Was ist Cloud-Sicherheit? Cloud-Sicherheit umfasst eine Reihe zusammengehöriger Sicherheitsrichtlinien, Verfahren, Tools und Technologien zum Schutz von Usern, vertraulichen Daten, Anwendungen und Infrastrukturen in Cloud-Computing-Umgebungen. Die umfangreichsten Cloud-Sicherheitslösungen schützen Workloads, User und SaaS-Ressourcen in der Cloud vor Datenschutzverletzungen, Malware und anderen Sicherheitsbedrohungen.

Warum ist Cloud-Sicherheit ein wichtiges Thema?

Die zunehmende Verbreitung und Akzeptanz von Remote-Arbeit hat zusammen mit dem Wechsel vieler Organisationen in die Cloud die Digitalisierung der Wirtschaft beschleunigt. Häufig wird dabei an Legacy-Netzwerkarchitekturen festgehalten, die ursprünglich zur Unterstützung von Präsenzarbeit und zum Schutz lokal installierter Ressourcen entwickelt wurden. Das führt zu Engpässen, Produktivitätsverlusten und erhöhten Sicherheitsrisiken, wenn Belegschaften, Daten und Cloud-Anwendungen über zahlreiche Standorte und unterschiedliche IT-Umgebungen verteilt sind. Zur Bewältigung dieser Probleme und Gewährleistung erstklassiger Anwendererfahrungen für die User sind neuartige Sicherheitskonzepte erforderlich.

Immer wieder werden potenzielle Sicherheitsrisiken als Argument gegen den Wechsel in die Cloud angeführt. Tatsächlich ist die heutige Wirtschaftslage einerseits von Komplexität und Innovationsdrang, andererseits von zunehmender Professionalisierung der Cyberkriminalität geprägt. Unter diesen Vorzeichen stellt die Flexibilität und Skalierbarkeit von Cloud-Services in vielen Branchen einen unverzichtbaren Wettbewerbsvorteil dar. Ebenso unverzichtbar ist jedoch der Einsatz effektiver Cloud-Sicherheitslösungen zur Bewältigung der einschlägigen Risiken.

Wie funktioniert Cloud-Sicherheit?

Eine Cloud-Umgebung ist immer nur so sicher wie ihr schwächster Punkt. Entsprechend ist zur Gewährleistung einer effektiven Cloud-Sicherheit das Zusammenwirken verschiedener Technologien erforderlich, die Daten und Anwendungen von allen Seiten schützen. Zu den gängigen Lösungen zählen, je nach Art des Cloud-Deployments, Firewalls, Identitäts- und Access-Management (IAM), Segmentierung und Verschlüsselungen.

Cloud-Sicherheitslösungen schützen nicht den Netzwerkperimeter, sondern einzelne Ressourcen und Daten. Entsprechend müssen granulare und spezifische Sicherheitsmaßnahmen wie Cloud Security Posture Management (CSPM), Datenschutz, Datensicherheit und Notfallwiederherstellung sowie eine Vielzahl von Tools zur Erfüllung der Compliance-Anforderungen implementiert werden.

Cloud-Umgebungen sind für eine Vielzahl von internen und externen Sicherheitsrisiken anfällig. Das gilt insbesondere für Hybrid Clouds, die öffentliche Clouds mit externen oder lokalen unternehmenseigenen Rechenzentren kombinieren. Damit solche Umgebungen für User zugänglich und trotzdem zuverlässig geschützt sind, ist der Einsatz von Zugriffskontrollen, Multifaktor-Authentifizierung, Datenschutzlösungen, Verschlüsselung, Konfigurationsmanagement und weiterer Tools erforderlich.

Was ist unter Cloud-Computing zu verstehen?

Cloud-Computing, geläufiger unter der Kurzform „die Cloud“, setzt sich weltweit zunehmend als Möglichkeit zum Zugriff auf Anwendungen, Daten, Systeme usw. über das Internet durch und ersetzt somit Legacy-Modelle, bei denen diese Verbindungen ausschließlich über lokal installierte Hardware oder Netzwerke hergestellt wurden. Im Rahmen dieser Transformation wird die Verwaltung und Absicherung unternehmenseigener Daten, Anwendungen und Infrastruktur häufig ganz oder teilweise an Drittanbieter ausgelagert.

