Cloud und Rechenzentrum gemeinsam verwalten
Die Cloud setzt sich in den Firmen zunehmend durch, doch Rechenzentren verschwinden – anders als gerne prognostiziert – nicht im gleichen Maße aus den IT-Umgebungen. Stattdessen betreiben viele Unternehmen eine Mischung aus beiden. Diese hybriden Infrastrukturen effizient und effektiv zu verwalten, erfordert eine ausgeklügelte und automatisierte Sicherheitslösung mit zentraler Konsole und einfacher Bedienung. Wie so ein Werkzeug gerade in Zeiten der Multicloud aussehen kann, beschreibt dieser Fachartikel.
Bereits im Jahr 2018 fand der "State of the Cloud Report" von RightScale heraus, dass von knapp 1000 befragten Unternehmen mittlerweile 92 Prozent ihre Anwendungen und Daten in die Cloud verschoben haben. Als besondere Schwierigkeit bei dieser Umstellung nannten die Firmen die Sicherung ihrer Unternehmenswerte – besonders wenn sie nicht auf eine reine Cloudintegration, sondern eine Hybridlösung setzten, also eine Kombination aus On-Premises-Rechenzentrum und Cloud Computing. Dadurch ergibt sich eine Mischung aus Public und Private Cloud ergibt, ein weitreichendes, hybrides IT-Ökosystem.
Um den entstandenen Hybriden sicher zu verwalten, bedarf es aber einiger Klarstellungen. Große Schwierigkeiten bereitet den Unternehmen nach wie vor die Frage: Wer ist eigentlich für die Sicherheit der Cloud verantwortlich? Das Problem ergibt sich daraus, dass die Frage bereits falsch gestellt wird. Es ist zu unterscheiden zwischen der Verantwortung für die Absicherung der Cloud und der Verantwortung für die Absicherung der Daten und Anwendungen, die das jeweilige Unternehmen in der Cloud betreibt.
Shared Responsibility – Verantwortlichkeiten abstecken
Im dritten Teil des Security Report 2019 fand Check Point heraus, dass 30 Prozent der IT-Experten weiterhin der Meinung sind, die Sicherheit liege in der Verantwortung des Clouddienstanbieters. Sie nannten zudem mit 62 Prozent die Fehlkonfiguration von Cloudinfrastrukturen als größte Gefahr für die öffentliche Cloud. Wenig überraschend erlebten in den Jahren 2018 und 2019 weltweit 18 Prozent der Unternehmen einen Sicherheitsvorfall in Bezug auf Cloud Computing.
Jüngstes Beispiel ist hier der US-Finanzdienstleister Capital One, der seine Dienste und Daten über die AWS-Cloud laufen ließ. Eine Hackerin entwendete Millionen von Kreditkartendaten und der Vorfall sorgte international für Schlagzeilen. Doch Amazon konnte belegen, dass ihre Absicherung der Cloud selbst nicht beeinträchtig war.
Shared responsibility (geteilte Verantwortung) ist das Stichwort und hier entsteht auch das Missverständnis: Die Unternehmen sind für die Sicherheit all der Daten und Anwendungen selbst verantwortlich, die sie in der Cloud speichern oder dort aufsetzen. Daraus ergibt sich eine einfache, aber logische Erkenntnis: Sicherheitsfunktionen wirken nur, wenn sie genutzt werden, und ob dies der Fall ist, liegt alleine in der Entscheidungsgewalt des Kunden.
Capital One gestand sehr schnell ein, im eigenen Sicherheitsnetz ein Loch zu haben und verantwortlich für den Vorfall zu sein, denn die Lücke wurde nach eigenen Angaben umgehend gestopft. Auslöser war eine Fehlkonfiguration der Firewall, die Capital One einsetzte. So etwas ließe sich über eine automatisierte Firewall-Veraltungskonsole einfach, schnell und kostengünstig vermeiden.
Hybride Anforderungen schon bei der Planung bedenken
Betreibt ein Unternehmen mehrere IT-Umgebungen, kann schnell der Überblick verloren gehen. Es ist daher vor allem eines zu bedenken: Wie erlangen Sicherheitsabteilungen den wichtigen Einblick in all die Cloudkonten, um trotz deren unterschiedlicher Konfigurationen die Accounts zu schützen – gemäß der Sicherheitsrichtlinien des Unternehmens? Dies manuell zu bewältigen, ohne Schwachstellen zu übersehen oder gar einen Fehler einzubauen, ist fast unmöglich. Je nach Größe betreibt ein Unternehmen hunderte oder gar tausende Nutzerkonten.
