/
Cyber-Resilienz

Cloud-Sicherheit: Mit Illumio werden falsche Annahmen in Zusicherungen umgewandelt

In unserem vorheriger Blogbeitrag, habe ich auf hoher Ebene erklärt, warum es ein Fehler war, die Risiken unzureichender Cloud-Sicherheit zu ignorieren. Und ich habe zwei falsche Annahmen eingeführt, von denen viele Unternehmen ausgehen, wenn sie Cloud-Dienste zur Unterstützung ihrer Unternehmen einführen.

In diesem Beitrag untersuchen wir drei weitere Annahmen und wie Sie die Möglichkeiten von ganz einfach nutzen können Illumio CloudSecure für eine bessere Cloud-native Sichtbarkeit und Kontrolle.

Annahme #3: Cloud-Dienste sind vom Internet isoliert.

Um Kunden dabei zu helfen, das Beste aus ihren Investitionen herauszuholen, stellen Cloud-Anbieter ihnen Infrastrukturressourcen für Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) zur Verfügung. Dazu können virtuelle Maschinen, Container, serverlose Funktionen und verwaltete Cloud-Datenbanken gehören.

Aber diese Cloud-Dienste kann für das Internet geöffnet sein, oft standardmäßig. Sie können also als Eintrittspunkt für eine potenzielle Sicherheitsverletzung dienen. Die Beschränkung ihres Zugriffs liegt in der Verantwortung des Kunden, nicht des Cloud-Anbieters. Denken Sie daran, dass die Cloud nicht standardmäßig mit den geringsten Rechten ausgestattet ist. Stattdessen arbeitet sie mit „übermäßigen Privilegien“. Das bedeutet, dass Sie festlegen müssen, welche Ressourcen miteinander kommunizieren können, und alles andere blockieren müssen.

Ohne Überblick darüber, welche Anwendungen sich in der Cloud befinden und was mit ihnen kommuniziert, könnten Sie wichtige Ressourcen ohne angemessene Kontrollen in der Cloud hosten. Dies ist besonders gefährlich, wenn Sie Workloads und Prozessfunktionen in der öffentlichen Cloud haben, die internen Rechenzentrumsressourcen ausgesetzt sind.

Um gute zu gewährleisten Cloud-Sicherheit, Sie müssen die Kommunikationspfade zwischen Ihren Cloud- und lokalen Workloads verstehen. Genau wie im Rechenzentrum müssen Sie genau wissen, was mit dem Internet verbunden ist. Dann sollten Sie sicherstellen, dass diese Verbindungen nicht zu Pfaden für Hacker oder Malware werden, um in Ihr Netzwerk einzudringen.

Annahme #4: Der Skalierung von Cloud-Diensten sind keine Grenzen gesetzt.

Aus Sicherheitsgründen begrenzen öffentliche Clouds wie AWS und Microsoft Azure die Anzahl der Segmente, die zur Sicherheitsverwaltung erstellt werden können. Dies verhindert, dass Sie eine detaillierte Kontrolle über Ihre Cloud-Anwendungen und Daten erlangen.

Die Antwort der Cloud-Anbieter auf die Segmentierung ist das virtuelle Netzwerksegment — im Fall von Amazon die Virtual Private Cloud (VPC) und im Fall von Microsoft das Azure Virtual Network (VNet). Für diese Umgebungen erstellen Sicherheitsgruppen den Perimeter innerhalb und außerhalb des Segments.

Die Anzahl der Sicherheitsgruppen, die in einem virtuellen Netzwerksegment existieren können, ist jedoch begrenzt. Wenn Sie mehr als das Limit benötigen, müssen Sie mehrere Hosts in einem Segment verwenden. Um jedoch effizient zu skalieren, sollte jedes Segment nur einen Host haben.

Mehrere Hosts in einem Segment führen zu einer höheren Verwaltungskomplexität und einem höheren Sicherheitsrisiko. Wenn ein Host angegriffen wird, möchten Sie nicht, dass er mit einem anderen Host kommuniziert (und möglicherweise infiziert). Für die Skalierung benötigen Sie zusätzliche Hilfe, die über das hinausgeht, was Ihre Cloud-Anbieter für die Segmentierung des Zugriffs anbieten. Andernfalls stehen Sie vor den gleichen Problemen, auf die Unternehmen bei der herkömmlichen Segmentierung von Rechenzentren gestoßen sind: schlechte Sichtbarkeit, komplexe Richtlinienverwaltung und die Notwendigkeit, Netzwerkkonfigurationen und Firewalls manuell „neu zu verkabeln“.

