Hybride Ansätze

Weil sich IT-Sicherheit in Unternehmen schon länger nicht mehr auf Antiviren-Software und Firewalls beschränkt, richten heute auch die klassischen Anbieter von Antiviren-Lösungen den Blick immer stärker auf die Cloud.

Dabei geht es nicht nur da­rum, die Cloud als Standort für die Managementlösung der eigenen On-Premise-Anwendungen einzusetzen, sondern auch darum, die Daten in der Cloud sowie die verschiedenen Cloud-Anwendungen zu schützen.

Ein solcher Anbieter aus dem klassischen Antiviren-Markt ist Trend Micro. Die japanische Firma ist zudem fest im Unternehmensumfeld verwurzelt und hat sich schon ziemlich früh mit dem Schutz von Cloud-Anwendungen und der Daten in der Cloud beschäftigt. Mit der Lösung Deep Security kombiniert der Hersteller unter dem Schlagwort Hybrid Cloud Security eigenen Aussagen zufolge mehrere Sicherheitsmethoden in einem Produkt. Die Cloud-Ausrichtung zeigt sich unter anderem darin, dass Deep Security Microservices-Architekturen unterstützt und einen Schutz für Docker-Container anbietet.

Ein weiterer für die IT-Abteilungen wichtiger Aspekt ist die zentrale Verwaltbarkeit der Lösung. Sie kann nicht nur in VMware-Umgebungen, sondern auch in Amazon-AWS- und Microsoft-Azure-Installationen integriert werden.

Deep Security ist als reine Software-Lösung zur Installation im Rechenzentrum und als Software as a Service erhältlich. Zudem kann man die Lösung über den jeweiligen Marketplace von Microsoft (Azure) oder Amazon (Amazon Web Services) beziehen.

„Gerade bei hybriden Lösungen, bei denen Teile eines Rechenzentrums in die Cloud ausgelagert werden und mit den On-Premise-Systemen kommunizieren, müssen alle Bereiche gleichwertig gesichert sein. Moderne Sicherheitslösungen bieten deshalb die Option, übergreifend zu funktionieren und überall die gleichen Funktionen bereitzustellen“, sagt Richard Werner, Business Consultant bei Trend Micro, und verdeutlicht damit, wie für ihn eine Sicherheitslösung für die Cloud heute aussehen sollte. Auch müsse eine solche Lösung selbstverständlich die Vorteile einer Cloud-Architektur wie die Skalierung voll unterstützen: „Dann ist es beispielsweise möglich, Workloads flexibel zwischen Cloud und virtualisiertem Rechenzentrum zu verlagern, ohne dass die Sicherheit darunter leidet. Ein zentrales Management über alle Bereiche hinweg reduziert dabei bedeutend die Komplexität.“

Doch welche Anforderungen beziehungsweise Sicherheitsfunktionen sollten bei hybriden Cloud-Lösungen vom Provider und welche von der lokalen IT gelöst werden? „In einem sogenannten Shared-Responsibility-System übernimmt der Cloud-Anbieter üblicherweise die physikalische Sicherheit (Stromversorgung, Zugangssicherheit und so weiter)“, so Richard Werner. Viele Cloud-Provider griffen ungern in Bereiche wie Datensicherheit oder Systemsicherheit ein, da dies zwangsläufig bedeute, auch Zugriff auf diese Daten zu erhalten. „Gerade für Public-Cloud-Anbieter ist dies ein No-Go“, unterstreicht der Business-Consultant.

Doch nicht nur traditionelle Sicherheits-Anbieter, sondern auch die Firmen, die ihre Lösungsansätze gern als Next Generation Security bezeichnen, richten ihr Augenmerk auf die Cloud-Sicherheit.

