Cloud-Migration
Zwischen Agilität und Sicherheit
Der Wunsch nach mehr Agilität, die Notwendigkeit, neue Anwendungen und Dienste schneller bereitstellen zu können, und die Hoffnung auf mehr Wettbewerbsfähigkeit führen Unternehmen in die Cloud. Den besonderen Sicherheitsanforderungen der Cloud gerecht zu werden, fällt dabei nicht immer leicht.
Eine der größten Herausforderungen bei der Cloud-Migration liegt darin, die Vorteile, die die Cloud mit sich bringt, voll auszuschöpfen und gleichzeitig den Sicherheitsaspekt nicht aus den Augen zu verlieren. Eine Balance zu finden zwischen der neu gewonnenen Agilität und dem Sicherheitsbedürfnis, ist jedoch kein Kinderspiel. Dies liegt vor allem an der Komplexität, die mit dem Hybrid-Ansatz einhergeht, denn der Großteil der Unternehmen setzt bei der Migration aus der klassischen On-premises-Umgebung mittlerweile auf eine hybride Mischung verschiedener Cloud-Modelle und kombiniert In-House- mit Cloud-nativen sowie Public-Cloud-Umgebungen. Aber auch die aufwendigen manuellen Prozesse und nicht zuletzt individuelle Compliance-Herausforderungen fordern die IT-Teams heraus. Nicht selten steht und fällt der Erfolg eines Cloud-Projektes damit, ob der verantwortliche IT-Manager in der Lage ist, den komplexen Übergang in die hybride Umgebung reibungslos und vor allem ohne Zeitverzögerung über die Bühne zu bringen und dabei gleichzeitig eine umfassende Cloud-Sicherheit zu gewährleisten. Häufig kommt es jedoch zu Fehlkonfigurationen, die die Sicherheit massiv gefährden.
Ursachen für Fehlkonfigurationen
Fehlkonfigurationen sind heutzutage eines der größten Probleme bei der Cloud-Migration und resultieren meist aus einer Kombination verschiedener Faktoren. Eine Hauptursache liegt dabei in dem bereits erwähnten Spannungsfeld von Agilität und Sicherheit und der Tatsache, dass gerade Entwickler die strengen Sicherheitsrichtlinien einer offenen Konnektivität unterordnen. Kritisch ist aber auch, dass herkömmliche Sicherheitsverfahren in der Cloud nicht greifen. Denn anders als bei traditionellen Netzwerken, bei denen ein Entwickler die Firewall-Teams ausdrücklich darum bitten muss, die Anwendungskonnektivität zuzulassen, gibt es in der Cloud meist keine Firewalls und die entsprechenden Kontrollen, Sicherheitsgruppen und IAM-Richtlinien sind Eigentum der Entwicklungsteams selbst. Doch das Fehlen einer strikten Aufgabentrennung sowie mangelnde Sicherheitsüberprüfungen begünstigen fehlerhafte Konfigurationen.
Ein weiteres Problemfeld ist der Mangel an Transparenz über die Cloud-Umgebungen hinweg, der mit dem vermehrten Einsatz von DevOps-Methoden kontinuierlich zunimmt. Die Anwendungsentwicklung und -bereitstellung erreicht hier eine Geschwindigkeit, die es den Sicherheitsteams unmöglich macht, nachzuvollziehen, welche Anwendungen, Container und serverlose Funktionen instanziiert und ob bzw. welche Sicherheitsrichtlinien angewendet wurden. Häufige Änderungen innerhalb einer komplexen und fragmentierten Infrastruktur führen zwangsweise zu vielen Fehlkonfigurationen und mangelnde Transparenz macht es unmöglich, diese zu identifizieren und zu beheben.
Native Sicherheitslösungen der Cloud-Anbieter sind nicht genug
Unabhängig davon, ob die Verantwortung für die Cloud-Sicherheitskontrollen dem Security- oder dem Cloud-Operations-Team obliegt, ist eine zentralisierte Lösung vonnöten, die den Mitarbeitern die Transparenz bietet, die ihre hybriden Cloud-Umgebungen erfordern. Dabei reicht es nicht aus, sich auf die nativen Sicherheitslösungen der Cloud-Anbieter zu verlassen, denn diese sind nur so sicher wie ihre Konfiguration. Andere Security-Lösungen bieten meist Sicherheitskontrollen für eine bestimmte Umgebung, wie AWS, Azure oder Kubernetes, so dass es unmöglich ist, eine einheitliche Sicherheitsrichtlinie für alle Anwendungen zu erstellen, die sowohl Cloud-Plattformen als auch lokale Ressourcen durchlaufen. Die Kontrolle der Mikrosegmentierung über die gesamte Infrastruktur hinweg braucht eine Single-Lösung, mit der die Einhaltung von Richtlinien plattform- und anbieterübergreifend visualisiert und bewertet werden kann.
Dabei muss man sich stets vor Augen führen, dass der Hauptgrund für die Cloud-Adoption erhöhte Agilität und Schnelligkeit in Sachen Bereitstellung ist, und die Sicherheit diese Ziele nicht behindern darf. Sämtliche Sicherheitskontrollen, die in die Continuous Integration & Continuous Deployment- (CI/CD)-Prozesse eingebettet werden, müssen eine kontinuierliche Compliance mit DevOps-Geschwindigkeit gewährleisten zu können.
In der Cloud muss Security neu gedacht werden
Sicherheitsteams in Unternehmen müssen also verstehen, dass die Cloud nicht einfach nur ein weiteres Netzwerk ist, das mit traditionellen Security-Maßnahmen abgesichert werden kann, sondern eine neue Denkweise, Veränderungsprozesse und neue Werkzeuge erfordert. Hierfür müssen sie einerseits ihre Expertise in Bezug auf Angriffe auf Cloud-native Plattformen ausbauen, verstehen, wo Sicherheitslücken entstehen können, und Tools entwickeln, die ihnen Transparenz und Kontrolle über den Cloud-nativen Stack bieten können. Zum anderen müssen die Security-Mitarbeiter anfangen, eng mit den Entwicklungs- und DevOps-Teams zusammenzuarbeiten, um sich mit deren Prämissen Automatisierung und Geschwindigkeit vertraut zu machen. Eine der wichtigsten Maßnahmen, um das Risiko von Fehlkonfigurationen sowie Cloud-Missmanagement erheblich zu reduzieren, ist dabei die Automatisierung von Sicherheitsrichtlinien. Diese ermöglicht es den Teams, sicherzustellen, dass die richtige Konfiguration automatisch und ohne manuelles Eingreifen erfolgt und Auditoren jederzeit den aktuellen Stand des Policy-Managements einsehen können. Gleichzeitig hilft es den Unternehmen, endlich die Geschwindigkeit und Agilität zu erreichen, die sie sich von der Cloud erhofft haben, ohne Kompromisse bei der Sicherheit eingehen zu müssen.
Die Cloud ist zweifellos der Weg in die Zukunft, aber ihre Einführung und ihre Verwaltung dürfen Unternehmen weder belasten noch ein Sicherheitsrisiko darstellen. Mit den richtigen Werkzeugen, Richtlinien und Kontrollen kann dies gelingen.
Thorsten Geissel ist Director Sales Engineering EMEA bei Tufin Technologies
Lesen Sie mehr zum Thema
