Netzwerksicherheit in der Cloud | Cloud-Sicherheitslösungen
Bedrohungsabwehr und Verhinderung der Ausbreitung im Cloud-Netzwerk
Prisma® Cloud bietet in Kombination mit unseren NGFWs der VM- oder CN-Series Netzwerksicherheitsfunktionen für die Cloud, die einen zuverlässigen Überblick über das Netzwerk und eine effektive Kontrolle ermöglichen. Da alle Workloads, Anwendungen und Inhalte in dem Cloud-Netzwerk sichtbar sind, können Sicherheitsteams die Risiken minimieren und Bedrohungen vor dem Eindringen in die Cloud-Umgebung abwehren sowie die Ausbreitung im Cloud-Netzwerk und die Ausschleusung wichtiger Daten verhindern.
Netzwerksicherheit und -kapselung in Azure
Inhaltsverzeichnis
Netzwerksicherheit und -kapselung
Artikel
06/09/2022
10 Minuten Lesedauer
6 Mitwirkende
In diesem Artikel
Netzwerksicherheit ist seit jeher der traditionelle Dreh- und Angelpunkt der Sicherheitsmaßnahmen von Unternehmen. Cloud Computing hat jedoch die Anforderung erhöht, dass die Netzwerkperimeter durchlässiger sein müssen, und viele Angreifer beherrschen die Kunst der Angriffe auf Identitätssystemelemente (die fast immer Netzwerkkontrollen umgehen). Durch diese Faktoren ist die Notwendigkeit gestiegen, sich in erster Linie auf identitätsbasierte Zugangskontrollen zum Schutz der Ressourcen zu konzentrieren und nicht auf netzwerkbasierte Zugangskontrollen.
Diese schmälern die Rolle der Netzwerksicherheitskontrollen, beseitigen sie aber nicht vollständig. Während die Netzwerksicherheit nicht mehr im Vordergrund der Sicherung von cloudbasierten Ressourcen steht, hat sie für das große Portfolio an Legacyressourcen (die unter der Annahme erstellt wurden, dass ein netzwerkbasierter Sicherheitsperimeter mit Firewall vorhanden ist) weiterhin höchste Priorität. Viele Angreifer setzen immer noch Scan- und Exploit-Methoden in allen IP-Bereichen von öffentlichen Cloudanbietern ein und durchdringen erfolgreich die Verteidigung bei den Anbietern, die sich nicht an grundlegende Maßnahmen der Netzwerksicherheit halten. Netzwerksicherheitskontrollen stellen auch ein tief greifendes Element Ihrer Strategie dar, das dazu beiträgt, sich vor Angreifern zu schützen, die in Ihre Cloudbereitstellungen eindringen, diese zu erkennen, einzudämmen und abzuwehren.
In der Kategorie Netzwerksicherheit und -kapselung sprechen wir die folgenden Empfehlungen für bewährte Methoden aus:
Ausrichten der Netzwerksegmentierung an der allgemeinen Strategie
Zentralisieren der Netzwerkverwaltung und -sicherheit
Erstellen einer Strategie für die Kapselung des Netzwerks
Definieren einer Internetstrategie
Zentralisieren der Netzwerkverwaltung und -sicherheit
Zentralisieren Sie die organisatorische Verantwortung für die Verwaltung und Sicherheit von Netzwerkkernfunktionen wie standortübergreifende Verbindungen, virtuelle Netzwerke, Subnetze und IP-Adressen sowie für Netzwerksicherheitselemente wie virtuelle Netzwerkgeräte, Verschlüsselung von virtuellen Cloudnetzwerkaktivitäten und standortübergreifendem Datenverkehr, netzwerkbasierte Zugangskontrollen und andere traditionelle Netzwerksicherheitskomponenten.
Wenn Sie die Netzwerkverwaltung und -sicherheit zentralisieren, verringern Sie das Potenzial für inkonsistente Strategien, die zu potenziellen Sicherheitsrisiken führen können, die Angreifer ggf. ausnutzen. Da nicht alle Bereiche der IT- und Entwicklungsorganisationen über das gleiche Wissen und die gleiche Komplexität im Bereich Netzwerkverwaltung und Sicherheit verfügen, profitieren Unternehmen von der Nutzung der Expertise und der Tools eines zentralisierten Netzwerkteams.
Microsoft Defender für Cloud kann verwendet werden, um die Verwaltung der Netzwerksicherheit zu zentralisieren.
Ausrichten der Netzwerksegmentierung an der Segmentierungsstrategie des Unternehmens
Richten Sie Ihr Netzwerksegmentierungsmodell am Unternehmenssegmentierungsmodell für Ihre Organisation aus (definiert im Abschnitt „Governance, Risiko und Compliance“).
