Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Hybrid und Public Cloud? So gelingt die sichere Migration

Die deutschen Unternehmen fassen immer mehr Vertrauen in die Cloud. Doch bei der Migration spielen zahlreiche Sicherheitsaspekte eine wichtige Rolle. In Zukunft werden sie Daten wohl zunehmend in mehreren Public- und Hybrid-Cloud-Umgebungen speichern und die Vorteile unterschiedlicher Anbieter nutzen.

Wenn Anwendungen und Daten das Rechenzentrum verlassen und in die Cloud verlagert werden, greift die traditionelle Perimeter-Security nicht mehr. Denn die zu schützenden Assets befinden sich dann nicht mehr vollständig im eigenen Zugriff. Sicherheit kann hier nur mit einem umfassenden Ansatz gelingen, der neben dem eigenen Rechenzentrum auch Mobilgeräte, Cloud-Anwendungen und gemeinsam mit Partnern genutzte Systeme umfasst. Dieses Security-Konzept sollte vor allem folgende Punkte berücksichtigen:

  • Sichtbarkeit. Unternehmen können nur das schützen, was sie kennen. Deshalb ist der transparente Einblick in jeden Datenverkehr von Anwendungen unumgänglich. Dabei stellt nicht nur die Vollständigkeit des Monitorings eine Herausforderung dar, sondern auch die zunehmende Verschlüsselung des Traffics.
  • Kontext. Die Sichtbarkeit nützt jedoch nichts, wenn es keinen erkennbaren Kontext der Datenströme sowie deren Abhängigkeiten und Einflussparameter gibt. Schließlich lässt sich nur durch den entsprechenden Zusammenhang erkennen, ob der Zugriff auf eine sensible Information legitim oder potenziell gefährlich ist.
  • Kontrolle. Sichtbarkeit und Kontext ermöglichen es dann, die richtigen Security-Richtlinien zu definieren und durchzusetzen. Diese sollen zwar durch strenge Vorgaben möglichen Missbrauch verhindern, dürfen aber auch nicht erwünschte Arbeitsprozesse verlangsamen oder zu vielen False Positives führen.

Wichtige Security-Bausteine

Für den Aufbau einer umfassenden Sicherheitsarchitektur stehen verschiedene Bausteine zur Verfügung. Dazu gehören die herkömmlichen Maßnahmen für den Perimeterschutz, Identifizierungs- und Authentifizierungslösungen, DDoS-Mitigation als On-Premise- oder Cloud-Service, Web Application Firewall (WAF), Fraud-Protection sowie Verhaltensanalysen.

Doch statt den Fokus auf Einzellösungen zu legen, sollten Unternehmen die grundlegende Architektur im Auge behalten. So müssen sie im ersten Schritt prüfen, welche Anwendungen, Geräte und Infrastrukturen sie im Rechenzentrum, in der Cloud oder mobil einsetzen. Im nächsten Schritt erfolgt eine Risikoanalyse der Komponenten, vor allem eine Sicherheitseinstufung der Daten, da nicht alles gleich gut geschützt werden muss. Anschließend ist ein umfassendes Sicherheitskonzept zu entwickeln und umzusetzen, das aufgrund der sich verändernden Bedrohungslage regelmäßig überprüft wird.

Einen entscheidenden Punkt bei dieser Architektur bildet die möglichst frühzeitige Erkennung von Bedrohungen. Denn je länger ein Angriff dauert, desto größeren Schaden kann er anrichten. Zudem sollten Unternehmen ihre Mitarbeiter und bei Bedarf auch Kunden über mögliche Risiken und entsprechende Schutzmaßnahmen informieren.  Wenn zum Beispiel durch eine Phishing-Attacke schon tausende Passwort- und Nutzer-Kombinationen gestohlen wurden, führt dies zu einem großen Reputationsverlust. Zudem sollten sie auch Lösungen implementieren, die Vorfälle nachträglich analysieren können, um den Tatvorgang nachzuverfolgen und mögliche Wiederholungen zu vermeiden.

Herausforderungen

Für eine solche umfassende Sicherheitsarchitektur stellt vor allem die Zunahme des per SSL verschlüsselten Traffics eine Herausforderung dar. SSL ist zwar eine zwingende Voraussetzung für einen gesicherten Datentransfer in und von der Cloud. Doch darin werden zunehmend auch Attacken eingebettet, da herkömmliche Sicherheitslösungen verschlüsselte Daten in der Regel nicht durchsuchen können.

Entsprechend müssen Unternehmen Systeme einsetzen, die SSL-Verkehr ent- und wieder verschlüsseln, ohne die Performance des Traffics zu beeinträchtigen. Sie sollten die entschlüsselten Daten zur Prüfung an Sicherheitslösungen wie Next-Generation Firewalls, Intrusion-, Data Loss- oder Malware-Protection-Systeme weiterleiten. Nur durch eine solche umfassende Sichtbarkeit in die Inhalte lassen sich legitime Nutzung und Attacken voneinander unterscheiden.

Eine weitere Herausforderung für die sichere Migration in die Cloud ist die Übernahme der Security-Richtlinien, die den Anwendungen zugeordnet sind. Dies ist die Aufgabe eines Application Delivery Controllers, der neben dem Traffic Management auch die Security-Regeln aller Anwendungen verwaltet. Er befindet sich in einem Rechenzentrum typischerweise zwischen der Firewall und einem oder mehreren Applikationsservern.

Prioritäten richtig setzen

Gerade das Thema Sicherheit ist für eine erfolgreiche Migration in die Cloud wichtig. Schließlich investieren Unternehmen rund 90 Prozent ihres IT-Security-Budgets in die Absicherung des Netzwerks, obwohl nur etwa ein Drittel aller Attacken darauf gerichtet sind. Die Mehrzahl der Angriffe erfolgt inzwischen auf Anwendungsebene, doch die Security-Investitionen in diesem Umfeld sind noch sehr gering.

Da im Zuge der Cloud-Nutzung und der zunehmenden Mobilität der Schutz des Netzwerkperimeters ohnehin nicht mehr ausreicht, sollten Unternehmen die Sicherheitsbudgets überprüfen und die richtigen Prioritäten setzen. Nur dann gewährleisten sie eine erfolgreiche Migration in die Cloud.

Ralf Sydekum, Technical Manager DACH, F5 Networks