freshidea - Fotolia
Zentralisierung: Multi Cloud erfolgreich umsetzen
Nur mit einer sorgsam geplanten Zentralisierung lässt sich eine sichere Multi-Cloud-Strategie umsetzen. Das gilt vor allem für größere, aber auch für kleinere Unternehmen.
Die Zentralisierung von IT-Diensten ist eines der wichtigsten Gebiete, auf die sich Security-Teams konzentrieren sollten, wenn ihr Unternehmen eine Strategie für eine Multi-Cloud-Umgebung entwickeln will. Eine sogenannte Multi Cloud besteht aus mehreren Cloud-Angeboten unterschiedlicher Provider. Jeder dieser Anbieter kocht in der Regel sein eigenes Süppchen mit eigenen Access-Lösungen und eigenen Monitoring-Tools. Die angebotenen Kontrollen und Werkzeuge sind dabei meist stark an die jeweilige Infrastruktur des Providers angepasst, so dass zusätzlicher Aufwand für die Admins der Kunden entsteht, um sich damit zu beschäftigen und um die Unterschiede zu kennen.
In dieser Situation legen sich manche Cloud-Teams in den Unternehmen auf den Einsatz eines Multi-Cloud-Brokers fest, der das benötigte Cloud-Management an einer Stelle zentralisiert und zusammenführt. Andere entscheiden sich für ein einzelnes Produkt oder eine bestimmte Plattform, die mit allen von ihnen benötigten Cloud-Umgebungen zusammenarbeitet, so dass damit – unabhängig von der ausgewählten Cloud-Infrastruktur – eine zentrale Kontrolle der Sicherheitsrichtlinien und des Zugangsmanagements möglich wird.
Bevor ein Unternehmen eine Multi-Cloud-Strategie umsetzt, sollte sich das Sicherheitsteam jedoch mit den aktuell vorhandenen Kontrollmöglichkeiten für die Cloud auseinandersetzen und feststellen, ob und inwieweit sie sich zentralisieren lassen. Dazu gehören folgende Bereiche:
- Tools für die Endpoint Security: Viele moderne Anti-Malware- und Endpoint-Protection-Lösungen sowie Response-Tools funktionieren auch Cloud-übergreifend.
- Konfiguration und Patching: Das Erstellen von Images für die Cloud sollte an einer zentralen Stelle organisiert werden. Lösungen auf Basis von Infrastructure as Code sind hier weit hilfreicher als traditionelle Imaging-Anwendungen. Automatisierungsplattformen zum Konfigurationsmanagement wie zum Beispiel Puppet, Chef und Ansible können verwendet werden, um für einheitliche Konfigurationen aller ausgespielten Instanzen zu sorgen.
- Scans auf Schwachstellen: Die meisten Schwachstellen-Scanner für Unternehmen funktionieren mittlerweile auch in den Umgebungen der größeren Cloud-Provider. In diesem Bereich ist es deswegen unwahrscheinlich, dass Sie sich für einen fragmentierten Ansatz entscheiden müssen. Scanner- und Evaluation-Tools für die Kontrollebene der Cloud wie RedLock, DivvyCloud und CloudCheckr helfen dabei, Berichte über die Konfiguration der vorhandenen Cloud-Accounts und -Umgebungen zu erstellen. Nur so lässt sich herausfinden, mit welchen Auswirkungen beim Umstieg auf die Multi Cloud zu rechnen ist.
- Das Sammeln von Events, SIEM und Analytics: Die meisten SIEM-Anbieter (Security and Information Management) haben in der Vergangenheit viel Aufwand betrieben, um ihre Angebote kompatibel mit den größeren Cloud-Providern zu machen. Dadurch ist es leichter geworden, alle wesentlichen Logs aus den verschiedenen Cloud-Umgebungen an einer zentralen Stelle zu sammeln und auszuwerten. Zusätzlich gibt es in diesem Bereich auch neue Security-as-a-Service-Lösungen.
- Template-basierte Infrastructure as Code: Die Cloud-Abteilungen in den Unternehmen sollten Infrastructure-as-Code-Werkzeuge wie Terraform einsetzen. Diese und vergleichbare Tools arbeiten mit Cloud-basierten Template-Lösungen wie CloudFormation von AWS (Amazon Web Services) und dem Azure Resource Manager zusammen, um Infrastrukturkonfigurationen und andere Cloud-Elemente als Code vorzudefinieren. Auch Security-Bereiche wie Identity-Richtlinien, Netzwerkkonfigurationen und Templates für die eingesetzten Images lassen sich auf diese Weise vorbereiten und standardisieren.
Es gibt aber auch Elemente, die sich nicht so leicht zentralisieren lassen:
- Verschlüsselung: Die meisten Unternehmen werden auch langfristig noch Key-Management-Tools verwenden, die jeweils nur auf einen der Provider zugeschnitten sind.
