nobeastsofierce - Fotolia
Die Cloud und IT-Sicherheit: Ein Jahresrückblick 2018
Die Cloud-Nutzung hat 2018 weiter zugenommen. Damit dabei die Security nicht auf der Strecke bleibt, müssen CIOs und CISOs die Migration in die Cloud gemeinsam sicher gestalten.
Laut Goldman Sachs werden die Ausgaben für die Cloud bis 2021 um rund 20 Prozent pro Jahr steigen. Das bedeutet, dass der weltweite Gesamtmarkt auf 116 Milliarden US-Dollar wachsen wird – wobei der Löwenanteil der ausgegebenen Summen an die großen Public-Cloud-Anbieter Amazon Web Services, Microsoft, Google und Alibaba geht. 2018 lagen die Ausgaben für die Cloud noch bei rund 47 Milliarden US-Dollar.
Diese erwartete Zunahme der Cloud-Nutzung hat erhebliche Auswirkungen für die Branche – einerseits für die CIOs, die den Unternehmenserfolg steigern und Marktchancen schneller nutzen möchten, andererseits aber auch für die CISOs, die die Sicherheit aufrechterhalten wollen, sowohl auf den internen Plattformen als auch auf den externen. Der Trend zur Cloud ist unaufhaltsam. Wie sieht es aber mit den Bestrebungen aus, die Absicherung von Cloud-Implementierungen zu erleichtern?
2018 veranstalteten alle drei großen westlichen Public-Cloud-Anbieter – Amazon, Microsoft und Google – Branchenkonferenzen, auf denen die Sicherheit zu den wichtigsten Diskussionsthemen zählte. Auf der Google Cloud Next in London unterstrich die damalige CEO Diane Greene, dass Google spezielle Chips zu Sicherheitszwecken in seine Hardware integriert und Ortsbeschränkungen festlegt, damit Workloads nicht von unbefugten Mitarbeitern verlegt oder ausgeführt werden können.
Auf der Microsoft Ignite erläuterte Satya Nadella, wie Microsoft an die Betriebssicherheit herangeht und dazu mehr als 6,5 Billionen Datenpunkte nutzt, die täglich verarbeitet werden. Außerdem beschrieb Nadella, wie Microsoft in künstliche Intelligenz und Automatisierung investiert, um der wachsenden Zahl von Angriffen auf IT-Infrastrukturen Herr zu werden.
Auf der AWS re:Invent wiederum stellte das AWS-Team eine Reihe von Entwicklungen im Sicherheitsbereich vor. Das Spektrum reichte von neuen serverlosen und containerorientierten Technologien wie Firecracker bis hin zu umfassenderen Maßnahmen für das Sicherheitsmanagement, wie etwa die Implementierung zentraler Sicherheitshubs und Integrationen mit externen Dienstleistern. All diese Ankündigungen – von spezifischen Innovationen zur Anwendungsbereitstellung durch Entwickler bis hin zur Übersicht und Kontrolle für die gesamte Cloud – machen deutlich, wie viel Wert die Cloud-Anbieter auf Sicherheit legen.
Cloud und Sicherheitsstrategien gemeinsam aufbauen
Bei so viel Augenmerk auf die Sicherheit in der Cloud, stellt sich nun die Frage wie diese Ansätze und Themen 2019 weitergeführt werden können? Fünf zentrale Grundsätze sind zu beachten: Genauigkeit, Sichtbarkeit, Skalierbarkeit, Schnelligkeit und Orchestrierung.
Wenn Unternehmen Infrastrukturen vermehrt in die Cloud verlegen, tun sie dies vor allem, um agiler zu werden. Public-Cloud-Dienste und hybride Cloud-Modelle können zur Flexibilität, Schnelligkeit und Skalierbarkeit beitragen, doch die Bereiche Sichtbarkeit und Genauigkeit müssen separat betrachtet werden. Die CISOs müssen unbedingt dafür sorgen, dass diese Aspekte der Cloud-Nutzung gebührend berücksichtigt werden.
