Maksim Kabakou - stock.adobe.com
Wie lässt sich Zero Trust für Cloud-Workloads umsetzen?
Das Umsetzen des Zero-Trust-Prinzips kann schon in lokalen Umgebungen eine Herausforderung sein. Eine Zero-Trust-Strategie für die Cloud hat noch weitere Anforderungen.
Der Begriff „Zero Trust” wird heute in unterschiedlichen Zusammenhängen verwendet. Ein häufig genutzte steht im Zusammenhang mit Netzwerken und konzentriert sich auf Ports, Netzwerk-Traffic und Anwendungsverhalten. Damit ein netzwerkorientiertes Cloud-Zero-Trust-Modell, das sich auf Verhalten und Richtlinien setzt, implementiert werden kann, müssen sich Sicherheitsteams auf folgende Punkte konzentrieren:
- Die Sicherheit muss in die Workloads selbst integriert werden. Damit bewegt sie sich im Falle eines Falles mit den Instanzen und Daten mit. Beispielsweise beim Wechsel zwischen unterschiedlichen Cloud-Umgebungen.
- Es ist notwendig, über gute Informationen und Kenntnisse hinsichtlich des tatsächlichen Verhaltens der Anwendungen und Dienste zu verfügen. Und auch die Beziehungen zwischen Systemen und Anwendungen müssen sehr genau untersucht und verstanden werden, wenn ein Zero-Trust-Modell implementiert werden soll.
Ein kritischer Punkt in jeglicher Cloud-Sicherheitsstrategie, der zu Beginn geklärt werden muss, ist eine ausführliche Bestandsaufnahme. Wenn Cloud-Workloads verschoben werden, müssen sie automatisch katalogisiert werden und in der jeweiligen Cloud-Umgebung, in der sie ausgeführt werden, überwacht werden. Wenn Anwendungen und Dienste in einer hybriden Cloud ausgeführt werden, gehört es zu den großen Herausforderungen, zu definieren, welche Kommunikation erlaubt sein soll. Verschieben sich dann im Laufe der Zeit die Workloads und Anwendungen, muss die kontinuierliche Überwachung aufrechterhalten werden. In den meisten Umgebungen mangelt es an der entsprechenden Transparenz im Hinblick auf die Anwendungsumgebungen, um dies einfach umzusetzen. Zudem fehlt es häufig an der Zeit, die nötig ist, um das reguläre Verhalten der Anwendungen zu erlernen.
Richtlinien für Zero Trust in der Cloud
Damit das Zero-Trust-Modell in der Cloud greift, müssen die Security-Teams die Sicherheitsrichtlinien direkt in die Workload-Instanzen integrieren. Und zwar sowohl On-Premises in den eigenen Rechenzentren als auch in den Cloud-Umgebungen. Dann muss eine Richtliniendurchsetzung angewandt werden, die mit den Workloads mitwandert. So steigen die Chancen, die Daten zu schützen, unabhängig davon, wo die Instanz gerade läuft.
In gewisser Weise werden dadurch die Sicherheitsrichtlinien und die Zugriffskontrolle auf die einzelnen Instanzen verlagert und nicht mehr auf das Netzwerk. Dynamische Assests wie virtuelle Instanzen, die unter VMware, Azure oder AWS ausgeführt werden sowie Container lassen sich schwerlich hinter feste Netzwerk-Durchsetzungsgrenzen positionieren. Auf diese Art und Weise können Unternehmen eine Zero-Trust-Mikrosegmentierung verfolgen, die nur den Datenverkehr zwischen den genehmigten Systemen und Verbindungen ermöglicht, ganz unabhängig von der Umgebung, in der sie sich befinden.
Identitäten und Berechtigungen
Bei Zero Trust in der Cloud kommen zu der netzwerkseitigen Betrachtung noch sehr wichtige Aspekte hinzu: Identitätsmanagement und Berechtigungen. Prinzipiell handelt es sich bei allen Assets in der Cloud um softwaredefinierte Objekte, die über eine einheitliche Provider-Schnittstelle kommunizieren. Dort existiert eine Steuerungsebene, die Identitätsattribute wie Privilegien und Richtlinien durchsetzt. Dies muss dann im Zusammenspiel mit den Netzwerkprozessen- und -definitionen geschehen, um die Workload-Interaktionen zu isolieren und zu kontrollieren. Bei der Verwaltung von Workload-Images und Container-Gruppen können dann mit Hilfe von Orchestrierungs-Tools wie Kubernetes oder Lösungen der großen IaaS- oder PaaS-Anbieter Richtlinien erstellt werden. Diese basieren auf den festgelegten Identitäten und Privilegien und werden vom Hypervisor des Anbieters und der softwaredefinierten Infrastruktur bewerten und durchgesetzt.
Bedauerlicherweise ist diese Ebene der Identitätskontrolle, beziehungsweise die Einrichtung und Durchsetzung, meist spezifisch für die jeweilige Anbieterumgebung. Das lässt sich selten von einer Umgebung für eine andere übersetzen. Während netzwerkbasierten Kontrollen, die Ports, Protokolle und Dienste zulassen oder einschränken, mit einer zentralen Firewall-Appliance geregelt werden können, gilt dies für Identitäten und die Richtlinien nicht. Diese sind in der Regel auf den Anbieter zugeschnitten, da seine Berechtigungen wiederum speziell auf die jeweilige Cloud-Umgebung selbst zugeschnitten sind.
Um Zero Trust für den Cloud-Betrieb umzusetzen, sollte eine Kombination aus Netzwerk- und Identitätsrichtlinien zum Einsatz kommen. Vorzugsweise unterstützt durch eine aktivierte Untersuchung und Profiling des Anwendungsverhaltens. Meist lässt sich das nicht so einfach durch die Optionen der Cloud-Provider abbilden, so dass Unternehmen meist zwangsläufig bei Drittanbieter-Tools landen. Diese arbeiten in der Regel mit einer separaten Richtlinienkontrollfunktion und sind agentenbasiert. Der Richtlinien-Controller bewertet das Netzwerk-, Identitäts- und Anwendungsverhalten hinsichtlich der Entscheidungen zu Zugriffskontrolle. Es ist anzunehmen, dass derlei Funktionalitäten immer stärker in die einzelnen Cloud-Provider-Umgebungen integriert werden, aber bis dies nahtlos für Multi-Cloud-Bereitstellungen klappt, wird vermutlich noch einige Zeit vergehen.
