Die Multi-Cloud und welche Cyber-Security-Fallstricke Sie beachten sollten

Bei Services aus der Cloud vertrauen Nutzer darauf, dass ihre Daten DSGVO-konform abgesichert sind. Erst recht, wenn das so vollmundig wie von einem Cloud-Anbieter für gastronomische Betriebe versprochen wird, der Reservierungen und die verpflichtenden „Corona-Listen“ via App digitalisiert.

Das Vertrauen wurde leider enttäuscht: Der Chaos Computer Club deckte verschiedene Schwachstellen auf, die den Zugang auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants ermöglichten. Zudem konnte sich der CCC Zugriff auf über 5,4 Mio. Reservierungen verschaffen, die über ein Jahrzehnt zurückreichten. Das ist nur eins der vielen Datenlecks. Aber es macht wieder klar, dass jede Cloud-Strategie auch die passende Cyber Security braucht. Zumindest, wenn man seiner Verantwortung gerecht werden will ­– egal, ob man Services für seine Kunden oder für Mitarbeiter im eigenen Unternehmen anbietet.

Was beinhaltet eine Multi-Cloud-Strategie?

Nutzt eine Organisation mindestens zwei Cloud Services in einer einzigen Architektur, handelt es sich bereits um eine Multi-Cloud-Strategie. Verschiedene Arten von Clouds, die jeweils spezielle Herausforderungen lösen, machen die Multi-Cloud aus:

• Die Public Cloud bietet eine Vielzahl an Infrastruktur- und Plattformdiensten (Infrastructure as a Service bzw. Platform as a Service), die sich flexibel in die eigene IT integrieren lassen ­– z. B. Amazon Web Services, Microsoft Azure oder die Cloud-Plattform von Google.
• Die Private Cloud bezeichnet eine interne oder Unternehmens-Cloud, die nur ausgewählten Nutzern vorbehalten ist ­– da hier meist sensible Geschäftsdaten verarbeitet werden, handelt es sich oft um eine selbst gehostete Lösung (z. B. IaaS mit VMWare).
• Zusätzlich kann eine Multi-Cloud-Umgebung Software as a Service-Lösungen (SaaS) beinhalten, die Unternehmen heutzutage nutzen – z. B. Dienste wie die Google G Suite, Salesforce oder Office 365.

Die Vorteile einer Multi-Cloud-Strategie liegen auf der Hand: Unternehmen profitieren von einer skalierbaren und bedarfsgerechten Nutzung von IT-Ressourcen, die den kosteneffizienten Betrieb von Geschäftsprozessen ohne Vendor Lock-in ermöglichen – und zudem eine flexible Basis zur Entwicklung neuer Geschäftsmodelle bieten.

Herausforderungen einer Multi-Cloud-Umgebung

Neben allen Vorteilen gibt es bei einer Multi-Cloud-Umgebung auch Herausforderungen zu meistern: Da nicht selten sensible Firmen- oder Kundendaten in den Clouds verarbeitet werden, kann sich eine enge Abhängigkeit der internen Geschäftsprozesse von den bereitgestellten Services entwickeln. Die mangelnde Sichtbarkeit über verschiedenste Hosts und Services hinweg macht es dazu schwierig, potenzielle Schwachstellen abzusichern.

Es stellt sich auch die Frage der Komplexität: Während die Cloud das Infrastrukturmanagement einfacher macht, ist die sichere Konfiguration der vielen verschiedenen Dienste nicht gerade einfacher, bzw. komplett anders als gewohnt. Im schlimmsten Fall droht ein Kontrollverlust über die zu verarbeitenden Daten.

Das Prinzip der geteilten Verantwortung

Zwischen Anbietern von Cloud Services und den nutzenden Unternehmen gilt das „Prinzip der geteilten Verantwortung“. Bedeutet: Cloud-Provider müssen sich um die physische Sicherheit der Rechenzentren und Server-Hardware kümmern. Der Schutz der eigenen Daten, virtuellen Maschinen und Anwendungen, die darauf laufen, ist und bleibt Sache des Kunden.

Oft wird aber genau das versäumt: Laut Gartner ist es in fast allen Fällen der Benutzer und nicht der Cloud-Anbieter, der die bereitgestellten Kontrollen zum Schutz der eigenen Daten nicht anwendet. Unter anderem prophezeit das populäre Forschungsunternehmen, dass bis 2025 99 % der Ausfälle der Cloud-Sicherheit auf die Schuld des Kunden zurückzuführen sein werden.

Die Herausforderung liegt also darin, eine gut durchdachte Risikomanagement-Strategie zu entwickeln, die auf die übergreifende Multi-Cloud-Strategie abgestimmt ist. Axians unterstützt Sie gerne dabei.

