Cloud-Workloads
Vier Schlüsselfaktoren für den Schutz von Cloud-Workloads
Von Brett Shaw, Cloud Security Manager bei CrowdStrike
CrowdStrike beobachtete im Jahr 2023 einen Anstieg der Cloud-Angriffe um 75 % im Vergleich zum Vorjahr. Dieser Trend erfordert eine strategische Neubewertung der Art und Weise, wie Unternehmen ihre Cloud-Umgebungen und -Workloads schützen und verdeutlicht, wie wichtig die Auswahl der richtigen Cloud-Sicherheitsfunktionen ist. Bei der Abwehr von Cloud-Angriffen geht es darum, die Nuancen der Cloud-Sicherheit zu verstehen, die Methoden der Angreifer zu erkennen und eine proaktive, umfassende Lösung zu implementieren.
Sicherheitsexperten stehen heutzutage vor einer enormen Herausforderung: Sie müssen raffinierten Angreifern, die ihr besonderes Augenmerk auf komplexe Cloud-Umgebungen gerichtet haben, mindestens einen Schritt voraus bleiben
Um die Cloud wirklich vor den sich ständig ändernden Bedrohungen zu schützen, sollten Unternehmen die Einführung einer umfassenden Cloud-native Application Protection Platform (CNAPP) in Erwägung ziehen.
Eine CNAPP-Lösung umfasst neben Cloud Workload Protection (CWP) weitere wichtige Funktionen wie Container Scanning, Cloud Security Posture Management (CSPM), Infrastructur-as-Code-Scanning, Cloud Infrastructure Entitlement Management (CIEM) und Runtime Vulnerability and Configuration Scanning. Sie bietet eine einheitliche Sicherheitsstruktur, die alle Bereiche der Cloud-Umgebung abdeckt, von der anfänglichen Entwicklungsphase von Anwendungen bis hin zum laufenden Betrieb und Management.
Jede in einer CNAPP-Lösung enthaltene Funktion ist für eine umfassende und effektive Cloud-Sicherheitsstrategie von entscheidender Bedeutung. Es gibt vier Schlüsselfaktoren, die bei der Bewertung der Cloud-Workload-Schutzfunktionen einer CNAPP berücksichtigt werden sollten.
1. Umfassende Abdeckung und Integration
Die Cloud-Umgebung ist ein komplexes Ökosystem, das eine Vielzahl von Workloads mit jeweils eigenen Sicherheitsanforderungen und -herausforderungen beherbergt. Von virtuellen Maschinen (VMs) über Container bis hin zu serverlosen Architekturen entwickelt sich die Infrastruktur ständig weiter. Unternehmen benötigen Sicherheit, die den Anforderungen dieser Workloads gerecht wird.
Die Vielfalt der Workloads und deren Anforderungen
VMs beispielsweise beherbergen häufig kritische Anwendungen und Daten. Sie erfordern einen Sicherheitsansatz, der auch die zugrunde liegende Netzwerkinfrastruktur einbezieht. Containerisierte Anwendungen hingegen stellen andere Herausforderungen dar. Sie erfordern Sicherheitslösungen, die die flüchtige und dynamische Natur von Containern nahtlos überwachen und schützen können. Darüber hinaus gelten die traditionellen Sicherheitsgrenzen nicht mehr für serverlose Funktionen. Der Schwerpunkt verlagert sich auf die Sicherung der Laufzeitumgebung und der zugehörigen APIs. Unternehmen benötigen eine vollumfängliche Lösung für die Cloud, die sich an die einzigartigen Merkmale jedes Workload-Typs anpassen kann, ohne dessen Leistung oder Skalierbarkeit zu beeinträchtigen.
Nahtlose Integration in bestehende Systeme
Die Integration in bestehende Systeme, Sicherheitstools und Cloud-Umgebungen ist für Unternehmen ebenso wichtig. Unternehmen arbeiten häufig in einer Multi-Cloud- oder Hybrid-Cloud-Umgebung und nutzen eine Mischung aus lokalen und Cloud-basierten Ressourcen. Eine CNAPP-Lösung sollte einen einheitlichen Überblick über die Sicherheit der gesamten Umgebung bieten und die gemeinsame Nutzung von Bedrohungsdaten und Sicherheitserkenntnissen erleichtern.
