Ressourcen > Sicherheit – Glossar > Was ist Cloud Enclaving?

Was ist Cloud Enclaving?

Begriffsklärung: Cloud Enclaving

Als Cloud Enclaving wird eine Methode zur Segmentierung von Workloads in einer Cloud-Umgebung bezeichnet. Dadurch soll die Vergabe unnötiger Zugriffsberechtigungen für die internen Ressourcen der betreffenden Organisation verhindert werden. Zudem dient Cloud Enclaving zum Schutz Cloud-basierter IT-Infrastruktur, Anwendungen und vertraulicher Daten vor Datenpannen und verschiedenen Formen von Cyberangriffen, einschließlich Schadcodes, die sich selbstständig verbreiten.

Beim Cloud Enclaving wird anhand eines Software-Defined Perimeters (SDP) eine geschützte IaaS-Instanz erstellt. Diese dient zur Bereitstellung rollenbasierter Zugriffskontrollen, Identitäts- und Kontextprüfung, Zertifikatsverwaltung und weiterer Sicherheitsfunktionen.

Cloud Enclaving wird auch als Cloud-Workload-Segmentierung oder Cloud-Mikrosegmentierung bezeichnet.

 

Was ist unter einer sicheren Enclave zu verstehen?

Als sichere Enclave wird ein Netzwerkbereich bezeichnet, der vom Rest des Netzwerks abgetrennt und durch granulare Sicherheitsrichtlinien geschützt wird. Im Rahmen einer Defense-in-Depth-Sicherheitsstrategie soll dadurch sichergestellt werden, dass für den Zugriff auf geschäftskritische Ressourcen das Prinzip der minimalen Rechtevergabe gilt.

Cloud Enclaving: Was ist das und wie unterscheidet es sich von herkömmlicher Cybersicherheit?

Cloud Enclaving wurde gezielt als Methode zur Schließung empfindlicher Sicherheitslücken in den IT-Umgebungen digitaler Unternehmen entwickelt, die sich mit Legacy-Lösungen nicht oder nur schwer beheben lassen. In diesem Beitrag werden die historischen Hintergründe beleuchtet.

Früher – als sich Anwendungen und Daten noch im lokalen Rechenzentrum der betreffenden Organisation befanden und die Mehrzahl der Belegschaft ebenfalls an diesem Standort arbeitete – ließ sich mit herkömmlicher perimeterbasierter Netzwerksicherheit ein ausreichendes Schutzniveau gewährleisten. Inzwischen haben Globalisierung und hybride Arbeitskonzepte dazu geführt, dass sich Cloud-Computing zunehmend als Standardmodell durchsetzt und ältere Konzepte verdrängt.

In der Cloud werden die geschäftskritischen Workloads einer Organisation häufig in den Umgebungen unterschiedlicher Anbieter gehostet (Amazon Web Service [AWS], Microsoft Azure usw.), wo die User über das Internet darauf zugreifen können. In der Praxis bedeutet dies, dass es den „Netzwerk-Perimeter“ im herkömmlichen Sinne nicht mehr gibt. Dadurch vervielfachen sich die Schwachstellen und Sicherheitslücken, über die sich Angreifer Zugriff auf Unternehmensressourcen verschaffen können. Cloud Enclaving empfiehlt sich als Möglichkeit, diese Risiken durch präzise definierte Sicherheitsrichtlinien in den Griff zu bekommen, die eine Verbindung zu den betroffenen Workloads nur mit ausdrücklicher Berechtigung zulassen.

Netzwerksegmentierung und Cloud Enclaving im Vergleich

Netzwerksegmentierung eignet sich vor allem zur Absicherung von Verbindungen zwischen der unternehmenseigenen IT-Umgebung und externen Standorten. Cloud Enclaving hingegen bietet eine zusätzliche Schutzschicht für den Traffic innerhalb der Umgebung (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Nachstehend werden die Vor- und Nachteile beider Verfahren ausführlicher erläutert.

Netzwerksegmentierung
Im Vergleich zum perimeterbasierten Schutz vor externen Angreifern ermöglicht Netzwerksegmentierung einen nuancierteren Ansatz. Konkret wird hierbei das Netzwerk in sogenannte Subnetze unterteilt, für die jeweils eigene Sicherheits- und Complianceprotokolle gelten. Der Traffic zwischen den Segmenten wird in der Regel mithilfe eines VLANs getrennt und über eine Firewall geleitet.

Da dieser Ansatz auf IP-Adressen basiert, lässt sich jedoch nur erkennen, woher die Anfrage kommt (d. h. die IP-Adresse, der Port oder das Protokoll, von der bzw. dem sie ausgeht). Hingegen ist weder der Kontext noch die Identität der Entität ersichtlich, die die Anfrage stellt. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT genau weiß, von welcher Entität die Kommunikation ausgeht. Nachdem die Verbindungsanforderung genehmigt wurde, kann die betreffende Entität sich innerhalb des jeweiligen Segments frei bewegen. Das gilt auch für Bedrohungsakteure, denen es gelungen ist, sich unbefugten Zugriff auf ein Subnetz zu verschaffen.

