Cloud-Einführungen sind auch 2024 auf dem Vormarsch. Weltweit erhöhen Unternehmen ihre Ausgaben für entsprechende Infrastruktur. Für eine strategisch erfolgreiche Umsetzung spielt gemäss der aktuellen «State of the Cloud Strategy»-Umfrage von HashiCorp der Reifegrad der Cloud eine zentrale Rolle. Als Faustregel gilt laut der Studie, je fortgeschrittener dieser ist, desto höher fällt die Rentabilität aus dank kürzerer Entwicklungszyklen und schnellerer Innovationen. Zudem werden dank Automation Ressourceneinsatz und Betriebskosten optimiert sowie Sicherheit und Compliance verbessert. Die Umfrage zeigt aber auch, dass die Mehrheit der Unternehmen noch keinen hohen Cloud-Reifegrad erreicht: Es harzt bei den richtigen Massnahmen für Cloud-Sicherheit. Dieses Problem ist mit den richtigen Grundsätzen lösbar.
Wir zeigen, wie ein Unternehmen mit dem Zero-Trust-Ansatz die Cloud-Sicherheit stärken und einen höheren Reifegrad erreichen kann. Wir erklären auch, weshalb dieser Ansatz wichtig ist, auf welchen Prinzipien er beruht, welche Massnahmen sich zu deren Umsetzung eignen und wie Sie die üblichen Fallstricke vermeiden.
Was ist das Zero-Trust-Security-Modell?
«Zero Trust» beruht auf dem Grundsatz, niemandem zu trauen – ob im oder ausserhalb des Netzwerks. Damit wird das traditionelle Konzept obsolet, Akteuren innerhalb des Netzwerks zu vertrauen, jenen ausserhalb nicht. Der Zero-Trust-Ansatz nimmt an, dass eine Sicherheitsverletzung ihren Ursprung überall haben kann. Er schützt die IT-Systeme durch Schutzmechanismen für diverse Bereiche: von Identitäten, die Systemzugang verlangen, über Endpunkte wie Geräte und Sensoren bis hin zu Netzwerkkonfigurationen und den Daten selbst.
Die Zero-Trust-Prinzipien
Zero Trust handelt nach dem Motto «Vertrauen ist gut, Kontrolle ist besser», welches auf den Prinzipien beruht, stets explizit zu verifizieren, geringstmögliche Berechtigungen zu gewähren und von Sicherheitsverletzungen auszugehen.
Das Prinzip «stets explizit verifizieren» wird mittels Sicherheitsrichtlinien durchgesetzt. Diese werden dynamisch angewandt und orientieren sich am Kontext eines Zugriffs wie Standort, Sensitivität der Daten oder ungewöhnliche Verhaltensmuster.
Das Prinzip «geringstmögliche Berechtigungen gewähren» besagt, dass eine Identität standardmässig nur die zur Erfüllung einer Aufgabe notwendigen Rechte erhält. Dies begrenzt Seitwärtsbewegungen und die Folgen von Sicherheitsverletzungen. Die sichere Kommunikation zwischen Systemen und Komponenten sowie die stete Verschlüsselung schützen Daten im Fall eines unerlaubten Zugriffs.
Das Prinzip «von Sicherheitsverletzungen ausgehen» wird durch laufende Echtzeit-Analyse der Nutzer- und Netzwerkaktivitäten und automatisierte Reaktionen umgesetzt. Dies ermöglicht, ungewöhnliche Vorgänge vorherzusehen, zu erkennen und darauf zu reagieren.
Um diese Prinzipien praktisch anzuwenden, empfehlen sich die folgenden Massnahmen:
- Sicherheitsrichtlinien durchsetzen: Automatisieren Sie die Durchsetzung ressourcenübergreifend auf Basis von Threat Intelligence, Kontext und verdächtigen Aktivitäten.
- Netzwerk mikrosegmentieren: Isolieren Sie die Umgebung in einer privaten sicheren Netzwerkzone und unterteilen Sie Ressourcen basierend auf ihrem Kontext in Teilnetzwerke, die jeglichen Datenverkehr mittels Richtlinien überwachen.
- Identitätsbasierte Zugriffskontrolle: Die Identität ist der wichtigste Sicherheitsfaktor. Nutzen Sie zuverlässige Methoden wie Multi-Faktor-Authentifizierung (MFA) und seien Sie streng beim Zugriff auf Daten, Dienste oder Aktivitäten.
- Daten verschlüsseln: Identifizieren und klassifizieren Sie Ihre Daten nach Sensitivität. Verschlüsseln Sie sie im Ruhezustand und bei der Übermittlung mit neusten kryptografischen Protokollen.
- Laufend überwachen und analysieren: Sorgen Sie für eine einheitliche und laufende Überwachung, um Anomalien, Angriffe und Sicherheitsverletzungen zu erkennen. Automatisieren Sie die Reaktion auf einen Zwischenfall.