Dies wird Verwirrung und daraus resultierende Herausforderungen verringern, weil verschiedene technische Teams (Netzwerke, Identitäten, Anwendungen usw.) nicht jeweils eigene Segmentierungs- und Delegationsmodelle entwickeln, die nicht aufeinander abgestimmt sind. Dies führt zu einer einfachen und einheitlichen Sicherheitsstrategie, die dazu beiträgt, die Anzahl der Fehler aufgrund von menschlichen Fehlern zu verringern und die Zuverlässigkeit durch Automatisierung zu erhöhen.
Vergleichen Sie die Abbildungen unter Netzwerksicherheit und -kapselung.
Weiterentwicklung der Sicherheit über Netzwerkkontrollen hinaus
Stellen Sie sicher, dass technische Kontrollen Bedrohungen außerhalb der von Ihnen kontrollierten Netzwerke wirksam verhindern, erkennen und darauf reagieren können.
Im Zuge der Umstellung auf moderne Architekturen werden viele Dienste und Komponenten, die für Anwendungen benötigt werden, über das Internet oder in Cloudanbieternetzwerken abgerufen, oft über mobile und andere Geräte außerhalb des Netzwerks. Herkömmliche Netzwerkkontrollen, die auf einem Ansatz „vertrauenswürdiges Intranet“ basieren, können für diese Anwendungen keine wirksamen Sicherheitsgarantien bieten. Diese sich wandelnde Landschaft wird durch Prinzipien gut erfasst, die durch die Ansätze Jericho Forum und „Zero Trust“ beschrieben werden.
Erstellen Sie eine Strategie zur Risikominderung, die auf einer Kombination aus Netzwerkkontrollen und Anwendungs-, Identitäts- und anderen Steuerungstypen basiert.
Stellen Sie sicher, dass die Ressourcengruppierung und die administrativen Berechtigungen auf das Segmentierungsmodell abgestimmt sind (siehe Abbildung XXXX).
Stellen Sie sicher, dass Sie Sicherheitskontrollen entwerfen, mit denen erwarteter Datenverkehr, Zugriffsanforderungen und andere Anwendungskommunikation zwischen Segmenten identifiziert und zugelassen werden. Überwachen Sie die Kommunikation zwischen den Segmenten, um unerwartete Kommunikation zu identifizieren, sodass Sie untersuchen können, ob Sie Warnungen einrichten oder den Datenverkehr blockieren sollten, um das Risiko zu minimieren, dass Angreifer Segmentierungsgrenzen überschreiten.
Erstellen einer Sicherheitskapselungsstrategie
Erstellen Sie eine Risikokapselungsstrategie, die bewährte Ansätze umfasst, beispielsweise:
Vorhandene Netzwerksicherheitskontrollen und Vorgehensweisen
In Azure verfügbare native Sicherheitskontrollen
Null-vertrauenswürdige Ansätze
Die Kapselung von Angriffsvektoren in einer Umgebung ist wichtig. Um jedoch in Cloudumgebungen wirkungsvoll zu sein, können herkömmliche Ansätze sich als unzureichend erweisen, und Sicherheitsorganisationen müssen ihre Methoden weiterentwickeln.
Die Konsistenz der Kontrollen vor Ort und in der Cloudinfrastruktur ist wichtig, aber die Verteidigung ist effektiver und kontrollierbarer, wenn sie die nativen Funktionen eines Cloud-Dienstanbieters, dynamische JIT-Ansätze (Just-In-Time) und integrierte Identitäts- und Kennwortkontrollen nutzt, wie sie von Zero Trust-/Continuous Validation-Ansätzen empfohlen werden.
Eine bewährte Methode zur Netzwerksicherheit besteht in der Sicherstellung, dass es Kontrollen des Netzwerkzugriffs zwischen Netzwerkkonstrukten gibt. Diese Konstrukte können virtuelle Netzwerke oder Subnetze in diesen virtuellen Netzwerken darstellen. Dies dient dem Schutz und der Übermittlung von Ost-West-Datenverkehr in der Cloud-Netzwerkinfrastruktur.