Durch Netzwerksegmentierung entstehen „flache“ Netzwerke mit ungeschützten Verbindungspfaden, sodass Angreifer sich ungehindert lateral durch Umgebungen in Clouds und Rechenzentren bewegen können. Dadurch ist die Sicherheit der dort gehosteten Workloads gefährdet. Darüber hinaus ist die Netzwerksegmentierung mithilfe von Legacy-Firewalls oder virtuellen Maschinen (VMs) mit einem hohen Kosten- und Arbeitsaufwand verbunden, der ihre sicherheitsrelevanten Vorteile wieder aufhebt.

Cloud Enclaving
Cloud Enclaving bzw. Cloud-basierte Mikrosegmentierung ermöglicht sehr granulare Zugriffskontrollen bei minimaler externer Angriffsfläche. Im Vergleich zur Netzwerksegmentierung ist dieses Verfahren zudem weniger kompliziert und gewährleistet ein höheres Sicherheitsniveau, da jede Verbindungsanforderung identitäts- und kontextbasiert authentifiziert wird. Durch Anwendung granularer Richtlinien auf der Ebene einzelner Workloads wird eine effektivere Kontrolle der Kommunikationen zwischen Workloads möglich.

Cloud Enclaving ist eine wirksame Methode zur Abwehr sowohl interner als auch externer Bedrohungen. Durch Bereitstellung von Schutzmechanismen unmittelbar an der jeweiligen Workload werden unbefugte Zugriffe von Insidern ebenso verhindert wie die laterale Ausbreitung von Angriffen nach erfolgreichem Eindringen in die IT-Umgebung.

Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Blog lesen
Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

One-Click Zero Trust

Datenblatt lesen
One-Click Zero Trust

Gartner: Market Guide for Zero Trust Network Access 2020

Guide lesen
Gartner: Market Guide for Zero Trust Network Access 2020

Der Leitfaden für Netzwerkarchitekten zum Zero Trust Network Access

Whitepaper lesen
Der Leitfaden für Netzwerkarchitekten zum Zero Trust Network Access

Implementierung von Segmentierung in Phasen

Ratgeber lesen
ZTNA-Technologien: Was ist das und wie wählt man die richtige Lösung?

Welche Vorteile hat Cloud Enclaving?

Ähnlich wie Netzwerksegmentierung dient Cloud Enclaving zur Stärkung der Netzwerk- und Datensicherheit. Branchen- und regionsübergreifend sehen sich Organisationen einer zunehmenden Anzahl von Cyberbedrohungen ausgesetzt, wobei die Angreifer immer raffiniertere Techniken zur Umgehung von Schutzmechanismen entwickeln. Um diese Risiken in den Griff zu bekommen, müssen Organisationen darauf mit einer entsprechenden Anpassung und Weiterentwicklung ihrer Sicherheitsstrategien reagieren.

Eine effektive Cloud-basierte Mikrosegmentierung bringt Organisationen eine Reihe von Vorteilen:

  • Proaktive Netzwerk- und IT-Sicherheit: Beim Cloud Enclaving werden anwendungsbezogene Richtlinien erstellt, die konsistent in sämtlichen Umgebungen durchgesetzt werden, sodass das Schadenspotenzial etwaiger Sicherheitsverletzungen radikal eingedämmt wird. Einige einschlägige Services können automatisch alle kommunizierenden Anwendungen identifizieren und entsprechende Zero-Trust-Richtlinien empfehlen, die sich mit einem einzigen Klick anwenden lassen.
  • Reduzierung von Sicherheitsrisiken: Anstelle von statischen Kontrollen, die auf IP-Adressen, Ports und Protokollen beruhen, können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerprinting wird die Absicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.
  • Kontinuierliche Risikobewertung: Cloud Enclaves unterstützen die Quantifizierung von Risiken durch automatische Messung der externen Angriffsfläche. Am effektivsten sind Enclave-Services, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, und zugleich wird die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt.
  • Vereinfachte Richtlinienverwaltung: Da Cloud-Enclave-Richtlinien nicht für IP-Adressen, Ports, Protokolle oder Hardware, sondern für einzelne Workloads gelten, bleiben sie bei Änderungen der Infrastruktur weiterhin gültig. Entsprechend sind zum Schutz eines Segments statt hunderter adressbasierter Regeln nur noch eine Handvoll identitätsbasierter Richtlinien erforderlich, die in allen Umgebungen konsistent durchgesetzt werden.

Wann ist Cloud Enclaving empfehlenswert?

