Tipps für ein sicheres Monitoring in Multi-Cloud-Umgebungen

Typische Sicherheitsrisiken in Multi-Cloud-Umgebungen

Es treten immer Risiken auf, wenn sich ein Unternehmen für die Nutzung von Cloud-Diensten entscheidet. Das gilt insbesondere dann, wenn dabei auch sensible Systeme und vertrauliche Daten in die Cloud transferiert werden sollen. Egal, um welchen Cloud Service Provider (CSP) es sich handelt, trifft diese Feststellung zu. Die Risiken erhöhen sich allerdings noch, wenn mehrere CSPs genutzt werden, egal ob nebeneinander oder direkt miteinander.

Ein paar Beispiele für Risiken in Multi-Cloud-Umgebungen:

• Durch die erhöhte Komplexität der Systeme entsteht eine vergrößerte Angriffsfläche. In vielen Fällen vereinfacht die Cloud durchaus manche Aktivitäten und Deployments, sie bringt aber auch neue Technologien und zusätzliche Oberflächen mit sich, die ebenfalls gesichert werden müssen. Bei der Nutzung mehrerer Cloud-Umgebungen kann sich das Risiko deswegen erheblich erhöhen.
• Wegen dem erschwerten Schutz von Daten in Multi-Tenant-Umgebungen entstehen neue Risiken. In jeder Multi-Tenant-Umgebung, die sich ein Unternehmen mit anderen Mietern teilt, entstehen zusätzliche Risiken durch die Aktivitäten der anderen Teilnehmer. Diese Gefahr existiert in allen Cloud-Umgebungen.
• Die Umgebungen unterschiedlicher CSPs sind in der Regel nicht kompatibel miteinander. Bei nahezu jedem Cloud-Anbieter besteht das Risiko, sich komplett an ihn binden zu müssen. So ist etwa Microsoft Azure nicht direkt vereinbar mit der Google Cloud Platform (GCP), die wiederum nicht kompatibel mit Amazon Web Services (AWS) ist. Das gilt zudem auch für die meisten Tools von Drittanbietern und Lösungen, die oft nur für eine einzige Cloud-Umgebung entwickelt wurden.
• Es treten Konflikte bei Richtlinien auf. Nahezu alle Cloud-Anbieter verwenden eigene, zum Teil selbst entwickelte Lösungen für zum Beispiel Identity and Access Management (IAM) oder ihre Zugangskontrollen zum Netzwerk. Das Erarbeiten von Richtlinien, die gleich für mehrere Cloud-Umgebungen gelten sollen, ist deswegen eine der größten Herausforderungen.
• Es entsteht ein Verlust der Kontrolle durch den Kunden, wenn etwa Ressourcen und Daten durch den Provider migriert werden. Abhängig von den genutzten Cloud-Modellen, den individuellen Regelungen des Providers und in Anbetracht des Shared-Responsibility-Models (geteilte Verantwortlichkeit) kann es vorkommen, dass ein Unternehmen die Kontrolle über seine Deployments zumindest zum Teil oder auch komplett verliert. So reduziert etwa die Migration zu einem Dienst wie AWS Fargate die Kontrollmöglichkeiten über die Container eines Unternehmens. Das gilt auch für ein Management der Container per Orchestrierung.
• Es ist mit einem Mehraufwand beim Management zu rechnen. Jede Cloud-Umgebung benötigt zu ihrem Betrieb nicht nur spezielle Fähigkeiten beim Team, sondern auch die Bereitschaft der Mitarbeiter zu lernen, wie die Infrastruktur und die darin untergebrachten Systeme sicher eingerichtet und gemanagt werden können. Gerade wenn mehrere Cloud-Dienste genutzt werden sollen, benötigt ein Unternehmen dafür zusätzliche Kenntnisse und ein intensiviertes Training.

Eine sichere Strategie zum Monitoring der Multi-Cloud-Umgebung aufbauen

Aus Sicht der IT-Security kann es in einer Multi-Cloud-Umgebung schnell zu einer Art Zersplitterung kommen. Der wichtigste Punkt für eine sichere Architektur und einen geschützten Betrieb von Multi-Cloud-Umgebungen ist deswegen das Thema Zentralisierung.

Die für die Absicherung zuständigen Mitarbeiter sollten zentral einsetzbare Tools und Kontrollmöglichkeiten verwenden, um sowohl das Monitoring als auch die Transparenz zu erhöhen. Das kann auch dazu führen, dass neue Werkzeuge beschafft und neue Vorgehensweisen entwickelt werden müssen. Die im Folgenden beschriebenen drei Strategien eignen sich besonders dafür, die Sicherheitsrisiken in Multi-Cloud-Umgebungen zu verringern:

1. Aktivieren Sie das zentrale Logging in jeder der von Ihnen genutzten Cloud-Lösungen. Je nach Anbieter nennen sich die Funktionen AWS CloudTrail, Azure Activity Log beziehungsweise Azure Monitor und GCP Operations. Im nächsten Schritt sollte das Security-Team die gesammelten Ereignisse in eine Cloud-fähige SIEM-Lösung (Security Information and Event Management) oder eine andere passende Anwendung integrieren. Geeignete Lösungen sind etwa Azure Sentinel oder Sumo Logic. Aufgrund ihrer leichten Integrierbarkeit und ihrem breiten Cloud-Support werden sie zunehmend beliebter.

Durch die Konzentration auf Logging sowie zentrale Dienste und Tools zum Scannen und Überwachen einer Multi-Cloud-Umgebung können die Sicherheits-Teams eine in sich stimmige und zugleich nachhaltige Strategie zu ihrem Schutz entwickeln.

2. Erwägen Sie den Einsatz von CSPM (Cloud Security Posture Management). Diese Tools und Services überwachen eine Vielzahl von verschiedenen Bereichen in heterogenen Cloud-Umgebungen. Die Idee dahinter ist, zunächst eine Policy zu definieren, die einen gewünschten Zustand oder eine gewünschte Konfiguration für die Cloud-Infrastruktur beschreibt, bevor Sie überhaupt damit beginnen, den gerade aktuellen Stand zu überwachen. Mit einem CSPM können zum Beispiel die folgenden Probleme aufgedeckt werden:

• Es wurde keine Verschlüsselung für den Cloud-Storage oder die Datenbanken aktiviert;
• sensible Daten werden bei der Übertragung nicht durch Verschlüsselung geschützt;
• es existiert kein zuverlässiges Schlüsselmanagement, so dass noch veraltete oder unbrauchbare Schlüssel im Einsatz sind;
• die IAM-Richtlinien sind nur mangelhaft und halten sich nicht an das Prinzip der geringsten benötigten Rechte;
• es finden sich aktive Admin-Accounts mit erweiterten Rechten, für die keine zwingend vorgeschriebene Multifaktor-Authentifizierung eingerichtet wurde;
• es gibt keine oder nur unzureichende Zugangskontrollen für das Netzwerk;
• es finden sich mehr oder weniger frei zugängliche Datenspeicher wie zum Beispiel öffentliche S3 Buckets und
• es wurde nie ein minimales oder sogar gar kein Logging innerhalb der Cloud-Umgebung aktiviert.

3. Zentralisieren Sie darüber hinaus auch Ihre Scans nach Schwachstellen und Ihre Lösungen zur Endpoint-Security. Insbesondere Tools, die nicht nur in unterschiedlichen Cloud-Umgebungen eingesetzt werden können, sondern die ihre Ergebnisse auch an eine zentrale Konsole übertragen können, sind ideal, um die zum Monitoring benötigten Dashboards und Prozesse auf dem aktuellen Stand zu halten.

Damit lassen sich dann in der Regel alle Cloud-Systeme, die ein Unternehmen nutzt, kontrollieren. In den vergangenen Jahren wurde eigens eine neue Kategorie von Werkzeugen zur Cloud-Kontrolle entwickelt, die unter dem Begriff Cloud Workload Protection Platforms (CWPPs) zusammengefasst wird.

Ein CWPP schützt die in der Cloud untergebrachten Workloads vor Angriffen, indem es unter anderem auf Techniken aus den Bereichen Netzwerksegmentierung, System Integrity Protection sowie Application Control, Verhaltensüberwachung, Host-basierte Intrusion Prevention und optional auch auf Anti-Malware-Lösungen setzt. In vielen Fällen bieten die Hersteller in diesem Bereich auch Funktionen für Zero Trust, Mikrosegmentierung sowie Endpoint Detection and Response (EDR) an.

Durch die Konzentration auf Logging sowie zentrale Dienste und Tools zum Scannen und Überwachen einer Multi-Cloud-Umgebung können die Sicherheitsteams eine in sich stimmige und zugleich nachhaltige Strategie zu ihrem Schutz entwickeln. Damit werden dann auch auftretende Probleme und sicherheitsrelevante Vorfälle schneller erkannt und behoben. Außerdem wird durch die Integration in eine übergreifende IT-Sicherheitsstrategie über kurz oder lang ebenfalls die Verwaltung der Cloud-Lösungen erleichtert.