Mit der Cloud sind Unternehmen nur eine fehlerhafte Konfiguration davon entfernt, Workloads dem Internet preiszugeben. Um das Risiko zu verringern, müssen Unternehmen erstens verstehen, welche Ressourcen und Anwendungen sie in der Cloud betreiben und – was noch wichtiger ist – wie diese untereinander und mit IT außerhalb der Cloud interagieren.
Zweitens brauchen Unternehmen eine Strategie, wie sie den Zugriff auf die Cloud-Ressourcen so präzise wie möglich limitieren. Gartner schätzt, dass die weltweiten Ausgaben von Endnutzern für Public Cloud Services im Jahr 2023 um 21,7 Prozent auf 597,3 Milliarden US-Dollar steigen werden. Dieses Wachstum ist interessant, denn in wirtschaftlich schwierigen Zeiten suchen die meisten Unternehmen verstärkt nach Möglichkeiten, ihre Ausgaben zu reduzieren. Für die Cloud gilt dies also nicht.
Die Geschwindigkeit der Cloud-Migration führt jedoch auch dazu, dass Organisationen blinden Flecken in der Cloud ausgesetzt sind. Viele betreiben mittlerweile eine Mischung aus verschiedenen Cloud-Architekturen, nutzen unterschiedliche Tools und benötigen unterschiedliche Fähigkeiten, was zu Sicherheitslücken führt. Die Cloud-Sicherheitsmaßnahmen müssen aber unbedingt mit der Migration von immer mehr wichtigen Daten und Systemen in die Cloud Schritt halten.
Dies erfordert Investitionen in passende Lösungen und eine grundlegende Änderung in der Denkweise und Unternehmenskultur. Unternehmen müssen einen proaktiveren Ansatz wählen, der ihre Rolle im Modell der Shared Responsibility anerkennt und Sicherheitsprobleme früher und effizienter adressieren.
Verständnis der Rollen im Shared-Responsibility-Modell
Eine der häufigsten Fallstricke bei der Cloud-Sicherheit ist die Tendenz, einen Lift-and-Shift-Ansatz zu verfolgen. Unternehmen übertragen dabei einfach ihre bestehenden On-Premises-Sicherheitsprozesse ungeprüft in die Cloud. Es ist leicht zu verstehen, warum diese Strategie attraktiv ist – sie bietet eine schnelle und scheinbar effektive Lösung für Unternehmen, die mit engen Deadlines und limitierten Budgets konfrontiert sind. Dieses Vorgehen wird jedoch fast sicher kritische Sicherheits- und Sichtbarkeitslücken erzeugen.
Der Lift-and-Shift-Ansatz geht auch oft mit der Annahme einher, dass der Cloud-Anbieter letztendlich die Verantwortung für die Sicherheit übernimmt und sich um auftretende Sicherheitslücken kümmert. Das ist aber falsch, es gilt das Shared-Responsibility-Modell. In der Regel ist der Cloud-Anbieter für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, während der Kunde seine spezifischen Workloads absichern muss. Wesentliche Sicherheitsaktivitäten wie das Festlegen von Zugriffsberechtigungen, die Segmentierung von Umgebungen und die Implementierung von Maßnahmen wie MFA obliegen allein dem Kunden. Organisationen, die die Cloud nutzen, müssen ihre Cloud-Umgebung aktiv schützen, insbesondere wenn sie komplexer wird.
Navigieren in der Multi-Cloud-Landschaft
Ein Multi-Cloud-Ansatz ist zur Standardstrategie geworden, und die meisten Unternehmen haben zudem auch eine hybride IT-Landschaft. Die Möglichkeit, private und öffentliche Clouds verschiedener Anbieter zu nutzen und bei Bedarf auch eine On-Premises-Infrastruktur beizubehalten, bietet Organisationen eine hohe Flexibilität. Diese Flexibilität sorgt jedoch für mehr Komplexität und hat zwangsläufig Herausforderungen für die IT-Sicherheit zur Folge.
Daher muss ein Multi-Cloud-Ansatz durch ein konsistentes Sicherheitsmandat gesteuert werden, das über die Grenzen der einzelnen Cloud-Anbieter hinausgeht. Dafür ist Visibilität erforderlich. Sicherheitsteams müssen in der Lage sein, den gesamten Datenverkehr und die Abhängigkeiten zwischen Applikationen in allen Bereichen ihrer IT-Landschaft aus Clouds und On-Premises zu sehen und zu verstehen, egal wie komplex die IT-Landschaft auch sein mag.
Teams zur Verbesserung der Cloud-Sicherheit befähigen
Organisationen dürfen auch den menschlichen Aspekt der Cybersicherheit nicht übersehen. Fehlkonfigurationen sind eine führende Quelle für Cloud-Schwachstellen.
Organisationen können die Risiken im Zusammenhang mit Fehlkonfigurationen und anderen menschlichen Fehlern minimieren, indem sie ihre Teams für die Cloud-Sicherheit sensibilisieren und mit passenden Tools ausstatten. Tools, die Sichtbarkeit und Automatisierung in Cloud-nativen Architekturen ermöglichen, sind hier besonders wertvoll. Zero-Trust-Segmentierung (ZTS) beispielsweise bietet Sicherheitsteams Visibilität über die gesamte IT-Landschaft hinweg und hilft ihnen, sowohl bösartige Aktivitäten als auch menschliche Fehler frühzeitig zu erkennen.
Die durch eine ZTS-Lösung bereitgestellte Visibilität ist sehr wichtig und liefert viele Informationen, mit denen die Sicherheit verbessert werden kann. Doch eine ZTS-Lösung bietet noch weitere Vorteile: Eine ZTS-Lösung adressiert auch die Herausforderungen der Shared Responsibility, der Ransomware- und Cyberangriffe und der neuen Regulierungen wie NIS2, die Cyberresilienz einfordern. Mit ZTS segmentieren Unternehmen ihre Cloud-Landschaft smart und effizient, da Sicherheitsteams mit einer ZTS-Lösung dynamische Sicherheits-Policies erstellen und bis auf die Ebene einzelner Workloads segmentieren können. Das ist ein Gamechanger im Vergleich zu den bisherigen statischen Firewall Policies.
Statische Firewall Policies sind nicht in der Lage, mit der dynamischen Natur der Cloud angemessen umzugehen. Sie sind an temporäre Eigenschaften wie IP-Adressen oder Host-Namen gebunden, die sich regelmäßig ändern und denen der Kontext fehlt. Unternehmen, die auf statische Firewall Policies setzen, müssen kontinuierlich Änderungen von IP-Adressen oder Host-Namen im Auge behalten und ihre statischen Firewall Policies dementsprechend aktualisieren. Sonst riskieren sie, dass sie zu stark exponiert sind oder keinen Zugang mehr haben, was zu Downtime der Applikationen führen kann.
Zero-Trust-Segmentierung löst dieses Problem, indem sie einen kontextbasierten Ansatz für die Definition von Sicherheits-Policies verfolgt. Durch die Kombination mit einem adaptiven Policy Model stellt ZTS sicher, dass Workloads immer die Sicherheits-Policies erhalten, die dem jeweiligen Kontext entsprechen und sich dynamisch an das sich ändernde Deployment anpassen.
Indem die Vorteile von ZTS auf Cloud-native Firewalls übertragen werden, haben Unternehmen die Möglichkeit, nicht nur schneller dynamische Sicherheits-Policies zu erstellen, sondern auch solche, die restriktiver sind, so dass die Firewall als Zero Trust Enforcement Point verwendet werden kann.
Organisationen sollten also ihre Cloud-Sicherheit proaktiv stärken. Sie benötigen aber ebenfalls die Fähigkeit, schnell auf Sicherheitsverstöße in der Cloud zu reagieren. Auch aus diesem Grund ist ZTS in der Cloud wichtig – nicht nur auf Anwendungsebene, sondern auch auf Firewall-Ebene. So können Organisationen alle Ressourcen absichern, die sich in der Cloud befinden.
Cloud-Sicherheit: Shared Responsibility, Visibilität und dynamische Sicherheits-Policies
Cloud-Sicherheit ist eine komplexe Aufgabe, die neben technischen Maßnahmen auch einen Wandel im Denken erfordert, der sich auf die Unternehmenskultur und das individuelle Verhalten erstreckt. Unternehmen müssen das Shared-Responsibility-Modell und ihre daraus resultierenden Zuständigkeiten verstehen. Zudem sollten sie ZTS einsetzen, um Visibilität über die Datenflüsse in ihrer hybriden Multi-Cloud-Umgebung zu erlangen und ihre Workloads effizient mit dynamischen Sicherheits-Policies zu sichern.
Die gute Nachricht ist: Mit der richtigen Strategie, Technologie und Denkweise können Organisationen nicht nur ihre Cloud-Umgebungen sichern, sondern auch das volle Potenzial der Cloud nutzen, um Innovation und Wachstum voranzutreiben.