alice_photo - stock.adobe.com
IT-Sicherheit in Multi-Cloud-Umgebungen vereinheitlichen
Mit einem einheitlichen und automatisierten Security-Management sorgen Sie auch in heterogenen Cloud-Umgebungen für ein hohes Sicherheitsniveau und vermeiden Schwachstellen.
Viele Unternehmen verlagern ihre Prozesse derzeit in die Cloud, gleichzeitig wollen sie aber nicht mehr nur von einzelnen Anbietern abhängig sein. Das führt dazu, dass immer mehr Firmen sich für einen Multi-Cloud-Ansatz interessieren. Ein Verzicht auf die engen Grenzen eines einzigen Providers hat viele Vorteile, sorgt aber auch für neue Herausforderungen.
Das Thema Sicherheit steht an der Spitze oder zumindest weit oben bei den Überlegungen, wenn Unternehmen sich für eine Multi-Cloud-Strategie entschieden haben. So führt der Einsatz mehrerer unterschiedlicher Cloud-Lösungen zwangsläufig zunächst zu einer deutlich höheren Komplexität, da die einzelnen Provider jeweils andere Techniken und Vorgehensweisen verwenden.
Das betrifft unter anderem die Bereiche Authentifizierung, Autorisierung, Support, Monitoring und Warnmeldungen. Natürlich ist es möglich, zum Beispiel eine auf Linux basierende VM (virtuelle Maschine) sowohl unter AWS (Amazon Web Services), Microsoft Azure oder der Google Cloud Plattform zu starten. Jede dieser Plattformen unterscheidet sich jedoch bei der Art wie die virtuellen Maschinen konfiguriert werden, wie auf sie zugegriffen werden kann und welche Anwender über die nötige Autorisierung verfügen, um sie zu nutzen.
Daher ist keine einfache Aufgabe, ein gleichbleibend hohes Sicherheitsniveau in einer verteilten Umgebung aufrecht zu erhalten, ohne über zusätzliche Tools und geeignete Vorgehensweisen zu verfügen. Im Folgenden stellen wir eine Reihe von bewährten Methoden vor, mit denen Sie für sichere Multi-Cloud-Umgebungen sorgen.
Grundlegende Sicherheitsmaßnahmen
Wenn es um die Sicherheit in heterogenen Umgebungen geht, wird im Englischen oft der Begriff Security Parity verwendet. Er bedeutet, dass eine einheitliche Sicherheitsstruktur angestrebt wird, zum Beispiel ein konsistenter und übergreifender Schutz aller Ressourcen in unterschiedlichen Cloud-Umgebungen, also eine Parität. Das gilt auch für alle Endpunkte im Unternehmen sowie alle Server, Geräte und Instanzen. Sicherheitsteams in Firmen, die sich für ein Multi-Cloud-Modell entschieden haben, müssen für einen gleichbleibend hohen Schutz in allen ihren Umgebungen sorgen können.
Das Management der Server ist dabei jedoch nur ein Teil des Puzzles, wenn auch ein bedeutender Aspekt. Eine gleichbleibend hohe Sicherheit hängt auch davon ab, wie Sie auf die verschiedenen Plattformen zugreifen und wofür sie jeweils eingesetzt werden können. Tools und Techniken wie etwa Single Sign-On und ein zentralisiertes Monitoring sind dabei behilflich, zumindest einen Teil der erforderlichen Parität zu erreichen.
Nur unzureichend vereinheitlichte Sicherheitsprozesse gehören zu den größten Problemen, denen IT-Abteilungen mittlerweile gegenüberstehen. Das liegt daran, dass dadurch neue Sicherheitsrisiken entstehen, die im schlimmsten Fall zu einem Datendiebstahl führen. Ein Mangel an einheitlichen Sicherheitsmaßnahmen hat zu einigen der gravierendsten Cyberattacken in den vergangenen Jahren geführt. Ein Beispiel dafür ist der massive Hacker-Einbruch bei Equifax im Jahr 2017.
Das Einspielen eines kritischen Patches oder die Aktualisierung einer unsicheren Richtlinie für eine Konfiguration, die nur bei einem Teil der Umgebung durchgeführt werden kann, ist beinahe so wenig effektiv wie ein kompletter Verzicht darauf.
Auch wenn es entscheidend ist, dass die Sicherheitsmitarbeiter die Bedeutung von einheitlichen Kontrollen und Maßnahmen verstanden haben, müssen sie sich außerdem auch gut mit den zugehörigen Prozessen und Technologien auskennen. Dazu zählen etwa Automatisierung, Container, Transparenz sowie Training. Nur mit ihnen lässt sich garantieren, dass alle in einem Unternehmen verwalteten Umgebungen sicher vor Angriffen sind.
Die Einstellungsverwaltung automatisieren
Wenn es um die konkrete Umsetzung der Maßnahmen zum Schutz Ihrer Multi-Cloud-Umgebung geht, kann eine manuelle Konfiguration zu zahlreichen Problemen führen. Während die Cloud-Infrastruktur eines Unternehmens wächst und wächst, nimmt auch die Zahl der Einstellungen immer mehr zu, die über alle verwalteten Geräte und Dienste getroffen werden müssen.
Das führt über kurz oder lang zu einer Überlastung des IT-Teams. Bei einer hohen Zahl an manuellen Anpassungen der Konfiguration steigt auch die Wahrscheinlichkeit, dass dabei ein Fehler erfolgt. Um fehlerhafte Einstellungen zu vermeiden, sollte die IT-Abteilung den Konfigurationsprozess daher in der gesamten Umgebung automatisieren. Nur so lässt sich eine Parität bei den Sicherheitseinstellungen erreichen.