Eine wichtige Entwurfsentscheidung für Netzwerksicherheit besteht darin, ob hostbasierte Firewalls verwendet werden sollen. Hostbasierte Firewalls unterstützen eine umfassende und tief greifende Verteidigungsstrategie. Um jedoch den größten Nutzen zu erzielen, erfordern sie einen erheblichen Verwaltungsaufwand. Wenn Ihr Unternehmen sie in der Vergangenheit für wirksam befunden hat, um Sie beim Schutz vor und dem Aufdecken von Bedrohungen zu unterstützen, sollten Sie sie für Ihre cloudbasierten Ressourcen verwenden. Wenn Sie feststellen, dass sie keinen signifikanten Mehrwert erbracht haben, stellen Sie die Nutzung ein und erkunden native Lösungen auf der Plattform Ihres Cloud-Dienstanbieters, die einen ähnlichen Nutzen bieten.
Eine sich entwickelnde Empfehlung für bewährte Methoden ist die Einführung einer Zero Trust-Strategie, die auf Benutzer-, Geräte- und Anwendungsidentitäten basiert. Im Gegensatz zu Netzwerkzugangskontrollen, die auf Elementen basieren (z.B. auf einer IP-Quell-und -Zieladresse, Protokollen und Portnummern) erzwingt und überprüft Zero Trust die Zugangskontrolle zur „Zugriffszeit“. Dadurch entfällt die Notwendigkeit, ein „Vorhersagespiel“ für eine gesamte Bereitstellung, ein Netzwerk oder ein Subnetz zu betreiben – nur die Zielressource muss die erforderlichen Zugangskontrollen bereitstellen.
& können für die grundlegende Zugriffssteuerung der Schichten 3 und 4 zwischen virtuellen Azure-Netzwerken, ihren Subnetzen und dem Internet verwendet werden.
Azure Web Application Firewall und Azure Firewall können für erweiterte Netzwerkzugangskontrollen verwendet werden, die Unterstützung auf Anwendungsebene erfordern.
Local Admin Password Solution (LAPS) oder eine Privileged Access Management-Lösung von Drittanbietern kann sichere lokale Administratorkennwörter festlegen und den JIT-Zugriff (Just-In-Time) auf sie ermöglichen.
Darüber hinaus bieten Drittanbieter Lösungen mit Mikrosegmentierung an, die Ihre Netzwerkkontrolle verbessern können, indem sie Zero Trust-Prinzipien auf Netzwerke anwenden, die Legacyressourcen enthalten.
Definieren einer Internetstrategie
Wählen Sie aus, ob Sie native Cloud-Dienstanbieter-Steuerelemente oder virtuelle Netzwerkgeräte für die Internet-Edgesicherheit verwenden.
Internet-Edgedatenverkehr (manchmal auch als „Nord-Süd-Datenverkehr“ bezeichnet) stellt die Netzwerkkonnektivität zwischen ihren Ressourcen in der Cloud und dem Internet dar. Legacyworkloads erfordern Schutz vor Internetendpunkten, da sie unter der Annahme erstellt wurden, dass eine Internetfirewall sie vor diesen Angriffen schützt. Eine Internet-Edgestrategie zielt darauf ab, so viele Angriffe aus dem Internet abzuwehren, wie sinnvollerweise erkannt oder blockiert werden können.
Es gibt zwei primäre Optionen, die Internet-Edgesicherheitskontrollen und -überwachung bereitstellen können:
Systemeigene Steuerelemente des Clouddienstanbieters (Azure Firewall + [Webanwendungsfirewall (WAF)]/azure/application-gateway/waf-overview))
Virtuelle Netzwerkgeräte von Partnern (Firewall- und WAF-Anbieter verfügbar in Azure Marketplace)
Native Steuerelemente eines Cloud-Dienstanbieters bieten in der Regel grundlegende Sicherheit, die für häufige Angriffe geeignet ist, z.B. OWASP Top 10.
Im Gegensatz dazu bieten Partnerfunktionen von Cloud-Dienstanbietern häufig wesentlich erweiterte Features, die vor komplexen (aber oft ungewöhnlichen) Angriffen schützen können. Partnerlösungen sind immer teurer als native Steuerelemente. Außerdem kann die Konfiguration von Partnerlösungen sehr komplex und anfälliger sein als native Steuerelemente, da Sie nicht in die Fabriccontroller der Cloud integriert werden.
Die Entscheidung, native Steuerelemente oder Steuerelemente von Partnern zu verwenden, sollte auf den Erfahrungen und Anforderungen Ihrer Organisation basieren. Wenn die Features der erweiterten Firewalllösungen nicht genügend Nutzen bieten, können Sie die nativen Funktionen verwenden, die für eine einfache Konfiguration und Skalierung konzipiert sind.
Außerbetriebnahme der vorhandenen Netzwerksicherheitstechnologie
Setzen Sie signaturbasierte NIDS/NIPS-Systeme (Network Intrusion Detection/Network Intrusion Prevention) und DLP (Network Data Leakage/Loss Prevention) nicht mehr ein.
Die großen Cloud-Dienstanbieter filtern bereits nach fehlerhaften Paketen und gängigen Angriffen auf Netzwerkebene, sodass eine NIDS/NIPS-Lösung zur Erkennung dieser Angriffe nicht erforderlich ist. Außerdem werden herkömmliche NIDS/NIPS-Lösungen in der Regel durch signaturbasierte Ansätze (die als veraltet eingestuft werden) gesteuert und können von Angreifern problemlos umgangen werden, was in der Regel zu einer hohen Rate von falsch positiven Ergebnissen führt.
Netzwerkbasiertes DLP ist immer weniger effektiv bei der Erkennung von unbeabsichtigtem und vorsätzlichem Datenverlust. Der Grund hierfür ist, dass die meisten modernen Protokolle und Angreifer Verschlüsselung auf Netzwerkebene für die eingehende und ausgehende Kommunikation verwenden. Die einzige praktikable Problemumgehung dafür ist „SSL-Bridging“, das eine „autorisierte Man-in-the-Middle-Lösung“ bietet, die verschlüsselte Netzwerkverbindungen beendet und dann wiederherstellt. Der SSL-Bridging-Ansatz ist aufgrund des Grads an Vertrauen, das für den Partner, der die Lösung betreibt, und die verwendeten Technologien erforderlich ist, gegenstandslos geworden.
Basierend auf dieser Begründung empfehlen wir Ihnen, die Verwendung dieser älteren Netzwerksicherheitstechnologien einzustellen. Wenn Sie jedoch die Erfahrung gemacht haben, dass diese Technologien einen spürbaren Einfluss auf die Verhinderung und Erkennung echter Angriffe hatten, können Sie eine Portierung in Ihre Cloudumgebung in Betracht ziehen.
Entwerfen der Sicherheit des Subnetzes des virtuellen Netzwerks
Entwerfen Sie virtuelle Netzwerke und Subnetze unter Wachstumsaspekten.
Die meisten Unternehmen fügen ihren Netzwerken im Lauf der Zeit mehr Ressourcen hinzu, als sie ursprünglich geplant hatten. In diesem Fall müssen IP-Adressierungs- und Subnetzschemas umgestaltet werden, um den zusätzlichen Ressourcen Rechnung zu tragen. Dies ist ein arbeitsintensiver Prozess. Bei der Erstellung einer sehr großen Anzahl kleiner Subnetze ergibt sich ein eingeschränkter Sicherheitswert, wenn anschließend versucht wird, den einzelnen Komponenten Netzwerkzugangskontrollen zuzuordnen.
Es wird empfohlen, dass Sie Ihre Subnetze basierend auf allgemeinen Rollen und Funktionen planen, die gemeinsame Protokolle für diese Rollen und Funktionen verwenden. Dies ermöglicht es Ihnen, dem Subnetz Ressourcen hinzuzufügen, ohne Änderungen an Sicherheitsgruppen vornehmen zu müssen, die Zugangskontrollen auf Netzwerkebene erzwingen.
Verwenden Sie keine „vollständig offenen“ Regeln für eingehenden Datenverkehr aus Subnetzen und ausgehenden Datenverkehr in Subnetze. Verwenden Sie den Netzwerkansatz der „geringstmöglichen Rechte“ , und lassen Sie nur relevante Protokolle zu. Dadurch wird die gesamte Angriffsfläche des Subnetzes im Netzwerk verringert.
Alle offenen Regeln (die ein- und ausgehenden Datenverkehr von und zu 0.0.0.0.0-255.255.255.255 erlauben) vermitteln ein falsches Sicherheitsgefühl, da eine solche Regel überhaupt keine Sicherheit erzwingt.
Eine Ausnahme hiervon besteht jedoch, wenn Sie Sicherheitsgruppen nur für die Netzwerkprotokollierung verwenden möchten. Dies wird nicht empfohlen, aber es ist eine Option, wenn bereits eine andere Lösung für die Kontrolle des Netzwerkzugriffs vorhanden ist.
Azure Virtual Network-Subnetze können auf diese Weise entworfen werden.
Entschärfen von DDoS-Angriffen
Aktivieren Sie verteilte DDoS-Entschärfungen (Denial-of-Service) für alle geschäftskritischen Webanwendungen und -dienste.
DDoS-Angriffe sind weit verbreitet und werden problemlos auch von ungeübten Angreifern durchgeführt. Im Darknet sind sogar „DDoS-as-a-Service“-Optionen verfügbar. DDoS-Angriffe können sehr lähmend sein und den Zugriff auf Ihre Dienste vollständig blockieren oder die Dienste sogar deaktivieren, abhängig von der Art des DDoS-Angriffs.
