Experten Blog

7 Leitlinien für die Auswahl von Cloud-Security-Lösungen

Vor kurzem hatte ich die Gelegenheit, mit Allan Kristensen zu sprechen, Senior Director von Palo Alto Networks für Solution Engineering (SE) im Bereich Worldwide Public Cloud Security. Allan verfügt über mehr als 15 Jahre Erfahrung beim Aufbau hocheffektiver SE-Teams. Das SE-Team von Palo Alto Networks kennt die einzigartigen und vielfältigen Herausforderungen von Kunden im Cloud-Security-Kontext aus erster Hand.

Auf der Grundlage meines Gesprächs mit Allan habe ich sieben essenzielle Prinzipien zusammengestellt, die Ihnen als Leitlinien dienen können, wenn Sie Cloud-Security-Angebote für Multi-Cloud-Umgebungen auf Basis von Produkten wie AWS, Azure und Google Cloud bewerten und auswählen wollen.

Prinzip 1: Multi-Cloud-Unterstützung – AWS, Azure und GCP sind das Minimum

Nach unserer Erfahrung verfolgen mehr als drei Viertel unserer Kunden Multi-Cloud-Strategien – teils nicht von Anfang an, aber auf jeden Fall beim späteren Ausbau ihrer Infrastrukturen. Vor diesem Hintergrund ist es wichtig, eine Lösung auszuwählen, die echten Multi-Cloud-Support bietet – mit einem zentralisierten Ansatz, der einheitliche Transparenz auch für zukünftig genutzte Cloud-Umgebungen schafft.

Prinzip 2: 100 % SaaS-basiert und API-gesteuert – keine Agenten oder Proxies

Eine 100 % API-basierte SaaS-Lösung ist die einzige Möglichkeit, die dynamische, verteilte Natur von Cloud-Umgebungen effektiv zu verwalten. Unsere Erfahrung zeigt, dass Kunden, die versuchen, Agenten- oder proxybasierte Punktprodukte zu nutzen, erhebliche Reibungsverluste erleben und sogenannte blinde Flecken nicht vermeiden können. Verwaltungsaufwand, Risiken und manuelle Aktivitäten im Zusammenhang mit der Bereitstellung und Pflege von Produkten, die nicht API-basiert sind, erweisen sich als bei Weitem zu hoch.

Prinzip 3: Kontinuierlich Ressourcen identifizieren

Was nicht sichtbar ist, kann nicht geschützt werden. Es ist wichtig, eine Lösung auszuwählen, die sämtliche Ressourcen innerhalb der Cloud-Umgebungen kontinuierlich überwacht und Neuzugänge dynamisch erkennt: virtuelle Maschinen, Datenbankinstanzen, Speicherbereiche, Benutzer, Zugriffsschlüssel, Sicherheitsgruppen, Netzwerke, Gateways, Snapshots und so weiter. Eine zentralisierte und automatisch aktualisierte Inventarverwaltung, in der auch Daten zum Sicherheits- und Konformitätsstatus jeder eingesetzten Ressource gespeichert sind, bildet die unverzichtbare Grundlage für eine effektive Cloud-Security-Strategie.

„In den Umgebungen von 11 % aller Unternehmen finden derzeit Kryptojacking-Aktivitäten statt.“

Prinzip 4: Automatisiertes Monitoring aller Ressourcen

Ebenso wichtig ist es, dass die eingesetzte Lösung automatisiert robuste Sicherheitsrichtlinien anwendet und Fehlkonfigurationen schnell beheben kann, um die Durchsetzung unternehmensweit definierter Sicherheitsrichtlinien zu gewährleisten. Diese Funktionen müssen alle wichtigen Risikovektoren in Ihren Cloud-Umgebungen abdecken, darunter:

  • Konfigurationskontrollen: Jüngste Untersuchungen von Unit 42 zeigen, dass bei 32 % aller Unternehmen mindestens einer der genutzten Cloud-Speicherdienste öffentlich zugänglich ist. Konfigurationskontrollen helfen dabei, sicherzustellen, dass jede eingesetzte Cloud-Ressource korrekt konfiguriert ist und sich innerhalb der gewünschten Grenzen befindet. Sie können auch dazu beitragen, die sogenannte Konfigurationsdrift in AWS-, Azure- und GCP-Public-Cloud-Umgebungen zu verhindern.
  • Netzwerkaktivitäten: Die gleiche Studie von Unit 42 offenbarte außerdem, dass in den Umgebungen von 11 % aller Unternehmen derzeit Kryptojacking-Aktivitäten stattfinden. Um vollständige Einblicke in verdächtigen Netzwerkverkehr und verdächtige Aktivitäten sicherzustellen, muss die von Ihnen ausgewählte Lösung kontinuierliches Monitoring Ihrer Cloud-Umgebungen unterstützen. Es reicht nicht aus, Konfigurations- und Konformitätsprüfungen durchzuführen, denn diese sagen Ihnen nur, was falsch laufen könnte, nicht, was tatsächlich falsch läuft. Ein typisches Beispiel:

    • Konfigurationsprüfungen können dabei helfen, vor nachlässig konfigurierten Sicherheitsgruppen zu warnen, die eingehenden Datenverkehr an allen Ports von beliebigen IP-Adressen zulassen. Dies könnte ein geschäftskritisches Problem darstellen. Ohne Netzwerkmonitoring könnte jedoch nicht festgestellt werden, ob die Schwachstelle ausgenutzt wurde oder ob bösartiger Datenverkehr bereits die Grenzen der Sicherheitsgruppe überwunden hat.
  • Monitoring von Benutzer- und Zugriffsschlüsseln: Daten von Unit 42 zeigen weiterhin, dass bei 29 % der Unternehmen Benutzerkonten existieren, die potenziell kompromittiert sind, was nicht nur zu Datenverlust, sondern auch zu Kontrollverlust und letztlich zum Verlust der Vertrauenswürdigkeit kompletter Cloud-Umgebungen führen kann. Analysen des Nutzerverhaltens (User Behavior Analytics, UBA) und Kontrollfunktionen auf Basis maschineller Lernprozesse (ML) können helfen, getarnte Aktivitäten wie die Verwendung gestohlener Anmeldedaten zu erkennen. Die entsprechenden Funktionsmodule unterstützen die gezielte Erkennung ungewöhnlicher Aktivitäten. Ohne UBA ist es nahezu ausgeschlossen, sorgfältig geplante Angriffe rechtzeitig zu erkennen.
  • Monitoring der Schwachstellen von Hosts und Erkennung von Bedrohungen: Es ist wichtig, ein Cloud-Security-Produkt auszuwählen, das Bedrohungs- und Schwachstellendaten von Drittanbietern korrelieren und kontextualisieren kann.

Prinzip 5: Möglichst viele Daten verknüpfen

Die kontinuierliche Kontextualisierung vieler unterschiedlicher Datensätze ist entscheidend für die Gewinnung eines tiefen Verständnisses Ihrer Security Posture. Erst wenn Sie Ihr Sicherheitsprofil und Ihre Risiken vollständig verstanden haben, können Sie Probleme schnell beheben. Einige typische Beispiele:

Workloads mit übertrieben großzügig konfigurierten Sicherheitsgruppen, erkannten Hostschwachstellen und Traffic von verdächtigen IP-Adressen und so weiter.
Identifizierung privilegierter Benutzeraktivitäten in Cloud-Umgebungen, die für ungewöhnliche (zuvor unbekannte) Standorte durchgeführt werden.

Prinzip 6: Behebung ist gut. Automatische Behebung ist besser.

Um die Exposition zu reduzieren, ist es wichtig, sich auf mehrere manuelle und automatisierte Behebungsoptionen stützen zu können. Identifiziert das System zum Beispiel die Zuordnung eines sensiblen Workloads zu einer öffentlich zugänglichen Netzwerksicherheitsgruppe, ist es von größter Bedeutung, dass es den Zugriff unverzüglich automatisch einschränken kann. Ebenso essenziell ist die Option, individuelle, auf die spezifischen eigenen Bedürfnisse zugeschnittene Behebungsregeln formulieren zu können. Mit „Selbstheilungsfunktionen“ können Unternehmen sicherstellen, dass der „Goldstandard“ ihrer Security- und Compliance-Richtlinien jederzeit eingehalten wird.

Prinzip 7: Integrieren

Schließlich ist es wichtig, eine offene Plattform zu nutzen, mit denen Cloud-Alarme an bestehende Tools und Workflows wie SIEM, SOAR, Ticketing-Systeme, Collaboration-Tools usw. gesendet werden können.

Jonathan Bregman - 12 Dezember 2019

Partner Expert Blog

Do you want to learn more about this subject, or do you have specific questions? Don't hesitate and reach out! Speak with a solutions expert or architect. Give us a call or leave a message. Our team is ready for your inquiries.

Jonathan Bregman
VP & Chief Security Officer Europe, Middle East and Africa at Palo Alto Networks

Infradata ist ein preisgekrönter Palo Alto Networks Partner und Reseller. Unsere erfahrenen Techniker bieten erstklassigen Support und betreuen Projekte jeder Größenordnung.

Diese Seite teilen: