Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Fünf Grundprinzipien für Hybrid Cloud-Sicherheit 

Fünf Grundprinzipien für Hybrid Cloud-Sicherheit

Entwicklung einer Hybrid Cloud-Sicherheitsstrategie, die effektiv, skalierbar und erschwinglich ist. 

Ausufernde Hybrid Cloud-Umgebungen sind für die meisten Unternehmen inzwischen eine Realität. Wenn Unternehmen ihre Workloads von lokalen Rechenzentren auf verschiedene Public Cloud-Plattformen verlagern, verschwimmen die Grenzen ihres traditionellen Schutzperimeters und lösen sich auf, was Cloud-Wildwuchs und heikle Sicherheitsfragen zur Folge hat. 

Um diese neue grenzenlose Hybrid Cloud-Umgebung zu schützen, müssen Sie Sicherheitskontrollen dorthin verlagern, wo sie benötigt werden, sie mithilfe neuer Tools durchsetzen und ihnen diese fünf Grundprinzipien zugrunde legen: einheitliche Zugriffsverwaltung, Automatisierung, Shift-Left, Datensicherheit und Zero Trust.

In diesem Blog-Beitrag fassen wir die fünf Grundprinzipien zusammen, die wir im Webinar 5 Must-Haves for Hybrid Cloud Security behandelt haben, und erklären, wie Sie diese umsetzen können.

Prinzip 1: Aufstellen einer einheitlichen Strategie für die Zugriffsverwaltung

Bei Cloud Computing wird der traditionelle Perimeter außerhalb des Rechenzentrums des Unternehmens verlegt, sodass Netzwerke als primäre Vertrauensgrenze durch Identität ersetzt werden. Aus diesem Grund ist eine einheitliche Strategie für das Identitäts- und Zugriffsmanagement (IAM) für die Absicherung der Cloud unerlässlich. Um dies zu erreichen, sollten Sie wie folgt vorgehen:

  • Verfolgen Sie eine einheitliche Identitätsstrategie, um sicherzustellen, dass Cloud-Identitäten nicht in separaten Verzeichnissen oder Authentifizierungssystemen existieren.
  • Erzwingen Sie Multi-Faktor-Authentifizierung (MFA) für jeglichen Zugriff, oder setzen Sie MFA zumindest für privilegierte Konten ein.
  • Verwenden Sie automatisierte Tools, um Cloud-Konten auf ungewöhnlichen Zugriff zu überwachen und das Prinzip der geringsten Rechte durchzusetzen.

Es ist äußerst wichtig, dass Ihre Cloud-Konten von Ihrem zentralen IAM-System nachverfolgt werden und dass Sie automatisierte Tools verwenden, die ständig nach unberechtigten Zugriffsversuchen auf Cloud-Konten suchen. Eine einfache Authentifizierung reicht für extern zugängliche Benutzerkonten nicht aus. Daher sollten Sie für den gesamten Zugriff auf Public Clouds auf MFA bestehen. Zumindest jedoch sollte MFA für privilegierte Konten zwingend sein.

Prinzip 2: Automatisieren der Konfiguration und Validierung in allen Clouds

„Die überwältigende Mehrheit von Sicherheitsvorfällen in der Cloud ist auf Fehler der Kunden zurückzuführen – weit mehr als auf böswillige Akteure.“

In meiner langjährigen Erfahrung als Analyst und Berater von Unternehmen habe ich festgestellt, dass die überwältigende Mehrheit von Sicherheitsvorfällen in der Cloud auf Fehlkonfigurationen oder Fehler der Kunden zurückzuführen ist – weit mehr als auf böswillige Akteure. In der Welt der Cloud ist eine korrekte Cloud-Konfiguration ebenso wichtig wie die Erstellung von sicherem Code. Zu den wichtigsten Empfehlungen für die Reduzierung von Fehlkonfigurationen gehören u. a.:

  • Setzen Sie mindestens CSPM ein, um sichere Konfigurationen in allen Umgebungen zu gewährleisten.
  • Nutzen Sie eine einheitliche Sicherheitsplattform, um Daten aus allen Umgebungen zu erfassen, zum Beispiel die Exposure Management-Plattform Tenable One.

