Was macht Multi-Cloud- und Hybrid-Cloud-Sicherheit so schwierig?
Das Ausführen von Workloads über AWS, Azure, GCP und On-Premises-Infrastrukturen hinweg erhöht die betriebliche Flexibilität Ihres Unternehmens. Dennoch bringt es auch ernsthafte Herausforderungen für die Cloud-Sicherheit mit sich, insbesondere in Multi-Cloud- oder Hybrid-Cloud-Umgebungen.
Jede Umgebung verfügt über ein eigenes Identitätsmodell, eine eigene Richtliniensprache, einen eigenen Protokollierungsansatz (Logging) und ein eigenes Kontroll-Framework, was eine konsistente Governance erschwert.
Security-Teams müssen oft mit widersprüchlichen Konfigurationen jonglieren, wie etwa Cloud-nativen Verschlüsselungsstandards, Einstellungen für die Cloud-Identitätsföderation und Logging-Schemata.
Diese Unterschiede bergen Risiken, darunter Abdeckungslücken sowie ein erhöhtes Risiko für Versehen und menschliche Fehler.
Eine Fehlkonfiguration in AWS hat vielleicht keine unmittelbaren Auswirkungen, aber wenn sie mit einer überprivilegierten Azure-Identität oder einer fehlkonfigurierten On-Premises-Freigabe verknüpft ist, kann sich das Risiko schnell zuspitzen.
Diese Komplexität nimmt mit der Skalierung der Teams weiter zu. Aufgrund unterschiedlicher DevOps-Pipelines, Tools und Sicherheitsniveaus (Security Postures) über die verschiedenen Umgebungen hinweg wird es immer schwieriger, Fehlkonfigurationen in Cloud und Identitäten zu erkennen und zu beheben. Das Ergebnis ist eine fragmentierte Angriffsfläche, auf der Angreifern die laterale Bewegung erleichtert wird.
Wie sich Sicherheitsrisiken bei Cloud-Anbietern unterscheiden
Während AWS, Azure und GCP ähnliche Sicherheitsprinzipien verfolgen, unterscheidet sich deren Umsetzung.
AWS stützt sich auf IAM-Richtlinien (Identity and Access Management), Azure nutzt die rollenbasierte Zugriffskontrolle (RBAC) und GCP verwaltet Zugriffe über Dienstkonten (Service Accounts) sowie Berechtigungen auf Ressourcenebene.
Diese Unterschiede führen zu anbieterspezifischen Risiken.
- AWS erlaubt möglicherweise Platzhalter-Berechtigungen wie s3:*, was zu weitreichenden Datenzugriffen führt.
- Azure lässt unter Umständen veraltete Benutzerobjekte zu oder setzt den bedingten Zugriff (Conditional Access) nicht streng genug durch.
- GCP greift oft standardmäßig auf sehr freizügige Dienstkonten zurück, die selten dem Least-Privilege-Prinzip entsprechen.
Das Hybrid-Cloud-Risiko steigt, wenn Dienste diese Plattformen miteinander verbinden. Beispielsweise könnte eine GCP-Funktion Telemetriedaten von einer virtuellen Azure-Maschine abrufen und dafür einen API-Schlüssel nutzen, der in einem unverwalteten Secrets Manager hinterlegt ist.
Kompromittiert ein Angreifer diesen Schlüssel, erhält er Zugriff auf Systeme in beiden Clouds.
Im Modell der geteilten Verantwortung kümmert sich Ihr Cloud-Anbieter um die Infrastruktur – Sie hingegen sichern Aspekte wie Identitäten, Workloads und Konfigurationen ab.
Häufige Fehlkonfigurationen und Identitätsprobleme in der Hybrid-Cloud
Hybrid-Cloud-Sicherheitsrisiken resultieren häufig aus Konfigurationsabweichungen (Drift) und einer uneinheitlichen Durchsetzung von Identitätsrichtlinien.
Zu den häufigsten Problemen gehören:
- Unbeschränkter Zugriff auf Speicher, Container oder APIs
- Übermäßige IAM-Privilegien, veraltete Dienstkonten oder verwaiste Zugriffsschlüssel
- Unüberwachte Datenströme zwischen den Clouds oder zwischen Cloud- und On-Premises-Systemen
- Lücken bei der MFA-Durchsetzung oder der SSO-Föderation
- Überschneidende Rollendefinitionen über verschiedene Umgebungen hinweg
In der Praxis greifen diese Schwachstellen oft ineinander. Wird beispielsweise ein Speicher-Bucket in AWS offen im Internet stehengelassen, ist das allein bereits riskant. Wenn nun jedoch ein Azure-Dienstprinzipal mit ungenutzten administrativen Rechten darauf zugreift und auf beiden Seiten die Protokollierung (Logging) deaktiviert ist, können Angreifer Daten unbemerkt ausschleusen.