Cloud Enclaving hat sich als Lösung für eine Reihe komplexer Anwendungsfälle bewährt, in denen herkömmliche Sicherheitsansätze keinen ausreichenden Schutz für Cloud-basierte Ressourcen gewährleisten. Cloud Enclaving beruht auf dem Prinzip der Mikrosegmentierung, das im Vergleich zur Netzwerksegmentierung einen sehr viel höheren Grad an granularer Kontrolle bei geringerem Verwaltungsaufwand ermöglicht. Dabei werden Kontrollmechanismen auf einzelne Workloads angewendet und auch bei Verlagerung der Workloads innerhalb der Cloud-Umgebung weiterhin zuverlässig durchgesetzt. Unter den heutigen Vorzeichen global verteilter hybrider Belegschaften, distribuierter Daten und zunehmend raffinierter Angriffe erfüllt Cloud Enclaving gleich mehrere Funktionen, die maßgeblich zur Optimierung des Schutzniveaus beitragen:

Lückenlose Transparenz in der gesamten IT-Umgebung
Cloud Enclaves liefern umfassende Kontextdaten, die das Sicherheitsteam beim Erstellen von Richtlinien unterstützen. Da der Fokus nicht mehr allein auf dem Ausgangspunkt von Zugriffsanforderungen, sondern primär auf der Authentifizierung von Identitäten liegt, können granulare Richtlinien unter Berücksichtigung der jeweiligen Anwendung und Umgebung sowie der Einhaltung von Compliance-Anforderungen erstellt werden, die wiederum den Sicherheitsstatus der Organisation stärken.

Schutz für Hybrid- und Multicloud-Umgebungen
Eine konsequente Mikrosegmentierung gewährleistet zuverlässigen Schutz von Workloads in sämtlichen Cloud-Umgebungen. Somit hat die Organisation freie Wahl zwischen den unterschiedlichen Anbietern und kann Hybrid- und Multicloud-Umgebungen schaffen, die den jeweiligen budgetären und betrieblichen Anforderungen vollauf gerecht werden. Für Organisationen bedeutet das ein Mehr an Flexibilität, das u. a. auch die Nutzung von Containern und serverloser Bereitstellung vereinfacht.

Geringere Investitions- und Betriebskosten
Langfristig lässt sich durch die Umstellung auf Cloud Enclaving sowohl der Arbeits- als auch der Ressourcenaufwand verringern. Die Einführung, Verwaltung und Wartung Cloud-basierter Mikrosegmentierung ist längst nicht so kostspielig, arbeitsintensiv und zeitaufwändig wie mit Firewalls und anderer Hardware.

Cloud Enclaving mit Zscaler Workload Segmentation

Zscaler Workload Segmentation™ (ZWS™) ist eine neue Methode zum Erstellen sicherer Enclaves in der Cloud. Organisationen können ihr Sicherheitsniveau mit einem einzigen Klick erhöhen und mit ZWS Risiken aufdecken und identitätsbasierten Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk erforderlich sind.

ZWS gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der IT-Umgebung anpassen, sodass die Netzwerk-Angriffsfläche minimiert wird. Als API-gestützte Lösung kann Zscaler Workload Segmentation zur automatischen Segmentierung mit einem Klick mit vorhandenen Sicherheitstools und DevOps-Prozessen integriert werden.

Zscaler basiert auf Zero Trust und stellt die Kommunikation ausschließlich zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen her. Dadurch werden Risiken minimiert und der bestmögliche Schutz vor Datenpannen bereitgestellt.

Im Funktionsumfang inbegriffen:

Software-identitätsbasierter Schutz
ZWS beschränkt sich nicht auf die Überprüfung von Netzwerkadressen, um die Identität der kommunizierenden Anwendungssoftware und Workloads in öffentlichen oder privaten Clouds, hybriden Clouds, lokalen Rechenzentren oder Container-Umgebungen zuverlässig zu verifizieren. 

ML-gestützte automatische Richtlinienerstellung
ZWS setzt maschinelle Lernalgorithmen zur Automatisierung des gesamten Policy-Zyklus für Mikrosegmentierung und Workload-Schutz ein. Weder bei der Bereitstellung noch im laufenden Betrieb ist eine manuelle Erstellung von Richtlinien erforderlich. Werden zusätzliche Anwendungen implementiert oder Änderungen an der IT-Umgebung vorgenommen, empfiehlt ZWS entsprechende Anpassungen der Richtlinien.

Visualisierung und Messung der Angriffsfläche
ZWP erstellt automatisch eine Echtzeit-Anwendungstopologie mit Diagramm zur Visualisierung der Abhängigkeiten bis hinunter zur Prozessebene. Anschließend werden die tatsächlich erforderlichen Anwendungspfade markiert und mit der Gesamtmenge aller verfügbaren Netzwerkpfade verglichen sowie entsprechende Empfehlungen für Richtlinien zur Minimierung der Angriffsfläche und zum effizienten Schutz der erforderlichen Pfade erstellt.

 

Interessiert?

Im Rahmen einer kostenlosen Demo können Organisationen die Vorteile des Cloud Enclaving mit Zscaler Workload Segmentation in der Praxis kennenlernen.