Die zunehmende Cloud-Nutzung führt dazu, dass Unternehmen auch ihre Sicherheitslandschaft neu gestalten müssen. Existieren On-Premises- und Cloud-Umgebungen nebeneinander, führt dies zu Herausforderungen, die nur eine identitätsbasierte Sicherheitsstrategie, ein konsolidiertes Sicherheitskonzept und Security- Tools aus der Cloud lösen können.
Cloud-first- oder Cloud-too-Strategien liegen im Trend. Immer mehr Unternehmen verlagern Geschäftsanwendungen zu Cloud-Plattformen und -Services, um ihre digitale Transformation zu beschleunigen. Doch dieser Schritt bedeutet nicht nur mehr Agilität und Effizienz, sondern verändert auch die Angrifssfläche für Cyberattacken. Sicherheitskonzepte mit bloßem Perimeterschutz auf Netzwerkebene und Firewall-Lösungen funktionieren nicht mehr.
Die Sicherheit in der Cloud ist allerdings nicht die alleinige Aufgabe des Providers. Vielmehr gilt das Prinzip der „Shared Responsibility“: Der Nutzer kümmert sich um Berechtigungs- und Zugriffsverwaltung und die Sicherung der Daten („Security in the Cloud“); der Provider sichert die Infrastruktur („Security of the Cloud“).
Eine Analyse der Ausgangssituation ist die Basis, um die Sicherheitsmaßnahmen an die neue IT-Struktur anzupassen. IT-Teams sollten bei diesem Check unbedingt prüfen, ob die existierenden Security- Prozesse zur hohen Geschwindigkeit in der Cloud passen. Die vorhandenen Security-Kontrollen müssen zudem die veränderte Angriffsfläche abdecken und auch Attacken auf die Cloud-Management-Konsolen abwehren. Trotz aller Sicherheitsmaßnahmen muss immer mit erfolgreichen Angriffen gerechnet werden. Daher ist außerdem ein konsolidierter Überblick über die Security aller Umgebungen essentiell in Form eines Cyber Defense Center. Schließlich muss der CISO nicht nur – wie vorher –den abgeschotteten On-Premises-Bereich im Blick haben, sondern auch die neuen Netzwerkgrenzen in der Cloud.
Sicherheitsansatz für Identitäten-Vielfalt
Erst nach dieser Analyse wird sich herausstellen, welche Sicherheitsvorkehrungen am dringlichsten sind. Am wichtigsten für die Cloud-Nutzung ist normalerweise das Identitäts- und Rechtemanagement, denn die Vielzahl an menschlichen und maschinellen Identitäten mit den dazugehörigen Berechtigungen sind ein potenzielles Sicherheitsrisiko.
Die Cloud-Transformation ist für viele Unternehmen ein wichtiges Ziel. Allerdings ist das Thema Sicherheit oft nur zweitrangig.
Martin Stemplinger, CGI
Der neue Sicherheitsansatz sollte also auf Identitäten basieren und User, Systeme, Anwendungen und Prozesse gleichermaßen und vollumfänglich berücksichtigen. Die IT-Abteilung muss an zentraler Stelle alle Berechtigungen verwalten, steuern und überwachen können und die Zugriffe auf administrative Oberflächen wie Cloud-Managementkonsolen und -portale strengstens regeln. Passende Sicherheitsmaßnahmen sind, neben der immer notwendigen Zweifaktor-Authentifizierung – zumindest für Rollen mit weitreichenden Rechten –, ein Rechte- und Rollenkonzept, und eine Access Governance, bei der die vergebenen Rechte regelmäßig überprüft werden.
