CISO-Leitfaden: Sichere Cloud-Architekturen planen

Was ist eine Cloud-Sicherheitsarchitektur und warum ist sie wichtig?

Die Cloud-Sicherheitsarchitektur ist die strukturierte Gestaltung von Sicherheitskontrollen, Prozessen und Technologien zum Schutz von Cloud-Umgebungen, einschließlich Infrastruktur, Anwendungen, Identitäten und Daten. Sie umfasst öffentliche Clouds wie beispielsweise AWS, Azure und Google Cloud Platform, Private Clouds, SaaS, Hybridumgebungen sowie Multi-Cloud-Ökosysteme.

Im Gegensatz zu herkömmlichen Sicherheitsarchitekturen müssen Modelle für die Cloud-Sicherheit folgende Aspekte berücksichtigen:

• Modelle mit geteilter Verantwortung.
• Dynamische Infrastruktur und kurzlebige Workloads.
• API-gesteuerte Bereitstellung.
• Identitätsbasierte Zugriffskontrollen.
• Schnelle Bereitstellungszyklen, das heißt DevOps und Continuous Integration/Continuous Delivery (CI/CD).
• Cloud-native Dienste und PaaS-Abhängigkeiten.

Durchdachte Modelle für Cloud-Sicherheitsarchitekturen tragen dazu bei, die Sicherheit auf die Geschäftsziele und gesetzlichen Anforderungen abzustimmen. Dies fördert in vielen Fällen eine verbesserte Governance sowie die Verantwortlichkeit für Kontrollmaßnahmen in den Bereichen Cloud-Engineering, Sicherheit, DevOps und anderen Betriebsteams. Eine Cloud-Sicherheitsarchitektur trägt zudem dazu bei, Konfigurationsabweichungen und Schatteninfrastrukturen zu reduzieren, ermöglicht eine sichere Skalierbarkeit und verhindert reaktive, nachträglich angepasste Sicherheitskonzepte und -kontrollen.

Ohne eine klar definierte Architektur sammeln sich in Unternehmen häufig sich überschneidende Tools, uneinheitliche Kontrollmechanismen und lückenhafte Transparenz an, was zu unnötiger Komplexität und vermeidbaren Sicherheitsvorfällen führt.

Sicherheitsziele und -anforderungen definieren

Bevor Unternehmen Tools auswählen oder Kontrollmechanismen entwerfen, müssen sie definieren, was sie erreichen wollen. Modelle für Cloud-Sicherheitsarchitekturen müssen geschäftliche und regulatorische Anforderungen erfüllen. Dazu gehören Vorgaben wie NIS2, DSGVO, PCI DSS oder SOX-Anforderungen an die Datenhoheit, Verfügbarkeits- und Ausfallsicherheitsziele, Pläne zur Geschäftskontinuität und Notfallwiederherstellung sowie Erwartungen hinsichtlich Risiken durch Dritte.

Hierbei empfiehlt es sich auch am Kriterienkatalog des BSI für sicheres Cloud Computing zu orientieren (C5:2026, Cloud Computing Compliance Criteria Catalogue) . Dieser liegt mit C5:2026 in einer aktuellen Form vor und berücksichtigt auch Themen wie Post-Quanten-Kryptografie und Confidential Computing.

Bei der Entwicklung von Architekturmustern für die Cloud-Sicherheit ist es hilfreich, die Risikobereitschaft und die Bedrohungsmodelle des Unternehmens zu ermitteln, indem die wichtigsten Ressourcen, potenzielle Angreifer, Angriffsarten (zum Beispiel Ransomware, Insider-Bedrohungen, Fehlkonfigurationen in der Cloud, Kompromittierungen der Lieferkette usw.) sowie akzeptable Ausfallzeiten definiert werden.

Berücksichtigen Sie sowohl aktuelle als auch geplante betriebliche Ziele und Anforderungen. Im Idealfall sollte ein Cloud-Sicherheitskonzept in schnelle Bereitstellungspipelines integriert sein, Infrastructure as Code (IaC) nutzen. Sprich, sichere Entwickler-Workflows ermöglichen und mit den Automatisierungs- und Skalierbarkeitszielen des Unternehmens im Einklang stehen. Klare Ziele helfen dabei, Architekturentscheidungen zu priorisieren und eine übermäßige Komplexität zu vermeiden.

Bestandteile einer Cloud-Sicherheitsarchitektur

Eine robuste Cloud-Sicherheitsarchitektur integriert Kontrollmechanismen über mehrere Bereiche hinweg. Diese Komponenten müssen zusammenwirken und dürfen nicht isoliert voneinander betrieben werden.

Identitätsschutz

Die erste wichtige Kategorie von Kontrollmechanismen in einem Modell für Cloud-Sicherheitsarchitekturen ist das Identitäts- und Zugriffsmanagement (IAM). Die Identität wird in Cloud-Umgebungen oft als die neue Sicherheitsgrenze betrachtet, da alle Objekte und Dienste über Identitäten verfügen, die auf komplexe Weise miteinander interagieren.

Zu den wichtigsten Kontrollmechanismen in einem IAM-Modell sollten folgende gehören:

• Ein zentraler Identitätsanbieter (IdP).
• Single Sign-On (SSO).
• Multifaktor-Authentifizierung (MFA).
• Phishing-resistente Authentifizierung, wie zum Beispiel. FIDO2 und WebAuthn, insbesondere für privilegierte Benutzer wie Cloud-Administratoren und DevOps-Ingenieure.
• Zugriff mit minimalen Berechtigungen (POLP) durch Just-in-Time-Berechtigungserweiterung, wo dies möglich ist.
• Rollen- und attributbasierte Zugriffskontrolle.
• Management des Lebenszyklus der Identität.

Es ist zudem von entscheidender Bedeutung, nicht-menschliche Identitäten (NHIs) zu verwalten und zu überwachen, darunter Dienstkonten, Zugriffsschlüssel und Tokens, APIs sowie integrierte Automatisierungstools.

Netzwerksicherheit

Die zweite wichtige Kategorie von Cloud-Sicherheitsmaßnahmen konzentriert sich auf die Netzwerksicherheit. Cloud-Netzwerke sind softwaredefiniert und erfordern eine gezielte Konzeption, die sich häufig von der traditionellen Architektur lokaler LAN- und WAN-Netzwerke unterscheidet. Zu den wichtigen Komponenten der Cloud-Netzwerksicherheit gehören:

• Segmentierung mithilfe von virtuellen privaten Clouds, virtuellen Netzwerken und Sicherheitsgruppen.
• Netzwerkzugriffskontrolllisten.
• Zero-Trust-Netzwerkmodelle zur Beschränkung des Cloud-Zugriffs durch Endbenutzer und Administratoren.
• Sichere Outbound-Kontrollen.
• TLS-Verschlüsselung während der Übertragung.
• Konnektivität, wie zum Beispiel AWS Direct Connect, Azure ExpressRoute und andere Punkt-zu-Punkt-Verbindungen, die von Cloud-Anbietern (CSPs) und externen Kommunikationsanbietern angeboten werden.
• Cloud-native Firewalls und Web Application Firewalls.

In modernen Architekturen wird der identitätsbasierte Zugriff zunehmend gegenüber IP-basierten Kontrollen bevorzugt, insbesondere angesichts des rasanten Wandels sowie der Bereitstellung und Entziehung von Ressourcen, die für den Cloud-Betrieb charakteristisch sind.

Datensicherheit

Der Schutz von Daten muss sowohl strukturierte als auch unstrukturierte Daten in Cloud-Umgebungen berücksichtigen. Zu den gängigen Kontrollmaßnahmen gehören unter anderem:

• Datenklassifizierung sowie Kennzeichnung und Tagging.
• Verschlüsselung im Ruhezustand und während der Übertragung.
• Schlüsselverwaltungssysteme, zum Beispiel Schlüsselverwaltungsdienste und Hardware-Sicherheitsmodule.
• Verhinderung von Datenverlusten.
• Management der Datensicherheitslage (DSPM, Data Security Posture Management).
• Zugriffssteuerung und Überprüfung von Zugriffsberechtigungen.
• Validierung von Datensicherung und -wiederherstellung.

