Unternehmen setzen wegen der Effizienz und Flexibilität der Cloud im Vergleich zu herkömmlichen Rechenzentren für ihre geschäftskritischen Workloads mehr denn je auf Cloud-Plattformen.
Bei der digitalen Transformation in die Cloud bereitet unter anderem die Sicherheit erhebliche Sorgen, da die Cloud Security mit einem Paradigmenwechsel weg von klassischen Sicherheitslösungen und -ansätzen verbunden ist. Zudem wächst die Zahl der Sicherheitskompromittierungen und Malware-Angriffe in der Cloud, da die Angriffsvektoren sich beständig weiterentwickeln. Wenn Ihr Unternehmen seine Cloud-Projekte weiter umsetzt, ist es daher wichtig, die Sicherheitsgrundsätze in der Cloud zu verstehen, die richtigen Tools und Best Practices zum Schutz der in der Cloud gehosteten Workloads zu implementieren und die eigenen Sicherheitspraktiken weiterzuentwickeln.
In diesem Blog betrachten wir die empfohlenen Best Practices für Sicherheitsmaßnahmen, die Unternehmen beim Wechsel in die Cloud in den einzelnen Phasen implementieren können. Wir beginnen mit den Grundlagen und gehen dann weiter ins Detail.
See Crowdstrike Falcon In Action
Laden Sie den Global Threat Report 2022 herunter und erfahren Sie, wie Sicherheitsteams die Mitarbeiter, Prozesse und Technologien moderner Unternehmen in einer immer schwierigeren Bedrohungslandschaft besser schützen können.
Jetzt herunterladenBest Practices der Cloud Security: Die Grundlagen
Alle Unternehmen beginnen an diesem Punkt. Beim ersten Vorstoß in die Cloud kommen nicht verhandelbare Sicherheitsgrundsätze ins Spiel.
Gemeinsame Verantwortung
Bei der Cloud Security setzen alle führenden Cloud-Service-Anbieter (AWS, Azure und GCP) auf das Modell der gemeinsamen Verantwortung. Während einige Aspekte wie die Sicherheit der zugrunde liegenden Hardware vom Service-Anbieter verwaltet werden, liegt die Verantwortung für die Sicherheit auf Infrastruktur– und Anwendungsebene beim Kunden.
Bei IaaS-Bereitstellungen (Infrastructure-as-a-Service) umfasst dies unter anderem den Schutz von Betriebssystemen virtueller Maschinen durch regelmäßige Patch-Installationen, die Konfiguration der Firewall und die Verwendung von Viren- und Malware-Schutz. Sicherheitsmaßnahmen auf Anwendungsebene stützen sich in der Regel auf Web-Anwendungsfirewalls und Tools zum Schutz vor DDoS-Angriffen (Distributed Denial of Service).
Bei PaaS-Bereitstellungen (Platform-as-a-Service) ist der Schutz auf VM-Ebene Aufgabe des Cloud-Anbieters. Der Kunde ist jedoch nach wie vor für die Verwaltung des Anwendungs- und Datenschutzes verantwortlich. Bei SaaS-Bereitstellungen (Software-as-a-Service) verwaltet der Cloud-Anbieter die Mehrheit der Sicherheitskontrollen – bis hin zur Anwendungsebene. Für die Nutzungs- und Zugriffsrichtlinien ist jedoch der Kunde verantwortlich.
Sie sollten sich unbedingt die Matrix der gemeinsamen Verantwortung Ihres Cloud-Service-Anbieters ansehen und die relevanten Anwendungskontrollen mit nativen oder externen Sicherheitstools und -services implementieren.