Arten von Cloud-Services

Public-Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud stellen SaaS-Lösungen, Cloud-Speicher sowie unterschiedliche Plattform- und Infrastruktur-Services in öffentlichen Cloud-Umgebungen bereit.

Insbesondere Behörden, Finanzdienstleister und andere Organisationen in Branchen, für die besonders strenge Datenschutzauflagen gelten, setzen zum Schutz vertraulicher Ressourcen häufig auf sogenannte private Clouds. Insgesamt ist zwischen vier Varianten der Bereitstellung von Cloud-Infrastruktur sowie vier gängigen Servicemodellen zu unterscheiden.

Konkret handelt es sich um folgende Bereitstellungsvarianten:

• Private Cloud – eine dedizierte Infrastruktur, die nur von einer einzelnen Organisation genutzt wird. Sie befindet sich im Besitz eines Dritten oder der Organisation selbst. Für die Sicherheit ist allein der Eigentümer verantwortlich.
• Öffentliche Cloud – eine Infrastruktur, die von einem Drittanbieter betrieben und von mehreren Organisationen gemeinsam genutzt wird. In diesem Fall sind die betreffenden Organisationen und der Anbieter gemäß dem Prinzip der geteilten Verantwortung gemeinsam für die Gewährleistung der Sicherheit verantwortlich.
• Hybrid Cloud – eine Kombination aus privater und öffentlicher Cloud, deren jeweilige Stärken dabei flexibel nutzbar sind – z. B. Skalierbarkeit (öffentliche Cloud) oder strengere Kontrollen (private Cloud).
• Multicloud – eine gemeinsam genutzte Infrastruktur für mehrere Organisationen, die gemeinsam auf dieselben Anwendungen zugreifen können bzw. die identische Anforderungen an Segmentierung und Datenschutz haben (z. B. PCI DSS).

Innerhalb dieser unterschiedlichen Umgebungen werden folgende Servicemodelle angeboten:

• Software-as-a-Service (SaaS) – komplette Softwarelösungen, die über die Cloud als kostenlose oder kostenpflichtige Angebote bereitgestellt werden (z. B. Google Docs).
• Platform-as-a-Service (PaaS) – Cloud-basierte Tools, mit denen Entwickler Anwendungen in einer skalierbaren Umgebung erstellen, testen und bereitstellen können.
• Infrastructure-as-a-Service (IaaS) – virtualisierte Infrastruktur, die von einem Drittanbieter verwaltet und der Organisation zum Installieren eigener Software bereitgestellt wird.
• Functions-as-a-Service (FaaS) – auch als serverloses Computing bezeichnet; ähnelt dem PaaS-Modell, ist aber auf einzelne Funktionen von Anwendungen ausgerichtet, die sehr schnell hoch- und wieder heruntergefahren werden können.

Sicherheitsrisiken im Zusammenhang mit Cloud-Computing

Die Cloud bietet Organisationen flexible Optionen zur Entwicklung, Bereitstellung, Nutzung und Verwaltung von Ressourcen. Weil die Verantwortung für die Hardware nicht bei der Organisation liegt, kann die Cloud-Nutzung bedarfsgerecht skaliert und angepasst werden, ohne dass Investitionskosten für zusätzliche Appliances anfallen.

Da sich die Ressourcen jedoch nicht mehr innerhalb des Netzwerks befinden, bieten Sicherheitsperimeter und ähnliche Mechanismen keinen zuverlässigen Schutz. Bei der Umstellung auf einen zeitgemäßen Ansatz zur effektiven Erkennung von Sicherheitsproblemen, Bewältigung von Sicherheitsrisiken, Abwehr von Malware und Vermeidung von Datenverlusten ist eine Reihe von Faktoren zu berücksichtigen, insbesondere das jeweilige Arbeitsmodell sowie die Standorte der Mitarbeiter.

