Multicloud Cloud security

Wie schützen Sie Ihre Multicloud?

Fabien Gilis
Placeholder for Fabien GilisFabien Gilis

Fabien Gilis, Expert réseaux et sécurité

4 min. Lesezeit
Placeholder for Office facade cloud reflectionOffice facade cloud reflection

Share

Die Umstellung auf Cloudsysteme nimmt Fahrt auf, seit es zuverlässige IaaS-, PaaS- und SaaS-Lösungen gibt und Unternehmen ihre IT-Infrastruktur damit flexibler und kostengünstiger gestalten können. Die größten Hindernisse für den Einstieg in die Cloud stellen derzeit die Sicherheit und die Einhaltung von Vorschriften dar. Jüngste Studien zeigten, dass 90 % der Unternehmen, die in die Cloud wechseln oder einen Umzug in Erwägung ziehen, sich Gedanken oder sogar große Sorgen um die Sicherheit machen. Im Einzelnen gibt es Bedenken in Bezug auf die allgemeine Sicherheit, den Datenverlust, die Datensicherheit und einen möglichen Verlust über die Kontrolle. Vorschriften wie die GDPR legen fest, wo Daten und Anwendungen untergebracht werden dürfen und welches Schutzniveau dabei vorgeschrieben ist.

Traditionelle Sicherheitskonzepte basieren auf einer Trennung zwischen öffentlichen und privaten Netzen, bei denen es nur einen oder eine begrenzte Anzahl von Anbindungspunkten gibt. Diese Verbindungspunkte sind mit Perimeterschutzlösungen gesichert, und interne Daten und Anwendungen sind nicht von außen zugänglich, außer durch eine Erweiterung dieses Perimeters, wie z. B. eine VPN-Verbindung zu einem sicheren Host oder Standort.

Cloud-Lösungen bieten nur physische Sicherheit und Sicherheitsfunktionen, die auf die Aufrechterhaltung der Verfügbarkeit des Systems abzielen, wie z. B. DDoS-Schutz. Die System-, Daten- und Anwendungssicherheit liegt in der Verantwortung des Benutzers der Cloud-Lösung. Es werden zwar Sicherheits-Tools mitgeliefert, doch diese müssen selbst konfiguriert werden und sie bieten nur eine rudimentäre (Netzwerk-)Sicherheit.

Völlig neues Sicherheitskonzept

„Eine Kette ist nur so stark wie ihr schwächstes Glied“ lautet eine bekannte Weisheit, die auch bei der IT-Sicherheit durchaus zutreffend ist. Die meisten Cloud-Installationen (71 %) sind hybrid aufgebaut, was bedeutet, dass sich jederzeit Daten und Anwendungen nicht nur innerhalb der abgesteckten Grenzen Ihres Unternehmens, sondern auch außerhalb davon befinden. Doch ganz gleich, wo sich Ihre Daten gerade befinden, muss deren absolute Sicherheit jederzeit garantiert sein. Unterschiedliche Sicherheitsbelange erfordern unterschiedliche Ansätze zur Umsetzung von Sicherheit. Zudem entstehen auch neue Anforderungen bei der Transparenz, der Verwaltung und der Berichterstattung.

Es ist zwar möglich, die Cloud zu einem virtuellen Teil Ihres unternehmensinternen Bereichs zu machen, wie in der obigen Abbildung dargestellt. Doch damit wäre sie nur mit IaaS-Cloud-Lösungen anwendbar und die meisten Vorteile von Cloud-basierten Lösungen blieben ungenutzt. Hierbei Sicherheit herzustellen, ist relativ einfach, und gelingt mit den Standardfunktionen der meisten Cloud-Anbieter.

Ein weitergehender, flexiblerer Ansatz ist es, direkte Zugangsmöglichkeiten zur Cloud einzurichten. Dies entlastet Ihr eigenes Rechenzentrum und schafft Kapazität. Dadurch entsteht aber auch zusätzliche Angriffsfläche, die abgesichert werden muss. Es ist auch ratsam, dann eine Art von „Schutzschirm“ zwischen beiden Bereichen zu errichten.

