nobeastsofierce - Fotolia

Segmentierte Cloud-Abläufe gezielt absichern

Mikrosegmentierung koppelt Sicherheitsrichtlinien an Aufgaben statt an Infrastruktur. Gute Voraussetzungen, um dynamische Cloud-Services abzusichern.

Ein beliebte Aussage ist, dass die aktuellen IT-Umgebungen in Unternehmen immer komplexer werden, immer stärker verknüpft sind und sich immer schwerer gegen Attacken absichern lassen. Es gibt einige Dinge, die diese Annahme unterstützen – und die meisten geschehen zeitgleich in vielen Organisationen.

Zunächst einmal befindet sich die Rechenzentren selbst in einem Zeitraum der Umstellung. Das Paradigma vom Software-defined Data Center erlaubt die Abstrahierung von allem, von Netzwerk über Speicher bis hin zu Rechenleistung. Aufgaben lassen sich nun nahtlos bewegen oder dynamisch anpassen und optimieren, je nachdem, wie die aktuellen Anforderungen sind. Zudem sind Optimierungen in den unterschiedlichsten Situationen möglich. Von der Planung bis zur Umsetzung benötigen diese Prozesse nur wenig Zeit.

Immer mehr Organisationen setzen zudem auf Cloud-basierte Ressourcen. Das fügt allerdings eine weitere, komplexe Ebene hinzu. Viele Angebote werden als Infrastructure as a Service von Drittherstellern bezogen und in die bereits komplizierte eigene Umgebung integriert, oftmals um Probleme dynamisch zu beheben. Dazu kommt eine rapide Integration verschiedener Container-Lösungen wie Docker oder Rocket. Beide sind sowohl in Rechenzentren wie auch in Cloud-Diensten zu finden. Sicherheitsprofis erhalten so eine Mischung aus verschiedensten Cloud-Systemen und -Arbeitsumgebungen, die irgendwie abgesichert werden müssen.

Wie immer gilt auch in dieser flexiblen und beweglichen Umgebung das „Gesetz der ungewollten Konsequenzen“. In der Vergangenheit haben sich viele Sicherheitsprogramme auf Kontextinformationen verlassen um die notwendigen Gegenmaßnahmen zu definieren und zu entscheiden, welche Maßnahmen eingesetzt werden. Muss eine Organisation etwa die PCI-DSS Compliance-Vorgaben erfüllen, müssen verschiedene Kontrollen implementiert werden, die genau definieren, wo und wie die Daten der Kartenbesitzer gespeichert, verarbeitet und übertragen werden. Eine andere Firma setzt etwa Gegenmaßnahmen wie Intrusion Detection, Sensoren, Netzwerküberwachung, Proxies oder andere relevante Abwehrmaßnahmen dort ein, wo sie physisch angesiedelt sind.

Was passiert aber, wenn die darunterliegende Struktur im Fluss ist? Sobald sich die Umgebungen dynamisch ändern, können Sicherheitsmaßnahmen reagieren und ihre Abwehrstrategie an die neuen Konditionen anpassen? Genau darin besteht die Herausforderung.

Mikrosegmentierung und Cloud-Aufgaben

Eine Strategie die hier einen potentiellen Vorteil bietet, ist die Mikrosegmentierung. Die Idee dahinter ist, dass sich abstrakte logische Gruppen definieren lassen die wiederum festlegen, wie Sicherheitsrichtlinien in bestimmten Cloud-Systemen genutzt werden. Anders gesagt, das Unternehmen kann eine Cloud-Aufgabe einer Gruppe zuweisen und anschließend definieren, welche Sicherheitsrichtlinie auf diese Gruppe angewandt wird. Das bedeutet, dass die Sicherheitsvorgaben an dieser Gruppe „kleben“, egal wo die eigentliche Aufgabe ausgeführt wird und was sich in der Umgebung befindet. Dadurch kann die eigentliche Cloud-Aufgabe (statt der Architektur) definieren, wie sich das System verbindet, welche Gegenmaßnahmen eingesetzt werden und sogar ob etwaige im Hypervisor implementierten Sicherheitsfunktionen genutzt werden.