Die großen Cloud-Dienstanbieter bieten DDoS-Schutz für Dienste mit unterschiedlicher Effektivität und Kapazität. Die Cloud-Dienstanbieter bieten in der Regel zwei DDoS-Schutzoptionen:
DDoS-Schutz auf der Fabricebene des Cloudnetzwerks: Alle Kunden des Cloud-Dienstanbieters profitieren von diesen Schutzmaßnahmen. Der Schutz konzentriert sich in der Regel auf die Netzwerkebene (Ebene 3).
DDoS-Schutz auf höheren Ebenen, die für die Profilerstellung ihrer Dienste verantwortlich sind: Diese Art von Schutz dient als Grundlage für Ihre Bereitstellungen und verwendet dann Machine Learning-Techniken, um anormalen Datenverkehr zu erkennen und bereits vor der Leistungsminderung des Diensts proaktiv Schutz zu bieten.
Es wird empfohlen, dass Sie erweiterten Schutz für alle Dienste einführen, bei denen Ausfallzeiten negative Auswirkungen auf das Unternehmen haben würden.
Ein Beispiel für erweiterten DDoS-Schutz ist der Azure DDoS Protection-Dienst.
Festlegen einer Richtlinie für eingehenden/ausgehenden Internetdatenverkehr
Leiten Sie den Datenverkehr, der für das Internet bestimmt ist, über lokale Sicherheitsgeräte weiter, oder erlauben Sie die Internetkonnektivität über cloudbasierte Netzwerksicherheitsgeräte.
Das Routing von Internetdatenverkehr über lokale Netzwerksicherheitsgeräte wird auch als „erzwungenes Tunneling“ bezeichnet. In einem Szenario mit erzwungenem Tunneling werden alle Internetverbindungen über eine standortübergreifende WAN-Verbindung zurück an lokale Netzwerksicherheitsgeräte gezwungen. Ziel ist es, Netzwerksicherheitsteams mehr Sicherheit und Transparenz für Internetdatenverkehr zu bieten. Auch wenn Ihre Ressourcen in der Cloud versuchen, auf eingehende Anforderungen aus dem Internet zu reagieren, werden die Antworten über lokale Netzwerksicherheitsgeräte erzwungen.
Alternativ eignet sich erzwungenes Tunneling für ein „Datencenter-Erweiterungsparadigma“ und kann gut für einen schnellen Proof of Concept funktionieren, aber aufgrund der zunehmenden Auslastung durch Datenverkehr, Latenz und Kosten nur schlecht skaliert werden.
Die empfohlene Vorgehensweise für die Verwendung in der Produktionsumgebung besteht darin, Cloudressourcen zu ermöglichen, direkt über Cloudnetzwerk-Sicherheitsgeräte, die durch Ihre Internet-Edgestrategie definiert werden, Internetanforderungen zu initiieren und darauf zu antworten.
Der direkte Internetansatz passt zum Paradigma des N-ten Datencenters (z.B. sind Azure-Datencenter ein natürlicher Bestandteil meines Unternehmens). Diese Vorgehensweise ist für eine Unternehmensbereitstellung wesentlich besser geeignet, da keine Hops anfallen, die Auslastung, Latenz und Kosten hinzufügen.
Es wird empfohlen, erzwungenes Tunneling aus den oben genannten Gründen zu vermeiden.
Aktivieren erweiterter Netzwerktransparenz
Sie sollten eine verbesserte Netzwerksicht aktivieren, indem Sie Netzwerkprotokolle in eine Sicherheitsinformations- und Ereignisverwaltung (SIEM) wie Microsoft Sentinel oder eine dritte Partnerlösung wie Splunk, QRadar oder ArcSight ESM integrieren.
Durch die Integration von Protokollen von Ihren Netzwerkgeräten und sogar durch Netzwerk-Rohdatenverkehr selbst erhalten Sie einen besseren Einblick in mögliche Sicherheitsbedrohungen, die über das Netzwerk übertragen werden. Diese Protokollinformationen können in erweiterte SIEM-Lösungen oder andere Analyseplattformen integriert werden. Die modernen, auf Machine Learning basierenden Analyseplattformen unterstützen die Erfassung extrem großer Datenmengen und können große Datasets sehr schnell analysieren. Außerdem können diese Lösungen optimiert werden, um falsch positive Warnungen erheblich zu verringern.
Beispiele für Netzwerkprotokolle, die Transparenz bereitstellen:
Nächste Schritte
Weitere Sicherheitsempfehlungen von Microsoft finden Sie in der Microsoft-Sicherheitsdokumentation.
Was ist Cloud-Netzwerksicherheit? Best Practices
Warum ist Cloud-Netzwerksicherheit wichtig?
Unternehmen jeder Größe migrieren von lokalen Netzwerken vor Ort zu Cloud-Netzwerken, d. h. mehr vertrauliche, sensible Daten werden in der Cloud gespeichert. Diese Informationen müssen geschützt sein, aber mit der Cloud treten auch neue Herausforderungen hervor, wodurch die Sicherheit mitunter problematisch wird.
Welche Herausforderungen ergeben sich für die Cloud-Netzwerksicherheit?
Genau das, was die Cloud so leistungsfähig macht, erschwert auch deren Sicherung. Zunächst ist es denkbar einfach, neue Assets in einem Cloud-Netzwerk bereitzustellen. In einem lokalen Netzwerk haben die IT- und Sicherheits-Teams den Überblick über neue Infrastruktur. Der Ausbau des Netzwerks erfolgt langsam und ist aufwändig, aber er erfolgt mit der Gewissheit, dass die neue Infrastruktur von Sicherheitsexperten konfiguriert wird. In einem Cloud-Netzwerk kann neue Infrastruktur von jeder beliebigen Person oder jedem System mit den passenden Zugriffsrechten sofort hinzugefügt werden, ohne dass die IT- oder Sicherheits-Teams unmittelbar beteiligt sind. Das macht den Netzwerkausbau sehr viel einfacher, vergrößert jedoch auch das Risiko, dass neue Infrastruktur nicht auf Sicherheit konfiguriert wurde und daher Schwachstellen aufweist.
Eine einzigartige Herausforderung für die Sicherung von Cloud-Netzwerken ist die Geschwindigkeit, mit der sich Cloud-Umgebungen verändern. Beim Einsatz von Technologien wie Autoscaling und serverlosem Computing tauchen Assets in einem Cloud-Netzwerk ständig neu auf und verschwinden dann wieder. Herkömmliche Sicherheitsmaßnahmen wie Vulnerability Scans reichen nicht mehr aus, da das anfällige Asset möglicherweise nur wenige Minuten existiert; allerdings bietet das für böswillige Akteure mehr als genug Zeit, um es zu finden und auszunutzen, aber bei Weitem nicht genug Zeit, um von einem wöchentlich oder gar täglich ausgeführten Scan erkannt zu werden.
Durch die einfache Bereitstellung und hohe Veränderungsrate wird es für Sicherheits-Teams sehr viel schwieriger, einen vollständigen Überblick über die Cloud-Umgebung aufrechtzuerhalten. In Hybrid-Umgebungen (IT-Umgebungen, die Netzwerke vor Ort wie auch Cloud-Netzwerke vereinen) verschlechtert sich diese Lage weiter, da diverse Daten in verschiedenen Systemen gelagert und von unterschiedlichen Sicherheits-Tools geschützt werden. In diesen Umgebungen muss das Sicherheitsteam zwischen verschiedenen Systemen hin und her springen, um seine Sicherheitsmaßnahmen umzusetzen. Der Mangel an vereinheitlichten Daten erschwert oder verhindert es sogar, sich einen genauen Überblick über die gesamte Sicherheitslage des Unternehmens zu verschaffen oder einen böswilligen Akteur zu verfolgen, der zwischen der Cloud und den lokalen Netzwerken hin und her wechselt.
Zu guter Letzt tragen der Inhaber des Netzwerks sowie der Anbieter die gemeinsame Verantwortung zur Sicherung eines Netzwerks bei einem öffentlichen Cloud-Serviceanbieter wie AWS oder Azure. Auch wenn die Einzelheiten dieser gemeinsamen Verantwortung je nach Anbieter variieren können, ist der Anbieter generell dafür zuständig, die eigentliche Cloud zu schützen, d. h. die physische Sicherheit der Rechenzentren, die Wartung und Aktualisierung der Hardware usw. Der Netzwerkinhaber wiederum trägt die Verantwortung für die Sicherheit aller Dinge, die er in diese Cloud-Umgebung setzt. Viele Benutzer sind besorgt über diese Art von Kontrollverlust bei der Sicherung der Hardware und der Datenzentren, aber etablierte öffentliche Cloud-Serviceanbieter wie Amazon, Microsoft und Google verfügen über ausreichend Ressourcen für beispielsweise den Schutz der physischen Sicherheit. Das echte Risiko dieses gemeinsamen Verantwortungsmodells ist die Verwirrung, die es innerhalb eines Unternehmens hervorrufen kann. Mehrfach kam es zu Sicherheitsvorfällen, weil Personen irrtümlicherweise davon ausgingen, dass sie sich um die Cloud-Sicherheit keine Sorgen machen müssten, da der Cloud-Anbieter sich um alles kümmere.
Strategien zur Risikominimierung in der Cloud-Netzwerksicherheit
Über die Einführung von DevSecOps und die Schulung der Mitarbeiter in der sicheren Nutzung des Cloud-Netzwerks bietet sich für Unternehmen die Definition einer Sicherheitsgrundlage für die Cloud-Umgebung als effektivster Schritt zur Risikominimierung im Cloud-Netzwerk an. Die Grundlage oder Baseline sollte idealerweise eingerichtet werden, bevor das Unternehmen das Cloud-Netzwerk zur Nutzung freigibt, aber selbst eine nachträgliche Einrichtung ist hilfreich.
Diese Baseline legt fest, wie das Cloud-Netzwerk unter dem Sicherheitsaspekt aussehen sollte. Ziel ist die Gewährleistung, dass alle – Sicherheit, IT, Engineering, DevOps, usw. – wissen, was zu tun ist, um das Netzwerk auf Dauer sicher zu betreiben. Eine genau definierte Baseline kann dazu beitragen, eine Reihe von Herausforderungen im Cloud-Netzwerk bearbeiten zu können, einschließlich einfache Bereitstellung, rasante Veränderungen und die gemeinsame Verantwortung.
Es gibt einige Best Practices für das Cloud-Netzwerk, die Unternehmen umsetzen können, um diese Baseline zu etablieren. Zuerst sollte die Baseline die Architektur der Cloud-Umgebung benennen und festlegen, wie jedes Asset konfiguriert werden soll. Zudem muss festgelegt werden, wer Lese- oder Schreibzugang zu den einzelnen Teilen der Umgebung hat. Der Einsatz von Leitfäden wie CIS Benchmarks und das AWS Well-Architected Framework empfiehlt sich als hilfreich bei der Definition der Baseline.
Achten Sie darauf, dass die Baseline für Vorabproduktions- und Testumgebungen gilt. In vielen Fällen dienten diese Umgebungen beim Angriff als Einstiegspunkt. Sorgen Sie dafür, dass die Baseline Richtlinien und Kontrollen für Testzwecke enthält, beispielsweise welche Produktionsdatenbanken zum Test verwendet oder dupliziert werden können (falls zutreffend).
Die Baseline sollte auch den Maßnahmenplan bei Vorfällen enthalten und klar definieren, wer im Unternehmen für welche Aspekte der Cloud-Sicherheit dauerhaft zuständig ist. Darüber hinaus sollte sie immer wieder überprüft und regelmäßig aktualisiert werden, um auf neue Bedrohungen vorbereitet zu sein und neue Best Practices zu reflektieren.
Sobald die Baseline erstellt oder aktualisiert wurde, muss sie an alle verteilt werden, die das Cloud-Netzwerk nutzen. Darüber hinaus muss das Sicherheitsteam mit DevOps zusammenarbeiten und Möglichkeiten implementieren, um die Baseline durchzusetzen. Dazu gehört die Einrichtung von Cloud-Infrastrukturvorlagen (wobei die Infrastruktur als Codelösung des Cloud-Anbieters oder Lieferanten wie Terraform fungiert), in denen alles richtig konfiguriert ist. Weiterhin umfasst es die Implementierung kontinuierlicher Überwachung, um erkennen zu können, wann ein Element veraltet ist oder nach der Bereitstellung verändert wurde und somit nicht mehr der Baseline entspricht. Vorlagen für virtuelle Rechner sollten einen Embedded Agent enthalten, damit die kontinuierliche Überwachung und Schwachstellenerkennung ab dem Zeitpunkt der Bereitstellung erfolgen kann.
Was die Herausforderungen im Bereich der Visibility oder Transparenz in Cloud-Netzwerken betrifft, sollten Sicherheitsteams zu Beginn sicherstellen, dass sie (mindestens) über schreibgeschützten Zugriff auf alle Cloud-Konten des Unternehmens verfügen. Unternehmen, die die Visibility in einer Hybrid- oder Multi-Cloud-Umgebung sichern und aufrechterhalten wollen, wird empfohlen, ein einziges Team mit der Aufsicht aller Teile der gesamten IT-Umgebung zu betrauen. Ein Team einzusetzen, das für die lokale Sicherheit verantwortlich ist, und ein weiteres, das für die Cloud-Sicherheit zuständig ist, führt häufig zu Silobildung, toten Winkeln und Schwierigkeiten bei der Verfolgung eines bösartigen Akteurs, der zwischen den Netzwerken hin und her wechselt.
