Sie fragen sich, ob ein Umstieg auf Cloud-Sicherheit das Schutzniveau Ihres Unternehmens verbessern könnte? Unser kostenloser Security-Preview-Test gibt Auskunft über Ihr aktuelles Schutzniveau zur Abwehr vor Ransomware und anderen Bedrohungen.
Die zunehmende Verbreitung und Akzeptanz von Remote-Arbeit hat zusammen mit dem Wechsel vieler Organisationen in die Cloud die Digitalisierung der Wirtschaft beschleunigt. Häufig wird dabei an Legacy-Netzwerkarchitekturen festgehalten, die ursprünglich zur Unterstützung von Präsenzarbeit und zum Schutz lokal installierter Ressourcen entwickelt wurden. Das führt zu Engpässen, Produktivitätsverlusten und erhöhten Sicherheitsrisiken, wenn Belegschaften, Daten und Cloud-Anwendungen über zahlreiche Standorte und unterschiedliche IT-Umgebungen verteilt sind. Zur Bewältigung dieser Probleme und Gewährleistung erstklassiger Anwendererfahrungen für die User sind neuartige Sicherheitskonzepte erforderlich.
Immer wieder werden potenzielle Sicherheitsrisiken als Argument gegen den Wechsel in die Cloud angeführt. Tatsächlich ist die heutige Wirtschaftslage einerseits von Komplexität und Innovationsdrang, andererseits von zunehmender Professionalisierung der Cyberkriminalität geprägt. Unter diesen Vorzeichen stellt die Flexibilität und Skalierbarkeit von Cloud-Services in vielen Branchen einen unverzichtbaren Wettbewerbsvorteil dar. Ebenso unverzichtbar ist jedoch der Einsatz effektiver Cloud-Sicherheitslösungen zur Bewältigung der einschlägigen Risiken.
Eine Cloud-Umgebung ist immer nur so sicher wie ihr schwächster Punkt. Entsprechend ist zur Gewährleistung einer effektiven Cloud-Sicherheit das Zusammenwirken verschiedener Technologien erforderlich, die Daten und Anwendungen von allen Seiten schützen. Zu den gängigen Lösungen zählen, je nach Art des Cloud-Deployments, Firewalls, Identitäts- und Access-Management (IAM), Segmentierung und Verschlüsselungen.
Cloud-Sicherheitslösungen schützen nicht den Netzwerkperimeter, sondern einzelne Ressourcen und Daten. Entsprechend müssen granulare und spezifische Sicherheitsmaßnahmen wie Cloud Security Posture Management (CSPM), Datenschutz, Datensicherheit und Notfallwiederherstellung sowie eine Vielzahl von Tools zur Erfüllung der Compliance-Anforderungen implementiert werden.
Cloud-Umgebungen sind für eine Vielzahl von internen und externen Sicherheitsrisiken anfällig. Das gilt insbesondere für Hybrid Clouds, die öffentliche Clouds mit externen oder lokalen unternehmenseigenen Rechenzentren kombinieren. Damit solche Umgebungen für User zugänglich und trotzdem zuverlässig geschützt sind, ist der Einsatz von Zugriffskontrollen, Multifaktor-Authentifizierung, Datenschutzlösungen, Verschlüsselung, Konfigurationsmanagement und weiterer Tools erforderlich.
Cloud-Computing, geläufiger unter der Kurzform „die Cloud“, setzt sich weltweit zunehmend als Möglichkeit zum Zugriff auf Anwendungen, Daten, Systeme usw. über das Internet durch und ersetzt somit Legacy-Modelle, bei denen diese Verbindungen ausschließlich über lokal installierte Hardware oder Netzwerke hergestellt wurden. Im Rahmen dieser Transformation wird die Verwaltung und Absicherung unternehmenseigener Daten, Anwendungen und Infrastruktur häufig ganz oder teilweise an Drittanbieter ausgelagert.
Public-Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud stellen SaaS-Lösungen, Cloud-Speicher sowie unterschiedliche Plattform- und Infrastruktur-Services in öffentlichen Cloud-Umgebungen bereit.
Insbesondere Behörden, Finanzdienstleister und andere Organisationen in Branchen, für die besonders strenge Datenschutzauflagen gelten, setzen zum Schutz vertraulicher Ressourcen häufig auf sogenannte private Clouds. Insgesamt ist zwischen vier Varianten der Bereitstellung von Cloud-Infrastruktur sowie vier gängigen Servicemodellen zu unterscheiden.
Konkret handelt es sich um folgende Bereitstellungsvarianten:
Innerhalb dieser unterschiedlichen Umgebungen werden folgende Servicemodelle angeboten:
Die Cloud bietet Organisationen flexible Optionen zur Entwicklung, Bereitstellung, Nutzung und Verwaltung von Ressourcen. Weil die Verantwortung für die Hardware nicht bei der Organisation liegt, kann die Cloud-Nutzung bedarfsgerecht skaliert und angepasst werden, ohne dass Investitionskosten für zusätzliche Appliances anfallen.
