Blog

Cloud und Mobility machen Schutzanforderungen komplex

Üblicherweise werden einheitliche Sicherheitskriterien für die gesamte Cloud-Umgebung und alle Mobilgeräte angestrebt.

Multi-Cloud-Umgebungen werden immer populärer. Für Unternehmen reicht es deshalb nicht mehr aus, nur die Anwendungen im eigenen Datenzentrum zu administrieren, sondern es kommen im Durchschnitt drei bis vier Cloud-Umgebungen hinzu. Mohamed El Haddouchi beschäftigt die große Frage, wie in solchen Konstellationen die Sicherheit gewährleistet werden soll.

Grundsätzlich lassen sich in jeder Cloud-Umgebung diverse Sicherheitsfragen regeln. „Das Problem dabei ist nur, dass es aus der Sicherheitsperspektive kaum vorstellbar ist, drei oder vier Umgebungen jeweils auf unterschiedliche Weise zu administrieren. Bei Amazon Web Services gelten komplett andere Vorgehensweisen als bei Microsoft Azure, und für das eigene Unternehmensnetzwerk gelten dann wiederum andere Sicherheitsprozesse. Ehe man sich’s versieht, müssen vier oder fünf verschiedene Sicherheitsabläufe parallel bearbeitet und auf die eine oder andere Weise technisch umgesetzt werden.“

Nicht ersetzen, sondern ergänzen

Das wird sehr schnell überkomplex und auch teuer. El Haddouchi: „Komplexität zerstört Sicherheit. Deshalb muss gründlich darüber nachgedacht werden, wie Sie Ihr Unternehmen so gut wie möglich schützen und dabei die bereits bestehenden Sicherheitssysteme und -prozesse nutzen können, ergänzt um die neuen Schutzmöglichkeiten, die sich durch die Cloud bieten.“

Laut Haddouchi sollten Lösungen darauf hinauslaufen, die unterschiedlichen Cloud-Umgebungen über eine einheitliche Sicherheitsarchitektur sicher zusammenarbeiten zu lassen. „Es gibt zum Beispiel in AWS bestimmte Sicherheitsfunktionen, die wir aus Microsoft Azure heraus nutzen können. Dadurch lässt sich erreichen, dass immer die gleichen Sicherheitsrichtlinien gelten, die gleichen Kontrollen möglich sind und die gleichen Berichte erstellt werden, unabhängig davon, ob eine Anwendung in der Cloud oder im eigenen Rechenzentrum läuft.“

Ziel muss immer die Vereinfachung der Sicherheitsarchitektur sein! Es darf keine Rolle spielen, ob eine Anwendung in der Cloud oder im eigenen Rechenzentrum läuft. Gelingt dies, lassen sich auch die Kosten für die Sicherheit besser beherrschen. Außerdem wird das Sicherheitsniveau deutlich erhöht, weil alle Aspekte sichtbar und kontrollierbar werden, und weil die gesamte Umgebung zentral verwaltet werden kann.

Zentralisierte Kontrolle

Neben der Transformation im Bereich Multi-Cloud erleben Unternehmen auch benutzerseitig seit einigen Jahren eine Transformation, die sich auf die Schutzmaßnahmen auswirkt. Mobilität hat inzwischen eine hohe Bedeutung erlangt. Mitarbeiter verwenden heute Geräte wie Smartphones, Tablets, Laptops und sogar Smartwatches.

„Für jeden einzelnen Mitarbeiter müssen inzwischen also schon mehrere Geräte berücksichtigt werden. Hinzu kommt auch noch IoT für Drucker, Kameras, Sensoren und Alarmgeber. Alles in allem ist eine sehr große Zahl von Geräten in Gebrauch, die noch vor wenigen Jahren überhaupt keine Rolle spielten.“

Von der Identität aus denken

Alle werden über das Netzwerk verbunden und bauen immer häufiger Verbindungen zur Cloud auf. „Deshalb müssen wir heute anders denken als in der Vergangenheit“, betont El Haddouchi. Heute kann keiner mehr sagen: Es gibt einen Perimeter, und dort richte ich mehrere Schutzschichten ein. Ein paar Firewalls, Endpunktschutz, vielleicht etwas Anti-DDoS dazu, dort noch SIEM hinzugefügt, und schon bin ich fertig. Heute muss stärker über die Identität eines Benutzers nachgedacht werden.“

Schutzmaßnahmen müssen vollständig unabhängig von den verwendeten Geräten funktionieren. „Man möchte genau wissen, wer angemeldet ist. Unabhängig davon, ob die Anmeldung über einen Computer, ein Smartphone oder ein Tablet erfolgt. Es geht ausschließlich um die Identität, also um die Person hinter dem Gerät. Was darf diese Person innerhalb Ihres Netzwerks oder Ihrer Umgebung tun? Identität ist dafür das entscheidende Kriterium.“

Natürlich muss auch sichergestellt werden, dass es sich bei der angemeldeten Person tatsächlich um die berechtigte Person handelt. Denn wenn die Identität oder das Kennwort entwendet wurde, darf kein Missbrauch zugelassen werden. El Haddouchi: „Bei der Sicherheitsarchitektur kommen dann Lösungen wie Multifaktor-Authentifizierung, Identity Governance, Privileged Access und Identity Management ins Spiel. Also alle Methoden, mit denen sich die Personen hinter dem Gerät erkennen und identifizieren lassen.“

Identität und Cloud

Um den Kreis zu schließen, muss der identitätsbasierte Schutz in den Schutz der Multi-Cloud integriert sein. Dafür gibt es moderne Lösungen wie Cloud Access Security Broker beziehungsweise CASB, erläutert El Haddouchi. „Dies ist eine Lösung, mit der Sie unabhängig von der Herkunft einer Anwendung oder eines Benutzers jederzeit Einblick darin haben, wer welche Aktivitäten mit Anwendungen in der Cloud betreibt. Damit können Sie Daten auch im eigenen Datenzentrum zum Beispiel über Verschlüsselung schützen, also noch vor der Übertragung zur Cloud-Umgebung. Werden Daten gestohlen, sind sie nutzlos. Auch im Zusammenhang mit AVG/DSGVO ist dies ein nachdenkenswerter Aspekt.“

Mohamed El Haddouchi - 17 Juli 2018

Diese Seite teilen:
Meldungen und wichtige Updates direkt im Browser anzeigen (max. eine Nachricht pro Woche)