Blog

7 Empfohlene Praktiken zum Sichern der Cloud

Im Dickicht der Schutzlösungen den richtigen Weg finden

Beim Schützen Ihrer On-Premise-Umgebungen sind ganz andere Faktoren relevant, als wenn Sie ergänzend Cloud-Lösungen nutzen. Sie wollen bestehende Investitionen nicht sofort abschreiben, sind sich gleichzeitig aber bewusst, dass zusätzliche Maßnahmen ergriffen werden müssen.

Als alle Umgebungen noch im eigenen Rechenzentrum betrieben wurden, gab es einen klar erkennbaren Perimeter. Um Ihre Anwendungen und Daten zu schützen, mussten Sie lediglich die Außenmauern und Endpunkte gut verteidigen. Seit Unternehmen immer mehr Cloud-Lösungen einsetzen, hat sich diese Situation drastisch gewandelt. Plötzlich befinden sich viele Anwendungen und auch Daten außerhalb der eigenen Wände. Den lokalen Perimeter zu verteidigen, reicht deshalb nicht mehr aus.

Natürlich ist eine große Vielfalt von Schutzlösungen verfügbar, die gekauft werden können. Dabei kommt es jedoch darauf an, genau zu prüfen, welche Lösungen tatsächlich zur eigenen Situation passen. Mohamed El Haddouchi, Director Solutions & Innovation von Infradata, benennt im Folgenden einige wesentliche Kriterien.

1. Architektur- und Sicherheitsbeurteilung

Aus seiner Sicht kommt es darauf an, zuerst die Netzwerkarchitektur für die Multi-Cloud-Umgebung gut zu definieren. „Sicherheit ist immer eine Schicht oberhalb dieses Netzwerks“, betont El Haddouchi. „Im Idealfall planen Sie ein Netzwerk, bei dem sich alle On-Premise- und Cloud-Umgebungen innerhalb einer einzigen integrierten Netzwerkarchitektur befinden. Diese bezeichnen wir als Cloud-LAN-Architektur.“

Anschließend führen Sie eine Inventarisierung und eine Sicherheitsbeurteilung durch, um festzustellen, wo sich welche Daten befinden, welche Risiken bestehen und welche Schutzmaßnahmen demzufolge erforderlich sind. „Anhand von Risikoprofilen können Sie dann ein Sicherheits-Framework entwerfen. Berücksichtigen Sie dabei auch, welche Kontrollen bereits jetzt durchgeführt werden, und wie die Sicherheitsprozesse ineinandergreifen.“

2. Investitionen schützen

„Ein relevantes Ziel dabei sollte es sein, bestehende Investitionen so gut wie möglich zu schützen. Meist ist es auch nicht sinnvoll, kurzfristig viele neue Technologien zu kaufen. Es ist besser, den eigenen Bestand zu analysieren und so effizient wie möglich einzusetzen. Dazu schlagen wir drei Schritte vor. Inventarisierung des Bestands, Untersuchung der Frage, ob sich die vorhandenen Mittel intelligenter einsetzen lassen, und schließlich eine Suche nach geeigneten Wegen, um maximalen Nutzen zu erzielen.“

Typischerweise könnte es sein, dass Sie eine Firewall haben, die aber gerade nicht optimal administriert ist oder schon längere Zeit nicht mehr gepatcht wurde. „Bevor eine leistungsstärkere neue Lösung gekauft wird, ist es besser, die Firewall optimal einzurichten, zu verwalten und zu überwachen und das Policy-Management optimal zu strukturieren.“

3. Was ist wann die beste Lösung?

Wenn die Basis solide organisiert ist, und Sie wissen, welche Lücken Ihre Sicherheitsarchitektur noch aufweist, können Sie zielgerichtet nach geeigneten Lösungen suchen. „Es gibt extrem viele Anbieter und Werkzeuge. Wir selbst konnten zum Beispiel erst nach einer gründlichen Marktanalyse eine Vorauswahl treffen“, berichtet El Haddouchi. „Dabei haben wir uns angesehen, was alles auf dem Markt verfügbar ist, und welche Unterschiede zwischen den Lösungen bestehen. Zu diesem Zweck haben wir für jede einzelne Lösung eine ausgiebige Marktuntersuchung durchgeführt, beruhend auf echten Anwendungsfällen aus der Praxis.“ Es ist generell auch sinnvoll, auf die Befunde führender Marktforschungsinstitute wie Gartner und weitere verfügbare Informationsquellen zurückzugreifen.