Es lohnt sich daher zu definieren, was Sichtbarkeit und Genauigkeit rund um die Cloud in der Praxis bedeuten sollten. Sichtbarkeit heißt, vollständigen Überblick über sämtliche Elemente der IT-Infrastruktur zu gewinnen, die in der Cloud implementiert sind – unabhängig davon, ob sie aus lokalen IT-Umgebungen in die Cloud verlegt oder komplett neu erstellt wurden. Genauigkeit beinhaltet, diese vollständige Asset-Liste stets auf dem neuesten Stand zu halten und dabei all die verschiedenen Möglichkeiten einzubeziehen, wie Anwendungen heute betrieben werden. Die Sicherheitsteams müssen sich also Übersicht über interne wie auch externe Plattformen sowie die zahllosen verschiedenen Wege der Anwendungsbereitstellung verschaffen.
Neben der Nutzung von Cloud-Instanzen, die nach oben und unten skalierbar sind, können die Entwickler Anwendungen auch in Softwarecontainern oder auf Serverless-Computing-Plattformen wie AWS Lambda ausführen. Herkömmliche IT-Management-, Betriebs- und Sicherheits-Tools können diese zusätzlichen Plattformen nicht effektiv verfolgen. Dies führt dazu, dass CIOs und CISOs nicht über alle Assets Bescheid wissen, die zu einem gegebenen Zeitpunkt verwendet werden. Rechnet man noch die Geschwindigkeit hinzu, mit der Container erzeugt und gelöscht werden können, um dem aktuellen Bedarf gerecht zu werden, so ändert sich Ihr gesamter IT-Bestand von Stunde zu Stunde und Minute zu Minute. Bei allen Ansätzen, bei denen Sicherheitsscans zu bestimmten Zeitpunkten durchgeführt werden, wird ein Scan nur eine Momentaufnahme des Sicherheitsstatus liefern und Minuten später schon wieder überholt sein.
„Was die Sicherheitsteams betrifft, so muss diese kontinuierliche Sichtbarkeit bei jeder Cloud-Migration und -Erweiterung eingeplant werden.“
Darron Gibbard, Qualys
Was die Sicherheitsteams betrifft, so muss diese kontinuierliche Sichtbarkeit bei jeder Cloud-Migration und -Erweiterung eingeplant werden. Ohne sie lässt sich viel schwerer feststellen, ob das ganze Unternehmen sicher ist. Der alte Spruch „Was man nicht kennt, kann man nicht schützen“ trifft gerade auch auf die Cloud zu, da sich die Implementierungen hier so schnell ändern können.
Außerdem lässt sich die Einhaltung von Vorschriften zur Datensicherheit schwerer nachweisen, wenn die Asset-Listen lückenhaft sind. Wenn keine Möglichkeit besteht, mehrere Plattformen ganzheitlich zu überblicken und die Sicherheitsrichtlinien für alle Plattformen zu koordinieren, wird es für den CISO schwieriger, alle nötigen Schritte zu einer übergreifenden Sicherheitsstrategie zusammenzufassen und durchzusetzen. Wird die Sicherheit dagegen für alle Plattformen – von internen Systemen und Endpunkten bis zu hybriden und öffentlichen Cloud-Instanzen – transparent orchestriert, dann wird das gesamte Sicherheitsmanagement einfacher, auch wenn die Anzahl der genutzten Plattformen in den Unternehmen steigt.
2018 haben wir eine Ausdehnung der Cloud-Infrastrukturen und ein verstärktes Engagement der CIOs für die Entwicklung neuer Geschäftsansätze erlebt. Um den langfristigen Erfolg dieser Entwicklungen und digitalen Veränderungen zu gewährleisten, müssen CIOs und CISOs jedoch gemeinsam dafür sorgen, dass die Migration in die Cloud sicher gestaltet wird. Wenn Unternehmen stark auf die Cloud setzen, kann Sicherheit gewährleisten, dass sich dieser Einsatz lohnt.
Über den Autor:
Darron Gibbard ist Chief Technical Officer bei Qualys.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
