Cloud-Dienste sind heute in Unternehmen weit verbreitet und die überwiegende Mehrheit setzt dabei auf Multicloud-Umgebungen zur Informationsvorhaltung. Das geht nicht ohne Risiko einher, wenn entsprechende Sicherheitsmechanismen vernachlässigt werden, denn Angreifer haben ihr Augenmerk längst auf Cloud-Services gerichtet.

Die Ergebnisse des 2021 Data Breach Investigations Reports von Verizon belegen, dass 90 Prozent der Datenschutzverletzungen die Public Cloud betreffen. Die Herausforderung für Sicherheitsverantwortliche sind die unterschiedlichen Orte, an denen Informationen vorgehalten werden. In der Cloud können sich die Daten in Hunderten von Cloud-nativen Datendiensten wie Datenbanken, Objektspeicher, angehängten und abgetrennten Festplatten (ebs-Volumes) befinden.

Darüber hinaus kann der Zugriff auf kritische Daten in trivialen und nicht-trivialen Formen erfolgen, die jeweils eine eigene Hürde für die Erkennung darstellen. Sicherheitsteams müssen sich daher zuerst den Überblick verschaffen, wo sensible Daten in ihren Cloud-Umgebungen abgelegt oder zwischengespeichert werden, bevor sie entsprechende Kontrollmechanismen implementieren können.

Daten können sich beispielsweise in AWS S3-Buckets befinden, die mit einer einzigen Konfiguration zugänglich gemacht werden. Informationen können auch in einem nativen Cloud-DB-Dienst wie AWS RDS vorgehalten werden und der Zugriff darauf wird über IAM-Rollen freigegeben, die möglicherweise zu viele Berechtigungen haben oder zu privilegiert sind. Folglich erfordert der Datenschutz in der Cloud die Identifizierung und Klassifizierung von Daten, die Bewertung ihres Gefährdungsniveaus durch eine Zugriffs-/Angriffs-Pfadanalyse und die kontinuierliche Überwachung der Angriffsversuche durch böswillige Akteure.

Herkömmliche Cloud Native Application Protection Plattformen (CNAPP) ermöglichen zwar Aussagen zur Wahrscheinlichkeit eines Vorfalls durch die Korrelation von Schwachstellen mit der Visualisierung von Angriffspfaden, können aber keine Angaben zu den Folgen machen. Dazu fehlt in den meisten Fällen der Einblick, ob Angreifer Zugang zu sensiblen Daten hatten.

Die größten Herausforderungen bei der Absicherung sensibler Daten liegen daher heute in folgenden Punkten:

  • Kein Einblick in sensible Daten: Ohne eine Integration der Datenexposition in die Korrelations- und Priorisierungs-Engine sind Unternehmen nicht in der Lage zu verstehen, welche Risiken einkalkuliert werden müssen. Darüber hinaus konzentrieren sich die meisten Lösungen nur auf Objektspeicher wie S3 und Azure Storage Blobs, aber sensible Daten, Malware und Geschäftsgeheimnisse können auch in VM- und Container-Images vorliegen.
  • Zu viele Warnungen ohne Kontext: Separat aufgestellte Sicherheitsrichtlinien von Einzelprodukten führen zu einer Vielzahl von isolierten Warnungen. Die Gefahr besteht darin, dass etwa 30 Prozent der Warnungen aufgrund von Volumen, Kontext und mangelnden Erfahrungswerten nicht untersucht werden. Dadurch lässt sich das wahre Risiko nicht richtig einschätzen.
  • Unsichere Konfigurationen: Konfigurationen sind komplex in Multi-Cloud-Umgebungen. Konfigurationsfehler oder übermäßige Berechtigungen sind die Folge, die zu weitreichenden Risiken und Compliance-Verstößen führen können.

Lösungsansatz CNAPP und DLP vereinen

Lösungsansätze wie Zscaler Posture Control adressieren diese drei Herausforderungen. Die Cloud Native Application Protection Platform (CNAPP)-Lösung wird durch die native Integration von Data Loss Protection (DLP) und ThreatLabz Threat Intelligence verstärkt. IT-Sicherheitsteams erhalten Einblick in die Art und Weise, wie Sicherheitsvorfälle auftreten.

Durch die Zusammenführung dieser Funktionen profitieren Unternehmen von den Vorteilen eines Plattformansatzes und können dadurch versteckte Risiken durch Fehlkonfigurationen, Bedrohungen und Schwachstellen im gesamten Cloud-Stack genauer korrelieren. Durch die Einbindung von DLP und Threat Intelligence in einen Posture Control-Ansatz wird es für funktionsübergreifende Teams einfacher zu überschauen, wer was mit den sensiblen Daten macht, um bei Bedarf strengere Kontrollen zu implementieren.

Diese Anforderungen sollten IT-Sicherheitsteams an eine kombinierte Lösung stellen:

  • Ressourcen- und Kostenreduzierung durch Konsolidierung von Endprodukten: Eine einzige, einfach zu implementierende agentenlose Lösung, macht durch die Vereinheitlichung von CSPM, CIEM, CWPP und DLP-Punktprodukte überflüssig und ermöglicht die kontinuierliche Absicherung jeder Phase des Anwendungslebenszyklus.
  • Genauere Risikoidentifizierung, -korrelation und -priorisierung: Durch die automatische Korrelation von DLP- und Bedrohungsdaten, die Angriffspfade offenlegen und laufende Angriffe erkennen, entsteht ein Gesamtbild, dass das Risiko genauer darstellt als nichtintegrierte Einzellösungen.
  • Skalierbare Effizienz: Eine integrierte graphikbasierte Korrelations- und Priorisierungs-Engine beschleunigt die Abhilfemaßnahmen und beugt der Ermüdung durch Warnmeldungen vor, indem sie sich auf die wichtigsten Risiken konzentriert.
  • Durchgängige Cloud-native Lösung ohne Silos: Eine hohe Integration bietet IT-Sicherheits- und DevOps-Teams 360-Grad-Tiefeneinsicht in Risiken über den gesamten Multi-Cloud-Footprint hinweg – einschließlich virtueller Maschinen (VMs), Container und serverloser Workloads – von der Erstellung bis zur Ausführung.

Teamwork für die Sicherheit

Datenschutzverletzungen und Bedrohungen werden auch im Cloud-Umfeld weiter zunehmen. Folglich müssen Unternehmen, die auf moderne Cloud-Anwendungen setzen, ihre Sicherheitsprozesse optimieren, um keine Kompromisse hinsichtlich Produktivität und Sicherheit einzugehen. Sicherheit für die Cloud erfordert dabei Teamwork, das bereits im Entwicklungszyklus beginnt und sich im laufenden Betrieb von Cloud-Umgebungen fortsetzt. Die Zusammenführung von CNAPP, DLP und Threat Intelligence-Komponenten sorgt für die nötige Absicherung und Risikominimierung.

Rich Campagna ist Senior Vice President Cloud Protection bei Zscaler.

Zscaler