Perimetersicherheit
Da Cloud-Netzwerke auf SDN (Software-definierte Netzwerke) basieren, bieten sie bei der Implementierung mehrschichtiger Sicherheitsvorkehrungen mehr Flexibilität. Sie sollten mit einer grundlegenden Segmentierung der Workloads zwischen verschiedenen virtuellen Netzwerken beginnen und nur die nötige Kommunikation zwischen ihnen zulassen. Außerdem sollten Sie den bei Ihren Anwendungen eingehenden Datenverkehr mithilfe von Firewalls auf die Netzwerk- oder Anwendungsebene beschränken.
Angriffe wie SQL-Injektionen, Datenkompromittierungen und Cross-Site Scripting gehören zu den schwerwiegendsten Anwendungssicherheitsproblemen, die mit einer Web-Anwendungsfirewall (WAF) auf Basis von OWASP-Bedrohungserkennungsregeln erkannt und vermieden werden können. Eine mehrschichtige DDoS-Schutzstrategie ist unerlässlich, um Workloads vor organisierten DDoS-Angriffen in der Cloud zu schützen. Alle Cloud-Service-Anbieter stellen DDoS-Schutztools bereit, die Sie in Ihr Anwendungs-Frontend integrieren können, um derartige Angriffe zu erkennen und sich davor zu schützen.
An Ihrem Netzwerkperimeter sollte Sie eine effiziente Firewall einrichten, die als Schutzmechanismus vor eingehenden Bedrohungen und böswilligen Angriffen dient. Hierbei kann es sich um cloudnative Firewall-Services oder um fortschrittlichere Drittanbietertools handeln, die Funktionen zur Erkennung von Eindringversuchen, Paketüberprüfung, Datenverkehrsanalyse und Bedrohungserkennung bieten. Sie können ein separates System zur Erkennung von Eindringversuchen (Intrusion Detection System, IDS) oder Vermeidung von Eindringversuchen (Intrusion Prevention System, IPS) implementieren, um die Perimetersicherheit für Ihre Cloud-Bereitstellungen zu stärken.
Überwachung auf Konfigurationsfehler
Erfolgreiche Infiltrierungen von Cloud-Workloads sind oft auf falsch konfigurierte Services oder manuelle Konfigurationsfehler zurückzuführen. Sie sollten CSPM-Lösungen (Cloud Security Posture Management, Sicherheitsverwaltung für Cloud-Umgebungen) in Ihre Architektur integrieren, um Konfigurationsfehler in Ihrer Cloud-Umgebung aufzuspüren.
CSPM-Lösungen gleichen Ihre Umgebungen mit einer Reihe von Best-Practice-Richtlinien ab, einschließlich unternehmensspezifischen Standards sowie führenden Sicherheits- und Compliance-Benchmarks. Mit einer Sicherheitsbewertung wird der aktuelle Sicherheitsstatus aller Ihrer Cloud-Workloads bemessen. Dabei steht die Sicherheitsbewertung „Healthy“ (in Ordnung) für eine sichere Cloud-Bereitstellung. Diese Tools weisen auch auf Abweichungen von den Standardpraktiken hin, sodass Sie die nötigen Korrekturmaßnahmen ergreifen können.
Datenverschlüsselung
Wenn Sie Cloud-Services für die Datenspeicherung verwenden, befinden sich die Daten in einer Umgebung, die vom Cloud-Service-Anbieter kontrolliert wird. Daher müssen Sie die Sicherheit der gespeicherten und übertragenen Daten gewährleisten. Cloud-Service-Anbieter bieten verschiedene standardmäßig integrierte Verschlüsselungsfunktionen für Daten in Block- und Objektspeicherservices. Zum Schutz übertragener Daten sollten Verbindungen zu Cloud-Speicherservices per HTTPS/TLS verschlüsselt werden.
In Cloud-Plattformen erfolgt die Datenverschlüsselung standardmäßig mit Verschlüsselungsschlüsseln, die von der Plattform verwaltet werden. Für mehr Kontrolle können Kunden jedoch eigene Schlüssel nutzen und diese zentral über einen Managementservice für Verschlüsselungsschlüssel in der Cloud verwalten. Bei Unternehmen mit strengeren Sicherheitsstandards und Compliance-Anforderungen können native Schlüsselmanagementservices mit Hardware-Sicherheitsmodul (HSM) oder sogar Drittanbieterservices implementiert werden, die die Datenverschlüsselungsschlüssel schützen.