Annahme #5: Sobald Sie eine Arbeitslast gesichert haben, ist Ihre Arbeit erledigt.

Wenn die Leute darüber nachdenken Workload-Sicherheitgehen viele fälschlicherweise davon aus, dass ihre Workloads an einem Ort bleiben. In der Cloud können Ihre Workloads jedoch über mehrere öffentliche Clouds übertragen werden, wobei jede ihr eigenes Richtlinienmodell hat. In diesem Fall ist es unwahrscheinlich, dass die Sicherheitssegmente dieselben Sicherheitskontrollen verwenden. Und selbst wenn doch, muss Ihr Sicherheitsteam diese Bewegung ständig überwachen, um sicherzustellen, dass die Workloads durch entsprechende Richtlinien geschützt sind.

Alle Rechenressourcen, serverlosen Ressourcen und Objekte in der Cloud sind dynamisch. Wenn sich diese Ressourcen und Cloud-Objekte bewegen, ändern sich auch ihre IPs. Sie können ändern, wo sie sich in einer öffentlichen Cloud befinden. Sie können auch zwischen mehreren Cloud-Anbietern wechseln. Sie können sogar „sterben“, nur um mit einer neuen IP-Adresse wieder zum Leben erweckt zu werden.

Das hat zur Folge, dass Sie Richtlinien nicht mehr mit einem herkömmlichen Ansatz verfassen können. Untersuchen Sie stattdessen Ihre Cloud-Workloads, um zu verstehen, wie die Anwendungskomponenten miteinander kommunizieren. Sobald Sie einen klaren Einblick in das Verhalten Ihrer Anwendung haben, können Sie entsprechende Durchsetzungsrichtlinien verfassen.

Die wichtigste Erkenntnis ist, dass alle Cloud-Anwendungen, unabhängig davon, wo sie sich befinden oder welche zugehörigen Ressourcen sie verwenden, genauso sorgfältig geschützt werden müssen wie jede Anwendung, die auf einem Server in einem herkömmlichen Rechenzentrum ausgeführt wird.

Sicherheit ist ein wichtiger Geschäftsfaktor für die Cloud

Was motiviert Unternehmen, wenn große und kleine Unternehmen mehr Workloads in die Cloud verlagern oder erwägen, sie zu verlagern? Die Geschwindigkeit, Flexibilität und Skalierbarkeit, die die Cloud bietet. Dennoch ist Sicherheit — das „Waisenkind“ — oft nicht Teil der Diskussionen über den Umstieg auf die Cloud. Warum? Weil Sicherheit als „Geschäftskomplikator“ gilt, nicht als Geschäftsbeschleuniger.

Die Sicherheitsplanung sollte jedoch Teil jeder Cloud-Migration sein und kein nachträglicher Gedanke. CloudSecure überwacht und schützt kontinuierlich Cloud-native Apps, virtuelle Maschinen und Container sowie serverlose, PaaS- und IaaS-Infrastrukturen. So können Sie die Cloud mit Zuversicht nutzen.

Erfahren Sie mehr darüber, wie Sie eine stärkere Sicherheit für Ihre Multi-Cloud- und Hybridumgebungen aufbauen können:

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Grundlegendes zu den EU-Compliance-Mandaten: GDPR, Cyber Essentials
Cyber-Resilienz

Grundlegendes zu den EU-Compliance-Mandaten: GDPR, Cyber Essentials

GDPR primarily focuses on data protection, data handling, and privacy concerns for EU citizens’ Personally Identifiable Information (PII).

Kann Zero Trust die Cyber-Equity-Lücke schließen?
Cyber-Resilienz

Kann Zero Trust die Cyber-Equity-Lücke schließen?

Learn from Nicole Tisdale, a leader in cyber policy, about how cybersecurity can protect both our institutions and the people they serve.

Machen Sie das Geschenk, das Ihr IT-Sicherheitsteam in dieser Weihnachtszeit verdient
Cyber-Resilienz

Machen Sie das Geschenk, das Ihr IT-Sicherheitsteam in dieser Weihnachtszeit verdient

Erfahren Sie, wie Sie Ihr Unternehmen auf die Erntezeit schlechter Schauspieler vorbereiten können — die Weihnachtszeit.

Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?