Ihre Herausforderungen im Bereich Cloud Security

„Wir würden ja gerne in die Cloud gehen, aber die Sicherheit dort ist nicht gegeben, daher betreiben wir unsere Systeme weiterhin On-Premise”. Kommt Ihnen eine solche Aussage bekannt vor? Diskutieren Sie mit Ihren Kolleg:innen und Vorgesetzten die Vor- und Nachteile im Bereich Sicherheit, die ein Cloud-Betrieb mit sich bringt? Dann lohnt es sich für Sie weiterzulesen. Lassen Sie uns mit ein paar Mythen aufräumen und verschiedene Szenarien betrachten:

Sie wollen gerne mit Ihren Anwendungen in die Cloud, sind sich aber nicht sicher, ob das unter Sicherheitsaspekten möglich ist. Folgende Fragen stellen sich Ihnen:

  • Unsere Anwendungen sind zwar einzeln betrachtet sicher, aber reicht der Applikationskontext aus? Haben wir die Cloud-Architektur bezüglich der Sicherheit korrekt entworfen?
  • Wir wissen zwar, wie man ein Datacenter sicher betreibt, aber welche Anforderungen und Herausforderungen erwarten uns in der Cloud?
  • Wie stellen wir den Zugriff der Anwendungen auf die Daten so her, dass mittels feingranularer Zugriffsregelungen keine Sicherheitslücke entsteht?
  • Ihre Anwendungen verarbeiten personenbezogene Daten. Können diese Anwendungen in die Cloud migriert werden? Was muss beachtet und gegebenenfalls geändert werden?

Sie sind bereits in der Transition in die Cloud. Die Migration Ihrer Anwendungen in die Cloud läuft gut, aber Sie laufen auf verschiedene Probleme im Bereich der Sicherheit, insbesondere beim Zusammenspiel Ihrer Anwendungen mit zentralen Diensten:

  • Die Inbetriebnahme einer einzelnen Anwendung in der Cloud ist gut leistbar, aber wie ist das, wenn wir mittels DevOps permanent neue Releases haben? Wie geht das mit DevSecOps?
  • Die Anbindung der Anwendungen in der Cloud an unser Identity- und Access Management ist schwierig. Der geteilte Betrieb in der Cloud und On-Premise ist bezüglich der Sicherheit eine große Herausforderung. Wie können wir das sicher integrieren?
  • Sind wirklich alle Verbindungen zwischen den Cloud-Systemen untereinander aber auch zu den verblieben Systemen im eigenen Datacenter sicher? Verwenden wir die richtigen Protokolle und Lösungen um Sicherheit zu gewährleisten?
  • Die Datenmigration steht an: von On-Premise nach Cloud. Der Schutzbedarf der Daten muss garantiert abgebildet werden können. Dabei entstehen unter Hochdruck Fragen wie „Wird Encryption-At-Rest zweifelsfrei garantiert?”, „Gibt es feingranulare, explizite Berechtigungsmöglichkeiten für die Datenbanken?” und „Ist sichergestellt, dass personenbezogene Daten verschlüsselt und nicht einsehbar sind?”.

Sie sind bereits sehr weit fortgeschritten und haben alle Ihre Anwendungen – jedenfalls die, die dafür geeignet sind und die Sie dort betreiben wollen – in die Cloud migriert. Es bleibt aber ein schales Gefühl und Sie sind nicht sicher, ob alle Ihre Anwendungen den notwendigen Sicherheitsstandards genügen. Dann sind dies womöglich die Fragen, die Sie sich zur Zeit stellen:

  • Wie können wir die Management Planes, also beispielsweise das Azure Portal oder die AWS Console, maximal absichern?
  • Welche permanenten Tests auf Sicherheit brauchen wir? Wie sehen konkrete Penetration Tests dazu aus? Ist Chaos Engineering etwas für uns?
  • Disaster Recovery funktioniert manuell. Aber wie können wir Business Continuity und Disaster Recovery (BC/DR) automatisieren?
  • Sind die Zugriffsberechtigungen der Administratoren korrekt? Wer genau darf auf den unterschiedlichen Ebenen – IaaS, PaaS und SaaS – was genau tun?

Wie Sie sehen gibt es unterschiedliche Fragestellungen, je nachdem in welcher Phase beim Übergang in die Cloud Sie sich befinden. Und diese Fragen haben es in sich – sie sind im Detail häufig schwierig zu beantworten. Aber ein „kommt drauf an” genügt uns nicht. Cloud kann definitiv sicher sein – sogar sicherer als viele existierende On-Premise-Lösungen. Doch die Fragen zeigen, der Weg dort hin ist oft nicht leicht zu finden.

Ihre Vorteile durch den Einsatz von Cloud Security

Security und Cloud Shared Responsibility Model

IT Sicherheit ist ein wichtiges Thema, unabhängig der Architektur. Sobald es sensible Daten, Steuerungsmöglichkeiten oder Möglichkeiten zur Einflussnahme gibt, ist IT-Sicherheit unabdingbar. Sozusagen immer. Das ist nichts Neues und dennoch oft vernachlässigt.

