Die Sicherheit in hybriden und Multi-Cloud-Umgebungen bleibt eine Herausforderung für CISOs und IT-Verantwortliche. Doch neue Lösungsansätze wie CNAPP treten an, um Transparenz zu schaffen und die Herausforderungen zu bewältigen. Ein Blick auf Best Practices.
Text: Andreas Heer, Bild: Swisscom, Datum: 4. April 2024 5 Min.
Für Meteorologen sind mehrschichtige Wolkenstrukturen am Himmel zweifellos ein spannendes Ereignis. In der IT sind derartige Gebilde dagegen eine sicherheitstechnische Herausforderung – und trotzdem Realität. Gemäss der Thales Global Cloud Security Study 2023 nutzen 79 Prozent der Unternehmen hybride oder Multi-Cloud-Umgebungen. Aus Security-Sicht sind Lösungen gefragt, um diese Herausforderungen zu bewältigen, betont Raffael Peluso, Head of Security Product Management bei Swisscom: «Die Basis für Security-Massnahmen bildet ein klares Zielbild: Welche Daten sind in der Cloud gespeichert? Und welche Anforderungen an diese Daten bestehen, beispielsweise bei der Verfügbarkeit und der Compliance?»
Bei Public-Cloud-Angeboten ist es zudem wichtig zu verstehen, für welche Sicherheitsmassnahmen der Public-Cloud-Provider aufkommt und für welche das Unternehmen als Kunde selbst sorgen muss. Dieses sogenannte Shared-Responsability-Modell zeigt die Aufgabenteilung zwischen Provider und Kunde auf. Üblicherweise ist der Provider für die Sicherheit und Verfügbarkeit der eigentlichen Cloud-Umgebung verantwortlich, während sich Kunden um den Schutz der eigenen Daten und Applikationen kümmern. Für diesen oberen Teil des Cloud-Stacks bietet der Cloud-Anbieter zwar eine Reihe von Sicherheitslösungen. Es bleibt aber die Herausforderung, welche Sicherheitsaspekte ein Unternehmen damit abdecken kann und wo es zusätzliche Lösungen braucht.
In hybriden und Multi-Cloud-Umgebungen ist die Visibilität über die gesamten Cloud-Ressourcen und Workloads zentral, um die Ansprüche an Datensicherheit und Compliance zu erfüllen. Ein strategischer Ansatz zur Evaluation geeigneter Massnahmen umfasst verschiedene technische und organisatorische Aspekte. Zu den wichtigsten gehören die folgenden:
Lesen Sie diesen Artikel und den ersten Artikel zu den Herausforderungen bei der Datensicherheit bequem als PDF.
Der Paradigmenwechsel hin zu Cloud Computing hat neue Konzepte hervorgebracht, die den Infrastrukturwandel und die Sicherheitsbedürfnisse von Unternehmen auf technischer und Prozessebene berücksichtigen – weg vom reinen Perimeterschutz. Oder, wie es Raffael Peluso zusammenfasst: «In Multi-Cloud-Umgebungen rücken die Prozesse an den Schnittstellen der Zusammenarbeit zwischen verschiedenen Bereichen ins Zentrum.» Die wichtigsten Ansätze:
Für Lösungen, die solche Security-Funktionalitäten kombinieren, hat das Marktforschungsunternehmen Gartner den Begriff «Cloud Native Application Protection Platform» (CNAPP) geprägt. CNAPP kombiniert traditionelle Sicherheitsmassnahmen wie Malware-Prüfung und Vulnerability Scanning mit Methoden, die die spezifischen Sicherheitsanforderungen in Cloud-Umgebungen jeglicher Art abdecken. Dazu zählen die oben erwähnten Ansätze wie DevSecOps, CWP oder CSPM.
Damit bietet CNAPP Unternehmen eine Plattform, um an zentraler Stelle technische und organisatorische Massnahmen zur Einhaltung der Compliance umzusetzen. Das schafft die nötige Transparenz und Visibilität für den sicheren Betrieb hybrider und Multi-Cloud-Umgebungen über Anbietergrenzen hinweg. Da CNAPP-Lösungen ohnehin Cloud-basiert sind, werden sie üblicherweise vom Anbieter oder einem MSSP als Service bezogen.
Grosser Vorteil von CNAPP ist, dass es als zentrale Plattform allen Nutzergruppen eine einheitliche Sicht bietet und alle auf dem gleichen, aktuellen Stand sind. Dadurch kann beispielsweise das Cloud-Infrastruktur- oder DevOps-Team sofort auf Fehlkonfigurationen reagieren. Und bei Security Events wird das Security Operations Center (SOC) alarmiert, das geeignete Massnahmen zur Reaktion auf einen allfälligen Incident trifft.
Zur besseren Erkennung von Schwachstellen und Fehlkonfigurationen setzen CNAPP-Lösungen vermehrt auf Machine Learning und andere Formen der künstlichen Intelligenz. Aufgrund der Dynamik im Markt für (generative) AI-getriebene Lösungen heisst es für Unternehmen, die Entwicklung zu beobachten. Und vor einem Entscheid abzuklären, ob die angebotene AI-Funktionalität effektiv die eigenen Bedürfnisse abdeckt.
Welche Sicherheitsmassnahmen in hybriden und Multi-Cloud-Umgebungen umgesetzt werden und wie lässt sich aus bewährten Vorgehensweisen für Cloud-Sicherheit ableiten. Grundsätzlich gelten diese Best Practices unabhängig von der Komplexität der Cloud-Landschaft. Technische Massnahmen wie Verschlüsselung, Klassifizierung von Daten, Multifaktor-Authentifizierung und dergleichen sind als Grundschutz ohnehin Pflicht.
CNAPP bietet über den Grundschutz hinaus zusätzliche technische und organisatorische Schutzmassnahmen, wie sie in komplexen Cloud-Umgebungen benötigt werden. «DevSecOps ist entscheidend für die durchgängige Sicherheit», sagt dazu Raffael Peluso. «Dazu ein Security-Awareness-Training, das auch die IT-Fachleute mit einschliesst.»
Diese Massnahmen tragen dazu bei, einen ganzheitlichen Blick über die IT-Landschaft des Unternehmens zu erhalten. Im laufenden Betrieb schärft ein kontinuierliches Monitoring diesen Blick, beispielsweise mit Cloud Workload Protection. Dazu kommt die Überprüfung der Massnahmen, so Raffael Peluso: «Mit einem kontinuierlichen Monitoring und regelmässigen Audits erkennen Unternehmen Abweichungen und schaffen Transparenz in der Cloud-Umgebung.» Damit gelingt es Unternehmen, in verschiedenen Wolkenstrukturen nicht nur eine Herausforderung zu sehen, sondern den gewünschten Nutzen daraus zu ziehen.
Lesen Sie im ersten Artikel, mit welchen Herausforderungen bei der Datensicherheit in hybriden und Multi-Cloud-Umgebungen sich CISOs beschäftigen müssen. Laden Sie jetzt beide Artikel herunter.
Der Download-Link wird Ihnen umgehend per E-Mail zugeschickt.
Unsere Datenschutzbestimmungen inklusive Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenbearbeitung oder Abmeldung von Newsletter finden Sie hier: Datenschutzbestimmungen(öffnet ein neues Fenster)