Teams, die die Sicherheit in Hybrid- oder Multi-Cloud-Umgebungen betreuen, sollten auch die von ihnen eingesetzten Tools neu bewerten. Viele Legacy-Sicherheitslösungen wurden nicht auf Unterstützung von Cloud-Netzwerken optimiert. Das führt zu Teams, die verschiedene Tools verwenden, um ihre lokalen und Cloud-Umgebungen zu sichern. Stattdessen sollte das Team Tools wählen, mit denen es die Sicherheit der gesamten IT-Umgebung im Unternehmen zentral verwalten kann.
Die meisten Teams profitieren von Tools wie diesen:
Sicherheitsteams sollten auch die Nutzung eines Sicherheits-Automations-Tools in Betracht ziehen, das sie bei der Sicherung von Cloud-Netzwerken unterstützt. Automatisierung kann das Team dabei unterstützen, mit den schnellen Veränderungen in Cloud-Netzwerken Schritt zu halten, die Visibility durch Datenaustausch unter den Systemen zu verbessern, effizienter zu arbeiten, indem sinnlose Arbeitsschritte eliminiert werden, und die Schäden aus einem Vorfall zu minimieren, indem auf erkannte Bedrohungen sofort reagiert wird.
Eine Möglichkeit der Automationsnutzung ist die Automatisierung der Bereitstellung von Cloud-Infrastrukturvorlagen (aus Ihrer Sicherheits-Baseline) unter Einsatz eines Tools wie Chef oder Puppet. Dies kann die Erstellung komplexer Architektur vereinfachen und die Chancen menschlicher Fehler mindern. Eine weitere Nutzung von Automation ist der Einsatz einer Sicherheitsorchestrierungs-, -automatisierungs- und -reaktionslösung (SOAR). Ein derartiges Tool ermöglicht es dem Team, problemlos Daten zwischen Systemen auszutauschen, ohne sich die Zeit zur Integration über APIs nehmen zu müssen. Eine SOAR-Lösung kann sogar viele der manuellen Prozesse automatisieren, die zum Alltag eines Sicherheitsanalysten zählen oder die die Untersuchung eines Problems verlangsamen. So kann das Sicherheitsteam beispielsweise Workflows im SOAR-Tool aufbauen, die verdächtige Phishing-E-Mails automatisch untersuchen, Malware eingrenzen, sobald sie erkannt wurde, Benutzer einrichten oder deren Einrichtung beenden, die Patch-Beschaffung rationalisieren und vieles mehr.
Zusätzlich zu allem, was wir bereits angesprochen haben, gibt es eine Reihe weiterer Best Practices für Unternehmen, die Webanwendungen in ihrem Cloud-Netzwerk entwickeln und bereitstellen möchten. Diese Unternehmen sollten nach vorn schauen und so früh wie möglich Sicherheit in ihren Softwareentwicklungszyklus (SDLC) integrieren. Anders ausgedrückt sollten Sicherheitsfragen im Rahmen der Vorab-Tests des Codes bewertet und wie jeder andere Fehler behandelt werden. Das sorgt nicht nur dafür, dass implementierter Code frei von Sicherheitslücken ist, sondern markiert auch Schwachstellen während der Tests, sodass Entwickler die Möglichkeit haben, zu erfahren, welche Schwachstellen im Code vorhanden sind und wie sie sich in Zukunft vermeiden lassen. Die Arten der modernen Webanwendungen, die derzeit in Cloud-Netzwerken eingesetzt werden, sind in der Regel ziemlich komplex. Unternehmen, die also nach Wegen suchen, wie sie diese Art von Apps testen können, sollten sicherstellen, dass die von ihnen erwägten SAST-, DAST- oder IAST-Lösungen die Codebasis ihrer Apps verarbeiten können.
Die beste Weise, dies zu bestimmen, ist der Test des Tools in einer kostenlosen Probezeit. Auch wenn dies nicht exklusiv für Cloud-Netzwerke gilt, sollte erwähnt werden, dass Organisationen, die Web-Apps bereitstellen, auch zusätzliche Schutzmaßnahmen wie eine Web Application Firewall (WAF) in Erwägung ziehen sollten, um böswillige Akteure daran zu hindern, auf die App zuzugreifen. Weiterhin ist Runtime Application Security Protection (RASP) sinnvoll, um auf einen Live-Angriff zu reagieren, dem es gelingt, die WAF zu umgehen.
