Tierney - stock.adobe.com
So unterscheiden sich SecOps und CloudSecOps
Jetzt ist der richtige Zeitpunkt für Unternehmen, um ihre Cloud-Umgebungen besser abzusichern. Ein spezialisiertes CloudSecOps-Team kann bei dieser Aufgabe sehr behilflich sein.
Die IT-Sicherheitsmaßnahmen in Unternehmen wurden in den vergangenen Jahren kontinuierlich weiterentwickelt und sind damit immer ausgereifter geworden. Zu den wichtigsten Bestandteilen dieser sogenannten Security Operations (SecOps) gehören das Aufspüren von sicherheitsrelevanten Vorfällen auf Geräten sowie im Netzwerk, das Zusammenführen von Event-Daten, die Reaktion auf Vorfälle und außerdem forensische Untersuchungen.
Der rapide Umstieg auf Cloud-Dienste, den viele Unternehmen derzeit durchführen, wirkt sich auf vielfältige Weise auch auf ihre IT-Sicherheitsmaßnahmen aus. Bestehende Konzepte müssen daher überarbeitet oder erweitert werden. Es gibt dafür sogar ein neues Modewort: CloudSecOps.
Die Unterschiede zwischen CloudSecOps und dem eher traditionellen SecOps
Lassen Sie uns mit Definitionen starten. Ein SecOps-Team ist meist eine Kombination aus für die Sicherheit sowie für den operativen Betrieb verantwortlichen Mitarbeitern, die Systeme überwachen, Risiken bewerten und digitale Güter des Unternehmens beschützen.
CloudSecOps ist eine Weiterentwicklung dieses Prinzips, das sich aber auf Sicherheitsmaßnahmen, Monitoring und Reaktionen auf sicherheitsrelevante Vorfälle in Cloud-Umgebungen konzentriert.
Im Grunde gibt es drei wesentliche Unterschiede zwischen CloudSecOps und SecOps:
- CloudSecOps benötigt eine vollständige Integration in die DevOps- und die Cloud-Umgebungen eines Unternehmens. Die IT-Sicherheitsspezialisten sollten daher Hand in Hand mit den für den Betrieb der Cloud verantwortlichen Mitarbeitern zusammenarbeiten. Nur so können sie sicherstellen, dass alle aus Sicherheitssicht erforderlichen Maßnahmen bereits bei der Bereitstellung berücksichtigt werden. Das Gleiche gilt auch für die Einhaltung der Governance-Vorgaben in der Cloud. Die Teamleiter sollten zudem für Anpassungen bei den Betriebsabläufen sorgen, um eine in sich stimmige und fortdauernde Integration der unterschiedlichen Teams und Fachbereiche zu erreichen.
- Die bisherigen Sicherheitsbestrebungen müssen stärker auf Cloud-spezifische Themen und Kategorien ausgerichtet werden. Beispiele dafür sind Identitätsmanagement und andere Software-defined Sicherheitskontrollen. Viele von ihnen sind rein Cloud-bezogen und teils sogar nur auf die Umgebung eines bestimmten Cloud-Anbieters ausgerichtet. So verwendet etwa AWS (Amazon Web Services) Zugangskontrollen für Sicherheitsgruppen, während es bei Microsoft Azure Zugangskontrollen für Netzwerksicherheitsgruppen sind.
- CloudSecOps muss darüber hinaus neue Sicherheitskontrollen definieren und einrichten, die im Hintergrund einer Cloud-Umgebung wirken. Diese werden auch als sogenannte Guardrails bezeichnet. Sie sind auf einen kontinuierlichen Einsatz ausgelegt. Außerdem dienen sie dazu, unerwünschte oder unerwartete Aktionen zu erkennen und zu verhindern. Das erfordert bei den Mitarbeitern umfangreiche Kenntnisse über Cloud-Umgebungen, wie sie funktionieren, wie sie konfiguriert und wie die Guardrails-Dienste optimal verwaltet werden können. Beispiele für Guardrails-Dienste sind Amazon GuardDuty, Azure Monitor sowie das Google Cloud Security Command Center.