Cloud Security Shared Responsibility Model.Quelle: eigene Darstellung

Cloud Provider bringen eine Vielfalt an Möglichkeiten und Technologien, die es sinnvoll einzusetzen gilt. Eine der größten Herausforderungen dabei ist es, das „Shared Responsibility Model” korrekt und sinnvoll anzuwenden: Cloud kann viele Verantwortlichkeiten im Bereich der Sicherheit übernehmen oder Sie gar aktiv unterstützen. Doch eben nicht alle – denn auch im Bereich der IT-Sicherheit wird die Verantwortung mit Ihnen geteilt.

Cloud Security Risk Assessment

Haben Sie bei einer Migration in die Cloud Schwachstellen offen gelegt oder mit gelifted? Oder Sie sind sich dessen nicht ganz sicher, da die Vielzahl an neuen Vorgehensweisen, Werkzeugen und Möglichkeiten der Cloud Ihren Mitarbeiter:innen eine extrem steile Lernkurve abverlangt hat? Lassen Sie uns das gemeinsam herausfinden.

Cloud Security Risk Assessment.Quelle: eigene Darstellung

Sicherheitslücken, die beispielsweise vor einer Cloud Migration durch Strategien und Lösungen des eigenen Rechenzentrums mitigiert waren, können in der Cloud zum gefährlichen Angriffsvektor werden. Auch der umgekehrte Fall ist denkbar: erst durch den Betrieb in einer Cloud können neue und ernstzunehmende Angriffsvektoren entstehen.

Cloud Migrationen sind allerdings nicht das einzige denkbare Szenario. Denn auch vermeintliche Cloud-native oder Greenfield-Architekturen nutzen nicht automatisch die notwendigen Sicherheitsvorkehrungen.

Welchen Workload Sie auch in der Cloud betreiben: Die Betrachtung und Bewertung getroffener und möglicher Absicherungen ist notwendig und wichtig.

Resilienz für Business Continuity/Disaster Recovery (BC/DR) in der Cloud

Meist ist es eine von vielen Anforderungen: die Cloud Plattform soll zuverlässig sein. Eine Anforderung mit viel Auswirkung.

Der Betrieb einer Cloud Plattform erfolgt unter Beachtung von grundlegenden Verfügbarkeits-Anforderungen, oftmals HA (High Availability) genannt. Gut geplante HA unterstützt auch Maßnahmen oder Mitigation verschiedener Katastrophenfälle und betrachtet die Eliminierung von Sicherheitsrisiken als einen wesentlichen Beitrag zur Erhöhung der Resilienz einer Plattform.

Eine Plattform setzt sich typischerweise aus vielen miteinander agierenden Komponenten zusammen. Bei einigen sind hohe Verfügbarkeit und starke Sicherheitsprinzipien grundsätzlich gegeben, bei manchen sogar garantiert. Es gilt jedoch der Summe aller Einzelteile Beachtung zu schenken – so kann ein einzelner SPOF (Single Point of Failure) das Gesamtkonzept gefährden, sowohl unter HA- als auch unter Security-Aspekten.

An dieser Stelle kommt zusätzlich das Thema Automatisierung von BC/DR in den Fokus, da dies in der Cloud wesentlich effizienter erfolgen kann. Verfahren wie Rapid Scaling oder die Möglichkeit, alle Ressourcen per API zu konfigurieren schaffen ganz neue Möglichkeiten, die in einem herkömmlichen On-Premise-Betrieb nicht gegeben sind – das Ziel ist „Automate Everything”.

Daten sicher speichern in der Cloud

Eine Cloud Plattform darf keinen Zweifel daran lassen oder Workarounds ermöglichen: Daten müssen verschlüsselt gespeichert werden, jederzeit.

Zu den typischen Speicherorten gehören managed Databaseservices, Eventbroker oder Storageservices der Cloudanbieter. Diese bieten in nahezu allen Fällen bereits hervorragende Sicherheitsfeatures out-of-the box. Doch steckt hinter einer sicheren Speicherarchitektur in der Cloud „mehr als nur Datenbank”.

Die Architektur braucht Secure-Single-Source-Of-Truth sowie angemessene Controls an sinnvollen Punkten. Solche Punkte müssen ebenfalls aus Perspektive der Automatisierung beachtet werden, denn das Absichern von Applikationen selbst genügt nicht mehr.

Es gibt viele Punkte innerhalb einer Cloud-Architektur, in welcher Daten gespeichert und gelesen werden müssen. Von Automatisierung bis hin zu LogFileLongTermStorage. Und jedes mal stellt sich die Frage: wo werden sich die Daten physisch befinden? Wie setzt man beispielsweise die Rechtslage „Right to be forgotten” korrekt um? Neben technischen gilt es also auch viele rechtliche Anforderungen zu beachten. Richtig gemachte Cloud Security hat daher starke Auswirkungen auf Speicherarchitekturen.