Transparenz des Netzwerkes ermöglichen
Der Bericht "Hybrid Cloud Environments: The State of Security" des Security-Anbieters AlgoSec zeigt, dass Intransparenz die Verwaltung von Hybridumgebungen am stärksten erschwert. Abhilfe leistet eine intelligente, automatisierte und cloudfähige Sicherheitslösung. Sie verschafft IT-Gruppen die benötigte Einsicht in die Netzwerkumgebungen und die Kontrolle über die Datenströme. Das Managementwerkzeug erkennt den Datenfluss und die Konnektivitätspfade der Geschäftsanwendungen innerhalb einer hybriden Umgebung. Sie bildet diese ab und prüft die Verbindungen zuerst auf Schwachstellen oder Compliance-Verstöße, bevor Änderungen in das System gelangen.
IT-Verantwortliche müssen außerdem alle Assets ihrer Multicloud-Einrichtungen sowie die Sicherheitskontrollen, die sie schützen sollen, sehen können. Am einfachsten geht das über eine zentrale Verwaltungskonsole. Mit ihrer Hilfe können sie Änderungen an Konfigurationen überwachen und potenzielle Schwachstellen oder Risiken entlarven und einstufen. Die verschiedenen Arten von Sicherheitskontrollen lassen sich so ebenfalls einheitlich und konsistent kontrollieren, egal, ob Cloud-Sicherheitsprodukte oder On-Premises-Firewalls. Damit lässt sich jeder Sicherheitsaspekt einer hybriden Umgebung in einem einzigen Rahmen vereinigen.
Automatisierung senkt Fehleranfälligkeit der Verwaltung
Vereinfachung durch Automatisierung ist vor allem bei der Durchsetzung von Änderungen möglich. Eine zentrale Konsole kümmert sich dann um die Anpassung der Sicherheitsrichtlinien im Netzwerk, sowie um die Firewallregeln. Das spart Zeit, Geld und senkt die Fehleranfälligkeit deutlich. Besonders in hybriden Umgebungen ist diese Art der Automatisierung von Vorteil, weil nicht jede Umgebung einzeln und von Hand bearbeitet werden muss. Gerade hier gilt es, die Mischung aus den Sicherheitsregeln der Cloudanbieter und der eigenen schnell und unkompliziert zu verbinden, denn eine Cloud steht nicht als Insel alleine für sich in der IT-Infrastruktur: Sie muss auch die Daten aus andern Umgebungen des Unternehmens abgreifen können – und umgekehrt.
Änderungen an den Richtlinien könnten die Konnektivität gefährden, besonders bei starker, aber wichtiger, Mikrosegmentierung der Datenströme. Plötzlich blockiert die Firewall den Zugriff einer Umgebung auf die andere, weil die neuen Regeln nicht überall durchgesetzt wurden. Eine zentrale und automatisierte Verwaltung schließt solche Fehler aus. Sie wendet die Sicherheitsrichtlinien einheitlich, effizient und mit einem vollständigen Audit-Trail auf alle Applikationen, Systeme, Sicherheitslösungen und IT-Umgebungen an.
Der Cloud Security Report 2019 von Check Point offenbarte weiterhin, dass 67 Prozent der IT-Experten der Meinung sind, sie hätten mangelhafte Einsicht in die Sicherheitsmechanismen der Clouds. Auch die Compliance-Richtlinien bezeichnen sie als zu intransparent und 31 Prozent haben daher Schwierigkeiten, durchgängig Richtlinien in hybriden Umgebungen festzulegen. Erneut unterstützt dabei umfangreich ein automatisch arbeitendes Managementwerkzeug. Es garantiert, die Einhaltung und automatische Aktualisierung der Compliance- und Sicherheitsregeln.
Fazit
Immer mehr Datenströme werden in Zukunft in hybriden Umgebungen unterwegs sein und ein kompliziertes Netz aus Zugriffsregeln, Sicherheitsrichtlinien und Konnektivitäten schaffen. Diese Mischung sicher, effektiv und effizient zu verwalten, ist eine der wichtigsten Aufgaben, der sich Firmen derzeit stellen müssen. Manuell lässt sich der Betrieb kaum bewerkstelligen. Ein zentral arbeitendes und automatisiertes Verwaltungswerkzeug kann die dringend benötigte Unterstützung liefern, um den Überblick und die Kontrolle wieder zu erlangen. Nicht zuletzt sorgt die Zentralisierung mithilfe übersichtlicher Oberflächen für die nötige Einsicht in den Datenverkehr und den wichtigen Blick über das gesamte Netzwerk. Dadurch lässt sich vor allem das Problem der Schatten-IT lösen, weil Administratoren dann in der Lage sind, alle in ihren IT-Umgebungen betriebenen Applikationen zu sehen.
Autor: Robert Blank ist DACH Lead / Regional Sales Manager bei AlgoSec