Gastbeitrag und McAfee Cloud-Report

Über die Absicherung von hybriden Infrastrukturen

, München, McAfee | Autor: Rolf Haas

Über die Absicherung von hybriden Infrastrukturen

Wie Sicherheitsarchitekturen heute beschaffen sein sollten

XaaS-Angebote sind heute in Unternehmen weit verbreitet. Allerdings läuft ebenso ein großer Teil der Anwendungen nach wie vor auf On-Premises. In dieser hybriden Umgebung herrschen besondere Ansprüche an den Datenschutz, denn bestehende Sicherheits-Policies müssen auch in der Cloud greifen können. Mit herkömmlichen Security-Lösungen ist dies jedoch nicht 1:1 möglich. Cloud-native Engines und APIs sorgen hier für Abhilfe.

Rolf Haas, Senior Enterprise Technology Specialist bei McAfee erklärt, wie Sicherheitsarchitekturen heute beschaffen sein sollten.

Rolf Haas, Senior Enterprise Technology Specialist bei McAfee

Die Zeiten, in denen die Cloud als Sicherheitsrisiko verschrien waren, sind vorbei. 96 Prozent der befragten Unternehmen gaben im dritten alljährlichen Cloud-Report von McAfee an, bereits auf XaaS-Angebote zu setzen. 85 Prozent sagen außerdem, in ihrem Unternehmen herrscht inzwischen ein größeres Vertrauen in die Cloud als noch vor 12 Monaten. Dadurch wächst auch die Anzahl der sensiblen Informationen, die dort verarbeitet werden, was das Risiko von Datenschutzverlusten und Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) oder externe Angriffe durch Cyber-Kriminelle stark erhöht. Unternehmen sind daher gezwungen, der Absicherung ihrer Cloud-Infrastrukturen mehr Aufmerksamkeit zu widmen. Je mehr Bedeutung die Cloud gewinnt, desto weniger Sicherheit versprechen herkömmliche Sicherheitslösungen, deren On-Premises-Kapazitäten nicht 1:1 in die Cloud übertragen werden können.

Interne Prozesse absichern

Die Absicherung vor unbefugtem Datenverlust erfolgt in Unternehmen anhand von Data Loss Prevention-Lösungen (DLP). Diese kontrollieren den Zugriff auf Daten durch Sicherheitsregeln, um zu verhindern, dass anhand von kompromittierten Accounts oder leichtsinnigem Verhalten sensible Informationen an Unbefugte weitergereicht werden.

Haben Sicherheitsteams jedoch nur Lösungen für On-Premises im Einsatz, stellt die Cloud ein Risiko dar, das Hacker als Schlupfloch missbrauchen können. Haben sie beispielsweise Zugriff auf einen Account und möchten vertrauliche Dokumente an nicht-autorisierte Personen versenden, verhindern dies die E-Mail-Schutzrichtlinien und Sicherheitsteams werden benachrichtigt. Diese lokalen Sicherheitsbestimmungen können sie jedoch umgehen, indem sie den Versand nicht durch den lokalen, vom Unternehmen verwalteten Computer vornehmen, sondern über einen Browser, beispielsweise in der Office 365-Applikation. Die DLP-Regeln ließen sich durch SSL-Proxying noch verhindern, allerdings lassen dies nicht alle Applikationen zu. Zudem akzeptieren die meisten Browser keine DLP-Plugins mehr, da die Browser selbst Metadaten sammeln, was von den Plugins bemerkt werden würde.

Sicherheit aus der Cloud

Um Daten auch in der Cloud abzusichern reicht es also nicht, die bestehenden Policies einfach nur so gut wie möglich auszuweiten. Es braucht vielmehr eine synchronisierte Cloud-native Lösung, wie Cloud Access Security Broker (CASB). Dieser agiert als zusätzliche Kontrollinstanz vor Cloud-Anwendungen und ermöglicht als verlängerter Arm die Synchronisierung der Sicherheits-Policies auf Data-in-Motion, Data-at-Rest und Data-in-Use.

Die Verwaltung der Sicherheitsarchitekturen in der Cloud und On-Premises bedeutet nicht, dass Sicherheitsmitarbeiter durch die Zweiteilung der Infrastruktur die doppelte Arbeit zu bewältigen haben. Mit einer zentral gesteuerten Management-Plattform lassen sich die Sicherheitsregeln in beiden Umgebungen einfach synchronisieren. Zudem laufen hier die Datenströme zusammen und können auf einem einzigen Dashboard überblickt werden, was sowohl den Verwaltungsaufwand als auch das Incident-Management stark vereinfacht.

Will wie im Beispiel oben ein User die Sicherheitsregeln mit der Cloud-Applikation seines E-Mail-Programms aushebeln, würde dies mit CASB nicht funktionieren, da das Dokument durch die Synchronisierung auch in der Cloud als vertraulich klassifiziert wurde. Somit wird es zunächst in Quarantäne geschoben und der Vorfall kann von einem Mitarbeiter des Sicherheitsteams untersucht werden.

Verdächtige Nutzer aufspüren

CASB-Lösungen bieten darüber hinaus weitere Vorteile, wie die Überwachung des Nutzerverhaltens – auch außerhalb des Perimeters. Dadurch lassen sich abweichende Verhaltensmuster und somit potenzielle Eindringlinge schneller identifizieren, die sich in Unternehmensanwendungen aufhalten. So kann die Lösung erkennen, wenn ein Nutzer auf eine Anwendung zugreifen möchte, für die er keine Berechtigung hat, oder auf die er für gewöhnlich nicht zugreift. Ebenso kann er Alarm auslösen, wenn er dies aus einer unsicheren Verbindung, von einem nicht autorisierten Endgerät oder gleichzeitig von verschiedenen Geräten oder Orten heraus tut, was einen Hinweis darauf geben kann, dass das Konto kompromittiert wurde. Sicherheitsteams erhalten ebenfalls einen Alert über den Vorfall und können ihm auf den Grund gehen, den Nutzer sperren, oder neue Regeln festlegen, falls der Nutzer einfach nur einen neuen Laptop erhalten hat.

Fazit: Ganzheitlich sicher

Die Herausforderungen, die sich in Verbindung mit der Absicherung von Cloud-Anwendungen ergeben, werden immer größer, je mehr sie in bestehende Prozesse eingebunden werden. Da es nicht absehbar ist, dass die Cloud als temporärer Trend demnächst wieder aus IT-Infrastrukturen verschwinden wird, müssen Sicherheitsverantwortliche so früh wie möglich damit beginnen, sie auch in Sicherheitsfragen als gleich gewichtige Komponente zu betrachten. Eine On-Premises-Sicherheitsarchitektur, die nur ausgeweitet wird, ist in Zeiten hybrider Infrastrukturen nicht mehr zeitgemäß, sondern hochgradig riskant.