Anwendungen und Workloads sicher in die Cloud umziehen

1. Identifizieren Sie sämtliche Anwendungen, bilden Sie den Datenverkehr ab und machen Sie Sicherheitslücken sichtbar

Der erste Schritt hin zu einer effizienten Migration von Anwendungen in die Cloud besteht darin, Transparenz zu schaffen: So gilt es zunächst zu verstehen, welche Cloud-Plattformen im Einsatz sind, welche Anwendungen beziehungsweise Workloads in Ihren hybriden Umgebungen ausgeführt werden und wie diese miteinander verbunden sind.

Diese Art der Visualisierung hilft Ihnen, unbekannte und versteckte Anwendungen aufzuzeigen, potenzielle Sicherheitslücken und Netzwerkkonfigurationsfehler (etwa Firewalls mit zu einem zu offenen Regelwerk oder nicht verwaltete Server) zu identifizieren sowie Ihre Segmentierungsrichtlinien zu überarbeiten.

Setzen Sie dabei auf Netzwerksicherheits-Tools mit automatischer Erkennungsfunktion, um Ihre Netzwerktopologie zu visualisieren und Netzwerkkonfigurationsprobleme noch vor der Migration zu beseitigen. Dabei ist es wichtig, Firewall-Revisionen und Netzwerkverkehr zu analysieren, um die mit Servern und Anwendungen verbundenen Kommunikationspfade (Quellen und Ziele) sichtbar zu machen.

2. Überarbeiten Sie Ihre Richtlinien und setzten Sie die Firewall-Regeln zurück

Dank der Echtzeiteinsicht in Anwendungen, Netzwerkgeräte und Traffic-Ströme können Sie nun damit beginnen, die bisherigen Firewall-Regeln auf ihre Gültigkeit und Wirksamkeit hin zu bewerten und Konnektivitätsprobleme und falsch konfigurierte Richtlinien zu beheben.

Da Ihr Ziel die Umsetzung einer minimalen Rechtevergabe, das bedeutet Least Privilege-Strategie, sein sollte, sollten Sie gezielt nach versteckten, redundanten und zu weit gefassten Rechten sowie nach unbenutzten oder alleinstehenden Objekten in der Umgebung suchen.

Darüber hinaus empfiehlt es sich, die bestehende Firewall-Regelbasis abzufragen, um Richtlinien zu identifizieren, die ihre Gültigkeit verloren haben und außer Betrieb genommen werden müssen. Dabei sollte man jedoch sicherstellen, dass alle Richtlinienänderungen vollständig dokumentiert und überprüft werden.

3. Definieren Sie das App-Profil und legen Sie neue Sicherheitsrichtlinien fest

Um später beim Migrationsprozess keine Überraschungen zu erleben, ist es sinnvoll, schon frühzeitig sämtliche Informationen über die Anwendungsebenen, die Sie migrieren möchten, wie zum Beispiel deren Standort, Konnektivitätsanforderungen, Status und Abhängigkeiten, einzuholen.

Erstellen Sie ein Repository aller Anwendungen und deren Abhängigkeiten, das den Datenverkehr in Echtzeit anzeigt und analysieren Sie, wie sich die Anwendung in der hybriden Umgebung verhält. Darauf basierend können Sie Zugriffsrichtlinien erstellen, die als Basis für die Migration verwendet werden.

Wenn eine Anwendung beziehungsweise ein Workload von einer On-Premises-Umgebung in eine Cloud-Umgebung migriert wird, werden auch Änderungen an den physischen Firewalls notwendig und Einstellungen der Cloud-Sicherheitsgruppen müssen aktualisiert werden. Diese obligatorischen Aktualisierungen sollten Sie frühzeitig sichtbar machen, um konsistente Sicherheitsrichtlinien zu schaffen, die den Workloads bei der Migration folgen und automatisch skaliert werden.

Bei Cloud-nativen Anwendungen sollten Sie hingegen auf eine Mikrosegmentierung setzen und eine vollständige Transparenz über alle Workloads und den gesamten Datenverkehr innerhalb derselben Umgebung oder über Cluster und Clouds hinweg anstreben. So können Sie Richtlinien auf der Grundlage von Tags, Sicherheitsgruppen, Namensräumen und so weiter automatisch auf Workloads, Services und Cloud-Ressourcen anwenden.

4. Kontrollieren Sie Richtlinienänderungen mit Hilfe von Automatisierung

Das Ändern einer Server-IP-Adresse oder das Verschieben einer Anwendungswebschicht in die Cloud bedeutet, dass auch die physischen Perimeter sowie die verteilten Firewalls und Sicherheitsgruppen geändert werden müssen.

„Wenn eine Anwendung beziehungsweise ein Workload von einer On-Premises-Umgebung in eine Cloud-Umgebung migriert wird, werden auch Änderungen an den physischen Firewalls notwendig.“

Thorsten Geissel, Tufin Technologies

Dies ist ein komplexer, zeitaufwendiger und fehleranfälliger Prozess, weshalb es sinnvoll ist, auf Netzwerksicherheits-Tools mit Automatisierung zu setzen. Diese identifizieren automatisch alle abzuändernden oder zu entfernenden Richtlinien in allen betroffenen Sicherheitsgruppen, Firewalls und Routern. Eine umfassende Risikoanalyse kann dabei helfen, sicherzustellen, dass die vorgeschlagene Änderung mit den Sicherheitsrichtlinien des Unternehmens übereinstimmen und das Netzwerk auch weiterhin frei von möglichen Schwachstellen ist. Sobald die Unbedenklichkeit der Änderungen bestätigt wurde, können Sie mit der Implementierung beginnen.

5. Patchen Sie vor der Ausführung

Zu guter Letzt empfiehlt es sich, den Change-Request-Workflow um automatisierte Kontrollen zu erweitern, um die zu migrierenden Anwendungen und Workloads auf Schwachstellen wie etwa Root-Privilegien hin zu überprüfen. Wenn Sie innovative Schwachstellenmanagement-Lösungen mit Netzwerkautomations-Tools kombinieren, erhalten Sie die nötigen Einblicke in die Schwachstellendaten und können dann entscheiden, ob Sie die geplanten Änderungen akzeptiert oder ablehnen.

Fazit

Damit Sicherheit und Effektivität bei der Migration in die Cloud nicht auf der Strecke bleiben und arbeitsintensive manuelle Prozesse ausbleiben, bedarf es einem schrittweisen Vorgehen und einer Migrationsstrategie, die auf Automatisierung beruht.

Über den Autor:
Thorsten Geissel ist Director Sales Engineering EMEA bei Tufin Technologies.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.