Sicherheitstipps für die Cloud
Zero Trust in Google Cloud-Umgebungen umsetzen
Sicherheitstipps von Palo Alto Networks
Bei der IT-Sicherheit geht es nicht nur um die Implementierung von Technologien, sondern auch um einen Wandel der Denkweise, was effektive Sicherheit ist und wie sie unternehmensweit gestaltet werden sollte. Vor diesem Hintergrund erklärt Palo Alto Networks, wie ein Zero Trust-Ansatz wirksam in Google-Cloud Umgebungen umgesetzt werden kann.
Das herkömmliche Perimeter-Modell für die Netzwerksicherheit basierte auf der strikten Abgrenzung zwischen vertrauenswürdigen und nicht vertrauenswürdigen Bereichen. Dieser Ansatz ging davon aus, dass sich Benutzer und Anwendungen in den vertrauenswürdigen Bereichen befinden, und potenzielle Bedrohungen in den nicht vertrauenswürdigen Bereichen, insbesondere dem Internet, befinden können.
Heute sind aber nach Meinung von Palo Alto Networks grundlegend andere Rahmenbedingungen gegeben. Mobile Mitarbeiter und Cloud-Anwendungen befinden sich im nicht vertrauenswürdigen Teil des Netzwerks. Das alte Modell ist auch deshalb unzureichend, weil es einen Bedrohungsakteur, der innerhalb des vertrauenswürdigen Netzwerks arbeitet, nicht stoppen kann. Darüber hinaus mangelt es der konventionellen Port- und Protokollsicherheit trotz der Trennung zwischen den Netzwerkgrenzen an Granularität, um die Bereitstellung von legitimen Anwendungen zu ermöglichen, aber Angriffsaktivitäten zu stoppen.
Zeitgemäßer Denkansatz
Ein zeitgemäßer Denkansatz sollte den Begriff des Vertrauens von vornherein in Frage stellen und die notwendigen Kontrollen durchführen, um den am wenigsten privilegierten Zugang durchzusetzen, auch bekannt als Zero-Trust-Modell. Dies bedeutet, generell nie anzunehmen, dass etwas vertrauenswürdig ist. Es sollten Aktivierungsrichtlinien basierend auf dem Kontext des Benutzers und der Anwendung erstellt werden, anstatt zu versuchen, alles zu blockieren. Es ist nicht ratsam, davon auszugehen, dass eine Datei sicher ist, nur, weil sie nicht als schädlich bekannt ist. Mit Zero Trust verlassen sich Unternehmen auf Richtlinien, um das zu ermöglichen, was erlaubt ist, anstatt zu versuchen, jede mögliche Permutation von dem zu identifizieren, was nicht erlaubt ist.
In den vergangenen Jahren wurde eine Vielzahl wichtiger Technologien entwickelt, um eine vollständige Transparenz zu gewährleisten, die Angriffsfläche zu reduzieren, bekannte Angriffe zu verhindern und unbekannte Angriffe zu erkennen und zu stoppen. Es gibt vier Echtzeitfunktionen, die das Herzstück einer zeitgemäßen Security Operating Platform bilden: App-ID klassifiziert und identifiziert Anwendungen und Funktionen. User-ID nimmt automatisch Identitätszuweisungen an ansonsten anonymen Netzwerkabläufen vor. Host Protection bietet Gerätestatus-Erfassung und Exploit-Erkennung sowie Malware-Prävention. Content-ID führt die Überprüfung von Inhalten durch, um bösartige Aktivitäten zu erkennen und zu verhindern. Unternehmen stehet somit ein reichhaltiger Kontext zur Verfügung, den sie für Sicherheitsrichtlinien und im Entscheidungsprozess nutzen können.
Als Teil der Reise in die Cloud ist der gleiche Zero-Trust-Ansatz in Bezug auf Sicherheit zwingend erforderlich. Dies gilt sowohl für die Erstellung eigener Anwendungen in der Cloud mit IaaS- und PaaS-Diensten als auch die Nutzung vorgefertigter Cloud-Anwendungen über SaaS. Google teilt viele der gleichen Überzeugungen, wie sie in BeyondCorp , einem Framework zur Sicherung von Apps und Infrastruktur auf der Grundlage der Prinzipien von Zero Trust, umgesetzt wurden.