2. Advanced Threat Erkennung und Reaktion
Der zweite Faktor, der bei der Absicherung von Cloud-Workloads berücksichtigt werden muss, ist die Implementierung fortschrittlicher Funktionen zur Erkennung von und Reaktion auf Bedrohungen. Angreifer werden immer schneller und unauffälliger – die durchschnittliche Breakout-Time für einen Angreifer liegt bei 62 Minuten, wobei die schnellste beobachtete Zeit laut dem CrowdStrike Global Threat Report 2024 bei nur 2 Minuten und 7 Sekunden lag. Die Fähigkeit diese Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren ist ausschlaggebend.
Echtzeitüberwachung und Bedrohungsanalysen
Echtzeit-Überwachung ist das Rückgrat einer effektiven Bedrohungserkennung. Dazu gehört die kontinuierliche Überwachung von Cloud-Workloads, um ungewöhnliche oder bösartige Aktivitäten sofort zu erkennen. Früherkennung ist entscheidend, um die Auswirkungen einer Sicherheitsverletzung zu minimieren. Die Echtzeit-Überwachung muss jedoch durch fortschrittliche Bedrohungsanalysen ergänzt werden, um sich vor den neuesten Taktiken, Techniken und Verfahren der Angreifer zu schützen. Bei der Bedrohungsanalyse werden Daten aus verschiedenen Quellen ausgewertet, um aktuelle Bedrohungen zu verstehen und potenzielle Angriffsvektoren vorherzusagen.
Automatisierte Reaktion und Abhilfemaßnahmen
Wenn eine Bedrohung erkannt wird, ist die Schnelligkeit der Reaktion entscheidend. Automatisierte Abwehrmechanismen können sofort Maßnahmen ergreifen, ohne dass ein menschliches Eingreifen erforderlich ist. Diese Maßnahmen können die Isolierung betroffener Systeme, das Blockieren verdächtigen Netzwerkverkehrs oder die Bereitstellung von Patches für anfällige Workloads umfassen. Automatisierte Abhilfemaßnahmen gehen noch einen Schritt weiter, indem sie nicht nur die unmittelbare Bedrohung beseitigen, sondern auch eine Richtlinie erstellen, die verhindert, dass Workloads mit ähnlichen Schwachstellen oder Fehlkonfigurationen in Zukunft eingesetzt werden. Dieser proaktive Ansatz stellt sicher, dass sich ähnliche Angriffe nicht wiederholen können.
Managed Detection and Response (MDR) für die Cloud
MDR-Services bieten eine spezialisierte Überwachung und Analyse, die ein differenzierteres Verständnis der Bedrohungen für Cloud-Workloads ermöglicht. MDR für die Cloud kombiniert Technologie, Arbeitsabläufe und die Expertise der Mitarbeiter, um einen umfassenden Ansatz für die Erkennung von und Reaktion auf Bedrohungen zu bieten. Dazu gehören die durchgehende Überwachung durch Sicherheitsexperten, fortschrittliche Analysen zur Erkennung von Bedrohungen und strategische Anleitungen zur Verbesserung der allgemeinen Sicherheit. MDR-Services sind besonders wertvoll für Unternehmen, die nicht über das interne Fachwissen oder die Ressourcen zur Verwaltung komplexer Cloud-Sicherheitsumgebungen verfügen.
3. Skalierbarkeit und Auswirkungen auf die Arbeitsleistung
Der dritte Faktor, der beim Schutz von Cloud-Workloads berücksichtigt werden muss, ist die Vereinbarkeit von Wachstum und Effizienz. Wenn Unternehmen wachsen und sich weiterentwickeln, werden ihre Cloud-Umgebungen unweigerlich komplexer. Cloud-Sicherheitstools müssen nicht nur dieses Wachstum unterstützen, sondern auch die Systemleistung aufrechterhalten.
Skalierung mit dem Unternehmenswachstum
In der schnelllebigen Geschäftswelt von heute müssen Cloud-Umgebungen flexibel genug sein, um mit dem Wachstum des Unternehmens Schritt zu halten. Diese Skalierbarkeit betrifft auch die Sicherheit. Der Schutz von Cloud-Workloads sollte über automatisierte Bereitstellungsfunktionen verfügen, die sofortige Sicherheit gewährleisten, wenn neue Workloads hinzugefügt oder bestehende Workloads erweitert werden. Diese Automatisierung ist von entscheidender Bedeutung, da sie das Risiko von Schutzlücken während der Skalierungsprozesse ausschließt. Dabei geht es nicht nur um das Hinzufügen von Ressourcen, sondern auch um die intelligente Skalierung der Sicherheitsmaßnahmen zur Anpassung an die sich ändernde Größe und Komplexität der Cloud-Umgebung.
