Zpedia 

/ Was ist Cloud Enclaving?

Was ist Cloud Enclaving?

Cloud Enclaving ist eine Methode zur Segmentierung von Workloads in einer Cloud-Umgebung, um den Zugriff zu kontrollieren und die Cloud-Infrastruktur, Anwendungen und vertraulichen Daten vor selbstverbreitender Malware, Datenschutzverstößen und anderen Angriffen zu schützen. Cloud-Enklaven erstellen mittels eines softwaredefinierten Perimeters (SDP) eine geschützte Infrastruktur, in der Zugriffskontrolle, Vertrauensbewertung, Zertifikatsverwaltung und weitere Funktionen bereitgestellt werden können. Cloud Enclaving wird auch als Cloud-Workload-Segmentierung oder Cloud-Mikrosegmentierung bezeichnet.

Cloud Enclaving: Was ist das und wie unterscheidet es sich von herkömmlicher Cybersicherheit?

Cloud Enclaving wurde gezielt als Methode zur Schließung empfindlicher Sicherheitslücken in den IT-Umgebungen digitaler Unternehmen entwickelt, die sich mit Legacy-Lösungen nicht oder nur schwer beheben lassen. In diesem Beitrag werden die historischen Hintergründe beleuchtet.

Früher – als sich Anwendungen und Daten noch im lokalen Rechenzentrum der betreffenden Organisation befanden und die Mehrzahl der Belegschaft ebenfalls an diesem Standort arbeitete – ließ sich mit herkömmlicher perimeterbasierter Netzwerksicherheit ein ausreichendes Schutzniveau gewährleisten. Inzwischen haben Globalisierung und hybride Arbeitskonzepte dazu geführt, dass sich Cloud-Computing zunehmend als Standardmodell durchsetzt und ältere Konzepte verdrängt.

In der Cloud werden die geschäftskritischen Workloads einer Organisation häufig in den Umgebungen unterschiedlicher Anbieter gehostet (Amazon Web Service [AWS], Microsoft Azure usw.), wo die User über das Internet darauf zugreifen können. In der Praxis bedeutet dies, dass es den „Netzwerk-Perimeter“ im herkömmlichen Sinne nicht mehr gibt. Dadurch vervielfachen sich die Schwachstellen und Sicherheitslücken, über die sich Angreifer Zugriff auf Unternehmensressourcen verschaffen können. Cloud Enclaving empfiehlt sich als Möglichkeit, diese Risiken durch präzise definierte Sicherheitsrichtlinien in den Griff zu bekommen, die eine Verbindung zu den betroffenen Workloads nur mit ausdrücklicher Berechtigung zulassen.

Was ist unter einer sicheren Enclave zu verstehen?

Als sichere Enklave wird ein Netzwerkbereich bezeichnet, der vom Rest des Netzwerks abgetrennt und durch granulare Sicherheitsrichtlinien geschützt wird. Der Zweck einer sicheren Enklave besteht darin, im Rahmen einer mehrstufigen Abwehrstrategie den Zugriff auf kritische Ressourcen mit den geringsten Privilegien durchzusetzen.

Netzwerksegmentierung und Cloud Enclaving im Vergleich

Netzwerksegmentierung eignet sich vor allem zur Absicherung von Verbindungen zwischen der unternehmenseigenen IT-Umgebung und externen Standorten. Cloud Enclaving hingegen bietet eine zusätzliche Schutzschicht für den Traffic innerhalb der Umgebung (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Nachstehend werden die Vor- und Nachteile beider Verfahren ausführlicher erläutert.

Netzwerksegmentierung

Im Vergleich zu einem Perimeter-basierten Modell, das ein Netzwerk nur von außen schützt, zeichnet sich Netzwerksegmentierung durch mehr Differenzierung aus. Konkret wird hierbei das Netzwerk in sogenannte Subnetze unterteilt, für die jeweils eigene Sicherheits- und Complianceprotokolle gelten. Der Traffic zwischen den Segmenten wird in der Regel mithilfe eines VLANs getrennt und über eine Firewall geleitet.

Da dieser Ansatz auf IP-Adressen basiert, lässt sich jedoch nur erkennen, woher die Anfrage kommt (d. h. die IP-Adresse, der Port oder das Protokoll, von der bzw. dem sie ausgeht). Hingegen ist weder der Kontext noch die Identität der Entität ersichtlich, die die Anfrage stellt. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT genau weiß, von welcher Entität die Kommunikation ausgeht. Nachdem die Verbindungsanforderung genehmigt wurde, kann die betreffende Entität sich innerhalb des jeweiligen Segments frei bewegen. Das gilt auch für Bedrohungsakteure, denen es gelungen ist, sich unbefugten Zugriff auf ein Subnetz zu verschaffen.

