In fünf Schritten zur sicheren Cloud-Transformation

Der Wechsel in die Wolke bietet die Möglichkeit, die Netzwerkarchitektur neu zu bewerten und die Benutzerfreundlichkeit für die Anwender zu optimieren. Und das alles mit dem Ziel vor Augen, Kosten einzusparen und Effizienz zu steigern, um die künftige Wettbewerbsfähigkeit von Unternehmen zu sichern.

Unternehmen realisieren vor allem im Zuge ihrer Transformationspläne, dass der herkömmliche Weg des Remote-Zugriffs auf Anwendungen in der Cloud oder im Rechenzentrum mit Sicherheitsbedenken einhergeht. Laut dem State of digital Transformation Report EMEA 2019 von Zscaler setzen zwar mehr als 70 Prozent der Befragten ihre digitalen Initiativen um, oder haben bereits mit der Ausweitung der Cloud begonnen. Allerdings zeigte die Frage nach den größten Hürden der digitalen Transformation, dass Sicherheit nach wie vor die Führungsposition einnimmt. 80 Prozent der Unternehmen haben Bedenken aufgrund der Art und Weise, wie ihre Mitarbeiter aus der Ferne auf Daten und Anwendungen zugreifen. Als wichtigste Faktoren wurden die Nutzung unsicherer Netzwerke (34%) und unverwaltete Geräte (21%) angegeben sowie der Blanko-Zugriff auf das gesamte Unternehmensnetzwerk (20%).

Anzeige

Unternehmen müssen die Auswirkungen auf die Netzwerkleistung bedenken, die durch die Verschiebung ihrer Anwendungen in die Cloud in einem klassischen Hub- und Spoke Netzwerk entstehen. Für performanten Zugriff empfiehlt sich der direkte Internet-Zugang von jedem Standort, um den latenztreibenden Umweg über das zentrale Rechenzentrum zu umgehen. Damit einhergehen muss aber auch die Sicherheitsinfrastruktur an die Anforderungen der modernen Arbeitsumgebung angepasst werden, mit Security-Policies, die mit dem Mitarbeiter mitreisen, unabhängig von dessen Standort oder dem eingesetzten Gerät für den Internet-Zugriff.

Ein Konzept für eine sichere und zeitgemäße Cloud-first Netzwerkumgebung von Unternehmen besteht aus fünf funktionalen Komponenten: Inline-Sicherheit, modernes Identitäts-/Access-Management, Smart Endpoint Management, Dynamic Security Information und Event Management (SIEM) sowie Direct-to-Cloud-Konnektivität.

1. Anwender vor Ort schützen – ohne „Castle & Moat“ am Perimeter

Unternehmen, die auf ein Cloud-Modell umsteigen, müssen die sich daraus ergebenden Auswirkungen auf die Sicherheit und die Netzwerkleistung, insbesondere im Hinblick auf mobile Nutzer, erkennen:

Anzeige
  • Sicherheit so nah wie möglich am User: Wenn Benutzer in einer Cloud-Arbeitsumgebung verteilt und remote arbeiten, müssen Skalierungskosten und steigender Datenverkehr berücksichtigt werden, die in klassischen Netzwerkumgebungen anfallen. Um Sicherheit zum Anwender zu bringen sind entweder eine große Anzahl an Rechenzentren nötig, oder alternativ ein Cloud-basierter Sicherheitsservice, der ohne Hardware in jeder Niederlassung auskommt.
  • Sicherheit darf nicht zu Lasten der Anwenderfreundlichkeit gehen: Investitionen in Services, die einen schnellen, sicheren und richtlinienbasierten Zugriff zwischen Benutzern und Anwendungen ermöglichen, garantieren Performanz und ease of use, so dass sie vom Anwender auch akzeptiert werden.
  • Dynamische Überwachung, denn die Verwendung von Identitäten allein reicht nicht aus. Die Richtlinie sollte von dynamischen Attributen wie dem Gerät eines Benutzers, dem Standort, der Bedrohungslage, Verhaltensanomalien und dergleichen Faktoren abhängig gemacht werden. Sowohl das Zero Trust Framework von Forrester Research als auch der CARTA-Ansatz von Gartner empfehlen eine Default-Deny-Politik mit umfassender Überwachung der Daten während der Übertragung, einschließlich Secure Sockets Layer (SSL) verschlüsseltem Datenverkehr.