Vor- und Nachteile von Cloud-Sicherheit

Im Folgenden sollen die Vorteile aufgezeigt werden, die Cloud-Sicherheit einem Unternehmen bietet. Außerdem erläutern wir, welche potenziellen Risiken in Cloud-Umgebungen auftreten können.

Vorteile

• Optimierter Einblick in Cloud-Ressourcen
• Sicherheit, die an die Anforderungen der Kunden angepasst werden kann
• Besserer Schutz für Cloud-Daten und einzelne Endgeräte

Nachteile

• Risiko von Fehlkonfigurationen
• Möglicherweise schlechte Partnerschafts-/Bereitstellungsstrategie
• Unbefugter Zugriff auf Ressourcen, wodurch sich die Angriffsfläche vergrößert

Die oben aufgeführten Nachteile sind auf den ersten Blick vielleicht ein wenig beunruhigend, aber mit der gebotenen Sorgfalt und einer gezielten Partnerauswahl können Sie diese Probleme mühelos ausräumen. Die daraus resultierenden Vorteile sind es auf jeden Fall wert.

Cloud-Sicherheit und herkömmliche Netzwerksicherheit im Vergleich

Netzwerk-Security-Stacks wurden nicht für die Cloud, sondern speziell zum Schutz von Unternehmensnetzwerken entwickelt. Sie eignen sich nicht zur Gewährleistung der umfassenden Cyber- und Datensicherheit, die zum effektiven Schutz Cloud-basierter Anwendungen und mobiler User erforderlich wäre. Zur Unterstützung geschäftskritischer SaaS-Anwendungen wie Microsoft 365 und weiterer bandbreitenintensiver Services sowie zur Bewältigung des wachsenden Netzwerk-Traffics ohne zusätzliche Kosten und Komplexität ist eine mehrinstanzenfähige Sicherheitsplattform erforderlich, die sich flexibel skalieren lässt. Eine herkömmliche Netzwerksicherheitsarchitektur kann dies nicht leisten.

Anwendungen, Workloads und Daten in der Cloud sowie mobile User, die sich von wechselnden Standorten aus verbinden, lassen sich am effektivsten schützen, indem Sicherheits- und Zugriffskontrollen ebenfalls in die Cloud verlagert werden. Cloud-basierte Sicherheitslösungen sind immer auf dem neuesten Stand und können Daten und User auch vor neuartiger Ransomware und komplexen Bedrohungen schützen.

Vorteile von Cloud-Sicherheit

Im Funktionsumfang einer ganzheitlichen Cloud-Sicherheitsplattform sind Sicherheitsservices und Cloud-Zugriffskontrollen inbegriffen, die Ihnen lückenlosen Einblick in den gesamten Traffic in allen Netzwerkumgebungen (in der Cloud und im Rechenzentrum) gewähren. Eine einzige Oberfläche gewährt in Sekundenschnelle Einblick in sämtliche Anfragen von Usern, Standorten, Servern und Endgeräten weltweit. Durch API-Integrationen mit weiteren Anbietern von Cloud-Services wie z. B. SD-WAN, Cloud Access Security Broker (CASB), Identitäts- und Access-Management (IAM) und Endgeräteschutz wird der Sicherheitsstatus der Organisation weiter gestärkt.

Gängige Herausforderungen im Bereich Cloud-Sicherheit

Große Ziele lassen sich selten einfach erreichen – das gilt auch für effiziente Cloud-Sicherheit. Trotz ihres Potenzials, das Sicherheitsmanagement zu vereinfachen und die Transparenz zu erhöhen, bringt sie sicherlich einige Herausforderungen mit, die es zu bewältigen gilt. Im Folgenden schauen wir uns einige dieser Herausforderungen im Detail an.

Identitäts- und Zugriffskontrolle

Cloud-Provider ergänzen ihre Angebote ständig durch weitere Services. Die durchschnittliche Anzahl der unterschiedlichen Berechtigungen für diese Services liegt inzwischen bei über 5.000. Die schiere Menge dieser Berechtigungen lässt sich mit herkömmlichen IAM-Ansätzen (Identity and Access Management) nur schwer verwalten.

