CSPM-Lösungen (Cloud Security Posture Management) sind mittlerweile ein Muss, um Fehlkonfigurationen in Public Clouds zu erkennen und zu beheben – vom Code bis zur Laufzeit.
Immer mehr Unternehmen nutzen eifrig Public-Cloud-Services, um ihre Geschäftsprozesse digital zu transformieren. Sie stoßen dabei aber zunehmend auf kritische cloudbasierte Schwachstellen, die ihre herkömmlichen Tools nicht abdecken können. Um diese Softwarefehler, Fehlkonfigurationen und Identitätskompromittierungen zu finden und zu beheben, benötigen Unternehmen eine CSPM-Lösung.
Seit ihrer Einführung vor einigen Jahren haben CSPM-Angebote mehrere Innovationszyklen durchlaufen und sind nun auf dem Markt für Cloud-Sicherheit zum Mainstream avanciert. Wie so oft bei stark nachgefragten Technologien kann es für Sicherheitsverantwortliche jedoch schwierig sein, bei der Bewertung der Optionen das Signal vom Rauschen zu unterscheiden.
Tenable erklärt, was CSPM ist, auf welche Funktionen Unternehmen achten sollten und welche Fragen sie stellen sollten, um die richtige Lösung für ihre Cloud-Sicherheitsanforderungen zu finden.
Das Wichtigste über CSPM
Seit Jahren nutzen Unternehmen verstärkt Public-Cloud-Infrastrukturen. Während der Pandemie kam es jedoch es zu einem explosionsartigen Anstieg, da sich die IT-Abteilungen an die zunehmende Fernarbeit anpassen mussten. Dieser Trend hat die Einführung von Cloud-Sicherheitsprodukten beschleunigt, einschließlich CSPM. Letzteres automatisiert die Erkennung und Behebung von Sicherheits- und Compliance-Problemen – wie Fehlkonfigurationen – in Anwendungen und Services, die für Public-Cloud-Infrastrukturen entwickelt und dort bereitgestellt werden.
Zunächst konzentrierte sich CSPM bislang auf die Erstellung einer sicheren Konfigurationsbasislinie in Laufzeitumgebungen und deren Überwachung auf Abweichungen. Dieser Ansatz reichte aus, wenn die Cloud-Infrastruktur während der Laufzeit definiert und verwaltet wurde. Inzwischen wird jedoch ein erheblicher Teil der Cloud-Infrastruktur während der Entwicklungsphase als Code definiert und verwaltet. Dies ist ein Trend, der sich voraussichtlich noch verstärken wird, was bedeutet, dass auch während der Entwicklung Fehlkonfigurationen eingeführt werden.
Da die Popularität von Infrastructure-as-Code (IaC) zunimmt, müssen CSPM-Lösungen in der Lage sein, auch während der Entwicklung Fehlkonfigurationen zu erkennen und zu beheben – und nicht nur zur Laufzeit.
Die drei Grundprinzipien des modernen CSPM
Bei der Evaluierung von CSPM-Angeboten gilt es, darauf zu achten, dass diese Lösungen in den drei folgenden Schlüsselbereichen Funktionen bieten:
1. IaC-Sicherheit gewährleisten
Die CSPM-Lösung muss IaC während der Entwicklung scannen, wenn der Code geschrieben wird, um Fehlkonfigurationen zu erkennen und zu beheben und eine sichere Baseline zu erstellen. So wird sichergestellt, dass die Cloud-Infrastruktur nicht mit Risiken behaftet ist und „sicher geboren“ wird.
Wichtige Fragen, die zu stellen sind:
- Welche Arten von IaC und welche Compliance- und Sicherheitsstandards werden unterstützt?
- Wie viele vordefinierte Richtlinien sind verfügbar?
- Wie werden Übertretungspfade identifiziert und Probleme für die Lösung priorisiert?
- Wird automatisch Code generiert, um Fehlkonfigurationen zu beheben und Pull Requests zu erstellen?
- Mit welchen CI/CD-Tools lässt sich die Lösung integrieren?
2. Überwachung von Infrastrukturkonfigurationen während der Laufzeit
Benutzer ändern die Konfigurationen während der Laufzeit, was zu einer Abweichung führt. Das CSPM-Angebot muss daher die Konfigurationen während der Laufzeit kontinuierlich mit der IaC-Baseline abgleichen, um eine sichere Umgebung zu gewährleisten.
Wichtige Fragen, die zu stellen sind:
- Welche Laufzeitumgebungen werden unterstützt?
- Erkennt die Lösung die Erstellung oder Beendigung von Ressourcen im Vergleich zu einer sicheren, durch IaC definierten Baseline?
- Erkennt die Lösung Änderungen an der Konfiguration einer Ressource gegenüber ihrer Definition in der IaC-Baseline?
- Wendet die Lösung zur Laufzeit denselben Satz von Richtlinien an, der zur Bewertung der IaC verwendet wurde?
- Wie identifiziert die Lösung potenzielle Schwachstellen in der Laufzeit und ordnet die zu behebenden Probleme nach Prioritäten?
3. Abhilfe durch IaC
Wenn also eine Änderung ein Risiko mit sich bringt, wird die Cloud-Instanz auf der Grundlage der sicheren IaC-Baseline neu bereitgestellt. Andernfalls wird die IaC aktualisiert, um die Änderung widerzuspiegeln und eine neue IaC-Baseline zu erstellen.
Wichtige Fragen, die zu stellen sind:
- Wenn eine Änderung zur Laufzeit vorgenommen wird, generiert die Lösung automatisch den Code zur Behebung des Problems?
- Erstellt die Lösung programmatisch Pull- oder Merge-Anforderungen mit dem Code, um die IaC zu aktualisieren und die in der Laufzeit entstandene Abweichung zu beheben?
www.tenable.com