Sicherheit in Cloud-Umgebungen
Sicherheitslösungen
von Frank-Michael SchledeThomas Bär - 08.06.2020
Wer einen Blick auf das Angebot an speziellen Sicherheitsprodukten für die Cloud wirft, stellt schnell fest: Zwar werden sehr viele Lösungen angeboten, diese sind allerdings auch sehr unterschiedlich, sowohl in Bezug auf die Bereiche, die sie abdecken, als auch hinsichtlich des Umfangs.
So stellt beispielsweise Palo Alto Networks unter dem Namen Prisma Cloud eine recht umfassende Lösung bereit. Der Anbieter positioniert diese Software als Plattform für die Sicherheit in Public Clouds und für cloudnative Szenarien. Ziel ist es laut Palo Alto, eine möglichst große Anzahl von Cloud-Umgebungen mit dieser einen Lösung zu überwachen und zu schützen. Sie kann mit fast allen Cloud-Umgebungen zusammenarbeiten. Kommen Public-Cloud-Lösungen zum Einsatz, so dürfte es sich in den meisten Anwendungsfällen um Amazon AWS, Microsoft Azure, die Google Cloud Platform (GCP) und in einigen Ländern auch um die Alibaba Cloud handeln.
Für diese Plattformen bietet Prisma Cloud Sicherheits-Features an. Drei Marktbereiche sollen damit abgedeckt werden: Das sogenannte CSPM (Cloud Security Posture Management) dient zur Verwaltung des Cloud-Sicherheitsstatus. Mit CWSS (Cloud Workload Security Services) will das Unternehmen einen Schutz für das komplette Deployment mittels automatisierter Updates von Richtlinien und zentralem Ausrollen der virtuellen Maschinen und Container realisieren. Schließlich gibt es noch die CWPP (Cloud Workload Protection Platform), die neben der Absicherung der DevOps-Umgebungen auch Application Lifecycle Security bieten kann. Mit diesen Techniken soll die Lösung den Schutz der Server-Workloads in Cloud-Szenarien umsetzen, wobei die einzelnen Bereiche in Prisma Cloud ineinandergreifen.
Das auf Sicherheit spezialisierte Unternehmen Sophos stellt unter dem Namen Cloud Optix ebenfalls eine spezielle Lösung für die Cloud-Sicherheit bereit. Laut Sophos bietet diese Software eine Kombination aus KI-basierter Sicherheitsanalyse und -überwachung und der Automatisierung von Cloud-Sicherheit, Governance, Risikomanagement, Compliance und DevSecOps-Prozessen. Dabei handelt es sich um einen agentenlosen SaaS-Dienst. Wie bei fast allen Unternehmen in diesem Marktbereich wird auch hier ein Inventory-Management über mehrere Cloud-Dienste hinweg angeboten. Sophos nennt Amazon AWS, Microsoft Azure und die Google-Plattform. In diesem Umgebungen werden dann die Unternehmens-Assets automatisch erkannt. Über entsprechende Vorlagen können die Nutzer auch die Compliance ihrer Cloud-Anwendungen überwachen. Die im System integrierte Künstliche Intelligenz soll dabei gewährleisten, dass die Sicherheit ohne Unterbrechung kontrolliert wird. Als Beispiel dafür nennt Sophos die kontinuierliche Überwachung des Cloud Workload Inventory bei den Amazon Simple Storage Services (S3). Sophos deckt mit dieser Lösung auch den Bereich DevSecOps ab, um auch in diesen Prozessen die entsprechende IT-Sicherheit zu integrieren.
Unter den Begriff Cloud One hat Trend Micro die schon bisher eingesetzten Lösungen für die Sicherheit auf hybriden Cloud-Plattformen, die durch die XGen-Technik des Anbieters zum Server-Schutz unterstützt werden, um Cloud Conformity Security ergänzt. Diese Software lässt sich laut Anbieter nahtlos in vorhandene Workflows integrieren und stellt unter anderem die automatisierte Überprüfung der Einhaltung der Compliance und Best Practices für die Cloud-Sicherheit bereit.
Wie die anderen genannten Lösungen bietet auch diese Software ein zentrales Dashboard, das den IT-Fachleuten einen möglichst kompletten Überblick über ihre gesamte Multi-Cloud-Infrastruktur erlaubt. Die Cloud-One-Plattform von Trend Micro bietet daneben weitere Dienste wie Workload Security (Laufzeitschutz für Workloads sowohl in physischen als auch in Cloud- und Container- beziehungsweise VM-Umgebungen), Sicherheit für Container-Images und Sicherheit für serverlose Funktionen, APIs und Anwendungen.
Fazit & Ausblick
Mit dem vermehrten Einsatz moderner Cloud-Plattformen verändern sich die Angriffsflächen: Techniken wie Containerisierung und Serverless Computing erfordern neue Vorgehensweisen. Cloud-Computing ist heute deutlich mehr als „ein Speicher auf irgendeinem anderen Computer im Netz“. Nicht zuletzt deshalb ist es wichtig, die Verantwortlichkeiten für die Programme und die Daten in der Cloud eindeutig zu benennen und entsprechend zu überwachen.
Ein Fazit dazu zieht Thomas Ehrlich von Netskope: „Wir haben festgestellt, dass jeder fünfte Mitarbeiter Daten lateral zwischen Cloud-Anwendungen verschiebt und beispielsweise Dokumente von OneDrive auf Google Drive kopiert oder sie über Slack teilt. Traditionelle Sicherheits-Tools sind dabei nicht in der Lage, dies nachzuvollziehen, geschweige denn zu unterbinden. Hier bedarf es einer cloudnativen Lösung, die die Cloud „versteht“ und die auch die Cloud-Anwendungen miteinbezieht.“