Datensicherheit ist am wirksamsten, wenn sie in den Identitätskontext eingebunden wird. In großen und komplexen Cloud-Umgebungen kann dies durch DSPM- und CIEM-Tools (Cloud Infrastructure Entitlement Management) unterstützt werden. Dies gilt insbesondere in Bezug auf den Speicherort der Daten, deren Sichtbarkeit, Zugriffsmöglichkeiten sowie mögliche Angriffs- und Zugriffspfade.

Sicherheit der Workloads

Für die Sicherheit von Workloads und Anwendungen sind häufig mehrschichtige Kontrollmechanismen erforderlich. Bei eher traditionellen Workloads und Anwendungsstacks umfasst dies gehärtete Basis-Images, Laufzeitschutz vor Malware und anderen Exploits, Schwachstellenmanagement sowie die Automatisierung von Patches.

Angesichts der zunehmenden Bedeutung von DevOps und deutlich schnellerer Bereitstellungen müssen Unternehmen neue Arten von Workloads wie Container und serverlose Funktionen berücksichtigen und gleichzeitig CI/CD-Pipelines sowie IaC-Scans absichern. In fast allen Fällen muss die Sicherheit in DevSecOps-Prozesse integriert werden, um eine Verlangsamung der Entwicklung zu vermeiden.

Jedes ausgereifte Design einer Cloud-Sicherheitsarchitektur muss Mechanismen zur Protokollierung, Überwachung und Erkennung vorsehen. Dies, da umfassende Transparenz die Grundlage für erfolgreiche, langfristige Designmuster sowohl im Sicherheits- als auch im Betriebsbereich bildet.

Eine Cloud-Sicherheitsarchitektur sollte die meisten, wenn nicht sogar alle der folgenden Kontrollmaßnahmen umfassen:

• Zentrale Protokollierung, das bedeutet eine SIEM- andere Analyseplattform.
• Cloud-native Protokollierung, beispielsweise AWS CloudTrail, Azure Monitor und so weiter.
• Erweiterte Erkennung und Reaktion (XDR).
• Verhaltensanalyse.
• Integration von Bedrohungsinformationen. (Threat Intelligence)
• Automatisierte Reaktionsworkflows, etwa per SOAR (Security Orchestration, Automation and Response).

Cloud-Protokolle müssen unveränderlich sein, angemessen aufbewahrt und kontinuierlich überwacht werden.

Governance und Richtlinienverwaltung

Bei der Zusammenarbeit mit DevOps-, Cloud-Engineering- und Operations-Teams müssen Sicherheitsarchitekten Governance-Modelle definieren, die Leitplanken für die Bereitstellung, Policy-as-Code und die kontinuierliche Überwachung der Compliance umfassen. Entwurfsmuster sollten Kontrollen und Funktionen enthalten, die die automatisierte Behebung von Fehlkonfigurationen unterstützen.

Auch wenn herkömmliche Modelle zur Änderungskontrolle in schnelllebigen Cloud-Bereitstellungsumgebungen weniger praktikabel sind, ist es dennoch wichtig, Ausnahmen von den Kontrollen zu verfolgen und Zugriffsanforderungen zu validieren. Eine starke Governance gewährleistet Konsistenz über alle Umgebungen hinweg, während die Cloud-Nutzung zunimmt.

Aufbau einer Cloud-Sicherheitsarchitektur

Die Konzeption einer Cloud-Sicherheitsarchitektur ist ein strukturierter Prozess. Hier finden Sie einen grundlegenden Leitfaden für die Entwicklung und Implementierung einer universellen Cloud-Sicherheitsarchitektur. Für bestimmte Technologie-Stacks sind jedoch individuelle Anpassungen erforderlich.

Schritt 1: Bestandsaufnahme und Ausgangsbasis

Um Doppelungen und Wahrnehmungslücken zu vermeiden:

• Erfassen Sie Cloud-Konten, Abonnements und Umgebungen.
• Erfassen Sie kritische Ressourcen und Datenflüsse.
• Dokumentieren Sie bestehende Sicherheitsmaßnahmen.
• Bewerten Sie Reifegradlücken.

Schritt 2. Referenzarchitektur definieren

Erstellen Sie eine Vorlage als Standard für alle Bereitstellungen, die Folgendes umfasst:

• Identitätsflüsse.
• Netzwerksegmentierungsmodell.
• Protokollierungs- und Überwachungswege.
• Data-Protection-Maßnahmen.
• DevSecOps-Integrationspunkte.