Protokollierung, Monitoring und Reaktion auf Vorfälle

Detaillierte und genaue Protokolle sind die Grundvoraussetzung, um angemessen auf Vorfälle reagieren zu können. Viele Unternehmen stehen vor dem Problem, dass ihre Installationskonten für diesen Zweck nicht geeignet sind und keine ausreichenden Protokollierungsfunktionen beinhalten.

Speicher und Verschlüsselung

In Services für Warteschlangen und Benachrichtigungen sind oft vertrauliche Daten enthalten, die noch nicht verarbeitet wurden und daher nicht geschützt sind. Die damit verbundene Problematik wird häufig übersehen – vielen Services mangelt es an serverseitiger Verschlüsselung.

Ransomware in der Cloud

Cloud-Umgebungen sind nicht vor Malware- und Ransomware-Angriffen gefeit. Am häufigsten infiltrieren Angreifer Unternehmen, indem sie einen kleinen Fehler oder eine Fehlkonfiguration wie z. B. eine falsch konfigurierte Ressource, schwache Passwörter oder unzureichende Richtlinienkontrollen ausnutzen.

Angriffe auf die Lieferkette in der Cloud

Cloud-Umgebungen unterliegen einem erhöhten Risiko von Angriffen auf die Lieferkette und können sogar zu Compliance-Risiken führen. Sicherheitsteams müssen sich darauf konzentrieren, die von externen Usern ausgehenden Risiken in einer Cloud-Umgebung zu minimieren, da solche Schwachstellen zu Angriffen auf die Lieferkette führen könnten.

Vorteile Cloud-basierter Sicherheit gegenüber Appliances

User mit konsistenten und durchsetzbaren Richtlinien zu schützen, erfordert viel mehr als nur einfache URL- oder Webfilterung. Aus diesem Grund haben bereits Tausende von Organisationen ihre IT-Sicherheit von Appliances zu Kontrollen in der Cloud verlagert. Im Folgenden sind einige Unterschiede zwischen der Sicherheit von Appliances und einem Cloud-basierten Ansatz aufgeführt.

Unternehmensweiter Schutz

Appliance-basierte Sicherheit erfordert Security-Stacks an allen Austrittspunkten oder Backhauling von Traffic über kostenintensive MPLS-Verbindungen von Niederlassungen und externen Standorten zu sicheren Zonen (DMZ). Mobile User sind ungeschützt.

Cloud-basierte Sicherheit gewährleistet ein einheitliches Schutzniveau für alle User in Unternehmenszentrale, Zweigstellen, unterwegs oder im Homeoffice.

Integrierte Sicherheit

Appliance-basierte Einzelprodukte verschiedener Anbieter funktionieren als isolierte Einheiten, sodass sich die gelieferten Daten nur schwer aggregieren lassen.

Bei Cloud-basierter Sicherheit korrelieren integrierte Sicherheitsmodule und Cloud-Services Informationen, um lückenlosen Einblick ins gesamte Netzwerk zu gewährleisten.

User Experience

Bei Appliance-basierter Sicheheit verursacht jede Appliance zwischen Usern und Internet Latenz. Entsprechend wird die Nutzererfahrung negativ beeinflusst, wenn User sich über ein VPN mit dem Rechenzentrum verbinden müssen.

Die Cloud-basierte Sicherheit von Zscaler stellt schnelle lokale Breakouts bereit, und die Single-Scan-Multi-Action-Technologie ermöglicht das zeitgleiche Scannen aller Security-Services, um eine optimale Performance zu gewährleisten.

IT-Komplexität

Die Bereitstellung und Wartung Appliance-basierter Lösungen mehrerer Anbieter ist teuer und aufwendig und erfordert ständiges Patchen, Updates und Hardware-Upgrades.

