Cloud-Einführungen sind auch 2024 weiter auf dem Vormarsch. Weltweit erhöhen Unternehmen ihre Ausgaben für entsprechende Infrastruktur-Dienste. Für eine strategisch erfolgreiche Umsetzung spielt gemäss der aktuellen «State of the Cloud Strategy»-Umfrage von Hashi Corp aus dem Jahr 2024 der Reifegrad der Cloud eine zentrale Rolle. Als Faustregel gilt demnach: je fortgeschrittener der Reifegrad ist, desto höher fällt die Rentabilität aus, dank kürzerer Entwicklungszyklen und schnellerer Innovationen. Zudem werden dank Automation Ressourceneinsatz und Betriebskosten optimiert sowie Sicherheit und Compliance verbessert. Die Umfrage zeigt aber auch, dass die Mehrheit der Unternehmen noch keinen hohen Cloud-Reifegrad erreicht: Es harzt vor allem bei den richtigen Massnahmen für Cloud-Sicherheit. Dieses Problem ist mit den richtigen Grundsätzen aber lösbar.
Im Folgenden wird aufgezeigt, wie ein Unternehmen mit dem Zero-Trust-Ansatz die Cloud-Sicherheit stärken und einen höheren Reifegrad erreichen kann. Zudem wird erklärt, weshalb der Ansatz wichtig ist, auf welchen Prinzipien er beruht, welche Massnahmen sich für die Umsetzung eignen und wie Unternehmen die üblichen Fallstricke vermeiden.
Was ist das Zero-Trust-Modell?
Zero Trust beruht auf dem Grundsatz, niemandem zu trauen – ob im oder ausserhalb des Netzwerks. Damit wird das traditionelle Konzept obsolet, Akteuren innerhalb des Netzwerks zu vertrauen, jenen ausserhalb wiederum nicht. Der Zero-Trust-Ansatz nimmt an, dass eine Sicherheitsverletzung ihren Ursprung überall haben kann. Auch innerhalb des Netzwerks. Er schützt die IT-Systeme daher durch Schutzmechanismen für diverse Bereiche: von Identitäten, die Systemzugang verlangen, über Endpunkte wie Geräte und Sensoren bis hin zu Netzwerkkonfigurationen und den Daten selbst.
- Zero Trust handelt nach dem Motto «Vertrauen ist gut, Kontrolle ist besser», das auf den Prinzipien beruht, stets explizit zu verifizieren, geringstmögliche Berechtigungen zu gewähren und von Sicherheitsverletzungen auszugehen.
- Das Prinzip «Stets explizit verifizieren» wird mittels Sicherheitsrichtlinien durchgesetzt. Diese werden dynamisch angewandt und orientieren sich am Kontext eines Zugriffs wie Standort, Sensitivität der Daten oder ungewöhnliche Verhaltensmuster.
- Das Prinzip «Geringstmögliche Berechtigungen gewähren» besagt, dass eine Identität standardmässig nur die zur Erfüllung einer Aufgabe notwendigen Rechte erhält. Dies begrenzt Seitwärtsbewegungen und die Folgen von Sicherheitsverletzungen. Die sichere Kommunikation zwischen Systemen und Komponenten sowie die stete Verschlüsselung schützen Daten im Fall eines unerlaubten Zugriffs.
- Das Prinzip «Von Sicherheitsverletzungen ausgehen» wird durch die laufende Echtzeit-Analyse der Nutzer- und Netzwerkaktivitäten und automatisierte Reaktionen umgesetzt. Dies ermöglicht, ungewöhnliche Vorgänge vorherzusehen, zu erkennen und darauf zu reagieren.
Um diese Prinzipien praktisch anzuwenden, empfehlen sich die folgenden Massnahmen:
- Sicherheitsrichtlinien durchsetzen: Automatisierung der Durchsetzung ressourcenübergreifend auf Basis von Threat Intelligence, Kontext und verdächtigen Aktivitäten.
- Netzwerk mikrosegmentieren: Umgebung in einer privaten sicheren Netzwerkzone isolieren und Ressourcen basierend auf ihrem Kontext in Teilnetzwerke unterteilen, die jeglichen Datenverkehr mittels Richtlinien überwachen.
- Identitätsbasierte Zugriffskontrolle: Die Identität ist der wichtigste Sicherheitsfaktor. Unternehmen sollten zuverlässige Methoden wie Multi-Faktor-Authentifizierung (MFA) nutzen und streng beim Zugriff auf Daten, Dienste oder Aktivitäten sein.
- Daten verschlüsseln: Daten nach Sensitivität identifizieren und klassifizieren. Unternehmen sollten Daten zudem im Ruhezustand und bei der Übermittlung mit neusten kryptografischen Protokollen verschlüsseln.
- Laufend überwachen und analysieren: Unternehmen müssen für eine einheitliche und laufende Überwachung sorgen, um Anomalien, Angriffe und Sicherheitsverletzungen zu erkennen. Es gilt zudem, die Reaktion auf einen Zwischenfall zu automatisieren.
