Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Cloud-Sicherheit: Mit Illumio aus falschen Annahmen Gewissheiten machen

Illumio Editorial
Illumio Editorial
Januar 11, 2022
23 min. lesen

In unserem letzten Blogbeitrag habe ich auf hohem Niveau erklärt, warum es ein Fehler war, die Risiken einer unzureichenden Cloud-Sicherheit zu ignorieren. Und ich habe zwei falsche Annahmen eingeführt, die viele Unternehmen bei der Einführung von Cloud-Diensten zur Unterstützung ihres Unternehmens treffen.

In diesem Beitrag untersuchen wir drei weitere Annahmen und wie Sie die Leistungsfähigkeit von Illumio CloudSecure ganz einfach nutzen können, um die Cloud-native Transparenz und Kontrolle zu verbessern.

Annahme #3: Cloud-Dienste sind vom Internet isoliert.

Um Kunden dabei zu unterstützen, das Beste aus ihren Investitionen herauszuholen, stellen Cloud-Anbieter ihnen Infrastrukturressourcen für Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) zur Verfügung. Dazu können virtuelle Maschinen, Container, serverlose Funktionen und verwaltete Cloud-Datenbanken gehören.

Diese Cloud-Dienste können jedoch für das Internet offen sein, oft standardmäßig. Sie können also Einstiegspunkte für eine mögliche Sicherheitsverletzung sein. Die Einschränkung des Zugriffs liegt in der Verantwortung des Kunden, nicht des Cloud-Anbieters. Denken Sie daran, dass die Cloud nicht standardmäßig die geringsten Rechte hat. Stattdessen arbeitet sie mit "übermäßigen Privilegien". Das bedeutet, dass Sie bestimmen müssen, welche Ressourcen miteinander kommunizieren können, und alles andere blockieren müssen.

Ohne Transparenz darüber, welche Anwendungen sich in der Cloud befinden und was mit ihnen kommuniziert, könnten Sie kritische Ressourcen ohne angemessene Kontrollen in der Cloud hosten. Dies ist besonders gefährlich, wenn Sie Workloads und Prozessfunktionen in der Public Cloud haben, die internen Rechenzentrumsressourcen ausgesetzt sind.

Um eine gute Cloudsicherheit zu gewährleisten, müssen Sie die Kommunikationspfade zwischen Ihren Cloud- und lokalen Workloads verstehen. Genau wie beim Rechenzentrum müssen Sie genau wissen, was mit dem Internet verbunden ist. Dann sollten Sie sicherstellen, dass diese Verbindungen nicht zu Pfaden für Hacker oder Malware werden, um in Ihr Netzwerk einzudringen.

Annahme #4: Bei der Skalierung von Cloud-Diensten sind keine Grenzen gesetzt.

Aus Sicherheitssicht begrenzen Public Clouds wie AWS und Microsoft Azure die Anzahl der Segmente, die zur Verwaltung der Sicherheit erstellt werden können. Dies verhindert, dass Sie eine fein abgestufte Kontrolle über Ihre Cloud-Anwendungen und -Daten erreichen.

Die Antwort der Cloud-Anbieter auf die Segmentierung ist das Segment der virtuellen Netzwerke – im Fall von Amazon die Virtual Private Cloud (VPC) und im Fall von Microsoft das Azure Virtual Network (VNet). Für diese Umgebungen erstellen Sicherheitsgruppen den Perimeter innerhalb und außerhalb des Segments.

Die Anzahl der Sicherheitsgruppen, die in einem virtuellen Netzwerksegment vorhanden sein können, ist jedoch begrenzt. Wenn Sie mehr als das Limit benötigen, müssen Sie mehrere Hosts in einem Segment verwenden. Um jedoch effizient zu skalieren, sollte jedes Segment nur einen Host haben.

Mehrere Hosts in einem Segment führen zu mehr Verwaltungskomplexität und einem größeren Sicherheitsrisiko. Wenn ein Host angegriffen wird, möchten Sie nicht, dass er mit einem anderen Host kommuniziert (und ihn möglicherweise infiziert). Für die Skalierung benötigen Sie zusätzliche Hilfe, die über das hinausgeht, was Ihre Cloud-Anbieter für die Segmentierung des Zugriffs anbieten. Andernfalls stehen Sie vor den gleichen Problemen, auf die Unternehmen bei der herkömmlichen Segmentierung von Rechenzentren gestoßen sind: schlechte Transparenz, komplexes Richtlinienmanagement und die Notwendigkeit, Netzwerkkonfigurationen und Firewalls manuell "neu zu verkabeln".