„Auf Basis der definierten technischen und geschäftlichen Anforderungen lässt sich letztendlich eine Kurzliste erstellen. Dies erfordert aber viel Arbeit, Spezialwissen und Erfahrung. Wenn es zum Beispiel um Endpunktsicherheit oder eine Anti-DDoS-Lösung, eine Web-Application-Firewall oder eine NextGen-Firewall geht, muss die Frage beantwortet werden, welche Lösung für wen und unter welchen Umständen den größten praktischen Nutzen hat. Es geht immer um die konkrete Situation des einzelnen Unternehmens.“

4. Eine optimale Lösung für alle ist eine Illusion

Ein typischer Anwendungsfall könnte sein, dass ein Unternehmen Endpunktsicherheit kaufen möchte, um sein Schutzniveau zu erhöhen. Wie könnte es in diesem Fall vorgehen? Auf dem Markt sind sehr viele unterschiedliche Lösungen verfügbar. Wie lässt sich die richtige Wahl für das eigene Unternehmen treffen? „Einfach alle Lösungen zu testen, ist nicht praktikabel“, betont El Haddouchi. „Marktforschungsunternehmen wie Gartner oder NSS Labs haben bestimmte Sichtweisen, aber es muss geprüft werden, ob die angewendeten Kriterien auch zum jeweiligen Unternehmen passen.“

Für Unternehmen kann es also sehr schwierig sein, die beste Lösung zu finden oder eine optimale Wahl zu treffen. Dies kostet viel Zeit und Energie. Und auch wenn irgendwann eine Entscheidung getroffen ist, werden Zweifel bleiben. Weder die teuerste Lösung noch der „Testsieger“ kann eine optimale Wahl für beliebige Anwendungsfälle sein. Was für ein bestimmtes Netzwerk gut ist, ist nicht automatisch für andere Netzwerke optimal geeignet. Nur wenn Sie Ihre spezifischen Anforderungen kennen, können Sie auch passende Lösungen finden.

5. Auf Transparenz kommt es an

„Es ist sehr wichtig, in die Sichtbarkeit der sicherheitsrelevanten Faktoren in Ihrem Unternehmen zu investieren. Solange Sie nichts sehen, können Sie auch nichts schützen. Deshalb ist es entscheidend, für eine hohe Transparenz bei allen Assets, Netzwerken und Anwendungen zu sorgen. Ich war schon in vielen Unternehmen, denen nicht bekannt war, welche Anwendungen in ihren Netzwerken liefen. Es gab nicht einmal eine Inventarisierung der Systeme und Softwareprogramme. Wie sollen solche Umgebungen geschützt werden?“

„Denken Sie zum Beispiel auch daran, wer oder was welche Zugriffsrechte hat. Stellen Sie sicher, dass Sie wissen, welche Aktivitäten auf Datei-, Prozess- und Benutzerebene stattfinden. Die Überwachung von Abweichungen ist dabei ein wichtiger Aspekt. Wie verhält sich ein Benutzer üblicherweise in bestimmten Anwendungen? Sobald auffällige Abweichungen detektiert werden, beseht Anlass zu näheren Untersuchungen.“

6. Verteilte Verantwortung

El Haddouchi weist darauf hin, dass in der Welt der Multi-Cloud die Verantwortung auf mehrere Schultern verteilt wird. „Man hat es immer mit mehreren Anbietern zu tun. Deshalb muss festgelegt sein, wie die Verantwortungsbereiche definiert und auf die Partner verteilt werden. Sobald damit begonnen wird, eine bestimmte Cloud-Umgebung zu nutzen, ist zu prüfen, welche Sicherheitsmaßnahmen der Cloud-Anbieter standardmäßig selbst ergreift, und an welchen Stellen Ergänzungen notwendig sind.

„Grundsätzlich ist klar, dass jedes Unternehmen selbst endverantwortlich bleibt.“ Außerdem können Provider nicht alle Aufgaben für ihre Kunden lösen. Die Modelle für die Verantwortungsverteilung müssen jedoch klar definiert werden. Es ist grundsätzlich auch übertrieben, alle Schutzaufgaben vollständig selbst übernehmen zu wollen.

7. Automatisierung

Auch der Bereich Sicherheit kommt heutzutage nicht mehr ohne Automatisierung aus. Sie ist notwendig, um die Kosten zu reduzieren, aber vor allem auch, um schnell und angemessen auf Angriffe zu reagieren. El Haddouchi: „Zur Automatisierung gehört, dass beim Auftreten einer Malware an einem Endpunkt automatisch dafür gesorgt wird, dass der betreffende Bereich gesperrt und unter Quarantäne gestellt wird, falls dies grundsätzlich gewünscht ist. Ein Netzwerk oder eine Anwendung kann gleichzeitig automatisch analysiert werden, damit innerhalb kurzer Zeit verwertbare Informationen über die Bedrohungssituation vorliegen.“ Mit diesem Verfahren wird sichergestellt, dass sie nicht nur zügig erfahren, welche Bereiche infiziert sind, sondern auch schneller und effizienter über angemessene Maßnahmen entscheiden können. In einer Multi-Cloud-Umgebung ist dies auch dringend notwendig.

„Früher war es möglich, lokal die Logfiles zu durchsuchen, um die Bedrohungssituation zu bewerten. Vergleichbare Analysen in drei oder vier externen Cloud-Umgebungen durchzuführen, ist schlicht unmöglich. Deswegen werden übergreifende automatisierte Verfahren benötigt, die sowohl die Erkennung als auch die Reaktion unterstützen.“

Mohamed El Haddouchi - 24 Juli 2018

Diese Seite teilen:
Meldungen und wichtige Updates direkt im Browser anzeigen (max. eine Nachricht pro Woche)