Wie lassen sich Google Cloud-APIs schützen?
Die verschiedenen DevOps-Teams im Unternehmen erstellen Google Cloud-Anwendungen und interagieren mit einer Reihe von Google Cloud-APIs. Unternehmen benötigen heute die Granularität, um sicherzustellen, dass jedes Teammitglied Zugriff auf die erforderlichen APIs hat, ohne unnötige Zugriffsebenen auf die sensibelsten APIs bereitstellen zu müssen. Kontextinformationen helfen bei der Umsetzung von Richtlinien, da die Zugangsberechtigung, die eine Person benötigt, von ihren individuellen Verantwortlichkeiten, ihrer Rolle im Unternehmen oder sogar dem Gerät, das sie verwendet, bestimmt werden kann. Dies ist das klassische Problem der geringsten Priorität, da sich die Angriffsfläche reduzieren lässt, indem man den Zugriff kontextabhängig einschränken kann, insofern diese Kontextinformationen verfügbar sind.
Die Schnittmenge von Identität (basierend auf Benutzer-/Geräteeigenschaften) und der Durchsetzung von Zugriffskontrollrichtlinien wurde traditionell zum Zeitpunkt der Authentifizierung vorgenommen. Wenn der Zugriff so eingeschränkt werden kann, dass unbefugte Benutzer nie die Chance haben, überhaupt eine unbefugte API-Anfrage zu stellen, lässt sich die Angriffsfläche reduzieren. Zudem werden das Risiko des Missbrauchs von Berechtigungen minimiert und Sicherheitswarnungen für fehlgeschlagene Authentifizierung reduziert.
Wie lässt sich die Nutzung der G Suite sicher gestalten?
Produktivitätsanwendungen wie die G Suite werden von fast jedem innerhalb des Unternehmens eingesetzt, von einem äußerst unterschiedlichen Spektrum an Nutzern und firmeneigenen oder externen Geräten. Durch die Integration von Palo Alto Networks´ Schutzmaßnahmen für SaaS-Anwendungen mit der G Suite lässt sich der Benutzer-/Gerätekontext aufbauen, der die Richtlinienentscheidungen von BeyondCorp für den Zugriff bestimmt. Mitarbeiter mit verwalteten Geräten erhalten sofortigen, vollen Zugriff auf ihre Anwendungen, während Auftragnehmer mit nicht konformen Geräten unterschiedliche Zugriffsebenen zugewiesen bekommen. Unternehmen können somit die G Suite auf sichere Weise für alle Mitarbeiter einsetzen, indem Kontextinformationen ausgetauscht und gleichzeitig die Bedrohungs- und Datenschutzfunktionen von Palo Alto Networks integriert werden.
Wie können Anwendungen auf GCP geschützt werden?
Die Prinzipien der gemeinsamen Nutzung von kontextuellem Zugriff und Bedrohungsabwehr sollten konsequent vom Rechenzentrum auf die Cloud angewendet werden. Es ist bekannt, dass verschiedene Anwendungsentwickler und Softwareanbieter unterschiedliche Vorstellungen davon haben, wie sie mit Sicherheit umgehen, und dass ein konsistenter, kontextabhängiger Schutz oft schwer zu erreichen ist. Durch die Zusammenarbeit mit Google will Palo Alto Networks sicherstellen, dass bei der Verlagerung von Anwendungen aus dem Rechenzentrum in die Cloud die Benutzererfahrung gleichbleibt und konsequent sicher ist, unabhängig davon, wo sich der Benutzer befindet. Im Falle von Benutzern auf verwalteten Geräten kann nur der autorisierte Benutzer mit einem konformen Gerät auf die Anwendung zugreifen, ob im Rechenzentrum, in der Cloud oder in der SaaS-Umgebung. Für Benutzer auf nicht verwalteten Geräten wird der Zugriff auf die Anwendung ermöglicht, ohne das Gerät in das Netzwerk zu bringen. Dadurch wird die Least-Privileged-Architektur aufrechterhalten, ohne den Geschäftsbetrieb zu stören.