Cloud Access Security Broker
Eigenentwicklungen und IaaS-Umgebungen erfolgreich absichern
Mit Hilfe von IaaS-Plattformen können Unternehmen ihre IT-Umgebungen flexibel, skalierbar und kosteneffizient aufstellen. Gleichzeitig behalten sie die Kontrolle über ihre Applikationen. Doch um Eigenentwicklungen in IaaS-Umgebungen abzusichern, sind die richtigen Maßnahmen gefragt.
Laut einer Prognose der Analysten von Gartner wird der IaaS-Markt in 2017 weltweit um 42 Prozent wachsen – und damit doppelt so stark wie der Software-as-a-Service-Bereich (SaaS). Gerade in Deutschland ist Infrastructure as a Service sehr beliebt. Unternehmen lagern immer häufiger ihre selbst entwickelten Anwendungen in Public-Cloud-Dienste aus und setzen dabei auf IaaS. Doch dort lauern auch viele Gefahren. Bereits durch eine ungünstige Konfiguration kann eine Sicherheitslücke entstehen. Dadurch können sich Hacker oder böswillige Mitarbeiter Zugang zu Konten verschaffen und Daten kompromittieren, stehlen oder löschen. Außerdem können Angreifer gekaperte Konten nutzen, um auf fremde Kosten Server oder Rechenkapazitäten anzumieten.
Gefahren in der Cloud-Konfiguration
Die größten Risiken liegen im Rechtemanagement und in der Einstellung der virtuellen Firewall. Eine grundlegende Sicherheitsregel lautet: Jeder Nutzer sollte nur die Rechte erhalten, die er für die Ausübung seiner Rolle unbedingt braucht. In IaaS-Umgebungen ist das oft nicht der Fall. Ein Beispiel hierfür ist der Simple Storage Service S3 von Amazon Web Services (AWS): Kunden speichern ihre Daten hier in sogenannten Buckets. Diese dienen quasi als kleine Fileserver und werden von Amazon mit sehr großzügigen Berechtigungsvergaben bereitgestellt. Wenn Unternehmen nicht darauf achten, wer Zugriff auf welchen Bucket hat, können sensible Daten schnell in die falschen Hände geraten. Da Firmen oft Tausende bis Zehntausende davon managen, ist es schwierig, den Überblick über die jeweiligen Berechtigungen zu behalten.
Der fehlende Überblick bildet auch das Problem bei virtuellen Firewalls. Meist betreiben Unternehmen mehrere Hundert virtuelle Maschinen in einer IaaS-Umgebung , die ganz nach Bedarf hoch- und runtergefahren werden. Doch häufig verfügen nicht alle davon über die passenden Firewall-Richtlinien. Das führt dazu, dass beispielsweise Protokolle, die für die Administration der Server gedacht sind, für alle IP-Adressen freigegeben sind und vermeidbare Angriffsflächen entstehen. Oder der Administrator vergisst nach einem Test an der virtuellen Maschine, die Firewall wieder zu aktivieren. Ohne technische Unterstützung ist es beinahe unmöglich, die geforderten Richtlinien aller virtuellen Maschinen zu überwachen.
Herausforderungen für die IT-Sicherheit
Wenn Unternehmen mit ihren eigenen Anwendungen in die Cloud umziehen, müssen Sicherheitsverantwortliche Schutzmaßnahmen auf zwei Ebenen ergreifen: für die Applikationen und für die Cloud-Umgebung. In den meisten Fällen erfolgt der Umzug in die Cloud unter Zeitdruck, sodass für eine Sicherheitsanalyse der IaaS-Plattform kaum Gelegenheit bleibt. Bei den Applikationen wird die Absicherung oft dadurch erschwert, dass On Premise-Anwendungen meist nicht über die Schnittstellen verfügen, die für eine einfache Anbindung an bestehende Sicherheitslösungen erforderlich wären. Außerdem wissen die Sicherheitsverantwortlichen oft gar nicht, welche Cloud-Applikationen überhaupt vorhanden sind. Laut einer Studie der Cloud Security Alliance sind sie im Durchschnitt nur über 38,4 Prozent der unternehmenseigenen Anwendungen informiert. Immer wenn Entwickler Apps in einer IaaS-Umgebung ausrollen, ohne die Security-Abteilung mit einzubeziehen, schaffen sie damit eine neue Ausprägung von Schatten-IT. Um Sicherheitsverantwortliche in Unternehmen zu unterstützen, liefern Cloud Access Security Broker (CASB) wichtige Funktionen.
- Eigenentwicklungen und IaaS-Umgebungen erfolgreich absichern
- So sorgt ein CASB für Sicherheit in IaaS-Umgebungen
Lesen Sie mehr zum Thema