Worauf ist beim Einsatz von Security as a Service für Zero Trust in der Cloud zu achten?
Unternehmen setzen vermehrt auf Security as a Service (SECaaS), um Zero-Trust-Massnahmen einzuführen. Gründe hierfür sind Kosteneffizienz, Fachkräftemangel, Skalierbarkeit und Übertragung von Verantwortlichkeiten. Es gibt eine Vielzahl an Diensten, um den Zero-Trust-Ansatz anzuwenden. Hyperscaler wie Azure, AWS und GCP bieten dafür systemeigene integrierte Cloud-Dienste. Doch welches Tool für welche Massnahme einsetzen? Das ist nicht immer eindeutig, da die Tools sich teilweise überschneidende Funktionen unterstützen. Gestützt auf unsere Erfahrung zeigen wir, welche wesentlichen integrierten Security-Dienste sich eignen, wenn man AWS oder Azure als Cloud Provider wählt:
Massnahme |
Cloud-Dienste, die Zero-Trust-Prinzipien unterstützen |
|
AWS |
Azure |
|
Sicherheitsrichtlinien durchsetzen |
AWS Security Hub, AWS Organizations |
Azure Policy, Entra Conditional Access Policies, Microsoft Defender for Cloud |
Netzwerk segmentieren |
AWS VPC Lattice, AWS WAF |
Azure Firewall, Azure WAF, Azure Bastion |
Identitätsbasierte Zugangskontrolle |
AWS IAM, AWS System Manager Session Manager |
Microsoft Entra ID mit Entra ID Governance, Privileged Identity Management |
Daten verschlüsseln |
AWS KMS, Amazon Macie |
Azure Key Vault, Microsoft Purview |
Überwachen und analysieren |
AWS Cloud Trail, Amazon Detective |
Microsoft Defender, Azure Sentinel |
|
|
|
Wer bereits verwaltete Rechen- und Speicherdienste von Hyperscalern nutzt, kann die Sicherheit mit integrierten Diensten rasch verbessern – dies dank Standardintegration und einfacher Anwendung via Konfiguration. Es funktioniert jedoch nicht ohne die Fähigkeiten, diese Dienste so zu konfigurieren und zu verwalten, dass sie Zero Trust unterstützen. Zu berücksichtigen ist zudem das Risiko eines Vendor Lock-in und unvorhergesehener Kosten, die durch Ressourcenverbrauch sowie Datenverkehr entstehen können.
Lokal verwaltete Systeme und Werkzeuge sind hingegen eher statisch und daher berechenbarer bezüglich Ressourcenverbrauch, dynamischer Netzwerklast und Kosten. Dafür ist die Kontrolle, Konfiguration, Anpassung und Integration mit bestehenden lokalen Systemen meist aufwendiger. Dies gilt insbesondere, wenn die Daten verteilt und weniger zugänglich sind als in Cloud-Umgebungen, die Standard-APIs für die Integration bereitstellen. Das kann dazu führen, dass eine vollständige Abdeckung durch Sicherheitsmassnahmen erschwert wird.
Wo lauern die üblichen Fallstricke bei der Einführung von Zero Trust?
Die Annahme einer 1:1 Migration
Einer der geläufigsten Fehler ist anzunehmen, dass sich Systeme oder ganze IT-Landschaften 1:1 in die Cloud migrieren lassen unter Beibehaltung des bisherigen Sicherheitsstandards. Dabei werden oft zahlreiche einfach zu integrierende Dienste wie Firewalls, Überwachungs- und Benachrichtigungssysteme oder sichere Speichermedien übersehen, die von Cloud Providern bereitgestellt und verwaltet werden. Werden beispielsweise innerhalb einer Virtual Private Cloud (VPC) oder eines Teilnetzes Perimeter-basierte Sicherheitsgrenzen angewendet, die internem Netzwerkverkehr vertrauen, kann sich ein Angreifer seitwärts bewegen, sobald nur eine Komponente kompromittiert ist. Deshalb ist es unerlässlich, die Systemarchitektur zu überprüfen und auf Zero Trust hin anzupassen. Dies verursacht zunächst Kosten, mindert aber letztlich die Sicherheitsrisiken.
Die strategische Budgetierung für Schutzmechanismen
Ein weiterer Knackpunkt sind die Kosten für die Einführung griffiger Richtlinien via Identity and Access Management (IAM), um Resource Owner zu benennen, klare Zugangskontrollen zu verankern sowie bewährte Sicherheitspraktiken anzuwenden und zu überprüfen.
Elementare Schutzmechanismen wie sichere Speichermedien, Bedrohungsanalyse und Rollenverwaltung sind meist günstig bis kostenlos und relativ einfach anzuwenden. Höhere Aufwände und Kosten können indes erweiterte Dienste verursachen wie Security Information and Event Management (SIEM), Security Orchestration and Automation Response (SOAR) oder der umfassende Schutz von Assets wie digitale Schlüssel durch Hardware Security Modules (HSM). Solche Arten von Diensten sind in der Regel nur sinnvoll für Unternehmen, die besonderen Gefahren ausgesetzt sind oder hohe Compliance-Anforderungen erfüllen müssen. Das können Gesundheitsdienstleister sein, die sensitive medizinische Daten schützen müssen, Finanzdienstleister, die den Datensicherheitsstandards der Zahlkartenindustrie (PCI DSS) unterliegen, oder Behörden, die mit sensitiven Daten und kritischer Infrastruktur arbeiten. Es ist daher elementar, die erweiterten Dienste strategisch für Bereiche zu nutzen, die sensitiv und sicherheitsrelevant sind. So halten sich Kosten und Nutzen die Waage.
Um darüber hinaus die Kosten für Sicherheit nicht ausufern zu lassen, empfiehlt sich Folgendes:
- Schrittweise Einführung von Zero Trust - von IAM-Zugriffskontrollen über Netzwerksegmentierung bis hin zu optimierten Überwachungs- und Reaktionsmechanismen
- Priorisierung bereits integrierter kostenloser Cloud-Dienste
- Auswahl passender Werkzeuge, um spezifische Sicherheitsanforderungen zu erfüllen
- Aufgaben wie Überwachung und Reaktion auf Zwischenfälle nach Möglichkeit automatisieren
- Kostenvergleich verschiedener Betriebsmodelle gemäss Shared Responsibility Model
Das Vernachlässigen von IAM-Regeln und Zugriffskontrollen
Die Einführung griffiger IAM-Richtlinien und wirksamer Zugriffskontrollen ist nicht zu vernachlässigen. Es ist zentral, diese teamübergreifend zu definieren. So lässt sich ein verteiltes Zugriffsrechte-System vermeiden, das langfristig schwer aufrechtzuerhalten ist. Dieser Grundsatz gilt auch für die Netzwerksegmentierung. Es gibt verschiedene Methoden, ein Netzwerk zu sichern, z.B. Zugriffsrichtlinien für virtuelle Netzwerke. Entscheidend ist indes, den Überblick zu behalten und eine kohärente Strategie zu verfolgen. Andernfalls ist das Risiko gross, die Kontrolle zu verlieren, was wiederum eine sichere Netzwerkkonfiguration gefährdet. Die Losung lautet hier: so einfach wie möglich und so sicher wie nötig.
Bei «secure by default» genau hinschauen
Der Grundsatz «secure by default» ist ein weiterer Schlüsselfaktor. Während zahlreiche Cloud-Dienste voreingestellte Sicherheitsmechanismen bieten, z.B. standardmässig geblockter öffentlicher Zugriff und Verschlüsselung von Objekten in Amazon S3, können andere per Standardkonfiguration dem Internet ausgesetzt sein. Zu den üblichen Risiken zählen öffentlich zugängliche Speichermedien oder eine falsch konfigurierte Zugriffskontrolle für APIs. Besonders gravierend sind Zugangsdaten, die in Code-Repositories oder in ungeschützten Protokolldateien durchsickern. Um dies zu vermeiden und eine sichere Umgebung zu gewährleisten, braucht es neben der Etablierung von Sicherheitsmechanismen im gesamten Softwareentwicklungsprozess via SecDevOps auch regelmässige Bedrohungsanalysen und Sicherheitsprüfungen von Ressourcen und deren Konfiguration.
Wer gewisse Grundsätze beachtet, bewegt sich in der Cloud sicher
Mit der Verbreitung von Cloud-Infrastrukturen nimmt auch die Bedeutung von Cloud-Sicherheit zu. Unternehmen, die Zero Trust durch bewährte Praktiken anwenden, erreichen einen höheren Reifegrad und stärken ihre Cloud-Sicherheit. Bei der Einführung von Zero Trust sollten sie gebrauchsfertige SECaaS-Lösungen von Hyperscalern berücksichtigen. Zu vermeiden sind bekannte Fallstricke wie die Annahme, lokale Konzepte liessen sich 1:1 auf die Cloud übertragen, ohne die Architektur anzupassen. Cloud-Security-Dienste sind auch nicht unbedingt kostenlos oder günstiger als lokale Services. Es erfordert Aufwand, passende Sicherheitsmassnahmen gemäss Zero Trust und spezifischen Anforderungen zu definieren und zu planen sowie geeignete SECaaS-Komponenten zu verstehen und auszuwählen. Zudem müssen die Fähigkeiten erworben werden, um diese sachgerecht zu konfigurieren und zu warten. Denn Sicherheit ist nur bis zu einem gewissen Grad «by default» in die Cloud integriert. Wer bewährte Praktiken erfolgreich implementieren will, muss seine IT-Architektur prüfen und anpassen, gezielt gemäss FinOps budgetieren und regelmässig die Sicherheit evaluieren.
Autoren
Daniel Hogg
Head of Architecture
Frederic Kottelat
Security Consultant