bei der Nutzung von Cloud Computing in Unternehmen ist es ähnlich. Zunächst haben Sie es nur mit einer einzelnen Cloud-Lösung zu tun. Aber es dauert dann in der Regel nicht lange, bis immer mehr dazu kommen.
Oft ist es nur eine Frage der Zeit, bis ein Unternehmen Dienste von mehr als nur einem Cloud-Provider einsetzt. So nutzen viele Firmen mehrere unterschiedliche Dienste von einem einzigen Anbieter oder sogar miteinander konkurrierende Services von diversen Providern. Viele dieser Dienste haben voneinander abweichende Konfigurationsmöglichkeiten.
Vielfältige Ursachen für Multi-Cloud-Umgebungen
Es gibt ein paar gute Gründe, warum diese Situation immer wieder auftritt. In manchen Unternehmen entscheidet sich die Geschäftsführung bewusst für unterschiedliche Anbieter als Teil einer umfassenden Business-Continuity-Strategie zur Vermeidung von möglicherweise verheerenden Ausfällen. Redundant aufgebaute Dienste verhindern dann, dass eine geschäftskritische Anwendung komplett ausfällt, wenn einer der Services nicht mehr verfügbar ist.
Nicht selten tritt der Zuwachs bei den genutzten Cloud-Diensten aber auch mehr oder weniger unbeabsichtigt auf. Nehmen wir als Beispiel Zusammenschlüsse und Übernahmen: Was passiert wohl, wenn sich zwei Firmen verbinden, bei denen der eine den Cloud-Anbieter A nutzt und der andere den Cloud-Anbieter B?
Weil es meist ein sehr zeitintensiver und teurer Prozess ist, nachträglich umfangreiche Umgebungen komplett umzuziehen, entscheiden sich dann viele neu gebildete Firmen-Konglomerate dazu, beide Strukturen auf unbestimmte Zeit weiter zu betreiben.
Solche Entwicklungen treten aber auch unabhängig von Firmenzusammenschlüssen oder Übernahmen auf, wenn zum Beispiel zwei Fachabteilungen in einem Konzern zu unterschiedlichen Entscheidungen beim Einkauf von Cloud-Dienstleistungen kommen. Man darf dabei natürlich auch nicht den Einfluss von bislang mehr oder weniger offen genutzten Schattendiensten vernachlässigen.
Wie auch immer es im Einzelfall aussieht. Niemand wird bezweifeln wollen, dass immer mehr Unternehmen sich über kurz oder lang mit Multi-Cloud-Umgebungen auseinandersetzen müssen.
Aus Sicherheitssicht ist das eine schwierige Situation, egal ob es sich um mehrere Dienste ein- und desselben Anbieters handelt, ähnliche Services von unterschiedlichen Providern oder um eine bunte Mischung.
Das liegt unter anderem daran, dass jeder Provider und jeder Dienst unterschiedliche Security-Modelle sowie angepasste Sicherheitswerkzeuge nutzt und von unterschiedlichen Abteilungen oder Personen im Unternehmen eingesetzt wird. Es ist aber unvermeidbar, dass alle diese Details zusammengeführt werden, wenn Sie eine in sich stimmige Strategie für Ihre Multi-Cloud-Umgebung entwickeln wollen.
Den Umfang der Cloud-Nutzung ermitteln
Aus ganz praktischer Sicht sollten Sie sich zunächst die Frage stellen, wie Ihre Sicherheitsspezialisten am besten mit dieser Situation umgehen können, um für den Schutz Ihrer Multi-Cloud-Umgebung zu sorgen? Aus strategischen Gründen gibt es dabei mehrere Punkte zu beachten. Die zuallererst durchzuführende Aufgabe ist aber, den Umfang der Cloud-Nutzung in Ihrem Unternehmen zu bestimmen:
- Wie viele Anbieter und welche Dienste werden genutzt?
- Für was werden sie genutzt und von wem?
- Was genau wird genutzt?
Die Antworten auf diese Fragen sind nicht nur aus Sicht der erforderlichen Sorgfaltspflichten wichtig. Sie helfen Ihnen auch dabei, die sicherheitsrelevanten Cloud-Bereiche zu identifizieren und natürlich auch einfach zu erfahren, was genutzt wird und wofür. Vergessen Sie dabei aber nicht, dass sich dieses Umfeld im Laufe der Zeit immer wieder ändern wird. Nur weil etwa ein bestimmter Dienst nicht in genau dieser Sekunde genutzt wird, heißt das nicht, dass ihn nicht jemand zufällig in zehn Minuten starten wird.
Anstatt also nur eine einmalige Inventur durchzuführen, die die Situation nur zu einem bestimmten Zeitpunkt wiedergibt, sollten Sie einen neuen Prozess initiieren, um die Liste regelmäßig zu aktualisieren. Das kann auch je nach aktueller Situation erfolgen.