Ohne eine einheitliche Identity Governance fällt es Teams schwer, Berechtigungen zu auditieren oder ungenutzte Zugriffe zu entziehen. Dies schränkt Ihre Fähigkeit ein, Privilegienausweitungen oder laterale Bewegungen während eines Angriffs zu verhindern.
Sichtbarkeit und Compliance über alle Umgebungen hinweg verwalten
Um Cloud-Risiken immer einen Schritt voraus zu sein, benötigen Sie klare Transparenz über jede Umgebung hinweg – doch die meisten Teams nutzen voneinander isolierte Tools.
Sie wechseln zwischen Dashboards, führen für jede Cloud eigene Scans durch und verwalten überschneidende Richtlinien. Das schafft blinde Flecken, verlangsamt Prozesse und sorgt für zusätzlichen Aufwand.
So optimieren Sie die Sichtbarkeit in Ihrer Multi-Cloud:
- Standardisieren Sie die Log-Erfassung über alle Clouds hinweg und leiten Sie die Daten an ein zentrales SIEM weiter.
- Bilden Sie Rollen- und Identitätsnutzung plattformübergreifend ab, um Überprivilegierung aufzudecken.
- Überprüfen Sie Infrastructure-as-Code-Templates vor der Bereitstellung, um Abweichungen (Drift) zu verhindern.
- Implementieren Sie einheitliche Tagging- und Asset-Inventory-Praktiken über Clouds und On-Premises-Systeme hinweg.
- Nutzen Sie etablierte Cloud-Compliance-Frameworks wie NIST CSF, ISO/IEC 27001 und FedRAMP als Leitfaden für Richtliniendesign und Reporting.
Eine einheitliche Transparenz ist für die Risikominderung in der Hybrid-Cloud unerlässlich. Auditoren und Regulierungsbehörden erwarten den Nachweis, dass Ihre Cloud-Kontrollen über Regionen und Plattformen hinweg konsistent funktionieren. Ohne cloudübergreifenden Kontext ist es schwierig, Verschlüsselung, Segmentierung und Zugriffskontrollen lückenlos nachzuweisen.
Best Practices für die Absicherung von Multi-Cloud-Infrastrukturen
Eine erfolgreiche Multi-Cloud-Sicherheitsstrategie setzt auf einheitliche Standards über alle Umgebungen hinweg – völlig unabhängig davon, welche Tools Sie im Einsatz haben.
Empfohlene Best Practices zur Reduzierung von Hybrid-Cloud-Risiken:
- Nutzen Sie Identitätsföderation, um die Zugriffskontrolle zu vereinheitlichen und die unkontrollierte Verbreitung von Anmeldedaten (Credential Sprawl) zu reduzieren.
- Setzen Sie Single Sign-On (SSO) und bedingten Zugriff in allen Umgebungen ein.
- Auditieren Sie Dienstkonten, Rollen und Berechtigungen, um unnötige Zugriffe aufzudecken.
- Überwachen Sie toxische Kombinationen aus Fehlkonfigurationen, Identitäten und sensiblen Daten.
- Implementieren Sie Policy-as-Code, um dieselben Durchsetzungsregeln für Cloud- und On-Premises-Infrastrukturen anzuwenden.
- Beziehen Sie Runtime-Telemetrie ein, um den Konfigurationsstatus mit dem tatsächlichen Verhalten abzugleichen.
Dieser Ansatz stärkt Ihre Fähigkeit, das Least-Privilege-Prinzip durchzusetzen, und reduziert das Rauschen in Ihren Erkennungs-Pipelines. Anstatt Warnmeldungen aus verschiedenen Tools hinterherzujagen, kann sich Ihr Team auf die tatsächlichen Herausforderungen der Cloud-Sicherheit konzentrieren.
Sie suchen nach Möglichkeiten, diese Verbindungen in Echtzeit abzubilden? Erfahren Sie, wie Exposure Management in der Cloud dabei hilft, den Risikokontext zu vereinheitlichen und Angriffspfade zu durchbrechen, bevor Angreifer sich lateral bewegen können.
Tenable One
Demo anfordern
Die weltweit führende KI-gestützte Plattform für Exposure Management
Vielen Dank
Vielen Dank für Ihr Interesse an Tenable One.
Ein Vertriebsmitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen.
Form ID: 7469
Form Name: one-eval
Form Class: c-form form-panel__global-form c-form--mkto js-mkto-no-css js-form-hanging-label c-form--hide-comments
Form Wrapper ID: one-eval-form-wrapper
Confirmation Class: one-eval-confirmform-modal
Simulate Success