Best Practices für die Cloud-Netzwerksicherheit

Was ist Cloud-Netzwerksicherheit?

Cloud-Netzwerksicherheit ist ein Bereich der Cybersicherheit, bei dem es darum geht, die Chancen den Datenzugriffs, der Datenmanipulation oder -zerstörung durch böswillige Akteure in einer öffentlichen oder privaten Cloud-Umgebung zu minimieren. Auch wenn die Sicherung von Cloud-Netzwerken in ihren Grundsätzen Ähnlichkeiten mit der Sicherung von lokalen Netzwerken aufweist, erfordern die individuellen Aspekte von Cloud-Umgebungen den Einsatz anderer Taktiken. 

Warum ist Cloud-Netzwerksicherheit wichtig?

Unternehmen jeder Größe migrieren von lokalen Netzwerken vor Ort zu Cloud-Netzwerken, d. h. mehr vertrauliche, sensible Daten werden in der Cloud gespeichert. Diese Informationen müssen geschützt sein, aber mit der Cloud treten auch neue Herausforderungen hervor, wodurch die Sicherheit mitunter problematisch wird.

Welche Herausforderungen ergeben sich für die Cloud-Netzwerksicherheit?

Genau das, was die Cloud so leistungsfähig macht, erschwert auch deren Sicherung. Zunächst ist es denkbar einfach, neue Assets in einem Cloud-Netzwerk bereitzustellen. In einem lokalen Netzwerk haben die IT- und Sicherheits-Teams den Überblick über neue Infrastruktur. Der Ausbau des Netzwerks erfolgt langsam und ist aufwändig, aber er erfolgt mit der Gewissheit, dass die neue Infrastruktur von Sicherheitsexperten konfiguriert wird. In einem Cloud-Netzwerk kann neue Infrastruktur von jeder beliebigen Person oder jedem System mit den passenden Zugriffsrechten sofort hinzugefügt werden, ohne dass die IT- oder Sicherheits-Teams unmittelbar beteiligt sind. Das macht den Netzwerkausbau sehr viel einfacher, vergrößert jedoch auch das Risiko, dass neue Infrastruktur nicht auf Sicherheit konfiguriert wurde und daher Schwachstellen aufweist.

Eine einzigartige Herausforderung für die Sicherung von Cloud-Netzwerken ist die Geschwindigkeit, mit der sich Cloud-Umgebungen verändern. Beim Einsatz von Technologien wie Autoscaling und serverlosem Computing tauchen Assets in einem Cloud-Netzwerk ständig neu auf und verschwinden dann wieder. Herkömmliche Sicherheitsmaßnahmen wie Vulnerability Scans reichen nicht mehr aus, da das anfällige Asset möglicherweise nur wenige Minuten existiert; allerdings bietet das für böswillige Akteure mehr als genug Zeit, um es zu finden und auszunutzen, aber bei Weitem nicht genug Zeit, um von einem wöchentlich oder gar täglich ausgeführten Scan erkannt zu werden.

Durch die einfache Bereitstellung und hohe Veränderungsrate wird es für Sicherheits-Teams sehr viel schwieriger, einen vollständigen Überblick über die Cloud-Umgebung aufrechtzuerhalten. In Hybrid-Umgebungen (IT-Umgebungen, die Netzwerke vor Ort wie auch Cloud-Netzwerke vereinen) verschlechtert sich diese Lage weiter, da diverse Daten in verschiedenen Systemen gelagert und von unterschiedlichen Sicherheits-Tools geschützt werden. In diesen Umgebungen muss das Sicherheitsteam zwischen verschiedenen Systemen hin und her springen, um seine Sicherheitsmaßnahmen umzusetzen. Der Mangel an vereinheitlichten Daten erschwert oder verhindert es sogar, sich einen genauen Überblick über die gesamte Sicherheitslage des Unternehmens zu verschaffen oder einen böswilligen Akteur zu verfolgen, der zwischen der Cloud und den lokalen Netzwerken hin und her wechselt.

Zu guter Letzt tragen der Inhaber des Netzwerks sowie der Anbieter die gemeinsame Verantwortung zur Sicherung eines Netzwerks bei einem öffentlichen Cloud-Serviceanbieter wie AWS oder Azure. Auch wenn die Einzelheiten dieser gemeinsamen Verantwortung je nach Anbieter variieren können, ist der Anbieter generell dafür zuständig, die eigentliche Cloud zu schützen, d. h. die physische Sicherheit der Rechenzentren, die Wartung und Aktualisierung der Hardware usw. Der Netzwerkinhaber wiederum trägt die Verantwortung für die Sicherheit aller Dinge, die er in diese Cloud-Umgebung setzt. Viele Benutzer sind besorgt über diese Art von Kontrollverlust bei der Sicherung der Hardware und der Datenzentren, aber etablierte öffentliche Cloud-Serviceanbieter wie Amazon, Microsoft und Google verfügen über ausreichend Ressourcen für beispielsweise den Schutz der physischen Sicherheit. Das echte Risiko dieses gemeinsamen Verantwortungsmodells ist die Verwirrung, die es innerhalb eines Unternehmens hervorrufen kann. Mehrfach kam es zu Sicherheitsvorfällen, weil Personen irrtümlicherweise davon ausgingen, dass sie sich um die Cloud-Sicherheit keine Sorgen machen müssten, da der Cloud-Anbieter sich um alles kümmere.

