Die Akzeptanz der Cloud-Nutzung erfordert neuartige Sicherheitsmaßnahmen. Kernelemente sind eine identitätsbasierte Sicherheitsstrategie und ein konsolidiertes Sicherheitskonzept für On-Premises- und Cloud-Umgebungen. Ein wesentlicher Baustein kann dabei auch die Nutzung von Security aus der Cloud sein.
Immer mehr Unternehmen nutzen Cloud-Plattformen und -Services, die eine hohe Innovationskraft, Effizienz, Agilität und Skalierbarkeit bieten. Cloud-first- oder Cloud-too-Strategien liegen im Trend. Im Zuge dessen muss auch das Thema Sicherheit neu gedacht werden.
Schließlich gehört mit der Cloud die ehemals abgeschottete On-Premises-Infrastruktur der Vergangenheit an. Sicherheitskonzepte, die vorrangig den Perimeterschutz auf Netzwerkebene mit Firewall-Lösungen adressieren, sind im Cloud-Kontext weder ausreichend noch zielführend.
Die Cloud bringt viele neue Sicherheitsherausforderungen mit sich, die jeden Nutzer betreffen. Dabei geht inzwischen kaum mehr ein Anwender mit der Einschätzung vorbehaltlos in die Cloud, dass die Sicherheit Aufgabe des Providers ist. Das Prinzip der „Shared Responsibility“ ist Allgemeingut. Im Grundzug bedeutet es, dass zwischen der „Security of the Cloud“ und der „Security in the Cloud“ unterschieden wird. Die Verantwortung für die Infrastruktur liegt beim Provider; für die Sicherung der Daten sowie die Berechtigungs- und Zugriffsverwaltung ist der Nutzer zuständig.
Bevor ein Unternehmen oder eine Behörde den Cloud-Weg einschlägt, sollten zunächst die vorhandenen Security-Maßnahmen überprüft werden. Sicherheitsverantwortliche können dabei folgende Fragen stellen:
- Passen die vorhandenen Security-Kontrollen zur veränderten Angriffsfläche, etwa mit Attacken auf die Cloud-Management-Konsolen?
- Wie kann ich die Security-Prozesse an die Geschwindigkeit der Cloud anpassen, da langwierige manuelle Freigabeprozesse nicht mehr angemessen sind?
- Wie kann ich als CISO einen konsolidierten Überblick über die Security aller Umgebungen – on-premises und Cloud – behalten und das Security-Niveau insgesamt bewerten?
Identity Security im Fokus
Die Beantwortung dieser Fragen führt in aller Regel zu einer notwendigen Anpassung der Sicherheitsvorkehrungen. Im Hinblick auf die durch die Cloud-Nutzung veränderte Angriffsfläche ist vor allem eine Strategie wichtig, die die Identität als neuen Sicherheitsperimeter begreift. Ein identitätsbasierter Sicherheitsansatz muss User, Systeme, Anwendungen und Prozesse gleichermaßen und vollumfänglich berücksichtigen.
Dies ist gerade in Cloud-Umgebungen unverzichtbar, in denen menschliche und maschinelle Identitäten eine Vielzahl von Berechtigungen erhalten können. Sie stellen damit potenziell immer eine Sicherheitsgefahr dar. Folglich müssen Cloud-Nutzer ein Identitäts- und Rechtemanagement etablieren, das eine zentrale Verwaltung, Steuerung und Überwachung von Berechtigungen und Zugriffen unterstützt.
Eine zentrale Aufgabe besteht dabei in der zuverlässigen Sicherung der Zugänge zu den administrativen Oberflächen, also zu den Cloud-Managementkonsolen und -portalen, über die die Cloud-Ressourcen verwaltet werden. Notwendige Maßnahmen sind etwa ein Credential Management oder eine Zweifaktor-Authentifizierung.
Neuausrichtung der Security-Prozesse
Inzwischen steht außer Frage, dass bei der Cloud-Transformation Lift-and-Shift-Verfahren keine gute Migrationsstrategie darstellen und auch nicht zielführend für die Absicherung in der Cloud sind. Damit Nutzer das volle Cloud-Potenzial ausschöpfen können, müssen sie die Anwendungen auf moderne Architekturen umstellen, die auf Containern, Serverless-Computing und Cloud-nativen Plattformen basieren.
Zugleich erfordern Cloud-native Ansätze neue Denk- und Vorgehensweisen – verbunden mit agilen Methoden, DevOps oder Automation. Jede Cloud-Transformation ist also mit einer Neuausrichtung von Prozessen und einer Mindset-Änderung verbunden. Dies betrifft auch die Sicherheit und die Security-Mitarbeiter. Der Schwerpunkt der benötigen Security-Kompetenzen liegt nicht mehr auf dem Netzwerk, sondern auf der Anwendungsentwicklung.
Dabei gewinnen zum Beispiel Shift-Left-Ansätze wie die Integration von Security in die Entwicklungsprozesse an Bedeutung – etwa frühzeitige automatisierte Security-Tests im Softwareentwicklungsprozess. Dadurch können Fehler schneller erkannt, die Produktqualität erhöht und Kosten eingespart werden. Gerade im Kontext der PaaS (Platform as a Service)- oder FaaS (Function as a Service)-Nutzung führt an der Integration von Security in den Entwicklungsprozess ohnehin kein Weg vorbei – Stichwort DevSecOps.
Konsolidierung der Sicherheitslandschaft
Generell wird bei Cloud-Transformationen nach Erfahrung von CGI das Thema Security oft nur unsystematisch angegangen. Dies kann dazu führen, dass ein Wildwuchs an genutzten Sicherheitslösungen entsteht, einerseits für die On-Premises-Umgebung und andererseits für die Cloud-Infrastruktur. Eine heterogene Sicherheitsinfrastruktur kann weder aus Administrations- noch aus Kostengründen das Ziel sein.
Die erhöhte Komplexität steigert zudem das Risiko, Sicherheitslücken zu übersehen. Unternehmen müssen vielmehr eine Konsolidierung anstreben, die die gesamte hybride Umgebung sowohl on-premises als auch in der Cloud abdeckt. Sie betrifft zum Beispiel die Sicherheitsmaßnahmen hinsichtlich Berechtigungen, Firewall-Regeln, Virenscanner, Security-Monitoring oder SIEM-Systemen.
Ein Punkt wird bei solchen Konsolidierungen oft übersehen: Unternehmen oder Behörden können auch Security-Tools aus der Cloud nutzen. Die Cloud und Cloud-Services bieten viele Möglichkeiten in puncto Security, die on-premises nicht oder nur eingeschränkt zur Verfügung stehen. Dafür gibt es mehrere Beispiele: Cloud-Security bedeutet zu einem großen Teil Identity Management, also die Vergabe und Kontrolle von Berechtigungen, auch im Hinblick auf die Kommunikation von Systemen und Services.
Cloud-Provider nutzen hier die Rollenbasierte Zugriffskontrolle (Role Based Access Control – RBAC), die User, Maschinen und Services umfasst. In der Cloud sind solche Berechtigungen in der Regel deutlich einfacher zu konfigurieren als in einer On-Premises-Umgebung. Gleiches gilt für die Umsetzung von Least-Privilege-Prinzipien mit Just-in-Time-Zugriffsmethoden. Sie ist zwar prinzipiell auch on-premises möglich, aber aufwendig und mit teilweise hohen Kosten für die erforderlichen Tools verbunden.
Von Vorteil ist die Cloud-Nutzung außerdem für die unter Sicherheitsaspekten wichtige Netzwerksegmentierung. Sie ist sehr komplex und in der eigenen Infrastruktur nur sehr schwer realisierbar. In der Cloud hingegen kann eine Netzwerksegmentierung relativ einfach implementiert werden, und zwar bis hin zu einer Microsegmentierung, bei der zum Beispiel festgelegt wird, welcher Server mit welchem über welches Protokoll kommunizieren darf.
Aus technologischen und funktionalen Gründen spricht also vieles für Security-Tools, die in der Cloud bereitgestellt werden. Zudem tragen solche Lösungen in einer Zeit des Fachkräftemangels zu einer Entlastung der Security-Teams bei. Viele manuelle, administrative Aufgaben entfallen, da sie automatisiert in der Cloud durchgeführt werden.
Die Teams können sich auf andere, wichtigere Aufgaben fokussieren, etwa die Evaluierung von Security-Features für neu eingeführte Tools oder die unmittelbare Reaktion auf Alarme und Störungen, die heute teilweise nur sehr verzögert erfolgt. Nicht zuletzt hat die Agilisierung der Security mit einer Cloud-nativen Vorgehensweise auch einen positiven Business-Impact. Unternehmen können so neue Geschäftschancen schneller, besser und sicherer ergreifen.
Insgesamt betrachtet erfordert jede Cloud-Transformation eine Neukonzeption der Security. Dabei sollten Unternehmen oder Behörden auch die Sicherheitsmöglichkeiten nutzen, die die Cloud bietet. Damit können sie die Brücke zur On-Premises-Sicherheit schlagen und ein ganzheitliches Security-Konzept realisieren. Letztlich bietet eine Cloud-Migration somit immer auch die Chance, die Sicherheit insgesamt zu verbessern.
Martin Stemplinger ist Security-Architekt mit Schwerpunkt Cloud Security und Managed Security Services bei CGI in München.