Da sich die Ressourcen jedoch nicht mehr innerhalb des Netzwerks befinden, bieten Sicherheitsperimeter und ähnliche Mechanismen keinen zuverlässigen Schutz. Bei der Umstellung auf einen zeitgemäßen Ansatz zur effektiven Erkennung von Sicherheitsproblemen, Bewältigung von Sicherheitsrisiken, Abwehr von Malware und Vermeidung von Datenverlusten ist eine Reihe von Faktoren zu berücksichtigen, insbesondere das jeweilige Arbeitsmodell sowie die Standorte der Mitarbeiter.
Gartner, Die Zukunft der Netzwerksicherheit liegt in der Cloud
Im Folgenden sollen die Vorteile aufgezeigt werden, die Cloud-Sicherheit einem Unternehmen bietet. Außerdem erläutern wir, welche potenziellen Risiken in Cloud-Umgebungen auftreten können.
Die oben aufgeführten Nachteile sind auf den ersten Blick vielleicht ein wenig beunruhigend, aber mit der gebotenen Sorgfalt und einer gezielten Partnerauswahl können Sie diese Probleme mühelos ausräumen. Die daraus resultierenden Vorteile sind es auf jeden Fall wert.
Netzwerk-Security-Stacks wurden nicht für die Cloud, sondern speziell zum Schutz von Unternehmensnetzwerken entwickelt. Sie eignen sich nicht zur Gewährleistung der umfassenden Cyber- und Datensicherheit, die zum effektiven Schutz Cloud-basierter Anwendungen und mobiler User erforderlich wäre. Zur Unterstützung geschäftskritischer SaaS-Anwendungen wie Microsoft 365 und weiterer bandbreitenintensiver Services sowie zur Bewältigung des wachsenden Netzwerk-Traffics ohne zusätzliche Kosten und Komplexität ist eine mehrinstanzenfähige Sicherheitsplattform erforderlich, die sich flexibel skalieren lässt. Eine herkömmliche Netzwerksicherheitsarchitektur kann dies nicht leisten.
Anwendungen, Workloads und Daten in der Cloud sowie mobile User, die sich von wechselnden Standorten aus verbinden, lassen sich am effektivsten schützen, indem Sicherheits- und Zugriffskontrollen ebenfalls in die Cloud verlagert werden. Cloud-basierte Sicherheitslösungen sind immer auf dem neuesten Stand und können Daten und User auch vor neuartiger Ransomware und komplexen Bedrohungen schützen.
Im Funktionsumfang einer ganzheitlichen Cloud-Sicherheitsplattform sind Sicherheitsservices und Cloud-Zugriffskontrollen inbegriffen, die Ihnen lückenlosen Einblick in den gesamten Traffic in allen Netzwerkumgebungen (in der Cloud und im Rechenzentrum) gewähren. Eine einzige Oberfläche gewährt in Sekundenschnelle Einblick in sämtliche Anfragen von Usern, Standorten, Servern und Endgeräten weltweit. Durch API-Integrationen mit weiteren Anbietern von Cloud-Services wie z. B. SD-WAN, Cloud Access Security Broker (CASB), Identitäts- und Access-Management (IAM) und Endgeräteschutz wird der Sicherheitsstatus der Organisation weiter gestärkt.
Große Ziele lassen sich selten einfach erreichen – das gilt auch für effiziente Cloud-Sicherheit. Trotz ihres Potenzials, das Sicherheitsmanagement zu vereinfachen und die Transparenz zu erhöhen, bringt sie sicherlich einige Herausforderungen mit, die es zu bewältigen gilt. Im Folgenden schauen wir uns einige dieser Herausforderungen im Detail an.
Cloud-Provider ergänzen ihre Angebote ständig durch weitere Services. Die durchschnittliche Anzahl der unterschiedlichen Berechtigungen für diese Services liegt inzwischen bei über 5.000. Die schiere Menge dieser Berechtigungen lässt sich mit herkömmlichen IAM-Ansätzen (Identity and Access Management) nur schwer verwalten.
Detaillierte und genaue Protokolle sind die Grundvoraussetzung, um angemessen auf Vorfälle reagieren zu können. Viele Unternehmen stehen vor dem Problem, dass ihre Installationskonten für diesen Zweck nicht geeignet sind und keine ausreichenden Protokollierungsfunktionen beinhalten.
In Services für Warteschlangen und Benachrichtigungen sind oft vertrauliche Daten enthalten, die noch nicht verarbeitet wurden und daher nicht geschützt sind. Die damit verbundene Problematik wird häufig übersehen – vielen Services mangelt es an serverseitiger Verschlüsselung.
Cloud-Umgebungen sind nicht vor Malware- und Ransomware-Angriffen gefeit. Am häufigsten infiltrieren Angreifer Unternehmen, indem sie einen kleinen Fehler oder eine Fehlkonfiguration wie z. B. eine falsch konfigurierte Ressource, schwache Passwörter oder unzureichende Richtlinienkontrollen ausnutzen.