Schritt 3. Sicherheitsvorkehrungen treffen

Sicherheitsvorkehrungen verhindern unsichere Konfigurationen in großem Maßstab. In den meisten ausgereiften Cloud-Bereitstellungen wird der Großteil dieser Sicherheitsvorkehrungen (Guardrails) über Infrastructure-as-Code (IaC) implementiert und durchgesetzt.

Anstatt Sicherheitsmaßnahmen erst nachträglich nachzurüsten:

• Setzen Sie IAM-Richtlinien zentral durch.
• Führen Sie eine obligatorische Verschlüsselung ein.
• Konfigurieren Sie die Protokollierung standardmäßig.
• Schränken Sie die öffentliche Sichtbarkeit ein.
• Wenden Sie Secure-by-Default-Vorlagen an.

Schritt 4: Weitgehend automatisieren

Manuelle Kontrollmechanismen lassen sich in Cloud-Umgebungen nicht skalieren. Da Cloud-Umgebungen vollständig softwarebasiert sind und der Zugriff auf Infrastruktur und Dienste sowie deren Steuerung über APIs erfolgt, ist es sinnvoll, automatisierte, softwaregesteuerte Sicherheitskontrollen in die Governance-Modelle zu integrieren.

Automatisierung gewährleistet Konsistenz, reduziert menschliche Fehler und erleichtert die Übertragung von Sicherheitskontrollen an DevOps- und Cloud-Engineering-Teams. Bei jenen können Builds und Pipeline-Abläufe über APIs und Integrationen zahlreiche Kontrollen beinhalten.

Erfahrene Teams betrachten die Architektur von Cloud-Sicherheitsrichtlinien und -Kontrollen unter folgenden Gesichtspunkten:

• Infrastructure as Code (IaC).
• Richtlinien als Code.
• Automatisierte Compliance-Prüfungen.
• Sicherheitsprüfungen bei der kontinuierlichen Integration.
• Automatisierte Playbooks zur Fehlerbehebung.

Schritt 5. Überprüfung durch Tests

Durch die Validierung wird sichergestellt, dass die Architektur wie vorgesehen funktioniert. Zahlreiche Cloud-native Tools und Dienste helfen dabei, Konfigurationsprobleme und Sicherheitsrisiken zu identifizieren, ebenso wie Cloud Security Posture Management (CSPM), CIEM, DSPM und andere Tools.

Überprüfen Sie regelmäßig die Kontrollmechanismen und Entwurfsmuster der Testsicherheitsarchitektur durch:

• Red-Team-Übungen.
• Prüfungen der Cloud-Konfiguration.
• Penetrationstests.
• Simulationen zur Notfallwiederherstellung.
• Tabletop-Übungen und Szenarien zur Bedrohungsmodellierung.

Bewährte Verfahren für eine sichere Cloud-Architektur

Viele Unternehmen arbeiten seit Jahren daran, ihre Sicherheitskonzepte für die Cloud zu verbessern. Auf der Grundlage der Erfahrungen von Unternehmen, die konsequent auf die Cloud setzen, sind hier einige Gestaltungsprinzipien aufgeführt, die beim Aufbau und der Verwaltung eines Cloud-Sicherheitsrahmens berücksichtigt werden sollten.

Ausfallresistente Auslegung

Dieser Grundsatz stützt sich in hohem Maße auf Automatisierung und Rollback-Richtlinien für den Fall, dass etwas nicht wie geplant verläuft. Gehen Sie aus Sicherheitsgründen davon aus, dass Zugangsdaten kompromittiert werden, Fehlkonfigurationen auftreten und Cloud-Dienste ausfallen können.

Planen Sie die Architektur unter Berücksichtigung von Segmentierung, Überwachung und Ausfallsicherheit und stellen Sie sicher, dass automatisierte Ausweichmechanismen genehmigt und eingerichtet sind.

