Zukunftsgerichtete Ansätze für Sicherheit in der Cloud

Drei Personen an einem Notebook diskutieren über Best Practices für Datensicherheit in der Cloud.

Die Sicherheit in hybriden und Multi-Cloud-Umgebungen bleibt eine Herausforderung für CISOs und IT-Verantwortliche. Doch neue Lösungsansätze wie CNAPP treten an, um Transparenz zu schaffen und die Herausforderungen zu bewältigen. Ein Blick auf Best Practices.

Text: Andreas Heer, Bild: Swisscom, Datum: 4. April 2024    5 Min.

Für Meteorologen sind mehrschichtige Wolkenstrukturen am Himmel zweifellos ein spannendes Ereignis. In der IT sind derartige Gebilde dagegen eine sicherheitstechnische Herausforderung – und trotzdem Realität. Gemäss der Thales Global Cloud Security Study 2023 nutzen 79 Prozent der Unternehmen hybride oder Multi-Cloud-Umgebungen. Aus Security-Sicht sind Lösungen gefragt, um diese Herausforderungen zu bewältigen, betont Raffael Peluso, Head of Security Product Management bei Swisscom: «Die Basis für Security-Massnahmen bildet ein klares Zielbild: Welche Daten sind in der Cloud gespeichert? Und welche Anforderungen an diese Daten bestehen, beispielsweise bei der Verfügbarkeit und der Compliance?»

Massnahmen für Cybersecurity in der Multi-Cloud

Bei Public-Cloud-Angeboten ist es zudem wichtig zu verstehen, für welche Sicherheitsmassnahmen der Public-Cloud-Provider aufkommt und für welche das Unternehmen als Kunde selbst sorgen muss. Dieses sogenannte Shared-Responsability-Modell zeigt die Aufgabenteilung zwischen Provider und Kunde auf. Üblicherweise ist der Provider für die Sicherheit und Verfügbarkeit der eigentlichen Cloud-Umgebung verantwortlich, während sich Kunden um den Schutz der eigenen Daten und Applikationen kümmern. Für diesen oberen Teil des Cloud-Stacks bietet der Cloud-Anbieter zwar eine Reihe von Sicherheitslösungen. Es bleibt aber die Herausforderung, welche Sicherheitsaspekte ein Unternehmen damit abdecken kann und wo es zusätzliche Lösungen braucht.

In hybriden und Multi-Cloud-Umgebungen ist die Visibilität über die gesamten Cloud-Ressourcen und Workloads zentral, um die Ansprüche an Datensicherheit und Compliance zu erfüllen. Ein strategischer Ansatz zur Evaluation geeigneter Massnahmen umfasst verschiedene technische und organisatorische Aspekte. Zu den wichtigsten gehören die folgenden:

  • Fokus auf Lösungen, die Anbieter-übergreifend funktionieren und eine einheitliche Sicht bieten sowie die Durchsetzung von Policies über die gesamte Landschaft hinweg erlauben.
  • Zero-Trust-Ansätze mit SASE-Architekturen (Secure Access Service Edge), um den Zugriff auf Cloud-Ressourcen über alle Netze, Geräte und Benutzer hinweg zu sichern.
  • Schulung der Mitarbeitenden, um ein Sicherheitsbewusstsein im Umgang mit Daten und eine Sicherheitskultur zu entwickeln (Security Awareness). Dazu gehört auch, das Sicherheitsbewusstsein bei den IT-Fachleuten zu erhöhen, die für den Aufbau und Betrieb der Cloud-Umgebungen zuständig sind.
  • Massnahmen gegen den Fachkräftemangel ergreifen, beispielsweise Umschulung und Weiterbildung von Mitarbeitenden, Arbeitsbedingungen verbessern, Fachleute ausbilden, Zusammenarbeit mit externen Partnern und Managed Security Service Providern (MSSP).

Lesen Sie diesen Artikel und den ersten Artikel zu den Herausforderungen bei der Datensicherheit bequem als PDF.

Was ist Secure Access Service Edge (SASE)?

SASE dient der sicheren Identifizierung und dem sicheren Zugriff von Geräten und Benutzern auf Cloud-Umgebungen. Hierzu führt das Cloud-basierte Sicherheits-Framework SD-WAN-Funktionen und ZTNA-Lösungen (Zero Trust Network Access) zusammen. Das ermöglicht es, Endgeräten unabhängig vom Standort einen kontrollierten und geschützten Zugang zu Cloud-Ressourcen zu gewähren. Der Zero-Trust-Ansatz sorgt dafür, dass Geräte und Benutzer bei jedem Zugriff neu identifiziert werden. Das erschwert es Cyberkriminellen, mit erbeuteten Zugangsdaten oder Brute-Force-Methoden auf Cloud-Ressourcen eines Unternehmens zuzugreifen.

Ansätze und Prozesse für die Datensicherheit in der Multi-Cloud

Der Paradigmenwechsel hin zu Cloud Computing hat neue Konzepte hervorgebracht, die den Infrastrukturwandel und die Sicherheitsbedürfnisse von Unternehmen auf technischer und Prozessebene berücksichtigen – weg vom reinen Perimeterschutz. Oder, wie es Raffael Peluso zusammenfasst: «In Multi-Cloud-Umgebungen rücken die Prozesse an den Schnittstellen der Zusammenarbeit zwischen verschiedenen Bereichen ins Zentrum.» Die wichtigsten Ansätze:

  • DevSecOps (Development, Security, Operations) bringt die agile Entwicklung und Pflege von Applikationen mit Sicherheitsmassnahmen und dem Betrieb zusammen. Das bedeutet, dass Security in jede Phase des Software-Lifecycles integriert ist und das entsprechende Testing automatisiert erfolgt innerhalb der CI/CD-Pipeline. Die Prüfung umfasst Applikations-Code und IaC (Infrastructure as Code, automatisierte Konfiguration von Ressourcen). Dieser auch als «shift left» bezeichnete Prozess stellt auch bei kurzen Entwicklungs- und Deployment-Zyklen die Einhaltung der Security-Vorgaben sicher. Zudem hilft DevSecOps, die Security Awareness bei den IT-Fachleuten zu verbessern, weil IT-Sicherheit fester Bestandteil jedes Prozessschrittes wird.
  • Cloud Workload Protection (CWP) schützt VMs und Container im laufenden Betrieb. CWP umfasst dabei sowohl den Schutz vor Cyberattacken als auch ein Monitoring allfälliger Sicherheitslücken und sorgt damit für Cloud-übergreifende Transparenz über den Sicherheitszustand der Workloads.
  • Cloud Security Posture Management (CSPM) stellt gewissermassen die Compliance-Ebene zu CWP dar. Während sich CWP um den technischen Schutz sorgt, prüft CSPM Workloads auf Konfigurationsfehler und die Einhaltung von Sicherheitsvorgaben (Policies). Das ermöglicht ein zentrales Monitoring der Compliance-Vorgaben.
  • Cloud Infrastructure Entitlement Management (CIEM) kümmert sich um die zentrale und einheitliche Verwaltung von Identitäten und Berechtigungen in hybriden und Multi-Cloud-Umgebungen. Damit vereinfacht CIEM ein komplexes Identity- und Access-Management (IAM) über die unterschiedlichen Tools der verschiedenen Cloud-Anbieter hinweg.

Mit CNAPP Multi-Cloud-Umgebungen schützen

Für Lösungen, die solche Security-Funktionalitäten kombinieren, hat das Marktforschungsunternehmen Gartner den Begriff «Cloud Native Application Protection Platform» (CNAPP) geprägt. CNAPP kombiniert traditionelle Sicherheitsmassnahmen wie Malware-Prüfung und Vulnerability Scanning mit Methoden, die die spezifischen Sicherheitsanforderungen in Cloud-Umgebungen jeglicher Art abdecken. Dazu zählen die oben erwähnten Ansätze wie DevSecOps, CWP oder CSPM.

Damit bietet CNAPP Unternehmen eine Plattform, um an zentraler Stelle technische und organisatorische Massnahmen zur Einhaltung der Compliance umzusetzen. Das schafft die nötige Transparenz und Visibilität für den sicheren Betrieb hybrider und Multi-Cloud-Umgebungen über Anbietergrenzen hinweg. Da CNAPP-Lösungen ohnehin Cloud-basiert sind, werden sie üblicherweise vom Anbieter oder einem MSSP als Service bezogen.

Raffael Peluso, Head of Security Product Management, Swisscom

«DevSecOps als Bestandteil von CNAPP ist entscheidend für die durchgängige Sicherheit.»

Raffael Peluso, Head of Security Product Management, Swisscom

Grosser Vorteil von CNAPP ist, dass es als zentrale Plattform allen Nutzergruppen eine einheitliche Sicht bietet und alle auf dem gleichen, aktuellen Stand sind. Dadurch kann beispielsweise das Cloud-Infrastruktur- oder DevOps-Team sofort auf Fehlkonfigurationen reagieren. Und bei Security Events wird das Security Operations Center (SOC) alarmiert, das geeignete Massnahmen zur Reaktion auf einen allfälligen Incident trifft.

Zur besseren Erkennung von Schwachstellen und Fehlkonfigurationen setzen CNAPP-Lösungen vermehrt auf Machine Learning und andere Formen der künstlichen Intelligenz. Aufgrund der Dynamik im Markt für (generative) AI-getriebene Lösungen heisst es für Unternehmen, die Entwicklung zu beobachten. Und vor einem Entscheid abzuklären, ob die angebotene AI-Funktionalität effektiv die eigenen Bedürfnisse abdeckt.

Best Practices für Multi-Cloud-Sicherheit

Welche Sicherheitsmassnahmen in hybriden und Multi-Cloud-Umgebungen umgesetzt werden und wie lässt sich aus bewährten Vorgehensweisen für Cloud-Sicherheit ableiten. Grundsätzlich gelten diese Best Practices unabhängig von der Komplexität der Cloud-Landschaft. Technische Massnahmen wie Verschlüsselung, Klassifizierung von Daten, Multifaktor-Authentifizierung und dergleichen sind als Grundschutz ohnehin Pflicht. 

CNAPP bietet über den Grundschutz hinaus zusätzliche technische und organisatorische Schutzmassnahmen, wie sie in komplexen Cloud-Umgebungen benötigt werden. «DevSecOps ist entscheidend für die durchgängige Sicherheit», sagt dazu Raffael Peluso. «Dazu ein Security-Awareness-Training, das auch die IT-Fachleute mit einschliesst.»

Diese Massnahmen tragen dazu bei, einen ganzheitlichen Blick über die IT-Landschaft des Unternehmens zu erhalten. Im laufenden Betrieb schärft ein kontinuierliches Monitoring diesen Blick, beispielsweise mit Cloud Workload Protection. Dazu kommt die Überprüfung der Massnahmen, so Raffael Peluso: «Mit einem kontinuierlichen Monitoring und regelmässigen Audits erkennen Unternehmen Abweichungen und schaffen Transparenz in der Cloud-Umgebung.» Damit gelingt es Unternehmen, in verschiedenen Wolkenstrukturen nicht nur eine Herausforderung zu sehen, sondern den gewünschten Nutzen daraus zu ziehen. 

Lesen Sie im ersten Artikel, mit welchen Herausforderungen bei der Datensicherheit in hybriden und Multi-Cloud-Umgebungen sich CISOs beschäftigen müssen. Laden Sie jetzt beide Artikel herunter.

Jetzt Artikelserie «Datensicherheit» herunterladen

Der Download-Link wird Ihnen umgehend per E-Mail zugeschickt.

Unsere Datenschutzbestimmungen inklusive Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenbearbeitung oder Abmeldung von Newsletter finden Sie hier: Datenschutzbestimmungen(öffnet ein neues Fenster)