Es gibt ein paar direkte Vorteile, wenn dieser Ansatz genutzt wird. Wird die Sicherheitsrichtlinie direkt mit der zu erledigenden Aufgabe gekoppelt bleiben die Sicherheitskontrollen immer aktuell und können stets auf Bedrohungen reagieren, egal auf welchem System die Aufgabe abgearbeitet wird. Zweitens bedeutet, dass das falls die allgemeine Sicherheit kompromittiert wird, noch eine zusätzliche Schutzschicht rund um die eigentliche Aufgabe besteht. Das kann potentiell verhindern, dass sich ein Angreifer im Unternehmen bewegen und weitere Systeme übernehmen können.

Zuletzt können sicherheitsrelevante Änderungen dynamisch durchgeführt werden, je nachdem, wie sich die aktuelle Lage gerade darstellt. Tauchen beispielsweise neue Attacken oder Angriffswege auf, betreffen diese potentiell nur einen kleinen Teil der Systeme. Einmal analysiert lassen sich die notwendigen Änderungen schnell und dynamisch auf die jeweils betroffenen Bereiche anwenden.

Mikrosegmentierung vorbereiten

Die Vorteile einer Mikrosegmentierung sind von einem Sicherheitsblickwinkel her verlockend. Und in der Tat können diese Ansätze ein wichtiges Werkzeug im Arsenal eines Sicherheitsprofis werden. Die meisten IT-Spezialisten können zahlreiche Beispiele nennen, bei denen sich es lohnt, die Systeme intern zu segmentieren um unterschiedliche Sicherheitszonen zu erzeugen. Wer so etwas aber einmal probiert hat, der weiß selbst, wie kompliziert sich diese Lösungen aufsetzen lassen.

So praktisch wie Mikrosegmentierung ist, einige Dinge sollte man dennoch beachten: Zunächst benötigen diese Lösungen Planung und Analyse. Genau gesagt geht es darum, exakt zu verstehen, welche Rolle, Aufgabe und Funktion welches System im Unternehmen erfüllt. Das beinhaltet auch unternehmenskritische Applikationen – und Arbeitsaufgaben, zudem muss klar sein, wie die verschiedenen Bereiche miteinander interagieren. Das ist nicht nur als Referenz für die Erstellung der jeweiligen Gruppen wichtig, an die die Sicherheitsrichtlinien später gekoppelt werden sollen. Es muss auch klar sein, dass es keine negativen Auswirkungen aufs Unternehmen gibt, etwa ungewollte Ausfälle kritischer Systeme. Um eine Mikrosegmentierung effektiv zu planen, müssen IT-Teams in der Lage sein, die komplette Infrastruktur abzubilden und die Interaktion zwischen den verschiedenen Komponenten genau analysieren und dokumentieren.

Zudem ist es wichtig, dass Techniken mit in die Planung einbezogen werden, die oberhalb der virtuellen OS-Instanz angesiedelt sind. Ein Beispiel wäre etwa ein virtuelles Image, das innerhalb eines Docker-Stacks virtualisiert betrieben wird. Es sind zwei Ebenen an Abstraktion am Werk: Das virtuelle Betriebssystem und der Docker-Container. Die Segmentierungsregeln, die das Sicherheitsteam etabliert, müssen solche zusätzlichen virtualisierten Systeme mit einbeziehen, die im Moment laufen. Es kann allerdings etwas schwierig sein, wenn Systeme künftig andere Container ausführen sollen. Dabei kann es durchaus Sinn machen, wenn die Regeln für Segmentierung an die jeweils ausgeführten Container-Systeme gekoppelt werden.

Viele empfehlen einen sogenannten Zero-Trust Ansatz bei der Implementierung. Das bedeutet, dass bei der Umsetzung die restriktivsten Beschränkungen für Verbindungen genutzt werden. Erlaubt sind lediglich kritische und absolut notwendige Kommunikationen zwischen den Hosts. Die Idee ist, dass möglichst wenig Informationen übertragen werden und dennoch die Geschäftstätigkeit optimal ausgeführt werden kann.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close