Automatisierung bei Multi-Clouds
Herausforderungen bei Multi-Cloud-Umgebungen
Mehr Sicherheit mit Automatisierung
Disruptive Veränderungen und Innovationen sind aufgrund der geringen Eintrittsbarrieren durch die Public Cloud heute an der Tagesordnung in der Technologiewelt. Eine Entwicklung, die dabei kontinuierlich mehr Aufmerksam bekommt, ist Multi-Cloud. Dies beschreibt die parallele Nutzung von zwei oder mehr Cloud Service Provider (CSP)-Plattformen.
Palo Alto Networks stellt vor diesem Hintergrund die Frage: Wie sieht jedoch eine Strategie aus, die die Prozesse und Tools, die für das Management der neuen Risiken und Security-Bedrohungen in der Cloud erforderlich sind, effektiv adressiert?
Cloud beschreibt im Allgemeinen eine Computerplattform, die sich in drei Kategorien unterteilt: IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) und SaaS (Software-as-a-Service). Während jede dieser Lösungen ihre eigenen einzigartigen Sicherheitsherausforderungen darstellt, konzentriert sich Palo Alto Networks in seiner aktuellen Analyse auf IaaS und PaaS, wo es derzeit drei marktdominierende Akteure gibt: Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform.
Herausforderungen bei einer Multi-Cloud-Umgebung
Wie können Unternehmen frei in der Cloud agieren, aber auch die richtigen Einschränkungen umsetzen, um unnötige Security-Risiken zu vermeiden? Von entscheidender Bedeutung ist nach Meinung von Palo Alto Networks ein grundlegendes Verständnis des Modells der gemeinsamen Verantwortung, da dies das Hauptunterscheidungsmerkmal im Vergleich zu älteren On-Prem-Umgebungen ist. Sobald dieses Modell verstanden, klar dokumentiert und in einer RACI-Matrix (eine Technik zur Analyse und Darstellung von Verantwortlichkeiten, abgeleitet aus Responsible, Accountable, Consulted und Informed) vereinbart ist, sollten Unternehmen eine Risikobewertung durchführen: Diese setzt ein gründliches Verständnis der Sicherheit in der Cloud voraus. Entscheidend für die Cloud-Risikobewertung ist eine Bestandsaufnahme der aktuellen Sicherheitsprozesse und Tools, die das Risikomanagement unterstützen. Leider überspringen viele Unternehmen diesen Schritt und gehen direkt in die Design- und Bauphase über, was ein fataler Fehler ist. Warum? Weil es unweigerlich dazu führt, dass Sicherheitsteams ihr Vor-Ort-Sicherheitsmodell in der Cloud neu aufbauen und die Gelegenheit verpassen, ihr Sicherheitsprogramm zu transformieren in Richtung DevSecOps.
Wenn Unternehmen einen All-in-Ansatz für die Cloud planen, konzentrieren sie sich in der Regel auf einen der drei Hauptakteure: Google, AWS oder Azure. Jeder dieser Anbieter bietet erstklassige Dienstleistungen mit allen wichtigen Sicherheits- und Compliance-Zertifizierungen. Mehrere Monate nach der Cloud-Migration kommt eine Anfrage aus einer Abteilung und das Sicherheitsteam werden mit einer neuen Cloud-Anforderung konfrontiert: „Provider X hat gerade eine neue Funktion gestartet, die direkt auf unsere Geschäftsanforderungen eingeht – können wir diese Woche Zugang erhalten?“ Das Sicherheitsteam kämpft dann damit und versucht herauszufinden, wie das, was es für die primäre Cloud entwickelt hat, auch mit dem neuen Provider genutzt werden kann.
Für Sicherheitsteams, die sich auf herkömmliche Tools oder nur auf native Sicherheitsfunktionen ihrer primären Cloud-Plattform verlassen, ist dies nach Meinung von Palo Alto Networks eine große Herausforderung. Wie hilft ihnen AWS GuardDuty oder AWS Config beim Schutz von Google- oder Azure-Clouds? Eigentlich gar nicht. Wie also sollte ein Sicherheitsteam die Multi-Cloud-Sicherheitsherausforderung proaktiv angehen, ohne sich in die Vielzahl der sich ständig ändernden Angebote einzelner Cloud-Anbieter hineinversetzen zu müssen?
Standards sind die Vorläufer der Automatisierung
Die Sicherheit in einer Multi-Cloud-Umgebung kann angesichts der stark unterschiedlichen APIs zwischen Cloud-Anbietern eine Herausforderung darstellen. Der beste Ausgangspunkt ist ein vertrauenswürdiger Sicherheitsstandard. Anstatt zu versuchen, einen Standard von Grund auf neu zu entwerfen, empfiehlt es sich, mit den Benchmarks des Center for Internet Security zu beginnen. Der AWS-Benchmark existiert seit mehreren Jahren und beide Benchmarks für Azure und Google Cloud wurden 2018 veröffentlicht. Normen sind zwar nicht der spannendste Teil der Sicherheit, sie sind aber der Vorläufer der Automatisierung. Einfach ausgedrückt, können Unternehmen nicht automatisieren, was sie nicht standardisiert haben. Sobald sie sich auf einen Standard geeinigt haben, können sie sich im Laufe der Zeit daran messen und automatisieren, während ihr Cloud-Sicherheitsprogramm reift.
Übergang von der Theorie zur Umsetzung
Sicherheitsfachleute sollten eine Strategie entwerfen, die effektiv auf neue Risiken und Bedrohungen aus der Public Cloud reagiert, so Palo Alto networks. Dies kann nur mit einem tiefen Verständnis des Modells der gemeinsamen Verantwortung und einem starken Fokus auf die Analyse des Prozesses, mit dem Entwicklungs- und Geschäftsteams die Public Cloud nutzen, erreicht werden.