IAM Integration

Stellen Sie sich vor, Ihre Cloud Strategie befindet sich in vollem Gang. Mehr und mehr Architektur entsteht, Applikation werden Cloud Ready oder sind bereits Cloud Native. Doch bald stellt sich die Frage: wie melden sich die Nutzer an? Ist die User-Registry aus dem Internet erreichbar? Meist nicht. Wir sehen es oft in Projekten, dass die Herausforderung der IAM-Integration unterschätzt oder vernachlässigt wird. Und dann wird sie wirklich schnell zum Showstopper. Denn ohne Authentifizierung und Autorisierung darf nichts in einer Cloud laufen.

Im günstigsten Fall nutzen Applikationen bereits OpenID Connect oder SAML-basierte Mechanismen. Doch in Migrationsprojekten ist dies meist nicht der Fall. Cloud Security IAM Integration bedeutet, flexible und zukunftsträchtige Integrationsplattformen zu schaffen und zu nutzen. Wir arbeiten in diesem Zusammenhang sowohl mit kommerziellen als auch OpenSource Produkten, so dass alte Applikationen – unter Nutzung moderner Standards – entkoppelt modernisiert werden können.

Aufbau von Zero-Trust-Architekturen

Wir gehen heute davon aus, dass Angreifer einen Weg in Ihre Cloud-Umgebung oder in Ihr Unternehmensnetz finden. Es genügt also nicht, ihnen das Eindringen möglichst schwer zu machen. Wir setzen dabei auf Zero-Trust-Architekturen. Deren Ziel ist es, weg vom Prinzip „Protect Everything” hin zum Prinzip „Assume Compromise” zu kommen. Eine erfolgreiche Phishing-Mail reicht aus und der Angreifer sitzt mitten in Ihren zentralen Systemen. Sich auf ein VPN zu verlassen und damit ein „Protect Everything” zu praktizieren reicht daher keinesfalls mehr aus. Mit dem Ansatz „Assume Compromise” verhindern wir, dass die Kompromittierung eines Systems nicht auf Ihre ganze Anwendungslandschaft durchschlägt. Eine Zero-Trust-Architektur leistet genau dies.

Entscheidend ist auch, Cyber-Attacken möglichst schnell zu entdecken und dann richtig zu reagieren. Der Aufbau entsprechender Mechanismen und Detektions-Fähigkeiten flankiert diese Architekturarbeit. Ein Security Operation Center (SOC) oder ein Cyber Defence Center (CDC) sind daher wichtige Bausteine in einem Gesamtkonzept. Somit müssen bestehende Security Incident und Event Monitoring Systeme (SIEM) um Zugriffs- und Auditierungsprotokolle aller PaaS- und SaaS-Anteile angereichert werden. Der Zugriff und dessen Integration in SIEMs hat einen essentiellen Anteil beim Aufbau von Zero-Trust-Architekturen.

Unsere Dienstleistungen im Bereich Cloud Security

Cloud Security adressiert viele Domänen, deren Auflistung und Beschreibung zu sehr viel Lesestoff führen würde. Wir überblicken diese Bereiche und bringen Erfahrungen mit in unsere gemeinsame Tätigkeit.

Das Team der Novatec besteht nicht nur aus Architektur- und Entwicklungsexperten. Unsere Expertise führt weit darüber hinaus. Gemeinsam mit uns wird Cloud Security nichts Abstraktes, sondern eine sehr konkrete Umsetzung. Beginnend bei der Architektur, lernend bei der Entwicklung, lebend bei der Überwachung. Vom Showstopper hin zum Enabler und Accelerator.

Ob zu Beginn, mittendrin oder am zwischenzeitlichen Ende einer Cloud Aktivität: Es lohnt sich jederzeit in eine Betrachtung der Angriffsvektoren und Verbesserungsmöglichkeiten zu investieren. Wir bieten keine Dienstleistung von der Stange, sondern wir arbeiten gemeinsam mit Ihnen daran.

Wichtige Bausteine unserer Dienstleistungen in diesem Bereich sind:

  • Cloud Security Risk Assessment/Cloud Architektur Bewertung/Cloud Architecture Review
  • Threat Modeling für Cloud-Architekturen
  • Aufbau und Automatisierung zu Business Continuity Disaster Recovery
  • Absicherung bestehender Cloud Architekturen
  • Applikations-Migration sicher in die Cloud
  • Aufbau von Zero-Trust-Architekturen
  • Erstellung von Cloud Security Roadmaps
  • Sichere Datenmigration

Mit diesem Angebot befähigen wir Teams, Cloud Plattformen sicher aufzubauen und zu betreiben. Flankierend dazu bieten wir Trainings zu allen genannten Themen an. Sprechen Sie uns an.

Ihr Ansprechpartner

Thorsten Jakoby

Managing Consultant
Inhaltsverzeichnis
Ihr Ansprechpartner Thorsten Jakoby Managing Consultant