Mit Cloud-basierter Sicherheit werden Einzelprodukte zu einer integrierten Plattform konsolidiert, wobei die Anschaffung und Verwaltung von Hardware oder Software entfällt.

Intelligenz

Appliance-basierte Sicherheit besteht in der Regel aus mehreren Einzelprodukten, die jeweils eine bestimmte Technik zur Bedrohungserkennung anwenden und die Daten dann an die nächste Appliance weiterleiten. Patches werden angewendet, sobald sie verfügbar sind.

Cloud-basierte Sicherheit erfasst Informationen aus zahlreichen Quellen, sodass beim Erkennen einer neuen Bedrohung in der Cloud der entsprechende Schutz überall und unmittelbar bereitgestellt wird. In der Cloud von Zscaler werden täglich über XXXXXXXX Sicherheits-Updates ausgeführt.

Wert

Appliance-basierte Sicherheit ist mit hohen Anschaffungs- und Betriebskosten verbunden, zumal Organisationen sich angesichts der sich verschärfenden Bedrohungslage zum Erwerb zusätzlicher Hardware genötigt sehen.

Mit der Cloud-basierten Sicherheit von Zscaler werden die Investitionskosten für Sicherheit zu Betriebskosten – zum Preis einer Tasse Kaffee pro User und Monat.

Die 4 Säulen der Cloud-Sicherheit

Cloud-Sicherheit geht über den Schutz des Perimeters hinaus und gewährleistet Sicherheit auf der Datenebene. Konkret sind u. a. folgende gängigen Funktionen inbegriffen:

• Identitäts- und Access-Management (IAM) ermöglicht die Verwaltung des User-Zugriffs auf Ressourcen in Cloud-Umgebungen und unterstützt Organisationen dabei, unbefugten Zugriff auf Daten, Anwendungen und Infrastruktur zu verhindern, die in Cloud-Umgebungen bereitgestellt werden.
• Data Loss Prevention (DLP) unterstützt die Überwachung und Überprüfung von Daten zum Verhindern ihrer Exfiltration. DLP ist eine Kernfunktion der Cloud-Computing-Sicherheit, die ein herkömmliches Sicherheitsmodell nicht effektiv bereitstellen kann.
• Datenverschlüsselung macht Daten für Angreifer ohne einen entsprechenden Verschlüsselungscode unlesbar. Die Verschlüsselung von Daten trägt auch zur Stärkung des Kundenvertrauens und zur Wahrung von Anonymität bei und ist im Rahmen zahlreicher Datenschutzbestimmungen weltweit vorgeschrieben.
• Security Information and Event Management (SIEM) ermöglicht die Analyse von Sicherheitsprotokollen in Echtzeit, sodass das Sicherheitsteam das gesamte Cloud-Ökosystem jederzeit besser im Blick hat.

Diese klassischen Techniken werden zur Absicherung von Cloud-Umgebungen eingesetzt, seit sich Cloud-Computing im Geschäftsalltag als Mainstream-Technologie durchzusetzen begann. Mit der Verbreitung der Technologie haben jedoch auch die Methoden der Bedrohungsakteure an Raffinesse gewonnen. Hinzu kommen stetige Verschärfungen der Vorschriften und Nachweispflichten in Bezug auf Cybersicherheit und Datenschutz. Die steigenden Ansprüche und Anforderungen machten eine entsprechende Weiterentwicklung der Cloud-Sicherheit erforderlich.

Cloud-Sicherheit: Wie geht die Entwicklung weiter?

Die Cloud hat die globale Technologielandschaft verändert – und gleichzeitig verändern sich auch die Ansprüche an die Cloud-Sicherheit. Aktuell sind dabei vor allem die Themen Security Service Edge (SSE) und Zero Trust relevant.

SSE setzt sich in der Branche zunehmend als Lösung für grundlegende Herausforderungen durch, die Organisationen im Zusammenhang mit Remote-Arbeit, Cloud-Umgebungen, sicherem Edgecomputing, digitaler Transformation sowie der Bereitstellung sicheren Zugriffs auf Internet, SaaS, Cloud-Anwendungen und interne Unternehmensanwendungen zu bewältigen haben.