Identitäts- und Zugriffsverwaltung
Bei Cloud-Workloads spielt die Sicherheit der Kontrollebene eine entscheidende Rolle, da sie der Schlüssel zu Ihrem Reich ist. Sie müssen mithilfe der nativen Identitäts- und Zugriffsverwaltungsservices Ihrer Cloud-Plattform eine detaillierte, rollenbasierte Zugriffskontrolle für Ihre Cloud-Ressourcen implementieren.
Cloud-Plattformen bieten auch Tools zur mühelosen Integration lokaler Lösungen wie Active Directory in cloudnative IAM-Services (Identity and Access Management, Identitäts- und Zugriffsverwaltung), sodass Benutzer von nahtlosem Single Sign-On für Cloud-Workloads profitieren. Bei IAM-Kontrollen sollten Sie das Least-Privilege-Prinzip befolgen, d. h. Benutzern nur die Berechtigungen gewähren, die sie für den Zugriff auf die für ihre Arbeit erforderlichen Daten und Cloud-Ressourcen benötigen.
Best Practices der Cloud Security: Die Zwischenstufe
Ihr Unternehmen kann bei der Entwicklung in der Cloud weitere Kontrollen implementieren, die die Sicherheit stärken.
Vollständiger Überblick über den Sicherheitsstatus
Mit der zunehmenden Ausdehnung der Cloud-Landschaft steigt auch die Wahrscheinlichkeit nicht gemeldeter Kompromittierungen. Mit den richtigen Tools können Sie den dringend benötigten Überblick über den Sicherheitsstatus erreichen und proaktive Sicherheitsverwaltung ermöglichen.
Alle führenden Cloud-Plattformen bieten eine erweiterte oder Premium-Stufe einer nativen CSPM-Lösung mit zahlreichen Funktionen, z. B. zur Erkennung von Datenexfiltrationen, ereignisbasierten Bedrohungen, IAM-Kontoübernahmen und Cryptomining. Allerdings sind diese Funktionen oft auf die jeweiligen Cloud-Plattformen beschränkt. Bei Hybrid- und Multi-Cloud-Umgebungen empfiehlt sich die Implementierung eines Tools, das speziell darauf ausgerichtet ist, einen Überblick über den Sicherheitsstatus bereitzustellen.
Cloud Securitysrichtlinien
Cloud Securitysrichtlinien werden definiert, um unternehmensweite Einschränkungen zur Gewährleistung der Sicherheit zu implementieren. Sie schränken zum Beispiel die Bereitstellung von Workloads ein, die öffentliche IP-Adressen nutzen, dämmen netzwerkinternen Datenverkehr ein oder implementieren die Überwachung von Container-Workload-Datenverkehrsmustern.
Der Implementierungsansatz unterscheidet sich je nach Service-Anbieter. Bei Azure können Benutzer Azure-Richtlinien verwenden, während bei GCP dafür Organisationsrichtlinien zur Verfügung stehen. Sicherheitsrichtlinien bieten den Vorteil, dass sie den Compliance-Standard in Cloud-Bereitstellungen automatisch durchgängig erzwingen.
Schutz für Container
Die Container-Sicherheit umfasst sowohl Container- als auch Orchestrierungsplattformschutz, wobei Kubernetes die in der Cloud am häufigsten verwendete Lösung ist. Sie müssen zunächst Branchenstandard-Sicherheits-Baselines für Container-Workloads erstellen und anschließend kontinuierlich Überwachungen durchführen, um jegliche Abweichungen zu erkennen und zu melden.
Unternehmen benötigen Tools, die böswillige Aktivitäten in Containern erkennen können – sogar diejenigen, die während der Laufzeit auftreten. Die Bedeutung von Sicherheitstechnologien, die Einblicke in containerbezogene Aktivitäten ermöglichen und nicht autorisierte Container erkennen und außer Betrieb setzen, kann nicht genug betont werden. In Anbetracht der dynamischen Bedrohungslandschaft sollten Sie Technologien einsetzen, die Malware dank fortschrittlicher künstlicher Intelligenz (KI) und Machine Learning (ML) auch ohne Signaturen erkennen.
Schwachstellenbewertung und Behebung
Zum Schutz Ihrer Workloads vor Viren und Malware-Angriffen sollten Sie auf einen Service setzen, der in Echtzeit Schwachstellen-Scans durchführt und Probleme bei Bedarf sofort behebt. Zudem sollte dieser Service in VMs und in Containern bereitgestellte Workloads unterstützen.
Sinnvoll ist eine Lösung zur Schwachstellenverwaltung, die Workloads kontinuierlich auf Schwachstellen scannen, Berichte generieren und die Ergebnisse in Dashboards präsentieren kann. Außerdem sollte sie Probleme nach Möglichkeit automatisch beheben können.
Zero-Trust-Ansatz
Der Zero-Trust-Ansatz (auch bekannt als Assume Breach-Ansatz) ist der Goldstandard der Cloud Security. Bei diesem Ansatz besteht keinerlei Vertrauen zwischen Services – auch nicht, wenn sie sich innerhalb des Sicherheitsperimeters des Unternehmens befinden.
Zu den wesentlichen Prinzipien eines Zero-Trust-Ansatzes gehören die Segmentierung und die Minimierung der Kommunikation zwischen verschiedenen Services in einer Anwendung. Für diese Kommunikation sollten nur autorisierte Identitäten verwendet und das Least-Privilege-Prinzip befolgt werden. Jegliche Kommunikation innerhalb von Ressourcen oder mit Ressourcen von außen sollte überwacht, protokolliert und auf Anomalien untersucht werden. Das gilt auch für Admin-Aktivitäten. Sie können dabei entweder native oder von Drittanbietern bereitgestellte Überwachungs- und Protokollierungstools verwenden.
Best Practices der Cloud Security: Für Fortgeschrittene
Erfahrene Cloud-Benutzer mit einer großen Cloud-Umgebung – und insbesondere cloudnative Unternehmen – sollten die Implementierung erweiterter Best Practices für Cloud Security in Erwägung ziehen.
Hybrid-/Multi-Cloud Security
Große Unternehmen setzen nur selten auf einen einzigen Cloud-Anbieter oder ausschließlich auf die Cloud. Beim Konzipieren ihrer Sicherheitsarchitektur sollten solche Unternehmen sich Tools und Services ansehen, die die Sicherheitskontrollen in Hybrid– und Multi-Cloud-Bereitstellungen erzwingen können.
Einige Cloud-Anbieter verfügen über native Tools (z. B. Azure Defender, Google Chronicle), die einen gewissen Schutz für Hybrid-/Multi-Cloud-Assets bieten. Allerdings ist es häufig schwierig, einen zentralen Überblick zu erhalten. Bei Hybrid-/Multi-Cloud-Umgebungen sollten Tools berücksichtigt werden, die einen Überblick über den Sicherheitsstatus bieten und Sie beim Ergreifen von Maßnahmen gegen potenzielle Sicherheitszwischenfälle in allen Umgebungen unterstützen.
Integration in CI/CD-Pipelines
Zur Erkennung von Schwachstellen und Sicherheitsmängeln ist es wichtig, schon früh im Anwendungslebenszyklus eine Shift-Left-Strategie einzusetzen. Dies kann durch die Integration von Sicherheits-Best-Practices in Ihre CI/CD-Pipelines (Continuous Integration/Continuous Delivery) während der Aufbau-, Test- und Bereitstellungsphasen erreicht werden. Die Nutzung verifizierter Images in Bereitstellungs-Pipelines, Scans zur Bedrohungserkennung sowie Schwachstellenverwaltung für Pipelines sind nur einige der Maßnahmen, die dafür ergriffen werden können.
Echtzeit-Überblick und proaktive Bedrohungssuche
Unternehmen sollten Tools nutzen, die tiefe Einblicke in ihre Workloads ermöglichen – insbesondere in diejenigen, die in Containern ausgeführt werden. Dateizugriff, Netzwerkkonnektivität und Prozessaktivitäten sind hier nur ein paar Beispiele. Ein anderes absolutes Muss ist die proaktive Bedrohungssuche, die beim Aufspüren des Ursprungs und der lateralen Übertragung eines Angriffsvektors hilft. Einige Cloud Securitysanbieter haben vollständig verwaltete Sicherheitsservices in ihrem Portfolio, bei denen mithilfe menschlicher Bedrohungssuche proaktiv Schwachstellen identifiziert und behoben werden. Ein Beispiel dafür ist Falcon Cloud Workload Protection Complete, das auch Sicherheitsservices umfasst.
Red Team/Blue Team-Übungen
Auch nach der Implementierung verschiedener Best Practices für Cloud Security kann es ein gewisses Restrisiko geben, das sich Angreifer zunutze machen können. Regelmäßige Red Team/Blue Team-Übungen helfen Ihnen bei der Identifizierung solcher Defizite, sodass Sie Ihre Cloud Security insgesamt verbessern können.
Das Red Team besteht dabei aus Cybersicherheitsexperten, die versuchen, die Cyberabwehr des Unternehmens zu überwinden. Das Blue Team versucht, den Angriff abzuwehren, auf ihn zu reagieren und die nötigen Korrekturen vorzunehmen. Mit dieser Übung kann auch die Effektivität Ihrer Mechanismen zur Reaktion auf Sicherheitszwischenfälle getestet werden.
Penetrationstests und proaktiver Schutz
Bei regelmäßigen proaktiven Penetrationstests können Sie die allgemeinen Schutzmechanismen gegen verschiedene Cyberangriffe evaluieren. Automatisierte Netzwerk- und Anwendungsscans sind erforderlich, um schwer zu ermittelnde Schwachstellen zu identifizieren, die bei einem Angriff ausgenutzt werden können. Zur Abwehr realer Angriffe sollten Sie die Ergebnisse dieser Tests nutzen, um Ihre Sicherheitskontrollen zu aktualisieren.
Fazit
Führende Cloud-Plattformen bieten native Tools, mit denen einige der oben genannten Sicherheitskontrollen implementiert werden können. Allerdings ist es immer ratsam, die native Cloud Security mit erweiterten Tools wie denen von CrowdStrike zu ergänzen.
CrowdStrike vereint die Cloud Securitysverwaltung mit präventivem Angriffsschutz für Workloads in Hybrid- und Multi-Cloud-Umgebungen. Die Lösung Falcon Horizon CSPM liefert den dringend erforderlichen Überblick über Multi-Cloud-Umgebungen, sucht nach Konfigurationsfehlern, behebt Compliance-Verstöße und ermöglicht kontinuierlichen Schutz vor identitätsbasierten Bedrohungen. Außerdem bietet sie umfassende Container-Sicherheit, indem auch sehr unauffällige Bedrohungen erkannt und behoben werden.
Ihr Unternehmen kann auch Falcon Cloud Workload Protection einsetzen, um umfassenden Kompromittierungsschutz für Workloads, Container und Kubernetes zu erhalten, sodass Sie cloudnative Anwendungen schnell konzipieren, verwalten und absichern können.
Vereinbaren Sie noch heute eine Demo, um mehr über die Sicherheitstools und -services von CrowdStrike zu erfahren, mit denen Sie die in diesem Artikel besprochenen Best Practices implementieren können.