Durch Netzwerksegmentierung entstehen „flache“ Netzwerke mit ungeschützten Verbindungspfaden, sodass Angreifer sich ungehindert lateral durch Umgebungen in Clouds und Rechenzentren bewegen können. Dadurch ist die Sicherheit der dort gehosteten Workloads gefährdet. Darüber hinaus ist die Netzwerksegmentierung mithilfe von Legacy-Firewalls oder virtuellen Maschinen (VMs) mit einem hohen Kosten- und Arbeitsaufwand verbunden, der ihre sicherheitsrelevanten Vorteile wieder aufhebt.

Cloud Enclaving

Cloud Enclaving, also cloudbasierte Mikrosegmentierung, ermöglicht eine detailliertere Kontrolle des Traffic und minimiert gleichzeitig die Angriffsfläche eines Unternehmens. Dadurch wird eine Segmentierung erreicht, die sich einfacher und sicherer umsetzen lässt als eine Netzwerksegmentierung. Dies geschieht, indem Anfragen anhand von Identität und Kontext authentifiziert werden anstatt nur über IP-Adressen, Ports und Protokolle. Durch Anwendung granularer Richtlinien auf der Ebene einzelner Workloads wird eine effektivere Kontrolle der Kommunikationen zwischen Workloads möglich.

Cloud Enclaving ist eine wirksame Methode zur Abwehr sowohl interner als auch externer Bedrohungen. Durch Bereitstellung von Schutzmechanismen unmittelbar an der jeweiligen Workload werden unbefugte Zugriffe von Insidern ebenso verhindert wie die laterale Ausbreitung von Angriffen nach erfolgreichem Eindringen in die IT-Umgebung.

Welche Vorteile hat Cloud Enclaving?

Ähnlich wie Netzwerksegmentierung dient Cloud Enclaving zur Stärkung der Netzwerk- und Datensicherheit. Branchen- und regionsübergreifend sehen sich Organisationen einer zunehmenden Anzahl von Cyberbedrohungen ausgesetzt, wobei die Angreifer immer raffiniertere Techniken zur Umgehung von Schutzmechanismen entwickeln. Um diese Risiken in den Griff zu bekommen, müssen Organisationen darauf mit einer entsprechenden Anpassung und Weiterentwicklung ihrer Sicherheitsstrategien reagieren.

Eine effektive Cloud-basierte Mikrosegmentierung bringt Organisationen eine Reihe von Vorteilen:

  • Proaktive Netzwerk- und IT-Sicherheit: Beim Cloud Enclaving werden anwendungsbezogene Richtlinien erstellt, die konsistent in sämtlichen Umgebungen durchgesetzt werden, sodass das Schadenspotenzial etwaiger Sicherheitsverletzungen radikal eingedämmt wird. Einige einschlägige Services können automatisch alle kommunizierenden Anwendungen identifizieren und entsprechende Zero-Trust-Richtlinien empfehlen, die sich mit einem einzigen Klick anwenden lassen.
  • Reduzierung von Sicherheitsrisiken: Anstelle von statischen Kontrollen, die auf IP-Adressen, Ports und Protokollen beruhen, können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerprinting wird die Absicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.
  • Kontinuierliche Risikobewertung: Mit Cloud-Enklaven können Sie Ihre sichtbare Angriffsfläche automatisch messen, um das Risiko zu quantifizieren. Am effektivsten sind Enclave-Services, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, und zugleich wird die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt.
  • Vereinfachte Richtlinienverwaltung: Da Cloud-Enclave-Richtlinien nicht für IP-Adressen, Ports, Protokolle oder Hardware, sondern für einzelne Workloads gelten, bleiben sie bei Änderungen der Infrastruktur weiterhin gültig. Entsprechend sind zum Schutz eines Segments statt hunderter adressbasierter Regeln nur noch eine Handvoll identitätsbasierter Richtlinien erforderlich, die in allen Umgebungen konsistent durchgesetzt werden.

Wann ist Cloud Enclaving empfehlenswert?