Auf dem Markt gibt es bereits viele automatisierte Services zum Konfigurationsmanagement. Dazu kommen Infrastructure-as-Code-Dienste, mit denen Sie für übereinstimmende Sicherheitseinstellungen auch über verschiedene Cloud-Provider hinweg sorgen können.
Diese Werkzeuge vereinfachen nicht nur den Konfigurationsprozess, sondern ermöglichen auch einen Aufbau der Infrastruktur, der ohne großen Aufwand mehrfach reproduziert werden kann. Das bedeutet, dass die Mitarbeiter nicht mehr jede einzelne Komponente individuell und bei jedem Provider neu konfigurieren müssen. Stattdessen können sie eine auf Code basierende Konfigurationen zurückgreifen und sie wiederholt nutzen. Auf diese Weise erhalten Sie eine einheitliche Konfiguration in der gesamten IT-Umgebung Ihres Unternehmens.
Die Angriffsfläche mit Containern verringern
Eine weitere Möglichkeit, um für einheitliche Sicherheitsmaßnahmen zu sorgen, ist der Einsatz von Containern. Während Anwendungen zum Konfigurationsmanagement sicherstellen sollen, dass die Host-Systeme nach den geltenden Vorgaben eingerichtet werden können, sorgen Container dafür, dass die Angriffsfläche weiter durch die in einer Art Sandbox untergebrachten Anwendungen und Prozesse sinkt.
Ungeachtet der Frage, bei welchem Provider Sie Ihre Container unterbringen, werden die einzelnen Images dabei immer dieselben sein. Dadurch verschiebt sich das Problem weg von den einzelnen in Containern untergebrachten Anwendungen zum Host-System. Dadurch sinkt auch die Zahl der Abhängigkeiten in einer Umgebung und letztlich damit die allgemeine Angriffsfläche.
Die Transparenz erhöhen
Heutzutage müssen Unternehmen genau wissen, was in ihrer IT-Umgebung geschieht, um für Sicherheit in einer Multi-Cloud sorgen zu können. Selbst äußerst gut vorbereitete Firmen sind jedoch nicht mehr vor Datendiebstählen gefeit. Falls ein Einbruch geschieht, sind die eingesetzten Monitoring-Werkzeuge schnell unverzichtbar, um das Problem so zügig wie möglich zu identifizieren und zu beheben.
Die IT-Abteilung muss genau wissen, was in ihrer Infrastruktur geschieht – unabhängig davon, wo Teile davon gehostet werden. Anwendungen zum Logging und für Analysen erhöhen die Transparenz im Netz. Sie lassen sich auch an unerwartete Situationen anpassen. Das funktioniert ähnlich wie bei Alarmanlagen, die Einbrüche nicht selbst verhindern können. Aber sie sind sehr hilfreich, um die Einbrecher schneller wieder loszuwerden.
Sie können Open-Source-Tools wie den ELK-Stack von Elasticsearch, Logstash und Kibana oder Prometheus zusammen mit Grafana verwenden, um Ihre Log-Dateien zentral aufzubewahren. Außerdem gibt es auch im kommerziellen Bereich gute Alternativen wie Splunk, LogRhythm und Loggly.
Konsequente Ausbildung ist wichtig
Werkzeuge sind nur so wertvoll wie die Menschen, zu deren Schutz sie eingesetzt werden. Der Umgang mit Menschen ist in der IT-Sicherheit bereits eine große Herausforderung, wenn es nur um eine einzelne Cloud-Umgebung geht.
Eine Erweiterung auf mehr als nur einen Provider erhöht die Risiken weiter. Angemessene und an die jeweilige Umgebung angepasste Schulungen der Mitarbeiter und Cloud-Nutzer sind deshalb ein wichtiger Schritt, um einheitliche Sicherheitsmaßnahmen durchsetzen zu können.
Unabhängig davon, wie viel Automatisierung und Monitoring Sie bereits einsetzen, verwendet jeder Cloud-Provider eigene Methoden bei der Absicherung seiner Services. Bieten Sie daher Schulungen für alle Ihre Mitarbeiter an, die mit diesen Diensten arbeiten sollen. Nur so verstehen und beachten sie die jeweiligen Risiken und Einschränkungen, die mit den einzelnen Cloud-Lösungen zusammenhängen. Letztlich erhöhen Sie damit die Sicherheit Ihrer gesamten Multi-Cloud-Umgebung.
Bei Zweifeln immer wieder von vorne anfangen
Sicherheit ist ein nie endender Prozess und nicht nur eine vergleichsweise simple Checkliste, die Sie nach und nach abhaken können. Natürlich hängt viel davon ab, es richtig zu machen. Nichtsdestotrotz erreichen Sie mit wiederholten Durchläufen weit mehr, wenn Sie für einheitliche Sicherheitsmaßnahmen sorgen wollen.
Der Einsatz einer kommerziellen Plattform zum Konfigurationsmanagement ist bereits ein guter Start. Auf lange Sicht gesehen werden Sie aber feststellen, dass Sie mit einem robusten Werkzeug für Infrastructure-as-Code weit mehr Möglichkeiten haben, die Konfiguration Ihrer Systeme zu kontrollieren. Es ist jedoch völlig in Ordnung, zunächst mit kleinen Schritten zu starten und die getroffenen Maßnahmen dann sukzessive zu erweitern.