Identitätsorientierte Kontrollen haben Vorrang

Eine strenge Identitätsverwaltung senkt Risiken wirksamer als Perimeterkontrollen. Angesichts der weit verbreiteten Nutzung von IAM in Cloud-Umgebungen ist es von entscheidender Bedeutung, Folgendes zu implementieren:

• Phishing-sichere MFA für den Administratorzugriff.
• Bedingter Zugriff.
• Überwachung privilegierter Identitäten durch native CSP-Kontrollen oder Tools wie CIEM und Cloud-native Anwendungsschutzplattformen.
• Identitätsrisikobewertung, die Teams kontinuierlich über überprivilegierte Rollenzuweisungen und mögliche Angriffspfade auf der Grundlage der Berechtigungsvergabe informiert.

Den Wildwuchs an Tools eindämmen

Vermeiden Sie Überschneidungen bei Sicherheitsplattformen und -tools. Konzentrieren Sie sich auf die Integration und Abdeckung aller genutzten Cloud-Plattformen, auf operative Effizienz bei der Überwachung von Cloud-Sicherheitskontrollen sowie auf eine klare Zuständigkeit für Tools und Plattformen.

Die Verwaltungsebene absichern

Schützen Sie Cloud-Management-APIs, IAM-Rollen und Administratorzugriff, indem Sie eine starke Authentifizierung durchsetzen, Administratorrechte einschränken, administrative Aktionen überwachen und Notfallverfahren für alle Konten und Mandanten einführen.

Eine Kompromittierung der Kontrollebene kann ganze Umgebungen gefährden, und die meisten ausgereiften Cloud-Architekturmodelle nutzen zentralisierte IdP- und SSO-Tools, die ein Zero-Trust-Design, starke MFA sowie strenge Verfahren zur Beobachtbarkeit und Überwachung durchsetzen.

Sicherheit in DevOps integrieren

Sicherheit sollte bei der Entwicklung und Bereitstellung nicht erst im Nachhinein berücksichtigt werden. Beginnen Sie bereits früh in der Pipeline und integrieren Sie Kontrollmechanismen wie Code-Scans, Abhängigkeitsmanagement, Container-Image-Scans, IaC-Validierung und die Verwaltung vertraulicher Daten.

Eine frühzeitige Erkennung senkt die Kosten für die Fehlerbehebung, und diese Kontrollmaßnahmen können integriert, automatisiert und an DevOps- sowie Cloud-Engineering-Teams delegiert werden.

Kontinuierlich überwachen und verbessern

Cloud-Umgebungen verändern sich ständig. Unternehmen sollten ihre Zugriffsrichtlinien regelmäßig überprüfen und die Konfigurationen der Protokollierung kontrollieren, um Sicherheitslücken zu erkennen und darauf zu reagieren. In Abstimmung mit den Teams für Sicherheitsoperationen und Bedrohungsanalyse ist es wichtig, Trends bei Sicherheitsrisiken zu bewerten und die Bedrohungsmodelle entsprechend anzupassen. Die Sicherheitsarchitektur ist kein statisches Gebilde – passen Sie die Kontrollmaßnahmen an, wenn sich die dynamischen Cloud-Bereitstellungsmodelle und Cloud-Dienste ändern.

Mit einer Cloud-Sicherheitsarchitektur modernen Bedrohungen begegnen

Eine Cloud-Sicherheitsarchitektur ist nicht einfach nur eine Ansammlung von Tools. Es handelt sich vielmehr um einen strukturierten Entwurf, der Identitäts-, Netzwerk-, Daten-, Workload- und Governance-Kontrollen zu einem einheitlichen Rahmenwerk zusammenführt. Da Unternehmen zunehmend auf Multi-Cloud- und Hybridmodelle umsteigen, gewinnt eine durchdachte, skalierbare Sicherheitsarchitektur noch mehr an Bedeutung.

Unternehmen, die klare Sicherheitsziele definieren, strenge Sicherheitsvorkehrungen umsetzen, der Identitätssicherung Priorität einräumen, Automatisierung nutzen und ihre Kontrollmechanismen kontinuierlich überprüfen, sind weitaus besser gerüstet, um sich gegen moderne Bedrohungen zu verteidigen. Eine gut durchdachte Cloud-Sicherheitsarchitektur ermöglicht es dem Unternehmen, selbstbewusst innovativ zu sein. Anstatt die Transformation zu verlangsamen, bildet sie die Grundlage für sicheres Wachstum. Cloud-Sicherheit wird nicht durch isolierte Kontrollmaßnahmen erreicht, sondern durch ein durchdachtes Design.

Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.