Annahme #5: Sobald Sie eine Arbeitslast gesichert haben, ist Ihre Arbeit getan.

Wenn über die Sicherheit von Workloads nachgedacht wird, gehen viele fälschlicherweise davon aus, dass ihre Workloads an einem Ort bleiben. In der Cloud können Ihre Workloads jedoch über mehrere Public Clouds verschoben werden, wobei jede über ein eigenes Richtlinienmodell verfügt. In diesem Fall ist es unwahrscheinlich, dass die Sicherheitssegmente dieselben Sicherheitskontrollen verwenden. Und selbst wenn dies der Fall ist, muss Ihr Sicherheitsteam diese Bewegung ständig überwachen, um sicherzustellen, dass die Workloads durch geeignete Richtlinien geschützt sind.

Alle Rechenressourcen, serverlosen Ressourcen und Objekte in der Cloud sind dynamisch. Wenn diese Ressourcen und Cloud-Objekte verschoben werden, ändern sich auch ihre IP-Adressen. Sie können ändern, wo sie sich innerhalb einer Public Cloud befinden. Sie können auch über mehrere Cloud-Anbieter hinweg verschoben werden. Sie können sogar "sterben", nur um mit einer neuen IP-Adresse wieder zum Leben erweckt zu werden.

Dies hat zur Folge, dass Sie keine Richtlinien mehr mit einem herkömmlichen Ansatz schreiben können. Untersuchen Sie stattdessen Ihre Cloudworkloads, um zu verstehen, wie die Anwendungskomponenten miteinander kommunizieren. Sobald Sie einen klaren Einblick in Ihr Anwendungsverhalten haben, können Sie entsprechende Erzwingungsrichtlinien schreiben.

Die wichtigste Erkenntnis ist, dass alle Cloud-Anwendungen, unabhängig davon, wo sie sich befinden oder welche zugehörigen Ressourcen sie verwenden, genauso sorgfältig geschützt werden müssen wie jede Anwendung, die auf einem Server in einem herkömmlichen Rechenzentrum ausgeführt wird.

Sicherheit ist ein wichtiger Business Enabler für die Cloud

Was motiviert sie, wenn große und kleine Unternehmen mehr Workloads in die Cloud verlagern oder in Erwägung ziehen, mehr Workloads in die Cloud zu verlagern? Die Geschwindigkeit, Flexibilität und Skalierbarkeit, die die Cloud bietet. Dennoch ist die Sicherheit – das "Waisenkind" – oft nicht Teil der Diskussionen über den Wechsel in die Cloud. Warum? Denn Sicherheit wird als "Business Complicator" und nicht als Business Accelerator betrachtet.

Die Sicherheitsplanung sollte jedoch Teil jeder Cloud-Migration sein und nicht erst im Nachhinein gedacht werden. CloudSecure überwacht und schützt kontinuierlich Cloud-native Anwendungen, virtuelle Maschinen und Container sowie serverlose, PaaS- und IaaS-Infrastrukturen. So können Sie die Cloud mit Zuversicht nutzen.

Erfahren Sie mehr darüber, wie Sie eine stärkere Sicherheit für Ihre Multi-Cloud- und Hybrid-Umgebungen aufbauen können: 

Verwandte Themen

No items found.

Verwandte Artikel

Wie Illumio Bundesbehörden bei der Sicherung von Mainframes unterstützt
Cyber Resilience

Wie Illumio Bundesbehörden bei der Sicherung von Mainframes unterstützt

Erfahren Sie, wie Illumio Bundesbehörden dabei unterstützt, Zero-Trust- und BOD-Anforderungen zu erfüllen, indem geschäftskritische Legacy-Systeme in großem Umfang gesichert werden.

Read more
Aus den Augen, aus dem Sinn: Die Gefahren des Ignorierens der Cloud-Sichtbarkeit
Cyber Resilience

Aus den Augen, aus dem Sinn: Die Gefahren des Ignorierens der Cloud-Sichtbarkeit

Erfahren Sie, warum herkömmliche Transparenzansätze nicht mehr funktionieren und wie Sie einen vollständigen Überblick über Ihre hybriden Multi-Cloud-Umgebungen erhalten.

Read more
So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135
Cyber Resilience

So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135

Eine Möglichkeit, den TCP-Port 135 auszunutzen, um Remote-Befehle auszuführen, führte zu einer Schwachstelle an Port 445, die es erforderlich machte, Port 135 zu sichern, um die TCP-Sicherheit zu gewährleisten.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more