Best Security Practices für Multi-Cloud-Umgebungen

Ein hohes Cloud-Security-Niveau muss auf einem optimalen Zusammenwirken von Verhaltensregeln, Identitätskontrollen, Prozessen und Vorgaben basieren. Es gibt viele Aspekte zu beachten. Auf Basis einer vorherigen Analyse und daraus folgenden Strategie gilt es, eine Lösung zu finden, die auf individuelle Anforderungen zugeschnitten ist.

Server- und Netzwerksicherheit: Die erste Verteidigungslinie hat das Ziel, den Zugriff auf das Netzwerk und die damit verbundene Server zu schützen. Durch Maßnahmen wie Network Access Control (NAC), Mikrosegmentierung, Firewalls und in die Cloud ausgelagerte VPNs lässt sich ein hohes Sicherheitsniveau erreichen und halten.

Erhöhte Transparenz: Da es in Unternehmen meist einen großen Anteil an Schatten-IT gibt, ist der Einsatz eines Cloud Access Security Brokers (CASB) hilfreich, der den vollen Überblick behalten kann. Als „Vermittler“ zwischen dem Anwender und der Cloud ist der CASB in der Lage, die Kommunikation zu überwachen, zu protokollieren und zu steuern.

Identity and Access Management: Der Aufbau eines IAM ist die Basis, um Identitäten eindeutig zu erkennen. Im ersten Schritt wird festgelegt, wer in der Multi-Cloud-Umgebung worauf zugreifen darf (am besten nach dem Least-Privilege-Prinzip). Im zweiten Schritt folgt das Access Management mit der Definition, ob, wann und wie Passwörter oder weitere Mechanismen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) oder die Auswertung von Geodaten zum Einsatz kommen.

Automatisierung: Indem Unternehmen sogenannte „Threat Intelligence“-Bedrohungsfeeds nutzen und die nativen Sicherheitsfunktionen aller Clouds in das Multi-Cloud-Security-Framework integrieren, lassen sich Sicherheitsvorgänge automatisieren (z. B. mit einem SOAR). Es erfolgt eine automatische Bedrohungsreaktion, die infizierte Devices oder Umgebungen isoliert und die Ausbreitung verhindert.

Daten- und Informationssicherheit: Wer sensible Daten oder Informationen in der Cloud verarbeitet und speichert, muss deren Vertraulichkeit, Integrität und Authentizität sicherstellen. Hier spielen Data Loss Prevention (DLP), Verschlüsselungstechnologien, möglichst restriktive Gruppen- oder Funktionsrichtlinien sowie DSGVO-konforme Datenschutzrichtlinien eine Rolle.

Plattform- und Anwendungssicherheit: Da Cloud-Anwendungen sehr komplex sind, sollte der Fokus schon bei der Entwicklung auf Sicherheit liegen. Alle Schnittstellen müssen bekannt, sicher und fehlerfrei konfiguriert sein. Auch sollten Applikationen regelmäßig bei einem Cyber-Security-Audit auf den Prüfstand kommen, um eventuelle Schwachstellen aufzudecken.

Aktive Überwachung: Eine über das eigene Rechenzentrum und mehre Cloud-Anbieter verteilte Infrastruktur macht eine Überwachung auf sicherheitsrelevante Ereignisse zu einer echten Herausforderung. Moderne SIEM-Lösungen besitzen Konnektoren zu Sicherheitskomponenten und sammeln auch Logdaten in Cloud-Umgebungen ein, um Ereignisse systemübergreifend zu korrelieren. Integrieren Sie eine solche SIEM-Lösung in Ihr Security Operations Center (SOC) und lassen Sie auch Ereignisse aus den Cloud-Umgebungen aktiv von Ihren Analysten überwachen. Oder nutzen Sie SOC-Dienstleistungen von Managed Security Service Providern, wie Axians sie anbietet.

Multi-Cloud-Strategie? Aber bitte sicher!

Klar ist: Moderne Services aus der Wolke ermöglichen es kleinen wie großen Unternehmen, Infrastruktur, Ressourcen und Applikationen flexibel, skalierbar und effizient einzusetzen. Selbst komplexeste Szenarien sind nur wenige „Klicks“ entfernt. Klar ist aber auch, dass je komplexer die Multi-Cloud-Umgebung ist, der Überblick umso schneller verloren gehen kann. Für eine zukunftsfähige Multi-Cloud-Strategie braucht es also die passende Cyber Security.

Es gilt, Multi-Cloud-Umgebungen durch den koordinierten Einsatz mehrerer „Defense in depth“–Sicherheitsmaßnahmen abzusichern. Und falls Sie dazu Fragen haben, bieten wir Ihnen dazu gerne unser Know-how an.