Die wichtigsten Aufgaben eines CloudSecOps-Teams
CloudSecOps-Teams sind für eine Reihe von Tätigkeiten zuständig. Zu diesen Aufgaben gehören die folgenden:
- Das Definieren von Workflows und Richtlinien zum Aufspüren und Bekämpfen von sicherheitsrelevanten Vorfällen in ihren Cloud-Umgebungen.
- Das Anpassen von bereits für lokale Umgebungen vorhandenen Workflows und Richtlinien an die neuen Cloud-Umgebungen.
- Das Implementieren Cloud-basierter oder von Drittanbietern bereitgestellter Sicherheitsmaßnahmen und -Tools sowie von Guardrails in ihren Cloud-Deployments.
- Das Sammeln von Cloud-Logs und Event-Daten sowie das Einrichten fortgeschrittener Analytics-Prozesse für die per Telemetrie erhaltenen Daten. Diese Anforderungen gehen in der Regel weit über die Fähigkeiten traditioneller SIEM-Lösungen (Security Information and Event Management) hinaus, da hier noch mehr Daten bereitgestellt werden. Der Fokus liegt dabei auf Cloud-spezifischen Angriffen und Bedrohungsmodellen.
- Das Durchführen von Bedrohungsanalysen wie Threat Hunting in der Cloud. Konzentrieren Sie sich dabei auf eindeutige Indikatoren für Angriffe und die von Hackern verwendeten Taktiken, Techniken und Vorgehensweisen. Setzen Sie hierzu spezielle Modelle wie Mitre ATT&CK for Cloud ein.
- Das Einsetzen von Schwachstellen-Scannern in Cloud-Umgebungen. Auch wenn manche der traditionellen Vulnerability-Scanner noch recht gut in Cloud-Umgebungen funktionieren, gibt es aber mittlerweile angepasste Tools zum Analysieren von Containern, Serverless-Funktionen und anderen Cloud-spezifischen Objekten sowie Workloads. Ähnliches gilt für das Evaluieren der aktuellen Sicherheitslage für die in der Cloud benötigten Images und anderen Komponenten. Auch hier kann es sein, dass Anpassungen des bereits genutzten Risikomanagements und der Reporting-Maßnahmen nötig sind.
- Überarbeiten und automatisieren Sie das Inventarisieren von Assets in Ihrer Cloud-Umgebung. Nutzen Sie dafür geeignete Konfigurations-Tools und Best Practices. Um diese Aufgabe kümmern sich oft auch andere Abteilungen wie IT Operations und teils sogar die DevOps- oder DevSecOps-Teams. Das CloudSecOps-Team sollte jedoch am Erstellen der Cloud-Asset-Inventories beteiligt sein und sicherstellen, dass seine Konfigurationsstandards für alle Cloud-Objekte und -Workloads eingehalten werden.
- Führen Sie ein Konfigurations- und Schwachstellenmanagement für die gesamte Cloud Fabric ein. Große Cloud-Umgebungen bieten ihren Kunden eine kaum noch überschaubare Palette an Optionen, so dass es relativ schnell zu Fehlkonfigurationen kommen kann. Das führt dann zu einer vergrößerten Angriffsfläche und neuen Schwachstellen. Die Implementierung und Kontrolle von Tools zum Cloud Security Posture Management (CSPM) fällt daher meist ebenfalls in den Bereich des CloudSecOps-Teams.
Zusätzlich zu den bislang beschriebenen Verantwortlichkeiten und Maßnahmen sollte das CloudSecOps-Team dafür Sorge tragen, dass die benötigten Sicherheitsmaßnahmen auch von den anderen Abteilungen mit getragen werden, mit denen sie zusammenarbeiten.
Dazu zählen zum Beispiel Kooperationen mit den DevOps-Teams und den für den Cloud-Betrieb verantwortlichen Mitarbeitern, so dass sich die Kontrollen auch in IaC-Templates (Infrastructure as Code) integrieren lassen. Wenn die DevOps-Abteilung selbst für die Auswahl und Nutzung ihrer Security-Tools verantwortlich ist, dann kann das CloudSecOps-Team zumindest unterstützend zur Seite stehen, um gemeinsame Standards zu finden und um beim Monitoring und Reporting zu helfen.