Keine Auswirkungen auf die Systemleistung
Ein weiterer wichtiger Aspekt der Skalierbarkeit ist, dass diese die Systemleistung bei einer Erweiterung von Sicherheitsmaßnahmen nicht beeinträchtigt werden darf. Die Flexibilität und Effizienz von Cloud-Umgebungen gehören zu ihren wichtigsten Vorzügen, die durch den Schutz von Cloud-Workloads aufrechterhalten werden müssen. Die Sicherheitsmaßnahmen sollten schlank und optimiert sein, um die Belastung der Systemressourcen zu minimieren und sicherzustellen, dass die Sicherheit das Wachstum und die Innovationsfähigkeit des Unternehmens fördert und nicht behindert.
4. Shift-Left und Integration von CI/CD-Pipelines
Der vierte wesentliche Faktor beim Schutz von Cloud-Workloads ist die Integration von Sicherheitsmaßnahmen in die frühen Phasen der Anwendungsentwicklung – oft als „Shift-Left“-Ansatz bezeichnet – und die nahtlose Integration dieser Maßnahmen in die „Continuous Integration/Continuous Deployment“ (CI/CD)-Pipeline.
Integration von Sicherheit in die Entwicklung neuer Anwendungen
Das Konzept hinter dem „Shift Left“-Ansatz beschreibt die Praxis, Sicherheitsmaßnahmen frühzeitig in den Lebenszyklus der Softwareentwicklung zu integrieren, anstatt Sicherheit als nachträgliche Überlegung am Ende des Entwicklungsprozesses zu behandeln. Auf diese Weise können potentielle Schwachstellen viel früher erkannt und behoben werden, was das Risiko von Sicherheitsproblemen im freigegebenen Produkt verringert. Diese Neuausrichtung gibt den Entwicklern die Werkzeuge und das Wissen an die Hand, um sichereren Code zu schreiben, Code-Reviews unter Sicherheitsaspekten durchzuführen und automatisierte Tools zur Suche nach Schwachstellen im Rahmen ihrer regulären Tätigkeiten einzusetzen. Dies verbessert nicht nur die Sicherheit der Anwendungen, sondern fördert auch eine Kultur, in der alle Teammitglieder gemeinsam für die Sicherheit verantwortlich sind und nicht nur das Sicherheitsteam.
Integration von Anwendungs- und Containersicherheit in die DevOps-Toolchain
Durch die Integration der Anwendungs- und Containersicherheit in die DevOps-Toolkette wird auch sichergestellt, dass Sicherheitswerkzeuge und -prozesse Teil der automatisierten Workflows sind, die moderne CI/CD-Pipelines definieren. Diese Integration ermöglicht eine kontinuierliche Bewertung und Umsetzung der Sicherheit während des gesamten Anwendungslebenszyklus, von der Entwicklung über die Bereitstellung bis hin zur Wartung.
So können beispielsweise Sicherheitslösungen für Container integriert werden, um Container-Images während des Build-Prozesses auf Schwachstellen zu überprüfen. Automatisierte Sicherheitstests können Teil der Testphase sein, um Sicherheitsprobleme zu erkennen, bevor die Anwendung bereitgestellt wird. In der Deployment-Phase können Tools zum Konfigurationsmanagement sicherstellen, dass die Sicherheitskonfigurationen korrekt angewendet werden. Diese ermöglichen auch eine schnelle Rückmeldung an die Entwickler, sodass sie Sicherheitsprobleme umgehend angehen und die Sicherheit ihrer Anwendungen verbessern können.
Ein ganzheitlicher Ansatz für die Cloud-Sicherheit mit CrowdStrike
Der Schutz von Cloud-Workloads spielt zwar eine entscheidende Rolle bei der Sicherung von Cloud-Umgebungen, ist aber nur ein Teil der Gesamtlösung, die für einen umfassenden Schutz von Cloud-Infrastrukturen und -Anwendungen erforderlich ist. Unternehmen müssen einen umfassenden CNAPP implementieren, um ihre Cloud-Umgebungen wirksam vor einer Vielzahl von Bedrohungen zu schützen.