Cloud-Sicherheit: Die Anzahl der eingesetzten Tools prüfen

Das Problem mit einer zu hohen Anzahl von Tools

Eine Umfrage von Palo Alto Networks aus dem Jahr 2023 ergab, dass ein durchschnittliches Unternehmen mehr als 30 Sicherheits-Tools einsetzt, von denen sechs bis 10 auf die Cloud-Sicherheit ausgerichtet sind.

Der Einsatz so vieler Instrumente kann zu Lücken in der Abdeckung und zu Schwachstellen in den folgenden Bereichen führen:

• Updates. Ob Cloud-zentriert oder nicht, jede Software erfordert im Laufe der Zeit Aktualisierungen und Konfigurationsänderungen. Cloud-Dienste ändern sich häufig, und viele Sicherheits-Tools müssen aktualisiert werden, um mit den Änderungen der Anbieter Schritt zu halten. Dies kann zu Ausfällen, Inkompatibilitätsproblemen und Leistungseinbußen führen.
• Risiken von Drittanbietern. Ein wesentlicher Unterschied bei Cloud-Sicherheits-Tools ist die Notwendigkeit einer tiefgreifenden Integration zwischen den Dienstanbietern, häufig über APIs. Cloud-basierte Sicherheitsdienste weisen zahlreiche Integrationspunkte und Abhängigkeiten von anderen Anbietern auf, wodurch die Risiken von Dritt- und sogar Viertanbietern noch größer werden. Da sich Angreifer heute auf Anbieter und Lieferanten konzentrieren, müssen Sicherheitsteams, die von mehreren Anbietern abhängig sind, eine größere Angriffsfläche verwalten.
• Operative Abdeckung. Je mehr Werkzeuge und Dienste eingesetzt werden, desto mehr Fähigkeiten und operative Abdeckung sind erforderlich. Dies bereitet den Sicherheitsteams häufig Kopfzerbrechen. Die Konsolidierung und Begrenzung der Anzahl der verschiedenen Anbieter und Dienste kann die täglichen Standardbetriebsverfahren sowie die Überwachung und Reaktionsfähigkeit verbessern.
• Alarmmüdigkeit (Alert Fatigue). Die Flut von Warnmeldungen aus verschiedenen Cloud-Sicherheits-Tools kann Sicherheitsteams überfordern und es ihnen schwer machen, untersuchungswürdige Warnmeldungen von Rauschen und Fehlalarmen zu unterscheiden.

Wie man aktuelle Implementierungen bei Cloud-Security-Tools bewertet

Bei der Überprüfung ihres aktuellen Bestands an Cloud-Sicherheitsprodukten - insbesondere für PaaS- und IaaS-Implementierungen - sollten sich Unternehmen auf die wichtigsten und häufigsten Anforderungen und Funktionen konzentrieren. Dazu gehören die folgenden:

• Datei- und Workload-Sicherheit. Priorisieren Sie eine starke Überwachung der Dateiintegrität und Workload-zentrierte Funktionen zum Schutz von Daten und Dateien.
• Integration. Stellen Sie sicher, dass Cloud- Sicherheits-Tools mit Funktionen für Bedrohungsmanagement, Schwachstellenmanagement und Reputationsberichte für Images und Anwendungskomponenten integriert sind und diese unterstützen.
• Cloud-Sicherheitsfunktionen. Achten Sie bei allen großen Cloud-Anbietern auf eine starke Erkennung und Behebung von Sicherheitslücken in der Cloud (Cloud Security Posture Management, CSPM), sowohl in Laufzeitumgebungen als auch in der Infrastruktur als Code (IaC).
• Vorfallmanagement. Zu den Schlüsselfunktionen eines jeden Cloud-Sicherheitsdienstes gehören die Erkennung in Echtzeit, eine schnelle und flexible Reaktion sowie die Sammlung von Beweisen.
• Unterstützung der Orchestrierung. Orchestrierungsfunktionen, insbesondere für Dienste wie Kubernetes, sind für viele Teams beim Ausbau ihrer Bereitstellungen von entscheidender Bedeutung.

Zu berücksichtigende Cloud- Sicherheits-Tools

Viele Cloud-Sicherheitskontrollen und -konfigurationen sind mit zunehmender Reife zu einer einzigen Plattform oder Service-Fabric verschmolzen. Dies hat den Bedarf an mehreren Tools weiter reduziert, da einige redundant wurden. Mit Kontrollen, die die Pipeline, die Workload-Sicherheit, die Konfiguration der Cloud-Umgebung, IaC-Vorlagen, die Laufzeit und vieles mehr abdecken, entwickeln sich Cloud-Tools und -Services zu einem viel stärker konsolidierten Satz von Produkten und Plattformen.

Die primäre Tool-Kategorie, die viele dieser Anforderungen erfüllt, sind Cloud-native Anwendungsschutzplattformen (CNAPP, Cloud-native Application Protection Platform). CNAPPs vereinen Cloud Access Security Broker (CASB), CSPM (Cloud Security Posture Management), Cloud Workload Protection Platforms (CWPP) und DevOps Pipeline Security Controls in einer Plattform.

Dieses Modell eignet sich für viele Anwendungsfälle, deckt aber nicht immer die Endnutzerseite der Cloud ab, nämlich die Nutzer, die auf SaaS-Plattformen zugreifen. In diesen Fällen benötigen Unternehmen möglicherweise einen speziellen SaaS-Sicherheitsdienst, wie beispielsweise SaaS Security Posture Management (SSPM) - ein Instrument, das erst noch in CNAPPs integriert werden muss.

Ebenso decken CNAPPs nicht den Zugriff von Endbenutzern auf die Cloud und das Internet ab - man denke nur an die klassische Proxy-Funktionalität vor Ort -, die jetzt von ZTNA-Tools abgedeckt (Zero Trust Network Access) wird. Diese beginnen ebenfalls zu konvergieren, aber es ist nicht ungewöhnlich, dass ZTNA-, CNAPP- und SSPM-Produkte in einem Netzwerk koexistieren.

Obwohl dies die heutigen Konsolidierungstrends sind, sollten Sie die Cloud-nativen Angebote der jeweiligen Cloud-Anbieter nicht außer Acht lassen. Die Vorteile der Cloud-Protokollierung und -Überwachung, der Netzwerk- und Identitätszugriffskontrollen und anderer spezifischer Dienste, wie beispielsweise dem Schutz vor Datenverlusten, sind immens, sofern sie verfügbar sind. Diese lassen sich nicht über Clouds hinweg skalieren und sind daher eher selektiver Natur.

Obwohl dies die aktuellen Konsolidierungstrends sind, sollten Sie die Cloud-nativen Angebote der jeweiligen Cloud-Anbieter nicht außer Acht lassen. Die Vorteile der Cloud-Protokollierung und -Überwachung, der Netzwerk- und Identitätszugriffskontrollen und anderer spezifischer Dienste, wie beispielsweise dem Schutz vor Datenverlusten, sind immens, sofern sie verfügbar sind. Diese lassen sich nicht über Clouds hinweg skalieren und sind daher eher selektiver Natur.

Wenn Sie ein Projekt zur Konsolidierung der Cloud-Sicherheit in Angriff nehmen, sollten Sie unbedingt die Anwendbarkeit in mehreren Clouds in Betracht ziehen. Schauen Sie sich die Roadmaps und Abdeckungsmodelle der Anbieter an, um herauszufinden, wo Ihr Unternehmen mehr Kontrollen mit weniger unterschiedlichen Produkten ermöglichen kann.