Halten Sie zum Beispiel jedes Mal auch Ausschau nach bereits genutzten Cloud-Diensten, wenn Sie die Auswirkungen bestimmter Unternehmensentscheidungen evaluieren. Schließen Sie gerade ein Assessment über eine im Unternehmen eingesetzte Anwendung ab? Suchen Sie auch dabei nach Hinweisen auf eine Cloud-Nutzung und zeichnen Sie das Ergebnis auf. Führen Sie ein internes Audit durch? Notieren Sie auch hier alle Hinweise auf die Nutzung von Cloud-Diensten.
Wenn dabei mehr genutzte Services registriert werden als sinnvoll in einer Tabellenkalkulation verwaltet werden können, dann sollten Sie dafür ein Inventarisierungs-Tool verwenden. In größeren Unternehmen oder wenn viele SaaS-Lösungen (Software as a Service) genutzt werden, dürfte das meist der Fall sein. Vermerken Sie bei jedem Eintrag auch mindestens eine Kontaktperson, um gegebenenfalls später weitere Fragen stellen zu können.
Aufbau einer sicheren Multi-Cloud-Strategie
Nachdem Sie alle erforderlichen Informationen über die Nutzung von Cloud-Diensten in Ihrem Unternehmen gesammelt haben, ist es Zeit für den nächsten Schritt. Das bedeutet, dass Sie sich nun mit den Besonderheiten der einzelnen Dienste beschäftigen sollten.
Wenn es soweit ist, sind aber auch Kenntnisse über die spezifischen Sicherheitskonzepte und -modelle für die identifizierten Dienste erforderlich. Die jeweiligen Details hängen von den genutzten Diensten ab.
Es ist jedoch wichtig, sowohl auf der technischen als auch auf der Verfahrensebene zu verstehen, was zur Absicherung der Dienste benötigt wird. Dazu gehören auch Informationen über zusätzliche Tools, die beim Schutz der Cloud-Dienste hilfreich sein können.
Beispiele dafür sind GuardDuty für AWS (Amazon Web Services) und Sentinel für Microsoft Azure. Nützlich können auch Logging-Funktionen für die genutzten SaaS-Dienste sein. Um den gesamten Komplex zu verstehen, sollten Sie in den meisten Fällen auf weitere Informationen von den Nutzern im Unternehmen zurückgreifen. Das ist auch der Grund, warum es so wichtig ist, zumindest eine Kontaktperson zu erfassen, wenn Sie einen Cloud-Dienst erstmals dokumentieren.
Es ist ebenfalls notwendig, die möglicherweise überlappenden operativen Aufgaben zu verstehen, die einzeln oder gemeinsam eine Auswirkung auf die Absicherung haben. Teilweise bieten die Provider Werkzeuge und Prozesse zum Schutz ihrer Produkte an, die Sie nutzen können.
In anderen Fällen müssen Sie selbst dafür sorgen. Manche bieten dafür auch ausgiebige Dokumentationen an. So beschreiben etwa Azure und AWS detailliert, welche gemeinsamen Verantwortlichkeiten (Stichwort: Shared Responsibility) es gibt und wofür der Anbieter beziehungsweise der Kunde zuständig ist, wenn es um die erforderlichen Abläufe zur Absicherung ihrer Dienste geht. Bei kleineren Providern und einigen SaaS-Angeboten sind die bereitgestellten Informationen aber weit weniger ausführlich. Trotzdem müssen sie während der Planungsphase erfasst werden.
Wie bereits erwähnt, ist es von großer Bedeutung, die gesamten Ihnen zur Verfügung stehenden Tools zu kennen. So stellen die meisten IaaS-Anbieter (Infrastructure as a Service) in der Regel fortgeschrittene Lösungen zum Monitoring ihrer Umgebungen bereit, während SaaS-Provider oft nur beschränkte Möglichkeiten bieten, um die Aktivitäten der Nutzer, die verfügbaren Anwendungen und die API-Aufrufe zu überwachen.
Dadurch, dass unterschiedliche Provider beteiligt sind, unterscheiden sich jedoch auch die angebotenen Tools teils erheblich voneinander. Provider A bietet meist einen Zugriff auf andere Werkzeuge und verwendet dafür eine andere Bedienoberfläche als Provider B.
Klar ist, dass, je mehr Anbieter beteiligt sind, desto schwieriger und komplexer die Situation wird. Letztlich bedeutet der Aufbau einer sicheren Strategie für Multi-Cloud-Umgebungen, sich genau mit den zur Verfügung stehenden Optionen zu beschäftigen und auf dieser Basis eigene Ziele für die Absicherung zu definieren. Welche das sein können, hängt auch von den Werkzeugen und Ressourcen ab, die die Provider bereitstellen.
Dabei dürfen aber Bereiche nicht übersehen werden, die damit nicht abgedeckt werden und die deswegen möglicherweise noch eine Gefahr darstellen. Sie müssen in den weiteren Phasen ebenfalls angegangen werden.