Cloud Enclaving hat sich als Lösung für eine Reihe komplexer Anwendungsfälle in der Cloud-Sicherheit bewährt, für die herkömmliche Sicherheitsansätze schlichtweg nicht konzipiert waren. Cloud Enclaving beruht auf dem Prinzip der Mikrosegmentierung, das im Vergleich zur Netzwerksegmentierung einen sehr viel höheren Grad an granularer Kontrolle bei geringerem Verwaltungsaufwand ermöglicht. Dabei werden Kontrollmechanismen auf einzelne Workloads angewendet und auch bei Verlagerung der Workloads innerhalb der Cloud-Umgebung weiterhin zuverlässig durchgesetzt. Unter den heutigen Vorzeichen global verteilter hybrider Belegschaften, distribuierter Daten und zunehmend raffinierter Angriffe erfüllt Cloud Enclaving gleich mehrere Funktionen, die maßgeblich zur Optimierung des Schutzniveaus beitragen:

Transparenz der gesamten IT-Umgebung

Cloud-Enklaven stellen zusätzliche Kontextinformationen bereit, die Ihre Sicherheitsverantwortlichen dabei unterstützen, Richtlinien basierend auf Anwendung, Umgebung, Compliance usw. zu erstellen und dabei neben dem Ausgangspunkt einer Anfrage auch die Identität des betreffenden Users zu berücksichtigen. Dadurch können detailliertere Richtlinien erstellt werden, die Ihren Sicherheitsstatus verbessern.

Übergreifender Schutz

Ein effektiver Mikrosegmentierungsansatz sichert Ihre Workloads konsistent in allen Cloud-Umgebungen und gibt Ihnen die Freiheit, Hybrid- und Multicloud-Umgebungen zu erstellen, die am besten zu Ihrem Budget und Ihren Bereitstellungsanforderungen passen. Für Unternehmen bedeutet das ein Mehr an Flexibilität, das u. a. auch die Nutzung von Containern und serverloser Bereitstellung vereinfacht.

Einsparungen bei Investitionen und Betriebskosten

Durch Cloud Enclaving werden auf lange Sicht sowohl Ressourcen als auch Arbeitsaufwand eingespart. Die Einführung, Verwaltung und Wartung cloudbasierter Mikrosegmentierung ist längst nicht so kostspielig, arbeitsintensiv und zeitaufwendig wie mit Firewalls und anderer Hardware.

Cloud Enclaving mit Zscaler Workload Segmentation

Zscaler Workload Communications ist eine neue Möglichkeit, sichere Enklaven in der Cloud zu erstellen. Sie können Ihr Sicherheitsniveau mit einem einzigen Klick erhöhen und mithilfe von ZWS Risiken aufdecken und identitätsbasierten Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk erforderlich sind.

Workload Communications gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der IT-Umgebung anpassen, sodass die Netzwerk-Angriffsfläche minimiert wird. Als API-gestützte Lösung kann Zscaler Workload Communications zur automatischen Segmentierung mit einem Klick mit vorhandenen Sicherheitstools und DevOps-Prozessen integriert werden.

Zscaler basiert auf Zero Trust und stellt die Kommunikation ausschließlich zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen her. Dadurch werden Risiken minimiert und der bestmögliche Schutz vor Datenpannen bereitgestellt.

In Workload Communications inbegriffen:

Software-identitätsbasierter Schutz

Geht über die Überprüfung von Netzwerkadressen hinaus, um die Identität der kommunizierenden Anwendungssoftware und Workloads in öffentlichen oder privaten Clouds, hybriden Clouds, lokalen Rechenzentren oder Container-Umgebungen zuverlässig zu verifizieren.

Engine zur Policy-Automatisierung

Setzt maschinelle Lernalgorithmen zur Automatisierung des gesamten Policy-Zyklus für Mikrosegmentierung und Workload-Schutz ein. Es besteht keine Notwendigkeit, während der Bereitstellung oder im laufenden Betrieb manuell Richtlinien zu erstellen. Workload Communications empfiehlt neue oder aktualisierte Richtlinien, wenn Apps hinzugefügt oder geändert werden.

Visualisierung und Messung der Angriffsfläche

Erstellt automatisch eine Echtzeit-Anwendungstopologie mit Diagrammen zur Visualisierung der Abhängigkeiten bis hinunter zur Prozessebene. Anschließend werden die tatsächlich erforderlichen Anwendungspfade markiert und mit der Gesamtmenge aller verfügbaren Netzwerkpfade verglichen sowie entsprechende Empfehlungen für Richtlinien zur Minimierung der Angriffsfläche und zum effizienten Schutz der erforderlichen Pfade erstellt.

Interessiert?

Fordern Sie eine Demo an, um selbst zu sehen, wie Sie mit Zscaler Workload Communications Cloud-Enklaven erstellen können, um Ihre Sicherheit zu verbessern.

Empfohlene Ressourcen

Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?
Zum Blog
One-Click Zero Trust
Zum Datenblatt
Gartner: Market Guide for Zero Trust Network Access 2020
Guide lesen
Der Leitfaden für Netzwerkarchitekten zum Zero Trust Network Access
Whitepaper lesen
Implementierung von Segmentierung in Phasen
Ratgeber lesen

01 / 03