Dazu gehört zum Beispiel das amerikanische Unternehmen Palo Alto. Es hat Mitte vergangenen Jahres mit GlobalProtect einen Cloud-Dienst vorgestellt, der eine cloudbasierte Sicher­heitsin­frastruktur zur Verfügung stellt. Mit Hilfe dieser Lösung sollen die präventiven Fähigkeiten der Sicherheitsplattform des Anbieters als Dienst in der Cloud bereitstehen. GlobalProtect soll dazu in der Lage sein, eine sogenannte Multi-Tenant-Sicherheitsinfrastruktur leichter zu verwalten und zu pflegen. Damit werden laut Anbieter operative Hürden beseitigt, die bei den herkömmlichen Ansätzen für verteilte Sicherheitsinfrastrukturen auftreten können.

Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, stellt die Sicht seines Unternehmens auf eine moderne Sicherheitslösung für die Cloud so dar: „Die Cloud – sofern man dies so pauschal sagen kann – sollte grundsätzlich auf einer integrierten Sicherheitsplattform basieren, die alle Schritte eines Angriffs-Lebenszyklus effektiv erkennen und stoppen kann – idealerweise präventiv. Sicherheitsmechanismen sollten daher sowohl am Perimeter, vor und im Rechenzentrum als auch in der Cloud und an den vielen verschiedenen Endpunkten greifen.“ Besonders wichtig sei es, so fügt Thorsten Henning hinzu, dass auch die Applikationen in der Cloud zu überwachen seien.

Auch die Firma Forcepoint, die 2016 durch die Fusion der Unternehmen Websense, Stone­soft und Raytheon Cyber Products entstand, hat sich die sogenannten Next-Generation-Techniken auf die Fahne geschrieben. Mit der Übernahme von Skyfence im vergangenen Jahr wurde dann umfangreiche Expertise im Bereich Cloud-Security Teil des Firmenportfolios.

Skyfence ist Spezialist im Bereich Cloud Access Security Broker (CASB). Die Analysten von Gartner definieren CASB folgendermaßen: CASBs sind lo­kale oder cloudbasierte Sicherheitsrichtlinien, die zwischen Cloud-Service-Kunden und Cloud-Service-Providern platziert werden, um Sicherheitsrichtlinien für Unternehmen beim Zugriff auf cloudbasierte Ressourcen zu kombinieren und einzubringen. Ergänzend dazu heißt es bei Gartner, dass CASBs mehrere Arten der Durchsetzung von Sicherheitsrichtlinien konsolidieren.

Forcepoint stellte kürzlich mit der als Human Point System bezeichneten modularen Lösung eine ganze Sammlung von Anwendungen für die Sicherheit vor. Kunden können daraus diejenigen Module auswählen und in ihre Sicherheitsumgebung implementieren, die ihrem Bedarf entsprechen. Die im Human Point System integrierte DLP-Anwendung (Data Loss Prevention) nutzt die mit Skyfence eingekaufte CASB-Lösung, um sensible Daten in autorisierten Cloud-Lösungen zu kontrollieren.

Diese Vorgehensweise soll verhindern können, dass sensible Daten mit nicht autorisierten Anwendern oder Geräten geteilt werden. Unterstützt werden dabei Cloud-Anwendungen aus dem Enterprise-Bereich wie Office 365 von Microsoft, G Suite von Google oder auch Salesforce.

Für Albert Schöppl, Regional Sales Manager CEUR bei Forcepoint, sollte zeitgemäße Cloud-Security daher wie folgt aussehen: „Eine optimale Sicherheitslösung für die Cloud beinhaltet idealerweise einen ganzheitlichen Rundumschutz. Im besten Fall werden nicht nur sensible Daten, sondern auch die User geschützt, unabhängig davon, von welchem Ort und über welches Device sie auf diese zugreifen. Außerdem muss sichergestellt werden, dass die Cloud-Anwendung sicher konfiguriert ist. Eine moderne CASB-Lösung umfasst genau diese ganzen Bereiche und bietet optimalen Schutz in der Wolke.“

Ein solcher Schutz funktioniere auch dann, so Albert Schöppl weiter, wenn die User mit eigenen BYOD-Geräten auf sensible Daten zugreifen.