Die Automatisierung der Cloud-Sicherheit ist zu einem immer wichtigeren Bestandteil moderner Sicherheitsstrategien geworden. Unternehmen können damit den manuellen Aufwand für die Verwaltung ihrer Cloud-Umgebungen reduzieren und gleichzeitig ihre Sicherheitslage und Skalierbarkeit verbessern.

Aus diesem Grund werden zunehmend automatisierte Cloud Security Posture Management (CSPM)-Tools wie Tenable Cloud Security eingesetzt und kontinuierlich weiterentwickelt. Bei CSPM-Lösungen geht es nicht nur um die Validierung von Cloud Runtime-Konfigurationen, sondern auch um das Scannen von IaC-Code-Repositories und die Suche nach Problemen bei der Identitäts- und Zugriffsverwaltung, wie beispielsweise übermäßig privilegierte Konten und Rollen.

Prinzip 3: Einführung von DevSecOps und Verlagerung von Kontrollen in die Entwicklungsumgebung

„Cloud-Sicherheit sollte kein separater Bereich mit eigenen Tools und Prozessen sein. Stattdessen sollten die Teams eine einheitliche Strategie verfolgen und Tools verwenden, die es ihnen ermöglichen, teamübergreifend die gleiche Sprache zu sprechen.“

Sicherheitsteams und Entwickler sprechen nicht dieselbe Sprache. Entwickler denken beim Thema Cloud-Sicherheit an technische Kontrollen, Open-Source-Produkte wie Terraform von Hashicorp und coole Funktionen, mit denen sie ihre Cloud-Native-Anwendungen auf Containern oder Kubernetes ausführen können. Wenn Sicherheitsteams über Kontrollen nachdenken, interessieren sie sich für das Risiko, sowohl qualitativ als auch quantitativ. Sie wollen wissen, welche Kontrollen vorhanden sind, wie sie überwacht werden und wie sie validiert werden können.

Aus diesen Gründen ist es nicht empfehlenswert, Cloud-Teams die Konzeption von Sicherheitskontrollen zu überlassen. Es ist Aufgabe der Sicherheitsteams, DevSecOps-Verfahren zu berücksichtigen und sicherzustellen, dass Kontrollen so früh wie möglich in der Entwicklungspipeline implementiert werden. Cloud-Sicherheit sollte kein separater Bereich mit eigenen Tools und Prozessen sein. Stattdessen sollten die Teams eine einheitliche Strategie verfolgen und Tools verwenden, die es ihnen ermöglichen, teamübergreifend die gleiche Sprache zu sprechen. Zur Umsetzung eines „Shilft-Left“-Ansatzes müssen Sie wie folgt vorgehen:

  • Scannen Sie Ihre Infrastruktur auf Fehlkonfigurationen in der Entwicklungspipeline mithilfe von IaC-Sicherheitstools (Infrastructure-as-Code), wie beispielsweise Terrascan
  • Standardisieren Sie Ihre Basis-Images und scannen Sie sie in einer isolierten Entwicklungsumgebung.
  • Verlagern Sie Ihre Kontrollen in ein früheres Stadium im Softwareentwicklungszyklus (sogenanntes „Shift-Left“), damit Sie auf mehrere Clouds skalieren können, indem Sie die Kontrollen abstrahieren und erzwingen können, bevor Sie Code auf Public Cloud-Plattformen bereitstellen.

Tool-Konsolidierung sollte hier ebenfalls erwähnt werden

Es ist wichtig, so wenige Tools wie möglich zu verwenden, um eine genaue Messung der Exposure zu erhalten, und die Risikofaktoren über mehrere On-Prem- und Public Cloud-Umgebungen hinweg zu normalisieren. Auf dem Markt für Public Clouds gibt es eine Vielzahl neuer Anbieter, die mit innovativen Techniken Lücken bei Kontrollen schließen, während die großen Anbieter einen eher gemäßigten Ansatz verfolgen. Zum Glück ist das nicht mehr der Fall. Lösungen wie Tenable One können sowohl On-Prem- als auch Public Cloud-Workloads schützen, um Ihnen eine konsistente Hybrid-Cloud-Sicherheitsplattform zu bieten.