Der Zero-Trust-Ansatz ist nicht mehr am Perimeter ausgerichtet. Stattdessen nimmt er an, dass eine Sicherheitsverletzung ihren Ursprung überall haben kann und rückt den Schutz neuer Bereiche des IT-Systems in den Fokus. (Quelle: Adnovum)
Einsatz von Security as a Service für Zero Trust in der Cloud
Unternehmen setzen vermehrt auf Security as a Service (SECaaS), um Zero-Trust-Massnahmen einzuführen. Gründe hierfür sind Kosteneffizienz, Fachkräftemangel, Skalierbarkeit und Übertragung von Verantwortlichkeiten. Es gibt eine Vielzahl an Diensten, um den Zero-Trust-Ansatz anzuwenden. Hyperscaler wie Azure, AWS und GCP bieten dafür systemeigene integrierte Cloud-Dienste. Doch welches Tool für welche Massnahme einsetzen? Das ist nicht immer ganz eindeutig, da die Tools teilweise überschneidende Funktionen unterstützen. Gestützt auf eigene Erfahrungswerte zeigt die Tabelle unten beispielhaft, welche wesentlichen integrierten Security-Dienste sich eignen, wenn man AWS oder Azure als Cloud Provider wählt:
Wer bereits verwaltete Rechen- und Speicherdienste von Hyperscalern nutzt, kann die Sicherheit mit integrierten Diensten rasch verbessern – dies dank Standardintegration und einfacher Anwendung via Konfiguration. Es funktioniert jedoch nicht ohne die Fähigkeiten, diese Dienste so zu konfigurieren und zu verwalten, dass sie Zero Trust unterstützen. Zu berücksichtigen ist zudem das Risiko eines Vendor Lock-in und unvorhergesehener Kosten, die durch Ressourcenverbrauch sowie Datenverkehr entstehen können.
Lokal verwaltete Systeme und Werkzeuge sind hingegen eher statisch und daher berechenbarer bezüglich Ressourcenverbrauch, dynamischer Netzwerklast und Kosten. Dafür sind Kontrolle, Konfiguration, Anpassung und Integration mit bestehenden lokalen Systemen allerdings meist aufwendiger. Dies gilt insbesondere, wenn die Daten verteilt und weniger zugänglich sind als in Cloud-Umgebungen, die Standard-APIs für die Integration bereitstellen. Das kann wiederum dazu führen, dass eine vollständige Abdeckung durch Sicherheitsmassnahmen erschwert wird.
Übliche Fallstricke bei der Zero-Trust-Einführung
Annahme einer Eins-zu-eins-MigrationEiner der geläufigsten Fehler ist anzunehmen, dass sich Systeme oder ganze IT-Landschaften eins zu eins in die Cloud migrieren lassen unter Beibehaltung des bisherigen Sicherheitsstandards. Dabei werden von Unternehmen oft zahlreiche, einfach zu integrierende Dienste wie Firewalls, Überwachungs- und Benachrichtigungssysteme oder sichere Speichermedien übersehen, die von Cloud Providern bereitgestellt und verwaltet werden. Werden beispielsweise innerhalb einer Virtual Private Cloud (VPC) oder eines Teilnetzes perimeterbasierte Sicherheitsgrenzen angewendet, die internem Netzwerkverkehr vertrauen, kann sich ein Angreifer gegebenenfalls seitwärts bewegen, sobald nur eine Komponente kompromittiert ist. Deshalb ist es unerlässlich, die Systemarchitektur vorab zu überprüfen und auf Zero Trust hin anzupassen. Dies verursacht für Unternehmen zwar zunächst Kosten, mindert aber letztlich die Sicherheitsrisiken.
Die strategische Budgetierung für Schutzmechanismen
Ein weiterer Knackpunkt sind die Kosten für die Einführung griffiger Richtlinien via Identity and Access Management (IAM), um Resource Owner zu benennen, klare Zugangskontrollen zu verankern sowie bewährte Sicherheitspraktiken anzuwenden und zu überprüfen.
Elementare Schutzmechanismen wie sichere Speichermedien, Bedrohungsanalyse und Rollenverwaltung sind meist günstig bis kostenlos und relativ einfach anzuwenden. Höhere Aufwände und Kosten können indes erweiterte Dienste verursachen wie Security Information and Event Management (SIEM), Security Orchestration and Automation Response (SOAR) oder der umfassende Schutz von Assets wie digitale Schlüssel durch Hardware Security Modules (HSM). Solche Arten von Diensten sind in der Regel nur sinnvoll für Unternehmen, die besonderen Gefahren oder Compliance-Anforderungen unterliegen. Das können Gesundheitsdienstleister sein, die sensitive medizinische Daten schützen müssen, Finanzdienstleister, die den Datensicherheitsstandards der Zahlkartenindustrie (PCI DSS) unterliegen, oder Behörden, die mit sensitiven Daten und kritischer Infrastruktur arbeiten. Es ist daher elementar, die erweiterten Dienste strategisch für Bereiche zu nutzen, die sensitiv und sicherheitsrelevant sind. So halten sich Kosten und Nutzen die Waage.