Art und Umfang der erforderlichen Sicherheitsmaßnahmen hängen davon ab, was geschützt werden muss. Es wird von außerhalb Ihrer Umgebung auf Anwendungen und Daten zugegriffen. Mit Geräten, die sich nicht immer unter Ihrer vollständigen Kontrolle befinden. Das heißt, dass es bei Entscheidungen im Bezug auf die Sicherheit nicht mehr nur darum geht, wer Zugriff auf bestimmte Daten hat, sondern auch von wo und wozu er beim Umgang mit diesen Daten berechtigt ist.

Verfügbare Multicloud-Schutzlösungen

Für die Absicherung von Multi-Cloud-Architekturen stehen heute verschiedene Lösungen zur Verfügung, die von einfacher Netzwerksicherheit bis hin zu vollständiger inhaltlicher und kontextbezogener Sicherheit reichen. Jede hat ihren Preis, und dabei geht es vor allem darum, was sie leisten kann. Einige der heute gebräuchlichsten Sicherheitslösungen:

Stateful Firewalls

Stateful Firewalls bieten grundlegende Netzwerksicherheit, die den Aufbau von Verbindungen zwischen Endpunkten über zugelassene Protokolle ermöglicht.

Next-Generation Firewalls (NGFW)

NGFW gehen einen Schritt weiter. Sie sind zusätzlich in der Lage, auch die tatsächlich verwendete Anwendung und die Art der übertragenen Daten zu überprüfen. Next-Generation-Firewalls erleichtern auch die Zuordnung von Benutzern zu Endpunkten und erleichtern die Kontrolle darüber, wer wie, worauf Zugriff hat.

Data Loss Prevention (DLP)

DLP erhöht das Sicherheitsniveau eines NextGen-Firewall, indem Anwendungen nicht nur zugelassen oder gesperrt werden. Die zu übertragenden Daten werden detailliert geprüft. Unzulässige Daten werden gekennzeichnet. Es kann auch einen Überblick darüber geschaffen werden, welche Daten sich gerade wo befinden, so dass Sicherheitsmaßnahmen entsprechend angepasst werden können.

Content Access Security Brokers (CASB)

CASB befasst sich mit den Problemen, die entstehen, wenn Unternehmen Cloud-basierte Anwendungen einsetzen und die Daten nicht mehr innerhalb der Unternehmensgrenzen liegen. CASB bieten nicht nur den Überblick darüber, welche Daten in welchem Format in Ihr Unternehmen gelangen und Ihr Unternehmen verlassen, sondern können auch kontrollieren, wohin diese gesendet werden.

Endpunktschutz

Bisher waren Endpunkt-Sicherheitslösungen darauf beschränkt, schädliche Inhalte auf dem Endgerät zu blockieren. Die aktuelle Generation kontrolliert auch, welche Daten auf dem Endpunkt gespeichert sind und was damit gemacht werden kann. Im Falle eines Problems mit dem Gerät (gestohlen oder anderweitig gefährdet) können die Daten unzugänglich gemacht werden, wodurch die Auswirkungen eines solchen Ereignisses begrenzt werden.

Placeholder for Engineeroover shoulder laptopEngineeroover shoulder laptop

Jede dieser Lösungen bietet ein anderes Sicherheitsniveau, bei unterschiedlicher Performance und Benutzerfreundlichkeit. Zudem variieren die Kosten für Anschaffung und Einsatz. Jede Lösung muss an der richtigen Stelle innerhalb Ihrer IT-Infrastruktur eingesetzt werden, um den vollen Nutzen daraus zu ziehen. Mehrere Anwendungen an mehreren Standorten in der gesamten Infrastruktur verlangen zudem eine Verwaltung, die die Sicherheitskonsistenz, den Überblick über mögliche Schwachstellen und die sofortige Meldung von Anomalien gewährleistet. Eine solche zentrale Sicherheitsverwaltung kann zudem automatisiert Konformitätsprüfungen durchführen.

Cloud-Sicherheitsdienste und -lösungen

Registrieren Sie sich für unseren Newsletter

Erhalten Sie die neuesten Security-News, Einblicke und Markttrends direkt in Ihren Postfach.

Weitere Updates