Fünf Grundprinzipien für Hybrid Cloud-Sicherheit
Entwicklung einer Hybrid Cloud-Sicherheitsstrategie, die effektiv, skalierbar und erschwinglich ist.
Ausufernde Hybrid Cloud-Umgebungen sind für die meisten Unternehmen inzwischen eine Realität. Wenn Unternehmen ihre Workloads von lokalen Rechenzentren auf verschiedene Public Cloud-Plattformen verlagern, verschwimmen die Grenzen ihres traditionellen Schutzperimeters und lösen sich auf, was Cloud-Wildwuchs und heikle Sicherheitsfragen zur Folge hat.
Um diese neue grenzenlose Hybrid Cloud-Umgebung zu schützen, müssen Sie Sicherheitskontrollen dorthin verlagern, wo sie benötigt werden, sie mithilfe neuer Tools durchsetzen und ihnen diese fünf Grundprinzipien zugrunde legen: einheitliche Zugriffsverwaltung, Automatisierung, Shift-Left, Datensicherheit und Zero Trust.
In diesem Blog-Beitrag fassen wir die fünf Grundprinzipien zusammen, die wir im Webinar 5 Must-Haves for Hybrid Cloud Security behandelt haben, und erklären, wie Sie diese umsetzen können.
Prinzip 1: Aufstellen einer einheitlichen Strategie für die Zugriffsverwaltung
Bei Cloud Computing wird der traditionelle Perimeter außerhalb des Rechenzentrums des Unternehmens verlegt, sodass Netzwerke als primäre Vertrauensgrenze durch Identität ersetzt werden. Aus diesem Grund ist eine einheitliche Strategie für das Identitäts- und Zugriffsmanagement (IAM) für die Absicherung der Cloud unerlässlich. Um dies zu erreichen, sollten Sie wie folgt vorgehen:
- Verfolgen Sie eine einheitliche Identitätsstrategie, um sicherzustellen, dass Cloud-Identitäten nicht in separaten Verzeichnissen oder Authentifizierungssystemen existieren.
- Erzwingen Sie Multi-Faktor-Authentifizierung (MFA) für jeglichen Zugriff, oder setzen Sie MFA zumindest für privilegierte Konten ein.
- Verwenden Sie automatisierte Tools, um Cloud-Konten auf ungewöhnlichen Zugriff zu überwachen und das Prinzip der geringsten Rechte durchzusetzen.
Es ist äußerst wichtig, dass Ihre Cloud-Konten von Ihrem zentralen IAM-System nachverfolgt werden und dass Sie automatisierte Tools verwenden, die ständig nach unberechtigten Zugriffsversuchen auf Cloud-Konten suchen. Eine einfache Authentifizierung reicht für extern zugängliche Benutzerkonten nicht aus. Daher sollten Sie für den gesamten Zugriff auf Public Clouds auf MFA bestehen. Zumindest jedoch sollte MFA für privilegierte Konten zwingend sein.
Prinzip 2: Automatisieren der Konfiguration und Validierung in allen Clouds
„Die überwältigende Mehrheit von Sicherheitsvorfällen in der Cloud ist auf Fehler der Kunden zurückzuführen – weit mehr als auf böswillige Akteure.“
In meiner langjährigen Erfahrung als Analyst und Berater von Unternehmen habe ich festgestellt, dass die überwältigende Mehrheit von Sicherheitsvorfällen in der Cloud auf Fehlkonfigurationen oder Fehler der Kunden zurückzuführen ist – weit mehr als auf böswillige Akteure. In der Welt der Cloud ist eine korrekte Cloud-Konfiguration ebenso wichtig wie die Erstellung von sicherem Code. Zu den wichtigsten Empfehlungen für die Reduzierung von Fehlkonfigurationen gehören u. a.:
- Setzen Sie mindestens CSPM ein, um sichere Konfigurationen in allen Umgebungen zu gewährleisten.
- Nutzen Sie eine einheitliche Sicherheitsplattform, um Daten aus allen Umgebungen zu erfassen, zum Beispiel die Exposure Management-Plattform Tenable One.
Die Automatisierung der Cloud-Sicherheit ist zu einem immer wichtigeren Bestandteil moderner Sicherheitsstrategien geworden. Unternehmen können damit den manuellen Aufwand für die Verwaltung ihrer Cloud-Umgebungen reduzieren und gleichzeitig ihre Sicherheitslage und Skalierbarkeit verbessern.
Aus diesem Grund werden zunehmend automatisierte Cloud Security Posture Management (CSPM)-Tools wie Tenable Cloud Security eingesetzt und kontinuierlich weiterentwickelt. Bei CSPM-Lösungen geht es nicht nur um die Validierung von Cloud Runtime-Konfigurationen, sondern auch um das Scannen von IaC-Code-Repositories und die Suche nach Problemen bei der Identitäts- und Zugriffsverwaltung, wie beispielsweise übermäßig privilegierte Konten und Rollen.
Prinzip 3: Einführung von DevSecOps und Verlagerung von Kontrollen in die Entwicklungsumgebung
„Cloud-Sicherheit sollte kein separater Bereich mit eigenen Tools und Prozessen sein. Stattdessen sollten die Teams eine einheitliche Strategie verfolgen und Tools verwenden, die es ihnen ermöglichen, teamübergreifend die gleiche Sprache zu sprechen.“
Sicherheitsteams und Entwickler sprechen nicht dieselbe Sprache. Entwickler denken beim Thema Cloud-Sicherheit an technische Kontrollen, Open-Source-Produkte wie Terraform von Hashicorp und coole Funktionen, mit denen sie ihre Cloud-Native-Anwendungen auf Containern oder Kubernetes ausführen können. Wenn Sicherheitsteams über Kontrollen nachdenken, interessieren sie sich für das Risiko, sowohl qualitativ als auch quantitativ. Sie wollen wissen, welche Kontrollen vorhanden sind, wie sie überwacht werden und wie sie validiert werden können.
Aus diesen Gründen ist es nicht empfehlenswert, Cloud-Teams die Konzeption von Sicherheitskontrollen zu überlassen. Es ist Aufgabe der Sicherheitsteams, DevSecOps-Verfahren zu berücksichtigen und sicherzustellen, dass Kontrollen so früh wie möglich in der Entwicklungspipeline implementiert werden. Cloud-Sicherheit sollte kein separater Bereich mit eigenen Tools und Prozessen sein. Stattdessen sollten die Teams eine einheitliche Strategie verfolgen und Tools verwenden, die es ihnen ermöglichen, teamübergreifend die gleiche Sprache zu sprechen. Zur Umsetzung eines „Shilft-Left“-Ansatzes müssen Sie wie folgt vorgehen:
- Scannen Sie Ihre Infrastruktur auf Fehlkonfigurationen in der Entwicklungspipeline mithilfe von IaC-Sicherheitstools (Infrastructure-as-Code), wie beispielsweise Terrascan
- Standardisieren Sie Ihre Basis-Images und scannen Sie sie in einer isolierten Entwicklungsumgebung.
- Verlagern Sie Ihre Kontrollen in ein früheres Stadium im Softwareentwicklungszyklus (sogenanntes „Shift-Left“), damit Sie auf mehrere Clouds skalieren können, indem Sie die Kontrollen abstrahieren und erzwingen können, bevor Sie Code auf Public Cloud-Plattformen bereitstellen.
Tool-Konsolidierung sollte hier ebenfalls erwähnt werden
Es ist wichtig, so wenige Tools wie möglich zu verwenden, um eine genaue Messung der Exposure zu erhalten, und die Risikofaktoren über mehrere On-Prem- und Public Cloud-Umgebungen hinweg zu normalisieren. Auf dem Markt für Public Clouds gibt es eine Vielzahl neuer Anbieter, die mit innovativen Techniken Lücken bei Kontrollen schließen, während die großen Anbieter einen eher gemäßigten Ansatz verfolgen. Zum Glück ist das nicht mehr der Fall. Lösungen wie Tenable One können sowohl On-Prem- als auch Public Cloud-Workloads schützen, um Ihnen eine konsistente Hybrid-Cloud-Sicherheitsplattform zu bieten.
Prinzip 4: Stärkung der Datensicherheit
Unternehmen müssen Cloud-Daten absichern, indem alle im Ruhezustand befindlichen Daten verschlüsselt werden. Als Minimum sollte das systemeigene Schlüsselverwaltungssystem des Cloud Service Providers (CSP) so konfiguriert werden, dass ein kundenseitig verwalteter Hauptschlüssel verwendet wird. Idealerweise sollten Sie Ihre eigenen Master-Verschlüsselungsschlüssel ausgeben und sie lokal in einem Hardware-Sicherheitsmodul (HSM) aufbewahren oder aber ein virtuelles HSM in einer Public Cloud-Umgebung verwenden.
Zu den wichtigsten Best Practices für die Sicherheit von Public Cloud-Daten gehören unter anderem:
- Verschlüsseln Sie alle ruhenden Daten, aber behalten Sie die Kontrolle über die Verschlüsselungsschlüssel.
- Nehmen Sie eine Integration in die Schlüsselverwaltungssysteme der Cloud-Anbieter vor.
- Idealerweise sollten Sie Ihr eigenes HSM nutzen und die Schlüssel vor Ort oder in einer alternativen Cloud-Plattform aufbewahren.
Prinzip 5: Vereinheitlichung der Strategien nach dem „Zero Trust“-Prinzip
„Zero Trust“ ist ein überstrapazierter Begriff, aber für unsere Zwecke bedeutet er „keinerlei implizites Vertrauen“ sowie vollen Einblick in das gesamte Benutzerverhalten nach erfolgter Authentifizierung und während des Lebenszyklus einer jeden Sitzung. Dies ist ein absolutes Muss für Public Clouds, aber auch in Private Cloud-Umgebungen sollte das Zero-Trust-Prinzip eingeführt werden.
Um in vollem Umfang von Zero Trust zu profitieren:
- Übernehmen Sie wo immer möglich Zero-Trust-Prinzipien sowohl in Public- als auch in Private Cloud-Umgebungen.
- Schaffen Sie vertrauenswürdige Netzwerke und das Konzept des „impliziten Vertrauens“ ab.
- Cloud-native und Zero-Trust-Prinzipien können eine treibende Kraft für die Transformation der Sicherheit sein und dafür sorgen, dass Ihre Anwendungen in Hybrid Cloud-Umgebungen sicherer sind.
Fazit
Erfolgreiche Hybrid Cloud-Sicherheit erfordert einen einheitlichen Ansatz. Bimodale IT hat technische Schulden und blinde Flecken in der Sicherheit von Public Cloud-Workloads hinterlassen. Daher sollten Sicherheitsverantwortliche bestrebt sein, Sicherheitsprobleme zu beseitigen, bevor sie Bereitstellungen auf einer gemeinsam genutzten Infrastruktur vornehmen, indem sie robuste Standards in der gesamten Entwicklungspipeline sowie in Public- und Private Cloud-Umgebungen durchsetzen.
Angesichts der zunehmenden Akzeptanz von Public Clouds ist es unerlässlich, dass wir unsere Sicherheitsstrategie weiterentwickeln, indem wir die besten Vorgehensweisen aus bewährten Sicherheitsabläufen anwenden und sie mit den besten Sicherheitsverfahren von Cloud-Technologien kombinieren. Darüber hinaus ist es wichtig, traditionell isolierte Tools zu konsolidieren, die zu viele Kontrollen zur Folge haben, die Sie verlangsamen. Außerdem entstehen dadurch Kontrolllücken, da keine einheitliche Cloud-Abdeckung vorhanden ist.
Die Zusammenarbeit mit Technologie-Teams kann sich als schwierig erweisen, aber dennoch müssen Sicherheitsverantwortliche die Umstellung auf Cloud-Native- und Zero-Trust-Prinzipien akzeptieren. Wenn Sie diese fünf Grundprinzipien als Fundament verwenden, können Sie dafür sorgen, dass Ihre Hybrid Cloud-Anwendungen sicherer sind und einfacher verwaltet werden können als diejenigen in Ihrem lokalen Rechenzentrum.
Wenn Sie mehr über die fünf oben empfohlenen Grundprinzipien erfahren möchten, sehen Sie sich bitte das On-Demand-Webinar „5 Must-Haves for Hybrid Cloud Security“ (auf Englisch) an. Außerdem können Sie mehr über Tenable Cloud Security erfahren und sich noch heute für eine kostenlose Testversion anmelden.
(Gastautor Tom Croll von Lionfish Tech Advisors ist ein Consultant für Tenable.)
Verwandte Artikel
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud