thodonal - stock.adobe.com
Worauf es beim Cloud-Patch-Management ankommt
Für die gesamte Sicherheit eines Unternehmens ist es entscheidend, dass auch alle Systeme und Anwendungen in der Cloud ordentlich mit Sicherheits-Updates versorgt werden.
Cyberkriminelle sind durchaus kreativ, wenn es darum geht, neue Wege zu finden, um Sicherheitslücken auszunutzen und in Unternehmensressourcen einzudringen. Hacker nutzen Software- und andere Sicherheitslücken, um sich Zugang zu Ressourcen zu verschaffen, für die sie keine Zugriffsrechte haben. KI-gesteuerte Automatisierung hilft ihnen dabei.
Die Patch-Verwaltung ist ein wichtiges Instrument, um sich gegen diese Angriffe zu schützen. Besonders wichtig ist es in Cloud-Umgebungen, die für Cyberangreifer zu einem immer wichtigeren Ziel geworden sind, da Unternehmen immer mehr kritische Arbeitslasten in die Cloud verlagern.
Was ist Cloud-Patch-Management?
Vereinfacht ausgedrückt ist das Cloud-Patch-Management die Verwaltung von Patches oder Updates, mit denen Fehler und Sicherheitslücken behoben oder neue Funktionen zu Betriebssystemen, Softwareanwendungen und Firmware hinzugefügt werden sollen, die nicht vor Ort, sondern in der Cloud ausgeführt werden.
Da sich die Taktiken der Angreifer ständig weiterentwickeln, bieten die Software-Anbieter regelmäßig Patch-Updates an, um Schwachstellen zu schließen und Ressourcen vor Angriffen zu schützen. Es liegt jedoch an den Unternehmen, dafür zu sorgen, dass die neuesten Patches für ihre Software, die in der Cloud läuft, verteilt werden.
Dazu muss man zunächst einmal wissen, welche Software das Unternehmen in der Cloud einsetzt. Zu diesem Zweck führen die IT-Abteilungen eine Softwareerkennung durch und erstellen einen Katalog aller Anwendungen, die auf ihrem IT-System laufen. Dieser Schritt ist besonders wichtig für Cloud-Software, die sich in der Regel häufiger ändert und weiterentwickelt als On-Premises-Software.
Unternehmen benötigen daher Tools, die automatisch nach Schwachstellen in jeder Version jeder im Unternehmen verwendeten Anwendung - unabhängig vom Einsatzort - suchen können, um potenzielle Lücken zu erkennen. IT-Administratoren müssen wissen, welche Upgrades, Patches und anderen Maßnahmen sie ergreifen können, um gefährdete Software zu reparieren. Die IT-Organisation muss auch die Abhängigkeiten zwischen verschiedenen Anwendungen verstehen, die möglicherweise das Patchen anderer Software erfordern. Schließlich müssen die Unternehmen auch in der Lage sein, diese Patch-Updates so effizient und effektiv wie möglich bereitzustellen.
Warum Cloud-Patch-Management wichtig ist
Unternehmen betreiben mehr kritische Anwendungen in der Cloud als in der Vergangenheit. In einer vom Sicherheitsanbieter Thales durchgeführten Studie zur Cloud-Sicherheit gaben 75 Prozent der 3.000 befragten IT-Fachleute an, dass mehr als 40 Prozent der in der Cloud betriebenen Anwendungen für ihr Unternehmen von entscheidender Bedeutung sind - eine Tatsache, die auch Bedrohungsakteuren nicht entgangen ist. Dieselbe Thales-Studie ergab, dass 39 Prozent der Unternehmen im Jahr 2023 von einem Angriff auf ihre Cloud-Ressourcen betroffen sein werden, was einem Anstieg von 35 Prozent gegenüber dem Vorjahr entspricht.
Die Botschaft ist mehr als deutlich: Die Cloud ist ein Hauptziel für Angreifer, und es ist wichtig, dass Unternehmen sie in ihre Patch-Management-Pläne einbeziehen.
In traditionellen, selbstverwalteten On-Premises-Umgebungen war klar, wer für die IT-Sicherheit verantwortlich war: das Unternehmen. Doch mit der Verlagerung in die Cloud wurden Begriffe wie „geteiltes Risiko“ und „geteilte Verantwortung“ ins Spiel gebracht. Tatsache ist, dass Unternehmen nach wie vor für die Sicherheit und Integrität ihrer Daten verantwortlich sind und sich über alle Risiken im Klaren sein müssen, die sie gefährden könnten. Wie sehr sich das Prinzip der geteilten Verantwortung (Shared Responsibility) Richtung Anwenderunternehmen verschiebt, hängt natürlich stark vom genutzten Cloud-Modell ab. Hier unterscheiden sich SaaS, IaaS und PaaS grundlegend. Im Allgemeinen gilt, dass die Verantwortlichkeiten der Nutzer zunehmen, wenn sie von SaaS über PaaS zu IaaS wechseln. Da sich die Verantwortlichkeiten je nach Modell und dann auch noch Anbieter unterscheiden können, gibt es da kein Standardmodell.
Unternehmen haben verschiedene Möglichkeiten, wie viel Vertrauen sie Drittanbietern in Bezug auf die Sicherheit im Allgemeinen und das Patch-Management im Besonderen entgegenbringen können. Von dem jeweiligen Modell hängt natürlich auch ab, welche Möglichkeiten Anwenderunternehmen überhaupt haben, auf Sicherheits-Updates Einfluss zu nehmen.
Sie können sich dafür entscheiden, die Verantwortung für die Patch-Verwaltung intern zu übernehmen, indem sie entweder Software oder einen von einem Dritten verwalteten Dienst einsetzen. Oder sie können Patch-Management-Unterstützung von Cloud-Anbietern in Anspruch nehmen.
Die drei großen Hyperscaler - AWS, Google Cloud und Microsoft Azure - bieten alle Patch-Management-Services an, die ihren Kunden einen Teil der Aufgaben abnehmen können.
Der AWS Patch Manager verteilt Patches für Anwendungen und Betriebssysteme, allerdings gibt es einige Einschränkungen. Zum Beispiel ist die Patch-Unterstützung für Anwendungen, die unter Windows Server laufen, nur für von Microsoft veröffentlichte Anwendungen verfügbar. Administratoren können weite Bereiche von Amazon EC2- Instanzen, lokalen Servern, VMs und Edge-Geräten patchen. AWS Patch Manager bietet einen Bericht, der zeigt, welche Geräte nicht konform sind.
Microsoft Azure Update Manager bietet Software- und Sicherheitsupdates für alle Assets, die in Azure und in Clouds von Drittanbietern sowie vor Ort laufen. Der Dienst bietet eine zentrale Konsole, über die die Einhaltung der Vorschriften verfolgt und überprüft werden kann, ob die Aktualisierungen rechtzeitig durchgeführt werden, sowie einen Mechanismus zur Planung von Aktualisierungen außerhalb der Hauptbetriebszeiten.
Google Cloud bietet Patch, einen Dienst, der Betriebssystem-Patches auf Google-Compute-Engine-Virtual-Machine-Instanzen anwendet. Der Dienst erstellt Berichte über die Konformität und benachrichtigt Administratoren über Probleme, wenn eine VM nicht den erforderlichen Standard erfüllt. Nachfolgend gibt es Empfehlungen für die erforderlichen Schritte zur Erfüllung der gesetzlichen Anforderungen. Google Patch automatisiert die Verteilung von Patch-Updates für Betriebssysteme und Anwendungssoftware. Es kann Patch-Aufträge in Echtzeit und zu Zeiten außerhalb der normalen Betriebszeiten planen.
Unternehmen, die den Einsatz von Patch-Management-Software oder -Services von Drittanbietern in Erwägung ziehen, sollten auch die Grenzen kennen. AWS gibt zum Beispiel ausdrücklich an, dass es Patches nicht testet, bevor es Kunden Zugriff darauf gewährt.