2. Eine zuverlässige IAM-Plattform (Identity and Access Management)

Für ihr Identity und Access Management System sollten Unternehmen die folgenden Kriterien heranziehen:

  • Integration in das Cloud-Ökosystem: Sunset Legacy-Verzeichnisse anlegen für ein modernes IAM, das Single Sign-On (SSO) unterstützt und Protokolle wie Security Assertion Markup Language (SAML) nutzt.
  • Einfacher Partnerzugang: Benötigt ein Partner den Zugriff auf eine bestimmte interne Anwendung, sollte er keinen Zugang zum gesamten Netzwerk erhalten. Wenn ein Mitarbeiter des Partners ausscheidet, sollte sich das Unternehmen keine Gedanken darüber machen müssen, ob er noch Zugriff auf die Daten hat.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Überarbeitung des Endgeräte-Management-Systems

Wenn Mitarbeiter in die Cloud wechseln, müssen IT-Manager das Endpunkt-Management neu bewerten. Werden sich die Unternehmensprozesse an eine Cloud-Arbeitsweise anpassen? Die folgenden Punkte sind dabei zu berücksichtigen:

  • Integration des Endgeräte-Managements in den Workflow des Security Operations Center (SOC), denn infizierte Maschinen und Geräte müssen isoliert werden können, und damit benötigt die IT-Abteilung die Kontrolle darüber
  • Richtlinien-basierte Orchestrierung: Updates für Konfigurationen oder Patches sollten kontrolliert werden und die Richtlinie sollte auf einer granularen Ebene festlegbar sein, so dass sich Einstellungen beispielsweise für alle Mac-Rechner mit bestimmter Versionsnummer übernehmen lassen.

4. Konsolidierung der Protokolle in einem SIEM-System

Das SIEM muss analog zu den meisten traditionellen Hub-and-Spoke-Netzwerkfunktionen angepasst werden, um in einer Cloud-Umgebung ordnungsgemäß zu funktionieren. Vor dem Wechsel in die Cloud müssen IT-Verantwortliche sicherstellen, dass ihr SIEM die Auswirkungen des Übergangs bewältigen kann:

  • • Sicherstellen, dass die Explosion von Daten aus mehreren Cloud-Diensten vom SIEM bewältigt werden kann und es über die notwendigen Fähigkeiten verfügt, Ereignisse zu korrelieren und umsetzbare Erkenntnisse zu gewinnen.
  • • Vermeiden von Stichproben: Wird lediglich auf Basis von Stichproben vorgegangen, können verpasste Sicherheitsereignisse und Probleme mit Compliance- und gesetzlichen Anforderungen die Folge sein, wenn Audits anstehen.
  • • Integration des SIEM in SOC-Workflows: Wie beim Endpunkt-Management müssen IT-Verantwortliche sicherstellen, dass SIEM- und SOC-Workflows so weit wie möglich verbunden und automatisiert werden.

5. SD-WAN als Alternative zum Hub-and-Spoke-Netzwerk

SD-WAN ist das Modell für eine direkte Anbindung aller Niederlassungen an das Internet. Es trennt die Netzwerksteuerung von der Hardware und virtualisiert so das WAN-Management effektiv. Bei der Verwendung von SD-WAN sollte beachtet werden:

  • Lokale Internet-Breakouts schaffen Performanz: Wird der Datenverkehr von den Niederlassungen zur Zentrale über Multiprotokoll-Label-Switching-Netze geschickt entstehen nicht nur unnötige Kosten, sondern auch ein Flaschenhals, der die Leistung beeinträchtigt. Mit Hilfe von SD-WAN können alle Niederlassungen direkt ins Internet ausbrechen.
  • Damit einher geht die Sicherheitsanforderung vor Ort: SD-WAN sorgt für Connectivity vor Ort, die nötige Sicherheit dazu muss vor Ort zusätzlich bereitgestellt werden. Cloud-basierte Security geht Hand in Hand mit SD-WAN.

Diese fünf Säulen der Cloud-Transformation helfen Unternehmen dabei, eine performante und zeitgleich sichere Infrastruktur aufzubauen, die mit der Verlagerung von Anwendungen in die Wolke einhergehen sollte. Denn allein mit dem Verschieben von Anwendungen in die Cloud ist es nicht getan. Netzwerk- und Sicherheitsanforderungen gehören ebenso berücksichtigt.
 

Mathias

Widler

Regional Vice President & General Manager, Central EMEA

Zscaler Germany GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.