Strategien zur Risikominimierung in der Cloud-Netzwerksicherheit

Über die Einführung von DevSecOps und die Schulung der Mitarbeiter in der sicheren Nutzung des Cloud-Netzwerks bietet sich für Unternehmen die Definition einer Sicherheitsgrundlage für die Cloud-Umgebung als effektivster Schritt zur Risikominimierung im Cloud-Netzwerk an. Die Grundlage oder Baseline sollte idealerweise eingerichtet werden, bevor das Unternehmen das Cloud-Netzwerk zur Nutzung freigibt, aber selbst eine nachträgliche Einrichtung ist hilfreich. 

Diese Baseline legt fest, wie das Cloud-Netzwerk unter dem Sicherheitsaspekt aussehen sollte. Ziel ist die Gewährleistung, dass alle – Sicherheit, IT, Engineering, DevOps, usw. – wissen, was zu tun ist, um das Netzwerk auf Dauer sicher zu betreiben. Eine genau definierte Baseline kann dazu beitragen, eine Reihe von Herausforderungen im Cloud-Netzwerk bearbeiten zu können, einschließlich einfache Bereitstellung, rasante Veränderungen und die gemeinsame Verantwortung. 

Es gibt einige Best Practices für das Cloud-Netzwerk, die Unternehmen umsetzen können, um diese Baseline zu etablieren. Zuerst sollte die Baseline die Architektur der Cloud-Umgebung benennen und festlegen, wie jedes Asset konfiguriert werden soll. Zudem muss festgelegt werden, wer Lese- oder Schreibzugang zu den einzelnen Teilen der Umgebung hat. Der Einsatz von Leitfäden wie CIS Benchmarks und das AWS Well-Architected Framework empfiehlt sich als hilfreich bei der Definition der Baseline. 

Achten Sie darauf, dass die Baseline für Vorabproduktions- und Testumgebungen gilt. In vielen Fällen dienten diese Umgebungen beim Angriff als Einstiegspunkt. Sorgen Sie dafür, dass die Baseline Richtlinien und Kontrollen für Testzwecke enthält, beispielsweise welche Produktionsdatenbanken zum Test verwendet oder dupliziert werden können (falls zutreffend).

Die Baseline sollte auch den Maßnahmenplan bei Vorfällen enthalten und klar definieren, wer im Unternehmen für welche Aspekte der Cloud-Sicherheit dauerhaft zuständig ist. Darüber hinaus sollte sie immer wieder überprüft und regelmäßig aktualisiert werden, um auf neue Bedrohungen vorbereitet zu sein und neue Best Practices zu reflektieren. 

Sobald die Baseline erstellt oder aktualisiert wurde, muss sie an alle verteilt werden, die das Cloud-Netzwerk nutzen. Darüber hinaus muss das Sicherheitsteam mit DevOps zusammenarbeiten und Möglichkeiten implementieren, um die Baseline durchzusetzen. Dazu gehört die Einrichtung von Cloud-Infrastrukturvorlagen (wobei die Infrastruktur als Codelösung des Cloud-Anbieters oder Lieferanten wie Terraform fungiert), in denen alles richtig konfiguriert ist. Weiterhin umfasst es die Implementierung kontinuierlicher Überwachung, um erkennen zu können, wann ein Element veraltet ist oder nach der Bereitstellung verändert wurde und somit nicht mehr der Baseline entspricht. Vorlagen für virtuelle Rechner sollten einen Embedded Agent enthalten, damit die kontinuierliche Überwachung und Schwachstellenerkennung ab dem Zeitpunkt der Bereitstellung erfolgen kann. 

Was die Herausforderungen im Bereich der Visibility oder Transparenz in Cloud-Netzwerken betrifft, sollten Sicherheitsteams zu Beginn sicherstellen, dass sie (mindestens) über schreibgeschützten Zugriff auf alle Cloud-Konten des Unternehmens verfügen. Unternehmen, die die Visibility in einer Hybrid- oder Multi-Cloud-Umgebung sichern und aufrechterhalten wollen, wird empfohlen, ein einziges Team mit der Aufsicht aller Teile der gesamten IT-Umgebung zu betrauen. Ein Team einzusetzen, das für die lokale Sicherheit verantwortlich ist, und ein weiteres, das für die Cloud-Sicherheit zuständig ist, führt häufig zu Silobildung, toten Winkeln und Schwierigkeiten bei der Verfolgung eines bösartigen Akteurs, der zwischen den Netzwerken hin und her wechselt.

