Der Finanzdienstleistungssektor mag eine Branche sein, in der Mainframes immer noch einen Großteil der schweren Arbeit verrichten, aber er steht auch zunehmend im Mittelpunkt einer neuen Welle von Cloud-Computing-Innovationen. Einer Schätzung zufolge planen beispielsweise 60 Prozent der US-amerikanischen Banken, in Zukunft in Cloud-Technologie zu investieren.
Da jedoch einzelne Kunden ihr Risiko durch die Migration von Workloads auf mehrere Kubernetes-Cluster bei verschiedenen öffentlichen Cloud-Anbietern streuen, können sie unwissentlich neue Sicherheitsrisiken einführen.
Der Grund dafür ist die explosionsartige Zunahme von Cloud-Ressourcen, die alle über Identitäten verfügen, die sicher verwaltet werden müssen. Die einzige Möglichkeit, dies in dynamischen und unbeständigen Umgebungen wie diesen zu tun, ist die Nutzung von Drittanbieter-Tools zur Automatisierung und Kontrolle.
Eine Multi-Cloud- und Multi-Cluster-Welt
Einem Bericht zufolge hatten 92 Prozent der Unternehmen im vergangenen Jahr eine Multi-Cloud-Strategie. Die Bereitstellung von Workloads über mehrere öffentliche Clouds hinweg kann besonders für Unternehmen in stark regulierten Branchen wie Finanzdienstleistungen nützlich sein. Dies kann ihnen dabei helfen, die auf der Einhaltung von Vorschriften beruhenden Anforderungen an die Datensouveränität und -verfügbarkeit zu erfüllen, indem sichergestellt wird, dass sensible Informationen in der richtigen Gerichtsbarkeit gespeichert werden und dass die Systeme auch bei einem Ausfall eines Anbieters betriebsbereit bleiben. Eine Multi Cloud-Strategie ermöglicht es den Banken auch, die Vorteile der von bestimmten Anbietern angebotenen Best-of-Breed-Funktionen zu nutzen. Und sie trägt dazu bei, das Risiko einer Anbieterbindung zu mindern – was auch für die Aufsichtsbehörden ein Problem darstellen kann.
Mit der zunehmenden Beliebtheit von Multi-Clouds haben sich auch Container und Microservices durchgesetzt, die ein Vehikel für die Ausführung von Workloads in diesen verschiedenen Cloud-Umgebungen darstellen. In vielen Fällen wird Kubernetes als De-facto-System für die Automatisierung, Bereitstellung und Verwaltung dieser Container verwendet. Auch auf dieser Ebene entscheiden sich Finanzdienstleister dafür, sie nicht nur in einem einzigen Cluster, sondern in mehreren Clustern – und über mehrere Cloud-Umgebungen hinweg – auszuführen, um die Anbieterbindung zu verringern, die Leistung zu steigern und die Verfügbarkeit und Ausfallsicherheit zu verbessern.
Staatliche und finanzielle Vorschriften verlangen von den Unternehmen jedoch auch ein gewisses Maß an Kontrolle über diese Umgebungen, um Cyberrisiken zu minimieren. Dies sollte nicht nur die Verwaltung der menschlichen Identität und des Zugriffs umfassen, sondern auch die Verwaltung der digitalen Zertifikate und Schlüssel, die die Maschinenidentitäten ausmachen.
Wenn die Auditoren anklopfen
Was verstehen wir in diesem Zusammenhang unter Maschinen? Es kann sich auf alles beziehen, von Geräten bis hin zu Workloads, Anwendungen, Containern und Clustern. Wenn diese Identitäten nicht auf dem neuesten Stand und sicher sind, werden die „Maschinen“, mit denen sie verknüpft sind, anfällig für Hijacking und Ausbeutung – was zu Datenschutzverletzungen, Ransomware, Crypto-Jacking und vielem mehr führen kann. Das liegt daran, dass Maschinenidentitäten die Kommunikation zwischen diesen Cloud-Ressourcen effektiv sichern und verschlüsseln. Wenn dies nicht gelingt, setzen sich Finanzdienstleister einem erheblichen Reputations- und finanziellen Risiko aus.
Die schlechte Nachricht ist, dass es mehrere Hindernisse für eine effektive Verwaltung von Maschinenidentitäten gibt. Vor allem Container sind dynamisch und flüchtig – sie erscheinen und verschwinden ständig. Für jeden neuen Container wird ein digitales Zertifikat benötigt, das unter Umständen nur ein oder zwei Stunden gültig ist. Multipliziert man dies mit mehreren Clustern und Clouds, so werden die Zahlen schnell unüberschaubar.
Untersuchungen zeigen, dass die durchschnittliche Organisation Ende 2021 fast 250.000 Maschinenidentitäten verwendete – diese Zahl wird sich jedoch bis 2024 auf mindestens 500.000 mehr als verdoppeln. Drei Viertel der befragten CIOs gaben an, dass sie erwarten, dass Initiativen zur digitalen Transformation die Anzahl der Maschinenidentitäten in ihren Unternehmen um mindestens 26 Prozent erhöhen werden. Ähnliche Ergebnisse erwarten wir auch für den Finanzdienstleistungssektor.
Die Herausforderungen werden durch die Tatsache vervielfacht, dass Cloud-native Identitätsmanagement-Tools nicht in den Umgebungen anderer Anbieter funktionieren und keine kontinuierliche Überwachung der Maschinenidentitäten ermöglichen. Dies kann zu doppeltem Aufwand, zusätzlichen Kosten und kritischen Sicherheitslücken führen. Außerdem besteht für Finanzdienstleister die Gefahr, dass sie bei Risikomanagement-Audits scheitern – sie müssen dann zumindest ein Inventar jedes durch ein Zertifikat geschützte Maschine vorlegen und möglicherweise zusätzliche Fragen zu kritischen Anlagen beantworten. Je nach Prüfung könnten erhebliche Geldstrafen folgen.
Fazit
Dies ist eine Aufgabe, die für Sicherheitsteams ohne Automatisierungstools schnell unüberschaubar geworden ist. Stattdessen benötigen sie eine einzige, automatisierte Lösung zur Verwaltung von Maschinenidentitäten, die in allen Cloud- und Container-Umgebungen funktioniert. Sie sollte Zertifikate automatisch konfigurieren, erneuern und widerrufen und eine clusterübergreifende Sichtbarkeit bieten, damit Teams den Status von Maschinenidentitäten überprüfen und alle Fragen von Prüfern zuverlässig beantworten können. Automatisierte Fehleranzeigen bis hinunter zur einzelnen Zertifikatsebene würden es ihnen ermöglichen, sich einfach durchzuklicken und Abhilfemaßnahmen zu ergreifen – was die allgemeine Sicherheitslage weiter verbessert.
Mit einer Kontrollebene für die Verwaltung von Maschinenidentitäten können die Sicherheitsteams von Finanzdienstleistern sicher sein, dass komplexe Cloud-Umgebungen sicher bleiben, auch wenn sie sich ständig weiterentwickeln. Und sowohl sie als auch die Entwicklerteams haben mehr Zeit für die Arbeit an höherwertigen Aufgaben zur Unterstützung des Unternehmens. Das ist ein Gewinn für alle Seiten.