Weitere Informationen zu SSE

Zero Trust als Kernbestandteil von SSE setzt sich ebenfalls zunehmend durch. Der Zero-Trust-Ansatz basiert auf dem Grundsatz, dass kein User und keine Entität automatisch als vertrauenswürdig eingestuft werden darf. Stattdessen wird der Zugriff auf Daten und Anwendungen unter Berücksichtigung des jeweiligen Kontexts einer Verbindung (Identität, angeforderte Inhalte, Standort, Gerät usw.) gewährt, wodurch zugleich eine optimale User Experience gewährleistet werden kann.

Weitere Informationen zu Zero Trust

Welche Gründe sprechen für den Umstieg auf Zero Trust?

Endgeräte, Ressourcen und Daten sind über unzählige Standorte und Umgebungen verteilt, und die Vorteile der Cloud setzen sich zunehmend gegenüber althergebrachten lokal installierten Technologien durch. Zur Absicherung von Cloud-Umgebungen sind Investitionen in Technologien erforderlich, die Sicherheitsverletzungen verhindern, ohne die Qualität der Anwendererfahrung oder die Produktivität der User zu beeinträchtigen. Unter aktuellen Vorzeichen gibt es nur ein Sicherheitsparadigma, das diese Kriterien voll erfüllt: Zero Trust.

Eine Studie von Cybersecurity Insiders ergab, dass 72 % der befragten Organisationen die Umstellung auf Zero Trust priorisieren. Diese Organisationen haben verstanden, dass veraltete isolierte Sicherheitstools einfach nicht die erforderliche Kapazität oder Skalierbarkeit bieten, um sämtliche Cloud-Ressourcen und alle Verbindungspfade zuverlässig zu schützen.

Bei der Bewertung der einschlägigen Angebote ist zu beachten, dass nicht jeder Anbieter von der Zero Trust auch wirklich Zero Trust liefert. Sprich: In einigen Fällen handelt es sich um Legacy-Appliances, die nachträglich mit einer Cloud-Plattform aufgestockt und dann als „Cloud-ready“ verkauft werden. Statt der Verwendung einer solchen Lösung empfiehlt sich unbedingt die Zusammenarbeit mit einem Partner, der seine Zero-Trust-Lösung in der Cloud und für die Cloud entwickelt hat.

Die Zscaler-Lösung zum Schutz vor Ransomware

Zscaler vereinfacht die Verwaltung der Cloud-Workload-Sicherheit erheblich. Im Rahmen der Zero Trust Exchange™ kombiniert Zscaler Cloud Protection vier nativ integrierte Datenschutzlösungen:

• Zscaler Workload Posture schützt Workload-Konfigurationen und -Berechtigungen
• Zscaler Private Access schützt Verbindungen zu firmeninternen Anwendungen in der Cloud
• Zscaler Workload Communications schützt Verbindungen zwischen Anwendungen
• Zscaler Workload Segmentation schützt vor der lateralen Ausbreitung von Bedrohungen

Zusammen können diese Lösungen die Anzahl der erforderlichen Sicherheitsrichtlinien um bis zu 90 % und die Kosten um bis zu 30 % reduzieren. Dadurch unterstützen sie Organisationen bei der Verkleinerung ihrer Angriffsflächen, substantiellen Risikominderung und Automatisierung der Sicherheit zur Reduzierung von Komplexität.

Zscaler Cloud Protection

Zscaler Cloud Protection sichert Cloud-Workloads ohne zusätzlichen Betriebsaufwand. Die innovative Zero-Trust-Architektur behebt Sicherheitslücken und Fehlkonfigurationen automatisch, minimiert die Angriffsfläche, sichert die Kommunikation zwischen Usern und Anwendungen sowie zwischen Anwendungen selbst ab, verhindert eine laterale Bewegung von Bedrohungen und reduziert so Geschäftsrisiken. Weitere Informationen sind über die Website über Zscaler Cloud Protection abrufbar.