Thought Leadership
Die Lage ist klar: Public Clouds sorgen dafür, dass IT-Services schneller und günstiger angeboten werden können als jemals zuvor. In Bezug auf Effizienz und Innovation ist die Cloud unschlagbar – sie eröffnet Kriminellen aber auch völlig neue Wege, um an sensible Daten zu kommen.
Deswegen müssen die neuen Multi Cloud-Szenarien auch von neuen Sicherheitslösungen flankiert werden, die in der Cloud und für die Cloud konzipiert wurden.
Um ein Gefühl für die Aufregung rund um Cloud Technolgie zu bekommen reicht ein Blick in die Statistik: Public Cloud-Plattformen etwa von Google und Amazon weisen ein rasantes Wachstum von 200 bis 300 Prozent auf. Allein 2017 generierten die Amazon Web Services (AWS) einen Umsatz von fast 17,5 Milliarden Dollar. Amazon-Chef Jeff Bezos geht davon aus, dass er mit AWS demnächst mehr verdienen könnte als mit seinem bekanntlich riesigen Einzelhandels-Business. Die Google Cloud-Plattform wird dieses Jahr vermutlich ähnlich gut performen, das Ziel für 2018 liegt bei rund 15 Milliarden Dollar.
Für viele haben große Name wie Google, Amazon oder Microsoft etwas vertrauenserweckendes – allerdings geht damit nicht automatisch eine lückenlose Sicherheit einher. Im Bereich Security auf Glück zu hoffen, ist keine wirkliche Lösung, insbesondere nachdem Datenschutz mehr und mehr in dem Mittelpunkt des weltweiten Interesses gerückt ist. Unternehmen müssen daher eine aktive Rolle einnehmen, wenn es darum geht die Daten, für die sie verantwortlich sind, zu schützen und zwar an allen möglichen Fronten.
Die Macht eines umfassenden Ansatzes
Weil man so leicht und vergleichsweise günstig IaaS Dienste nutzen kann, wurden Services in der vergangenen Zeit teilweise leichtfertig eingesetzt. Ähnlich wie im SaaS Umfeld, wo Nutzer an der IT vorbei und abseits standardisierter Bestellprozesse einfach ganz bequem Dienste aus der Cloud in Anspruch nehmen – Stichwort Schatten-IT – um etwa grosse Datenmengen zu übertragen oder PDFs zu konvertieren. Diese Applikationen sind zweifellos hilfreich und nützlich, haben aber oft Geschäftsbedingungen, die den Zugriff auf die übertragenen Unternehmensdaten durch den App-Anbieter erlauben.
Auch bei den Public Cloud Plattformen existiert häufig eine Schatten IT, wenn technisch versierte Anwender aus den Fachbereichen ihre eigenen Instanzen aufsetzen. Aber auch dort, wo die IT involviert ist, sorgen immer wieder fehlerhafte Konfigurationen für Sicherheitsbedrohungen und führen zur Offenlegung sensibler Daten. Ein Problem, das auch eingen namhaften Unternehmen sehr bekannt ist. Teilweise dem shared responsibility Modell geschuldet, so liegen die Entscheidungen über die Konfigurationen der Cloud Instanzen im Verantwortungsbereich des Kunden. Die Konfigurationsprobleme können komplex und zahlreich sein, aber in der Regel dreht es sich immer um Probleme im Zusammenhang mit Zugriffsberechtigungen, um erwartbare Folder-Strukturen oder um gestohlene Zugangsdaten und -Tokens.
Es wäre zu begrüßen, wenn auch in Zukunft einfach und schnell neue Cloud-Instanzen generiert werden könnten – allerdings ohne das Risiko des Datenverlustes durch Konfigurationsprobleme. Darüber hinaus ist Schutz vor Brute-Force-Angriffe auf schwache Passwörter für öffentlich sichtbare Dienste und die Absicherung von IaaS-Ressourcen wie S3-Buckets erforderlich.
So etwas kann nur ein umfassender Ansatz leisten, wie ihn etwa Netskope verfolgt. Kontinuierliche Security Assessments decken Schwachstellen in den Konfigurationen auf und zeigen sie auf einem Dashboard an. Dieser Lösungsansatz bringt riskante Konfigurationen schnell ans Tageslicht und verringert die Angriffsfläche für Hacker. Analog kann eine Cloud-basierte Data Loss Prevention-Lösung das Risiko sensible Daten in der Cloud offenzulegen deutlich reduzieren. Und eine Cloud-basierte Malware & Threat Protection Lösung kann Cloud-Malware in Echtzeit entschärfen.
Entscheider kommen heute nicht darum herum, den Einsatz eines solchen Cloud-nativen Ansatzes zu erwägen, wenn ihnen an einer wirksamen und vielschichtigen Security gelegen ist. Vorbei sind die Zeiten der traditionellen Security-Konzepte, die sich ausschließlich für das interessierten, was hinter der Firewall passierte.
Cloud-Plattformen sind eine leistungsfähige und skalierbare Ergänzung für die Infrastrukturkapazitäten jedes Unternehmens. Für viele Unternehmen ist die Nutzung jedoch noch relativ neu und das Management der Plattformen liegt nicht immer im „best practice“ Spektrum. Seien Sie sich der Herausforderungen bewusst und stellen Sie sicher, dass Fehler schnell aufgespürt und behoben werden!
Netskope für AWS
Im konkreten Fall kann eine Sicherheitslösung wie Netskope für IaaS dafür sorgen, dass in AWS Sicherheitsrichtlinien durchgesetzt werden und die Daten-Exfiltration von IT-freigegebenen zu nicht-gemanagten S3-Buckets unterbunden wird. Kunden können mittels einer automatisch und kontinuierlich aktualisierten Liste von IT-freigegebenen Accounts und Buckets Copy/Sync von Daten ausschließlich zu IT-freigegebenen Buckets zulassen. Auch schlecht konfigurierte Assets werden dabei durch eine kontinuierliche Bestandsaufnahme des Cloud-Inventars aufgedeckt.
Ein Multi-Cloud-Dashboard und umfangreiche Reporting-Funktionen sorgen dafür, dass IT-Teams den Überblick über ihre Cloud Infrastruktur behalten. Administratoren erhalten einen kompletten Überblick über die gesamte Cloud-Infrastruktur und die über verschiedene Clouds verteilten Anwendung. Mittels granularer Filtermöglichkeiten können sie Details zu einzelnen Cloud-Providern, Accounts, Tags etc. einsehen – ohne dabei zwischen verschiedenen Konsolen wechseln zu müssen.
Das Multi-Cloud-Dashboard erlaubt Adminstratoren, Fehlkonfigurationen schnell und einfach aufzuspüren, die etwa durch Änderungen am Deployment-Skript entstanden sind. Die Konfigurationsprüfung erfolgt mittels 40+ sofort verwendbarer Best Practices über mehrere Kontroll-Layer. Diese Checks gehen über eine grundsätzliche Compliance-Kontrolle hinaus und bietet die Art von Schutz, die in Zeiten der Multi Cloud wünschenswert und notwendig ist.
Kristina Vervoort, Regional Sales Director DACH bei Netskope