Teams, die die Sicherheit in Hybrid- oder Multi-Cloud-Umgebungen betreuen, sollten auch die von ihnen eingesetzten Tools neu bewerten. Viele Legacy-Sicherheitslösungen wurden nicht auf Unterstützung von Cloud-Netzwerken optimiert. Das führt zu Teams, die verschiedene Tools verwenden, um ihre lokalen und Cloud-Umgebungen zu sichern. Stattdessen sollte das Team Tools wählen, mit denen es die Sicherheit der gesamten IT-Umgebung im Unternehmen zentral verwalten kann. 

Die meisten Teams profitieren von Tools wie diesen:

Sicherheitsteams sollten auch die Nutzung eines Sicherheits-Automations-Tools in Betracht ziehen, das sie bei der Sicherung von Cloud-Netzwerken unterstützt. Automatisierung kann das Team dabei unterstützen, mit den schnellen Veränderungen in Cloud-Netzwerken Schritt zu halten, die Visibility durch Datenaustausch unter den Systemen zu verbessern, effizienter zu arbeiten, indem sinnlose Arbeitsschritte eliminiert werden, und die Schäden aus einem Vorfall zu minimieren, indem auf erkannte Bedrohungen sofort reagiert wird. 

Eine Möglichkeit der Automationsnutzung ist die Automatisierung der Bereitstellung von Cloud-Infrastrukturvorlagen (aus Ihrer Sicherheits-Baseline) unter Einsatz eines Tools wie Chef oder Puppet. Dies kann die Erstellung komplexer Architektur vereinfachen und die Chancen menschlicher Fehler mindern. Eine weitere Nutzung von Automation ist der Einsatz einer Sicherheitsorchestrierungs-, -automatisierungs- und -reaktionslösung (SOAR). Ein derartiges Tool ermöglicht es dem Team, problemlos Daten zwischen Systemen auszutauschen, ohne sich die Zeit zur Integration über APIs nehmen zu müssen. Eine SOAR-Lösung kann sogar viele der manuellen Prozesse automatisieren, die zum Alltag eines Sicherheitsanalysten zählen oder die die Untersuchung eines Problems verlangsamen. So kann das Sicherheitsteam beispielsweise Workflows im SOAR-Tool aufbauen, die verdächtige Phishing-E-Mails automatisch untersuchen, Malware eingrenzen, sobald sie erkannt wurde, Benutzer einrichten oder deren Einrichtung beenden, die Patch-Beschaffung rationalisieren und vieles mehr.

Zusätzlich zu allem, was wir bereits angesprochen haben, gibt es eine Reihe weiterer Best Practices für Unternehmen, die Webanwendungen in ihrem Cloud-Netzwerk entwickeln und bereitstellen möchten. Diese Unternehmen sollten nach vorn schauen und so früh wie möglich Sicherheit in ihren Softwareentwicklungszyklus (SDLC) integrieren. Anders ausgedrückt sollten Sicherheitsfragen im Rahmen der Vorab-Tests des Codes bewertet und wie jeder andere Fehler behandelt werden. Das sorgt nicht nur dafür, dass implementierter Code frei von Sicherheitslücken ist, sondern markiert auch Schwachstellen während der Tests, sodass Entwickler die Möglichkeit haben, zu erfahren, welche Schwachstellen im Code vorhanden sind und wie sie sich in Zukunft vermeiden lassen. Die Arten der modernen Webanwendungen, die derzeit in Cloud-Netzwerken eingesetzt werden, sind in der Regel ziemlich komplex. Unternehmen, die also nach Wegen suchen, wie sie diese Art von Apps testen können, sollten sicherstellen, dass die von ihnen erwägten SAST-, DAST- oder IAST-Lösungen die Codebasis ihrer Apps verarbeiten können. 

Die beste Weise, dies zu bestimmen, ist der Test des Tools in einer kostenlosen Probezeit. Auch wenn dies nicht exklusiv für Cloud-Netzwerke gilt, sollte erwähnt werden, dass Organisationen, die Web-Apps bereitstellen, auch zusätzliche Schutzmaßnahmen wie eine Web Application Firewall (WAF) in Erwägung ziehen sollten, um böswillige Akteure daran zu hindern, auf die App zuzugreifen. Weiterhin ist Runtime Application Security Protection (RASP) sinnvoll, um auf einen Live-Angriff zu reagieren, dem es gelingt, die WAF zu umgehen.

We love to give you options. 

This page is also available in English!

Switch to English Continue in German