Um darüber hinaus die Kosten für Sicherheit nicht ausufern zu lassen, empfiehlt sich Folgendes:
- Schrittweise Einführung von Zero Trust – von IAM-Zugriffskontrollen über Netzwerksegmentierung bis hin zu optimierten Überwachungs- und Reaktionsmechanismen
- Priorisierung bereits integrierter kostenloser Cloud-Dienste
- Auswahl passender Werkzeuge, um spezifische Sicherheitsanforderungen zu erfüllen
- Aufgaben wie Überwachung und Reaktion auf Zwischenfälle nach Möglichkeit automatisieren
- Kostenvergleich verschiedener Betriebsmodelle gemäss Shared Responsibility Model
Das aufkommende FinOps Framework zeigt, wie wichtig eine gezielte Budgetierung von Cloud-Diensten ist. Entscheidend sind hier die Aufteilung der Ressourcen nach Kostenstellen und zugewiesenen Mitteln sowie das Benennen zuständiger Teams oder Personen. Unternehmensweit durchgesetzt gewährleisten diese Praktiken eine konsistente und optimale Nutzung der Ressourcen.
Das Vernachlässigen von IAM-Regeln und Zugriffskontrollen
Die Einführung griffiger IAM-Richtlinien und wirksamer Zugriffskontrollen ist nicht zu vernachlässigen. Es ist zentral, diese teamübergreifend zu definieren. So lässt sich ein verteiltes Zugriffsrechte-System vermeiden, das langfristig schwer aufrechtzuerhalten ist. Dieser Grundsatz gilt auch für die Netzwerksegmentierung. Es gibt verschiedene Methoden, ein Netzwerk zu sichern, zum Beispiel Zugriffsrichtlinien für virtuelle Netzwerke. Entscheidend ist indes, den Überblick zu behalten und eine kohärente Strategie zu verfolgen. Andernfalls ist das Risiko gross, die Kontrolle zu verlieren, was wiederum eine sichere Netzwerkkonfiguration gefährdet. Die Losung lautet hier: so einfach wie möglich und so sicher wie nötig.
Bei «Secure by default» genau hinschauen
Der Grundsatz «Secure by default» ist ein weiterer Schlüsselfaktor. Während zahlreiche Cloud-Dienste voreingestellte Sicherheitsmechanismen bieten, zum Beispiel standardmässig geblockter öffentlicher Zugriff und Verschlüsselung von Objekten in Amazon S3, können andere per Standardkonfiguration dem Internet ausgesetzt sein. Zu den üblichen Risiken zählen öffentlich zugängliche Speichermedien oder eine falsch konfigurierte Zugriffskontrolle für APIs. Besonders gravierend sind Zugangsdaten, die in Code Repositories oder in ungeschützten Protokolldateien durchsickern. Um dies zu vermeiden und eine sichere Umgebung zu gewährleisten, braucht es neben der Etablierung von Sicherheitsmechanismen im gesamten Softwareentwicklungsprozess via SecDevOps auch regelmässige Bedrohungsanalysen und Sicherheitsprüfungen von Ressourcen und deren Konfiguration.
Sicher in der Cloud bewegen
Mit der Verbreitung von Cloud-Infrastrukturen nimmt auch die Bedeutung von Cloud-Sicherheit zu. Unternehmen, die Zero Trust durch bewährte Praktiken anwenden, erreichen einen höheren Reifegrad und stärken ihre Cloud-Sicherheit. Bei der Einführung von Zero Trust sollten sie gebrauchsfertige SECaaS-Lösungen von Hyperscalern berücksichtigen. Zu vermeiden sind bekannte Fallstricke wie die Annahme, lokale Konzepte liessen sich eins zu eins auf die Cloud übertragen, ohne die Architektur anzupassen. Cloud-Security-Dienste sind auch nicht unbedingt kostenlos oder günstiger als lokale Services. Es erfordert Aufwand, passende Sicherheitsmassnahmen gemäss Zero Trust und spezifischen Anforderungen zu definieren und zu planen sowie geeignete SECaaS-Komponenten zu verstehen und auszuwählen. Zudem müssen die Fähigkeiten erworben werden, um diese sachgerecht zu konfigurieren und zu warten. Denn Sicherheit ist nur bis zu einem gewissen Grad «by default» in die Cloud integriert. Wer bewährte Praktiken erfolgreich implementieren will, muss seine IT-Architektur prüfen und anpassen, gezielt gemäss FinOps budgetieren und regelmässig die Sicherheit evaluieren.
Die Autoren
Frederic Kottelat besitzt einen Abschluss der ETH Lausanne sowie einen MAS in Information System Security der Universität Genf. Er beschäftigt sich seit gut 15 Jahren mit Cybersecurity und unterstützt Kunden bei
Adnovum dabei, ihre Applikationen und Daten zu schützen.
Daniel Hogg hat einen Master-Abschluss in Geoinformatik der Universität Osnabrück (D) sowie einen PhD in Geografie der University of Canterbury (Neuseeland). Seit mehr als 10 Jahren designt er als Software Architect bei Adnovum sichere Architekturen.
Frederic Kottelat (Quelle: Adnovum)
Daniel Hogg (Quelle: Adnovum)