- Identitäts- und Access-Management.
- Automatisierungselemente für zum Beispiel API-Zugriffe oder das Scripting hängen oft ebenfalls nur mit einer einzigen Plattform zusammen.
Entscheiden Sie sich nur noch für Angebote, die plattformübergreifend eingesetzt werden können. Wenn Sie beispielsweise mehrere Angebote eingeholt haben, die sich in ihren Fähigkeiten und Kosten nur wenig unterscheiden, dann nehmen Sie die Lösung, die auch über mehrere Cloud-Plattformen funktioniert. Das Gleiche gilt für Forensik- und Response-Tools, die von Teams genutzt werden, die für die Bereiche Forensik, Response und SOC (Security Operations Center) zuständig sind. Nur wenn sie ihre Prozesse und Vorgehensweisen so weit wie möglich verschlanken, können sie eine einheitliche Strategie zur Sammlung von Informationen über Cyberangriffe entwickeln.
Eine solide Strategie für eine sichere Multi Cloud
Zentralisierung sollte aber nicht das einzige Thema sein, auf dass Sie sich konzentrieren, wenn Sie auf eine Multi-Cloud-Architektur umsteigen wollen. Ihre Security-Teams sollten darüber hinaus auf allen wesentlichen Ebenen für zusätzliche Kontrollen sorgen und sich damit beschäftigen, wie sie in den unterschiedlichen Umgebungen genutzt werden können. Heutzutage gibt es weit mehr Möglichkeiten, um eine tief gestaffelte Verteidigung aufzubauen als je zuvor. Das gilt sowohl für Multi-Cloud-Umgebungen als auch für On-Premises. Die für die Sicherheit und den Betrieb zuständigen Mitarbeiter sollten sich aber trotzdem auf einige wichtige Dinge konzentrieren.
Als Erstes sind hier die Tools zu nennen, die zentral genutzt werden können, um Richtlinien zu erstellen und um das allgemeine Management durchzuführen. Je leichter die Verwaltung erfolgen kann, desto erfolgreicher wird das Netzwerkdesign letztendlich sein.
Die für die Sicherheit und den täglichen Betrieb verantwortlichen Mitarbeiter sollten außerdem den Einsatz von Werkzeugen für Infrastructure as Code wie Terraform priorisieren.
Nicht zuletzt sollten sie sich auch mit dem Aufbau einer mehrstufigen Strategie zur Segmentierung des Netzwerks befassen. Traditionelle Firewalls haben immer noch ihre Berechtigung, wenn es um die Netzwerkverbindungen zwischen der On-Premises-Umgebung und der Cloud geht. Sie lassen sich zudem für den Schutz vor Eindringlingen und für andere Kontrollen verwenden, die fast alle Unternehmen auch heute noch benötigen. Das ändert aber nichts daran, dass zusätzlich dazu Cloud-basierte Zugangskontrollen und Segmentierung benötigt werden.
Auch für große Umgebungen bietet sich eine einfache Implementierung der wichtigsten Cloud-basierten Kontrollen an. Eine Multi-Cloud-Lösung mit zahlreichen unterschiedlichen Quellen kann zudem davon profitieren, wenn zu jeder Zeit genau bekannt ist, welche Anwendungen in den einzelnen Cloud-Umgebungen genutzt werden. Dieses Wissen ist ebenfalls hilfreich, wenn ein zentrales Monitoring und Reporting eingerichtet werden sollen. Es gibt aber bislang kein Cloud-basiertes Tool, das diesen Grad an „Selbstwahrnehmung“ und dynamischer Policy-Kontrolle bereits heute bietet. Das bedeutet, dass Sie zusätzliche Werkzeuge benötigen, um genau herauszufinden, welcher Anwendungs-Traffic auftritt und um zentral gesteuerte Richtlinien einzurichten. Damit lassen sich dann die Verbindungen zwischen den verschiedenen Cloud-Plattformen und dem lokalen Rechenzentrum besser steuern. Um dieses Ziel zu erreichen, werden oft spezielle Softwareagenten auf den verschiedenen eingesetzten Systemen benötigt. Nur sie liefern alle erforderlichen Informationen.
Gerade in größeren Unternehmen herrscht derzeit ein klarer Trend in Richtung Multi Cloud. Über die Vor- und Nachteile der Zentralisierung in diesem Bereich wird jedoch immer noch diskutiert. Es liegt aber auf der Hand, dass ein zentralisiertes System die Koordinierung und die Kommunikation effizienter macht und zudem für mehr Einheitlichkeit der IT-Infrastruktur sorgt. Im Kontrast dazu steht ein dezentralisiertes, nicht hierarchisches System, in dem es immer wieder zu Unstimmigkeiten kommt, so dass es in einer größeren Organisation nur schwer umzusetzen und aufrecht zu erhalten ist.