Multicloud Security: Die letzte Festung im Cyberwar?
Die jüngste Zero-Day-Lücke in der Java Bibliothek hat gezeigt, wie schnell sich Einfalltore für unerlaubten Zugriff auf kritische Systeme und Applikationen öffnen. Firmen aber auch MitarbeiterInnen im Homeoffice sind dagegen scheinbar machtlos. Als akute Maßnahmen empfahl das BSI ein umfangreiches Logging und die akribische Protokollierung ein- und ausgehender Verbindungen oder kurz: mehr Kontrolle und Visibilität der IT-Infrastruktur. Wie dies erreicht werden kann, habe ich in meinem Blogbeitrag „Sind Anwendungen in Multicloud noch zu beherrschen?“ vorgestellt. Doch wie sieht es mit geeigneten Sicherheitsstrategien für die Multicloud aus?
Null Vertrauen erleichtert die Kontrolle
Den besten Schutz vor unerlaubtem Zugriff auf Anwendungen in Multicloud-Umgebungen verspricht ein ganzheitlicher Zero-Trust-Ansatz. Traditionelle Sicherheitsansätze gehen davon aus, dass alle BenutzerInnen, Geräte und Standorte innerhalb des Unternehmensnetzwerks vertrauenswürdig sind. Tatsächlich trifft diese Annahme jedoch nicht mehr zu. Grund sind Microservices-Architekturen in Public oder Hybrid Clouds und MitarbeiterInnen an verteilten Standorten. Zero-Trust basiert entsprechend auf dem Konzept, die Vertrauenswürdigkeit in der Netzwerkarchitektur eines Unternehmens zu beseitigen, denn Vertrauen ist weder binär noch dauerhaft. Wir können nicht mehr davon ausgehen, dass Personen oder Geräte in unserem Netzwerk vertrauenswürdig sind, dass sie direkt verwaltet werden können, um das Sicherheitsrisiko zu reduzieren, oder dass es ausreicht, sie einmal zu überprüfen.
Das Zero-Trust-Modell erhöht die Transparenz von BenutzerInnen, Geräten, Containern, Netzwerken und Anwendungen, da deren Sicherheitsstatus bei jeder Zugriffsanfrage geprüft wird. Die Angriffsfläche lässt sich verkleinern, indem Ressourcen segmentiert und nur die Zugriffsrechte erteilt werden, die unbedingt notwendig sind.
Zero Trust für MitarbeiterInnen, Arbeitsplatz und Workloads
Für eine leichtere Einführung der Multicloud-Security-Strategie ist es empfehlenswert, das Design in drei Bereiche zu unterteilen: MitarbeiterInnen, Arbeitsplatz und Workloads. In jedem Bereich gibt es feine Unterschiede, auch wenn alle auf das gleiche Ziel hinarbeiten.
Kurze Vorstellung der drei Bereiche:
Zero Trust für MitarbeiterInnen
Diese Säule konzentriert sich darauf, sicherzustellen, dass BenutzerInnen und Geräten vertraut werden kann, wenn sie auf Systeme zugreifen, unabhängig vom Standort.
Zero Trust am Arbeitsplatz
Diese Säule konzentriert sich auf den sicheren Netzwerkzugriff für alle Geräte (einschließlich IoT), die sich mit Unternehmensnetzwerken verbinden.
Zero Trust für Workloads
Diese Säule konzentriert sich darauf, unautorisierten Zugriff in Anwendungsumgebungen zu verhindern, unabhängig davon, wo sie gehostet werden.
Automatische Bedrohungserkennung überall
Im Gegensatz zur Segmentierung von Standorten und Netzwerken ist die Mikrosegmentierung auf Applikationsebene bisher weniger weit verbreitet. Während dieses Vorgehen Mehrwerte bei Compliance und Transparenz verspricht, bedarf es erhöhter Schutzmaßnahmen für den Workload. Für ein hohes Maß an Sicherheit in modernen Multicloud-Umgebungen sorgt beispielsweise Cisco Secure Workload. Das Zero-Trust-Modell für Mikrosegmentierung basiert auf dem Verhalten von Anwendungen und Telemetriedaten. Integrierte Cloud-native Sicherheit mit Amazon Web Services bietet außerdem Cisco Secure Cloud Analytics. Externe sowie interne Bedrohungen werden automatisch erkannt und schützen auch hybride Netzwerke.
Wer Zero Trust konsequent und ganzheitlich umsetzt und nahtlos in seine Multicloud-Anwendungen integriert, schützt sein Unternehmen mit dem aktuell sichersten Schild im Kampf gegen Cyberkriminelle.
Tags:
