Cloud-Sicherheitsarchitektur (Cloud Security Architecture)

Was ist eine Cloud-Sicherheitsarchitektur?

Die Cloud-Sicherheitsarchitektur (Cloud Security Architecture) ist eine Sicherheitsstrategie, die auf die Sicherung der Daten und Anwendungen eines Unternehmens in der Cloud ausgerichtet ist. Sie ist eine wichtige Erweiterung der Unternehmenssicherheit und erfordert eine Struktur, die sie mit einem allgemeinen Sicherheitsansatz verbindet. Je mehr Unternehmen ihre Daten in die Cloud verlagern und gemeinsam nutzen, desto wichtiger wird eine Sicherheitsarchitektur.

Die Cloud kann in verschiedenen Ausprägungen bereitgestellt werden. Daher sind Cloud-Sicherheitsarchitekturen so konzipiert, dass sie in einer Kombination von SaaS-, PaaS- und IaaS-Umgebungen sowie in der öffentlichen und privaten Cloud funktionieren.

Die Cloud-Sicherheitsarchitektur basiert auf einer gemeinsamen Verantwortung zwischen einem Unternehmen und einem Cloud-Service-Anbieter (CSP, Cloud Service Provider). Das bedeutet jedoch nicht, dass eine Organisation weniger Verantwortung trägt. Im Allgemeinen sollte eine Cloud-Sicherheitsarchitektur den Best Practices für Cloud-Sicherheit folgen. Die Verantwortung jeder Partei kann davon abhängen, was der CSP anbietet und wie er seine Dienste bereitstellt.

Warum ist eine Cloud-Sicherheitsarchitektur wichtig?

Der Unterschied zwischen „Cloud-Sicherheit“ und „Cloud-Sicherheitsarchitektur“ besteht darin, dass erstere in der Regel aus problemspezifischen Maßnahmen aufgebaut wird, während letztere aus Bedrohungen abgeleitet wird. Eine Cloud-Sicherheitsarchitektur kann Sicherheitslücken verringern oder beseitigen, die punktuelle Lösungsansätze mit Sicherheit hinterlassen. Dazu werden die Bedrohungen von unten nach oben definiert, angefangen bei den Benutzern, über die Cloud-Umgebung und den CSP bis hin zu den Anwendungen. Eine Cloud-Sicherheitsarchitektur kann auch die Redundanz von Sicherheitsmaßnahmen reduzieren - Dinge, die nicht zur Reduzierung von Bedrohungen beitragen, sondern sowohl die Investitions- als auch die Betriebskosten erhöhen.

Eine Cloud-Sicherheitsarchitektur organisiert auch die Sicherheitsmaßnahmen, um sie konsistenter und leichter aufrechtzuerhalten, insbesondere bei der Bereitstellung und Neubereitstellung der Cloud. Die Sicherheit wird oft untergraben, weil sie unlogisch oder komplex ist. Eine geeignete Cloud-Sicherheitsarchitektur kann diese Mängel aufdecken.

Bestandteile einer Cloud-Sicherheitsarchitektur

Der beste Weg, eine Cloud-Sicherheitsarchitektur zu entwickeln, besteht darin, mit einer Zielvorgabe zu beginnen. Die Architektur muss drei Dinge berücksichtigen: eine Angriffsfläche, die durch externe Zugriffsschnittstellen dargestellt wird, ein geschütztes Asset-Set, das die zu schützenden Informationen repräsentiert, und Angriffsvektoren und -mechanismen, die darauf ausgelegt sind, irgendwo im Rahmen des Pfades indirekte Angriffe auszuführen.

Das Ziel einer Cloud-Sicherheitsarchitektur wird durch eine Reihe von funktionalen Elementen erreicht. Diese Bestandteile werden oft getrennt und nicht als Teil eines koordinierten Architekturplans betrachtet. Dazu gehören die Zugriffssicherheit oder Zugriffskontrolle, die Netzsicherheit, die Anwendungssicherheit und die Sicherheit der Verträge sowie die Überwachung, die manchmal auch als Dienstsicherheit bezeichnet wird. Schließlich gibt es noch den Datenschutz, das heißt die Maßnahmen, die auf der Ebene der geschützten Ressourcen angewendet werden.