Prinzip 4: Stärkung der Datensicherheit

Unternehmen müssen Cloud-Daten absichern, indem alle im Ruhezustand befindlichen Daten verschlüsselt werden. Als Minimum sollte das systemeigene Schlüsselverwaltungssystem des Cloud Service Providers (CSP) so konfiguriert werden, dass ein kundenseitig verwalteter Hauptschlüssel verwendet wird. Idealerweise sollten Sie Ihre eigenen Master-Verschlüsselungsschlüssel ausgeben und sie lokal in einem Hardware-Sicherheitsmodul (HSM) aufbewahren oder aber ein virtuelles HSM in einer Public Cloud-Umgebung verwenden.

Zu den wichtigsten Best Practices für die Sicherheit von Public Cloud-Daten gehören unter anderem:

  • Verschlüsseln Sie alle ruhenden Daten, aber behalten Sie die Kontrolle über die Verschlüsselungsschlüssel.
  • Nehmen Sie eine Integration in die Schlüsselverwaltungssysteme der Cloud-Anbieter vor.
  • Idealerweise sollten Sie Ihr eigenes HSM nutzen und die Schlüssel vor Ort oder in einer alternativen Cloud-Plattform aufbewahren.

Prinzip 5: Vereinheitlichung der Strategien nach dem „Zero Trust“-Prinzip

„Zero Trust“ ist ein überstrapazierter Begriff, aber für unsere Zwecke bedeutet er „keinerlei implizites Vertrauen“ sowie vollen Einblick in das gesamte Benutzerverhalten nach erfolgter Authentifizierung und während des Lebenszyklus einer jeden Sitzung. Dies ist ein absolutes Muss für Public Clouds, aber auch in Private Cloud-Umgebungen sollte das Zero-Trust-Prinzip eingeführt werden.

Um in vollem Umfang von Zero Trust zu profitieren:

  • Übernehmen Sie wo immer möglich Zero-Trust-Prinzipien sowohl in Public- als auch in Private Cloud-Umgebungen.
  • Schaffen Sie vertrauenswürdige Netzwerke und das Konzept des „impliziten Vertrauens“ ab.
  • Cloud-native und Zero-Trust-Prinzipien können eine treibende Kraft für die Transformation der Sicherheit sein und dafür sorgen, dass Ihre Anwendungen in Hybrid Cloud-Umgebungen sicherer sind.

Fazit

Erfolgreiche Hybrid Cloud-Sicherheit erfordert einen einheitlichen Ansatz. Bimodale IT hat technische Schulden und blinde Flecken in der Sicherheit von Public Cloud-Workloads hinterlassen. Daher sollten Sicherheitsverantwortliche bestrebt sein, Sicherheitsprobleme zu beseitigen, bevor sie Bereitstellungen auf einer gemeinsam genutzten Infrastruktur vornehmen, indem sie robuste Standards in der gesamten Entwicklungspipeline sowie in Public- und Private Cloud-Umgebungen durchsetzen.

Angesichts der zunehmenden Akzeptanz von Public Clouds ist es unerlässlich, dass wir unsere Sicherheitsstrategie weiterentwickeln, indem wir die besten Vorgehensweisen aus bewährten Sicherheitsabläufen anwenden und sie mit den besten Sicherheitsverfahren von Cloud-Technologien kombinieren. Darüber hinaus ist es wichtig, traditionell isolierte Tools zu konsolidieren, die zu viele Kontrollen zur Folge haben, die Sie verlangsamen. Außerdem entstehen dadurch Kontrolllücken, da keine einheitliche Cloud-Abdeckung vorhanden ist.

Die Zusammenarbeit mit Technologie-Teams kann sich als schwierig erweisen, aber dennoch müssen Sicherheitsverantwortliche die Umstellung auf Cloud-Native- und Zero-Trust-Prinzipien akzeptieren. Wenn Sie diese fünf Grundprinzipien als Fundament verwenden, können Sie dafür sorgen, dass Ihre Hybrid Cloud-Anwendungen sicherer sind und einfacher verwaltet werden können als diejenigen in Ihrem lokalen Rechenzentrum.

Wenn Sie mehr über die fünf oben empfohlenen Grundprinzipien erfahren möchten, sehen Sie sich bitte das On-Demand-Webinar „5 Must-Haves for Hybrid Cloud Security“ (auf Englisch) an. Außerdem können Sie mehr über Tenable Cloud Security erfahren und sich noch heute für eine kostenlose Testversion anmelden.

(Gastautor Tom Croll von Lionfish Tech Advisors ist ein Consultant für Tenable.)

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen