Prinzip und Kontrollen für Cloud-native Architekturen

Die Grundlagen einer Cloud-nativen Sicherheitsarchitektur

Es gibt eine Reihe von zentralen Prinzipien, die Unternehmen beachten sollten, wenn sie eine Cloud-basierte Sicherheitsarchitektur erstellen wollen:

• Integrieren Sie Sicherheitsmaßnahmen auf jeder Ebene. Eine sorgfältig in der Tiefe gestaffelte Verteidigung wird auch für die Cloud benötigt. In der Praxis erweist sich ein mehrstufiges Verteidigungsmodell als effektiver als eines, bei dem nur einige wenige Ebenen mit Sicherheitskontrollen eingeführt wurden. Ein in sich zusammenhängendes Security-Framework sorgt dafür, dass eine stimmige Kombination aus präventiven, aufklärenden und reaktionsbasierten Maßnahmen und Fähigkeiten aufgebaut werden kann.
• Nutzen Sie die Vorteile modularer Objekte und Elemente. In einem rein Cloud-basierten Modell müssen die Security- und Cloud-Engineering-Teams wiederverwendbare Richtlinien und Vorgaben für die Sicherheit im Netzwerk, für Identity and Access Management (IAM) sowie für Konfigurationen ihrer Workloads definieren. Diese müssen dann für alle Images und Package-Repositories gelten.
• Entwerfen Sie ein Design, das zugleich widerstandsfähig ist und auch dynamisch auf Fehler reagieren kann. Da die Cloud grundsätzlich ein programmierbares und flexibles Gebilde ist, lassen sich Sicherheitsmaßnahmen, die fehlerhaft implementiert wurden oder die nicht wirksam sind, auch wieder automatisch beheben. So kann sichergestellt werden, dass die Umgebungen auf Dauer sicher und erreichbar bleiben.
• Erstellen Sie eine flexible Architektur. Cloud-Umgebungen sind nur in äußerst wenigen Fällen rein statisch. Die in ihnen untergebrachten Assets und Workloads ändern sich in der Regel sogar andauernd. Das bedeutet aber, dass die Security- und Engineering-Teams sehr schnell skalieren müssen, wenn sich Assets oder ihre Nutzung verändern. Praktischerweise gibt es in allen größeren Cloud-Umgebungen automatisch skalierende Fähigkeiten. Sie verhindern, dass es zu Performance-Einbußen oder gar Ausfällen kommt.

Cloud-native Sicherheitsmaßnahmen

Durch das Umsetzen der beschriebenen Prinzipien können Sicherheitsteams eine starke Cloud-basierte Sicherheitsarchitektur entwerfen, die die folgenden kritischen Bereiche abdeckt:

• Netzwerksicherheit – Der Bereich Netzwerksicherheit in einer Cloud-nativen Architektur muss die elementaren Zugangskontrollen zum Netzwerk wie zum Beispiel die Firewall-Regeln, die Sicherheitsgruppen in AWS (Amazon Web Services), Netzwerksicherheitsgruppen in Microsoft Azure oder Firewall-Regeln für virtuelle private Cloud-Umgebungen in der Google Cloud Platform sowie Log-Daten über die Datenflüsse im Netzwerk umfassen. Wo immer es möglich ist, wird auch die Nutzung von Network Mirroring empfohlen, um kontinuierlich Traffic-Daten an dafür geeignete Monitoring-Systeme zu senden.
• IAM – In vielerlei Hinsicht sind IAM-Regeln das wichtigste Element einer zentral organisierten Sicherheitsarchitektur für die Cloud. Jedes Asset und jeder Dienst erhalten eine eigene Identität. IAM-Regeln legen zusätzlich fest, welche Services und Assets miteinander kommunizieren dürfen. Auch Richtlinien für Nutzer- und Service-Accounts sind unverzichtbar.
• Datensicherheit – Weil Cloud-Bereitstellungen unterschiedlichste Arten von Storage nutzen können, unter ihnen Datenbanken sowie Techniken wie Blob Storage und Data Lakes, gehört auch das Umsetzen einer Verschlüsselungsstrategie zu den essenziellen Aufgaben, die in allen Cloud-Umgebungen erledigt werden müssen. Alle größeren Cloud Provider bieten deshalb eigene Lösungen zum Management der Schlüssel und Möglichkeiten zum Speichern der Secrets an. Dieser Bereich ist für alle Cloud-basierten Sicherheitsarchitekturen auch unverzichtbar. Stellen Sie dabei aber sicher, dass Sie unter anderem Regeln für die Rotation der Schlüssel sowie für Berechtigungen und das Logging der Updates festlegen. Die meisten Cloud-Storage-Lösungen unterstützen ebenfalls Verschlüsselung. Das macht es immer einfacher, für eine grundlegende Sicherheit Ihrer Daten zu sorgen. Sofern erweiterte Funktionen wie Cloud Data Discovery zum Aufspüren wichtiger Daten und moderne Monitoring-Dienste verfügbar sind, sollten sie ebenfalls aktiviert werden.
• Workload-Sicherheit – Sie basiert auf vorbereiteten Images für die eingesetzten virtuellen Maschinen und/oder Container. Dazu kommen vorher gründlich geprüfte Package-Listen sowie Definitionen in Repositories, die für den Einsatz in Containern und anderen Cloud-basierten Workloads benötigt werden. In der Regel müssen diese Vorgaben häufig aktualisiert werden. Images und Definitionen für die Packages benötigen zudem Identifikationsmöglichkeiten für ihre Nutzung in der Cloud. So können sie leichter überwacht und kontrolliert werden.
• Monitoring und Intrusion Detection – Alle größeren Cloud-Umgebungen sind heutzutage in der Lage, API-Anfragen zu protokollieren. Dazu wurden Lösungen wie AWS CloudTrail, Azure Monitor sowie die Operations Suite von Google (früher Stackdriver) entwickelt. Sie sollten auch tatsächlich aktiviert werden, damit Logs und Events zu allen API-basierten Ereignissen an die jeweilige zentrale Monitoring-Plattform geschickt werden können. Viele Provider bieten zusätzlich spezielle Dienste wie Amazon GuardDuty, das Azure Security Center oder das Google Cloud Security Command Center an. Diese Werkzeuge ermöglichen noch einmal einen tieferen Einblick in verdächtige und schädliche Aktivitäten in der Cloud.
• Schwachstellenmanagement – Sofern sie verfügbar sind, sollten Fähigkeiten aus dem Bereich Schwachstellenmanagement auch aktiviert werden. Diese Dienste scannen nicht nur nach Sicherheitslücken, sondern bieten auch Validations-Möglichkeiten an. Ein bekanntes Tools aus diesem Bereich ist der Amazon Inspector zum Scannen von Workloads. Andere Lösungen prüfen die in der Amazon Elastic Container Registry untergebrachten Images.

Fazit

Es ist nicht möglich, an dieser Stelle alle Möglichkeiten der neuen Cloud-basierten Sicherheitsarchitekturen zu beschreiben. Die vorgestellten Bereiche gehören aber zu den wichtigsten. Auf sie sollten Sie sich daher zunächst konzentrieren.

Um die vorgestellten Sicherheitsmaßnahmen umzusetzen, sollten sich IT-Teams Tools wie die Open-Source-Lösung Terraform näher ansehen. Mit ihr lässt sich ein Einstieg in eine zentralisierte und Cloud-agnostische Infrastruktur durchführen. Dabei spielt auch Infrastructure as Code (IaC) eine große Rolle. Die Security- und Cloud-Engineering-Teams in den Unternehmen sollten eng zusammenarbeiten, um als Erstes alle erforderlichen Sicherheits- und Kontrollmaßnahmen zu definieren. Anschließend können Begrenzungen eingerichtet, IaC-Kontrollen festgelegt und andere Mechanismen bestimmt werden, die dann in Zukunft kontinuierlich überwacht werden müssen.