Die Unterschiede zwischen Cloud- und On-Premises-Patch-Management
Traditionell hing die Patch-Verwaltung vor Ort von manueller Arbeit ab, die in Verbindung mit Netzwerkservern zur Verteilung von Software-Sicherheits-Patches und -Upgrades eingesetzt wurde. Unternehmen verwendeten oft mehrere Tools, um Patches für verschiedene Betriebssysteme und Anwendungen zu verwalten. Der Prozess war teuer, fehleranfällig und schwierig, vor allem wenn es darum ging, Patches an Remote-Rechner zu verteilen. Die weitgehend manuelle Verteilung von Patches vor Ort führte manchmal zu verpassten Aktualisierungen, wodurch die Systeme einem größeren Risiko ausgesetzt waren, angegriffen zu werden.
In den letzten Jahren haben jedoch zentralisierte, vernetzte Patch-Management-Tools von Herstellern wie Automox, GFI, Kaseya, ManageEngine und SolarWinds eine wesentlich stärkere Automatisierung des Patch-Managements ermöglicht. Viele Anbieter bieten auch Cloud-basiertes Patch-Management für Software an, die sowohl in der Cloud als auch vor Ort läuft. Dieser typischerweise SaaS-basierte Ansatz ist noch stärker automatisiert und in der Regel effektiver und kostengünstiger als ältere Tools, die vor Ort ausgeführt werden.
Was die Unterschiede zwischen dem Patchen von Cloud-Software und dem Patchen von On-Premises-Software angeht, so sind die Hauptprobleme die Herausforderungen bei der Inventarisierung der größeren Anzahl von Cloud-Systemen und die Beherrschung der Patch-Management-Prozesse von öffentlichen Cloud-Plattformen wie AWS und Azure. Außerdem ist es weniger wahrscheinlich, dass durch Patches neue Funktionen zu Cloud-Software hinzugefügt werden, da die Cloud-Anbieter neue Funktionen in der Regel nach ihrem eigenen Zeitplan bereitstellen.
Vorteile des Cloud-Patch-Managements
Eine wirksame Patch-Verwaltung bietet mehrere wichtige Vorteile, die über die Gewährleistung der Fehlerfreiheit von Cloud-Software und die neuesten Sicherheitsupdates hinausgehen, um das Risiko einer Sicherheitsverletzung zu verringern. Ein gut durchgeführter Patch-Management-Prozess kann ein vollständiges Inventar der Software-Ressourcen liefern und dessen Genauigkeit verbessern. Die Patch-Verwaltung liefert auch Erkenntnisse darüber, welche Bereiche des Netzwerks Schwachstellen aufweisen, die ein Risiko darstellen könnten.
Bewährte Vorgehensweisen der Cloud-Patch-Verwaltung
Der erste Schritt zu einer effektiven Cloud-Patch-Verwaltung besteht in der Auswahl eines automatisierten Systems, das Software erkennen und Patches auf effiziente Weise auf Assets verteilen kann. Außerdem müssen die Administratoren die Patches nach der Wichtigkeit der Anlage und den Sicherheitsrisiken potenzieller Bedrohungen priorisieren, was die Effizienz des Patching-Prozesses verbessern kann. Die IT-Mitarbeiter sollten Berichte führen, um die Patch-Verwaltung zu überwachen und die Effizienz des Prozesses zu verfolgen. Außerdem ist es wichtig, über effiziente Mechanismen zu verfügen, die einen regelmäßigen Patching-Plan unterstützen, und eine kontinuierliche Patch-Verwaltung zu betreiben, um den immer größer werdenden Bedrohungen einen Schritt voraus zu sein.
Schließlich ist es wichtig, eine Patch-Management-Richtlinie zu erstellen, um die Einhaltung der unternehmensweiten Verfahren und bewährten Praktiken zu fördern. Achten Sie darauf, dass die Richtlinie Cloud-spezifische Elemente enthält, beispielsweise, wer für die verschiedenen Cloud-Kategorien zuständig ist.