Gefahr der Cloud Fehlkonstruktion
Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus.
Wie Unternehmen die Multicloud-Herausforderung in den Griff bekommen
Ein typisches Cloud-Szenario umfasst heute oft mehrere hundert Services und Plattformen, die darüber hinaus ständig weiterentwickelt werden. Unzählige Konfigurationsmöglichkeiten erhöhen hier Risiken für die IT-Sicherheit. Bereits ein Konfigurationsfehler kann zur Exposition vertraulicher Daten oder zu schweren Sicherheitsproblemen mit rechtlichen und finanziellen Auswirkungen führen. Solche Fehlkonfigurationen in cloudbasierten Services oder Anwendungen können die Organisation anfällig für Cyberangriffe machen, da sie sich ihrer Angriffsflächen oftmals nicht bewusst sind.
Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus. Bei der Umstellung auf Multicloud-Umgebungen und cloudnative Services fällt es vielen Unternehmen jedoch schwer, den Überblick zu behalten, speziell auch über die verschiedenen Konfigurationen. Unklare Zuständigkeiten, mangelnde Transparenz und die allgemeine Komplexität der Cloud tragen dazu bei, die effektive Absicherung und die sichere Konfiguration der IT-Assets und -Ressourcen zu erschweren. Nicht umsonst ist die überwältigende Mehrzahl aller erfolgreichen Angriffe auf Cloud-Services nicht auf Schwachstellen in den Services selbst beziehungsweise ihrer Infrastruktur zurückzuführen, sondern auf intern verursachte Fehlkonfigurationen.
Herausforderungen durch CSPM abfangen
Cloud Security Posture Management (CSPM) unterstützt Organisationen dabei, nicht nur den Überblick zu bewahren, sondern bereits ab der Entwicklungsphase Fehlkonfigurationen zu vermeiden. CSPM-Lösungsansätze helfen, die wichtigsten Herausforderungen wie Komplexität,
Datenabfluss und Compliance der Infrastrukturen zu adressieren. Inkonsistente Sicherheitsausstattungen und Mindestanforderungen in den unterschiedlichen Phasen des Software-Entwicklungszyklus und mehreren Cloud-Umgebungen verkomplizieren die Steuerung und die Kontrolle von Sicherheitsmaßnahmen. Parallel zur Ransomware-Bedrohung hat sich auch
die Bedeutung von Governance, Risk und Compliance (GRC) in den Unternehmen entwickelt. Hier steht und fällt das Risikomanagement von Cybergefahren mit den Fähigkeiten und Erfahrungen der Mitarbeitenden sowie deren Einfluss auf die Geschäftsführungsebene.
Fehlkonfigurationen von Cloud-Anwendungen zählen zu den häufigsten Ursachen für ungewollten Datenabfluss. Sie kosten die Organisationen nicht nur viel Zeit und Geld, sondern können auch den Ruf beschädigen, wenn es zu einem Cybersicherheitsvorfall mit Datenverlust kommt. Ein Beispiel sind die nach einem Ransomware-Vorfall mit doppelter Erpressungsmethode veröffentlichten Kundeninformationen zu Verträgen, personenbezogenen Daten sowie Unternehmensinterna. Die dezentrale Bereitstellung von Anwendungen für unterschiedliche Standorte und User-Gruppen erschwert zudem ihre einheitliche Absicherung unter Einhaltung aller geltenden Vorschriften wie der DS-GVO, bei KRITIS dem IT-Sicherheitsgesetz 2.0 sowie zahlreichen branchenspezifischen oder international geltenden Anforderungen.
Die folgenden sieben Faktoren helfen den Verantwortlichen dabei, die für sie richtige CSMP-Lösung auszuwählen:
1. Ermittlung
Die Bestandsermittlung aller Assets und deren Inventarisierung ist die Grundvoraussetzung vor der Auswahl eines Ansatzes. In Multicloud-Implementierungen wird diese Art Informationen jedoch oftmals in Silos vorgehalten. Unabhängig vom Cloud-Anbieter ist eine einheitliche Datenerfassung ein Muss, und die Auswahl eines Anbieters mit einer agentenlosen Architektur gewährleistet eine schnelle und umfassende Erkennung.
2. Priorisierung
Bei der Risikobewertung sollte eine klare Prioritätensetzung erfolgen im Einklang mit der Risikotoleranz der Organisation. Die Verantwortlichen müssen sicherstellen, dass die Lösung kontextabhängig arbeitet und die Aufmerksamkeit auf die Dinge lenkt, die am wichtigsten sind, basierend auf dem Bedrohungsniveau, der jeweiligen Industrie und der Sensibilität der Umgebung.
3. Konformität
Das Augenmerk sollte darauf gelegt werden, dass die Lösung mit einem Klick Berichte zum Nachweis der Konformität mit gängigen Datenstandards wie PCI, DSS, NIST und anderen bereitstellen kann. Damit entfällt der komplexe manuelle Aufwand des Sammelns von Daten und der Erstellung von Reports.
4. Optimierung
Die Lösung sollte in der Lage sein, eine Schritt-für-Schritt-Anleitung mit relevanten und umsetzbaren Handlungsanweisungen zu liefern – aufbauend auf der Diagnose. Allzu oft entdecken Tools ein Problem, ohne einen entsprechenden Plan zur Behebung zur Verfügung zu stellen, wodurch sich die Komplexität der Fehlerbehebung erhöht.
5. Integration
Eine Integration von IDE-Plattformen, DevOps-Tools und Code-Repositories hilft dabei, Probleme auf Code-Ebene bereits in der Generierungsphase zu erkennen. Es ist einfacher, Fehler frühzeitig zu beheben, bevor sie in der Produktionsphase erkannt werden. Die Devise sollte „Vorbeugen“ lauten und nicht „nachträgliches Beheben von Fehlkonfigurationen“.
6. Konsolidierung
Zur Komplexitätsreduktion bietet sich die Konsolidierung von IT-Umgebungen an, was gleichzeitig zu einer besseren Interoperabilität beiträgt. IT-Sicherheitslösungen wie Cloud Infrastructure Entitlement Management (CIEM), Data Loss Prevention (DLP) oder das Scannen auf Schwachstellen können dazu in einer einzigen Plattform zusammengeführt werden. Damit steht Security-Analysten eine Übersicht aus einer Bandbreite an Datenquellen auf einen Blick zur Verfügung.
7. Automation
Wert sollte ebenfalls auf die Automatisierung und „Selbstheilung“ zur Fehlerbehebung gelegt werden. Der Fachkräftemangel sowie die sich stetig verändernde Bedrohungslandschaft erfordern den Einsatz von KI, um die beschriebenen Prozesse so weit wie möglich zu automatisieren.
Fazit: CSPM als Teil von CNAPP
Eine umfassende Cloud Native Application Protection-Plattform (CNAPP) unterstützt Organisationen durch Erkennen, Priorisieren und Beheben von Risiken in Cloud-Infrastrukturen und nativen Anwendungsbereitstellungen in allen Multicloud-Umgebungen.
Durch proaktive Identifizierung und Korrektur von Fehlkonfigurationen in IaaS und PaaS trägt die CSPM als Bestandteil zur Reduzierung von Risiken sowie Gewährleistung der Konformität mit allen geltenden Vorschriften in AWS, Azure und Google-Cloud-Plattform bei und unterstützt die Aufrechterhaltung eines robusten Sicherheitsstatus. Ein solches Vorgehen unterstützt bei der Umsetzung von IT-Sicherheits- und Compliance-Maßnahmen durch Abgleich mit vordefinierten Richtlinien. Diese Richtlinien decken ein breites Spektrum von Standards und Best Practices ab. Unternehmen müssen auf ihrem Weg in die Multicloud die IT-Security von Anfang an mitdenken, um gefährliche Konfigurationsfehler zu vermeiden.
Martyn Ditchburn, Director of Transformation Strategy bei Zscaler