Eine vollständige Cloud-Sicherheitsarchitektur erfüllt die Ziele, indem sie die funktionalen Elemente zusammenführt.

Die Cloud-Sicherheitsarchitektur und das Modell der geteilten Verantwortung

Sicherheit und Sicherheitsarchitekturen für die Cloud sind keine separaten Prozesse. Die meisten Unternehmen werden einen großen Teil ihrer IT-Arbeitsabläufe in ihrem Rechenzentrum, ihren lokalen Netzwerken und ihrem VPN abwickeln. Durch die Cloud kommen weitere Akteure hinzu, so dass es entscheidend ist, dass eine Cloud-Sicherheitsarchitektur Teil eines umfassenderen Modells der gemeinsamen Verantwortung (Shared Responsibility) ist.

Ein Modell der gemeinsamen Verantwortung ist sowohl ein Architekturmodell als auch ein Vertragsmodell. Es besteht in einem formalen Sinne zwischen einem Cloud-Nutzer und jedem CSP sowie den Anbietern eines Netzdienstes, wenn diese separat unter Vertrag genommen werden. In der Regel werden die Komponenten einer Cloud-Anwendung in Schichten unterteilt, wobei die oberste Schicht in der Verantwortung des Kunden und die unterste Schicht in der Verantwortung des CSP liegt. Jede einzelne Funktion oder Komponente der Anwendung wird der entsprechenden Schicht zugeordnet, je nachdem, wer sie bereitstellt. Im Vertrag wird dann beschrieben, wofür jede Partei verantwortlich ist, wie die Abgrenzungen erkannt werden und wie Probleme isoliert und einer Partei zugewiesen werden.

Es kann ein Gesamtmodell erstellt werden, in dem die einzelnen Verantwortlichkeiten aller eingesetzten Dienstleister zusammengefasst werden. Bei sorgfältiger Ausführung ist dies ein wichtiges Instrument für die Zuweisung von Fehlern und die Koordinierung von Abhilfemaßnahmen, wenn etwas schief läuft.

Entwurfsmuster für die Cloud-Sicherheitsarchitektur

Es gibt zwei Ebenen von Entwurfsmustern, die in Cloud-Sicherheitsarchitekturen verwendet werden. Die allgemeinen, übergeordneten Muster beschreiben das Folgende:

• Sicherheitskontrollen, die das Gesamtzusammenspiel der funktionalen Elemente in einer Sicherheitsarchitektur festlegen.
• Vertrauensgrenzen, die das relative Sicherheitsniveau und den Umfang von Identitäts- oder Genehmigungsrechten festlegen.
• Standard-Schnittstellenpunkte und API-Modelle.
• Verschlüsselungsalgorithmen und Schlüsselverwaltung.
• Token-Management für den Austausch von Identitäten und Berechtigungen.
• Protokollierung von Sicherheitsereignissen.

Diejenigen, die ihre eigenen Cloud-Anwendungen entwickeln, können Entwurfsmuster verwenden, um einen sicheren Rahmen für den Anwendungszugang zu schaffen. Beachten Sie, dass diese Option für Software von Drittanbietern wahrscheinlich nicht zur Verfügung steht, aber es kann durchaus möglich sein, die vom Anbieter verwendeten Entwurfsmuster als Teil des Auswahlprozesses zu prüfen. Entwurfsmuster befassen sich in der Regel auch mit der Zugriffssicherheit, machen aber andere funktionale Elemente einer guten Sicherheitsarchitektur nicht überflüssig.

Die drei vorherrschenden Entwurfsmuster der Cloud-Sicherheitsarchitektur sind das föderierte Identitätsmuster, das Gatekeeper-Muster und der Valet-Schlüssel oder Token. Dieser vermittelt die spezifischen Rechte für den Zugriff auf eine Ressource vermittelt. Das erste Muster ist ein Mittel zur Feststellung der Benutzeridentität und zur gemeinsamen Nutzung von Identitätsnachweisen. Das zweite definiert ein „Firewall“-Element, das zwischen Benutzer und Ressource sitzt und Anmeldedaten und Rechte validiert. Das dritte ist ein Token oder ein Mechanismus, der einem Benutzer oder Modul den Zugang zu einer Ressource oder einem Dienst für einen bestimmten, begrenzten Zweck ermöglicht.

Varianten des Themas für IaaS, PaaS und SaaS

Cloud-Dienste reichen von IaaS, wo ein virtueller Host bereitgestellt wird, über PaaS, das Plattform-Tools und Middleware umfasst, bis hin zu SaaS, wo CSPs die gesamte Anwendung anbieten. Das Modell der gemeinsamen Verantwortung sieht für jede Art von Cloud-Dienst unterschiedlich aus.

Bei IaaS bieten die Cloud Service Provider nur eine Hosting-Ressource an. Der Großteil der anwendungsbezogenen Sicherheitsverantwortung liegt beim Kunden oder einem beauftragten Dienstleister. Die Beziehung zwischen dem Netz, der Anwendung und dem IaaS wird durch eine Netz-Middleware definiert. IaaS stellt höhere Anforderungen an die Netzsicherheit für den Nutzer.

PaaS umfasst in der Regel Middleware und andere Softwareelemente. Diese Elemente werden als „Dienste“ für die Anwendung bereitgestellt. Das bedeutet, dass sich das Cloud-Sicherheitsmodell mehr auf die Sicherung von Diensten und die Schaffung von Vertrauenszonen konzentrieren muss, zu denen auch die Dienstelemente, wie zum Beispiel Microservices, gehören, aus denen eine Anwendung besteht. Der Benutzer ist für die Aufrechterhaltung der allgemeinen Anwendungssicherheit verantwortlich.

Bei SaaS ist der Cloud-Anbieter für die Sicherheit innerhalb der Anwendung verantwortlich, das heißt für die internen Komponenten-Workflows. Die Netzwerkbeziehung zwischen dem SaaS und dem Nutzer wird in der Regel als eine Reihe von RESTful APIs definiert. Sowohl der Nutzer als auch der Netzwerkanbieter sind gemeinsam für die Sicherheit des Zugriffs auf diese APIs verantwortlich.

Wenn mehrere Arten von Cloud-Diensten genutzt werden, verwenden die Nutzer häufig das Konzept der Cloud Security Postures und nutzen CSPM (Cloud Security Posture Management), um die Sicherheitsmaßnahmen für die gesamte Sammlung von Cloud-Diensten zu automatisieren.

Planung der Cloud-Sicherheitsarchitektur und bewährte Verfahren

Der beste Ansatz für die Planung und Ausführung einer angemessenen Cloud-Sicherheitsarchitektur besteht darin, von den wichtigsten Ressourcen ausgehend zu arbeiten. Das bedeutet, dass ein Unternehmen alle APIs identifizieren sollte, die zur Verbindung von Workflows innerhalb der Cloud zwischen Anwendungen verwendet werden, sowie diejenigen, die die Cloud mit dem Rechenzentrum oder anderen Clouds und Datenbanken verbinden. Diese definieren die zu schützenden Ressourcen.

Jedes dieser Assets wird von Benutzern, Anwendungen oder Komponenten referenziert. Jeder dieser Verweise muss validiert werden, das heißt, die Elemente, die für ihre Verwendung zertifiziert sind, müssen identifiziert und ihr Anwendungsbereich festgelegt werden. Auf diese Weise entsteht eine Referenzkette, die schließlich die Nutzer selbst erreicht.

Die funktionalen Elemente einer Cloud-Sicherheitsarchitektur - Zugriffssicherheit, Netzsicherheit, Anwendungssicherheit, Vertragssicherheit sowie Überwachung und Datenschutz - werden dann innerhalb dieser Struktur angewandt. An jedem Punkt, an dem ein geschütztes Gut oder eine Referenzkette offengelegt wird, entsteht ein Eintrittspunkt für eine Sicherheitsbedrohung. Die meisten Cloud-Sicherheitsarchitekturen sehen Schutzschichten vor, die auf diesen fünf funktionalen Elementen basieren - ein Defense-in-Depth-Modell.