Security-Teams müssen umdenken
Die Erfahrung hat gezeigt, dass eine reine Eins-zu-eins-Übertragung von Anwendungen in die Cloud – also ein Lift-and-Shift-Verfahren – nicht die erhofften Ergebnisse liefert. Die Migration sollte deswegen sehr gut geplant werden und nicht nur eine Umstellung auf moderne IT-Architekturen mit Containern, Serverless-Computing und Cloud-nativen Plattformen umfassen, sondern auch der Sicherheitsumgebung. Security-Teams müssen also umdenken. Sie sind nicht mehr nur für das Netzwerk verantwortlich, sondern sollten auch Kompetenzen in der Anwendungsentwicklung haben und Security bereits in die Entwicklung integrieren. Solche möglichst automatisierten Security-Tests sind ein großer Vorteil für Softwareentwicklungsprozesse, weil Fehler früher entdeckt werden und sich so die Produktqualität erhöht ohne Entwicklungsgeschwindigkeit einzubüssen.
Wildwuchs in Sicherheitsinfrastruktur vermeiden
Die Cloud-Transformatione ist für viele Unternehmen ein wichtiges Ziel. Allerdings ist das Thema Sicherheit nach Erfahrung von CGI meistens nur zweitrangig. Resultat ist daher häufig eine heterogene Sicherheitsinfrastruktur aus Lösungen, die entweder die On-Premises-Umgebung oder die Cloud-Infrastruktur abdecken. Doch solch ein Wildwuchs ist schwer zu verwalten und zudem teuer. Außerdem laufen Unternehmen Gefahr, dass die Security-Verantwortlichen bei der komplexen Struktur Sicherheitslücken übersehen. Ziel muss deswegen eine Konsolidierung der Sicherheitsmaßnahmen sein, die Berechtigungen, Firewall-Regeln, Virenscanner, Security-Monitoring oder SIEM-Systeme für die komplette Cloud- und On-Premises-Landschaft vereinheitlicht.
Bevor Unternehmen nun in neue Sicherheitslösungen investieren, sollten sie zuerst das Potenzial nutzen, das in der Cloud selbst liegt. Schließlich bieten viele Cloud-Provider auch gleich die passenden Security-Tools, die sich zudem deutlich einfacher konfigurieren lassen als in einer On-Premises-Umgebung. Ein Beispiel ist das Identity Management; ein wichtiges Element für die Cloud-Security. Cloud-Provider stellen als Service in der Regel eine Rollenbasierte Zugriffskontrolle (Role Based Access Control – RBAC) zur Verfügung. Hier können IT-Verantwortliche sehr leicht definieren, welche User, Maschinen und Services Berechtigungen erhalten.
Gleiches gilt für die Umsetzung von Least-Privilege-Prinzipien mit Just-in-Time-Zugriffsmethoden. Sie ist zwar prinzipiell auch on-premises möglich, aber aufwändig und mit teilweise hohen Kosten für die erforderlichen Tools verbunden. Auch das Unterteilen des Netzwerkes in kleinere Subnetzwerke – also die Netzwerksegmentierung – ist ein effektives Sicherheitstool, das Unternehmen in der Cloud deutlich leichter umsetzen können als On-Premises. Die Cloud erlaubt sogar eine Microsegmentierung, bei der zum Beispiel festgelegt wird, welche Server miteinander über welches Protokoll kommunizieren dürfen.
Automatisierung entlastet Security-Teams
Die Nutzung von Security-Tools aus der Cloud hat aber nicht nur technologische Vorteile. Die Automatisierung entlastet zudem Security-Teams und ist daher ein wichtiges Mittel gegen den Fachkräftemangel. Anstatt Zeit mit manuellen Aufgaben zu verlieren, können sich IT-Experten auf andere Themen konzentrieren und haben mehr Kapazitäten frei.
Die Verlagerung von Anwendungen in die Cloud führt zu einer deutlich höheren Agilität und Flexibilität, mit der Unternehmen schnell auf neue Situationen reagieren und neue Geschäftschancen ergreifen können. Aber die Migration sollte Hand in Hand mit einer Neukonzeption der Security gehen. Die Cloud bietet dafür eigene Sicherheitstools, die ergänzend zur vorhandenen On-Premises-Sicherheit eine konsolidierte und stabile Umgebung schaffen. Die neue IT-Infrastruktur. ist so nicht nur die optimale Basis für ein geschäftliches Wachstum, sondern stärkt auch die Abwehr von Bedrohungen.