Cloud-Umgebungen unterliegen einem erhöhten Risiko von Angriffen auf die Lieferkette und können sogar zu Compliance-Risiken führen. Sicherheitsteams müssen sich darauf konzentrieren, die von externen Usern ausgehenden Risiken in einer Cloud-Umgebung zu minimieren, da solche Schwachstellen zu Angriffen auf die Lieferkette führen könnten.
User mit konsistenten und durchsetzbaren Richtlinien zu schützen, erfordert viel mehr als nur einfache URL- oder Webfilterung. Aus diesem Grund haben bereits Tausende von Organisationen ihre IT-Sicherheit von Appliances zu Kontrollen in der Cloud verlagert. Im Folgenden sind einige Unterschiede zwischen der Sicherheit von Appliances und einem Cloud-basierten Ansatz aufgeführt.
Appliance-basierte Sicherheit erfordert Security-Stacks an allen Austrittspunkten oder Backhauling von Traffic über kostenintensive MPLS-Verbindungen von Niederlassungen und externen Standorten zu sicheren Zonen (DMZ). Mobile User sind ungeschützt.
Cloud-basierte Sicherheit gewährleistet ein einheitliches Schutzniveau für alle User in Unternehmenszentrale, Zweigstellen, unterwegs oder im Homeoffice.
Appliance-basierte Einzelprodukte verschiedener Anbieter funktionieren als isolierte Einheiten, sodass sich die gelieferten Daten nur schwer aggregieren lassen.
Bei Cloud-basierter Sicherheit korrelieren integrierte Sicherheitsmodule und Cloud-Services Informationen, um lückenlosen Einblick ins gesamte Netzwerk zu gewährleisten.
Bei Appliance-basierter Sicheheit verursacht jede Appliance zwischen Usern und Internet Latenz. Entsprechend wird die Nutzererfahrung negativ beeinflusst, wenn User sich über ein VPN mit dem Rechenzentrum verbinden müssen.
Die Cloud-basierte Sicherheit von Zscaler stellt schnelle lokale Breakouts bereit, und die Single-Scan-Multi-Action-Technologie ermöglicht das zeitgleiche Scannen aller Security-Services, um eine optimale Performance zu gewährleisten.
Die Bereitstellung und Wartung Appliance-basierter Lösungen mehrerer Anbieter ist teuer und aufwendig und erfordert ständiges Patchen, Updates und Hardware-Upgrades.
Mit Cloud-basierter Sicherheit werden Einzelprodukte zu einer integrierten Plattform konsolidiert, wobei die Anschaffung und Verwaltung von Hardware oder Software entfällt.
Appliance-basierte Sicherheit besteht in der Regel aus mehreren Einzelprodukten, die jeweils eine bestimmte Technik zur Bedrohungserkennung anwenden und die Daten dann an die nächste Appliance weiterleiten. Patches werden angewendet, sobald sie verfügbar sind.
Cloud-basierte Sicherheit erfasst Informationen aus zahlreichen Quellen, sodass beim Erkennen einer neuen Bedrohung in der Cloud der entsprechende Schutz überall und unmittelbar bereitgestellt wird. In der Cloud von Zscaler werden täglich über XXXXXXXX Sicherheits-Updates ausgeführt.
Appliance-basierte Sicherheit ist mit hohen Anschaffungs- und Betriebskosten verbunden, zumal Organisationen sich angesichts der sich verschärfenden Bedrohungslage zum Erwerb zusätzlicher Hardware genötigt sehen.
Mit der Cloud-basierten Sicherheit von Zscaler werden die Investitionskosten für Sicherheit zu Betriebskosten – zum Preis einer Tasse Kaffee pro User und Monat.
Cloud-Sicherheit geht über den Schutz des Perimeters hinaus und gewährleistet Sicherheit auf der Datenebene. Konkret sind u. a. folgende gängigen Funktionen inbegriffen:
Diese klassischen Techniken werden zur Absicherung von Cloud-Umgebungen eingesetzt, seit sich Cloud-Computing im Geschäftsalltag als Mainstream-Technologie durchzusetzen begann. Mit der Verbreitung der Technologie haben jedoch auch die Methoden der Bedrohungsakteure an Raffinesse gewonnen. Hinzu kommen stetige Verschärfungen der Vorschriften und Nachweispflichten in Bezug auf Cybersicherheit und Datenschutz. Die steigenden Ansprüche und Anforderungen machten eine entsprechende Weiterentwicklung der Cloud-Sicherheit erforderlich.
Die Cloud hat die globale Technologielandschaft verändert – und gleichzeitig verändern sich auch die Ansprüche an die Cloud-Sicherheit. Aktuell sind dabei vor allem die Themen Security Service Edge (SSE) und Zero Trust relevant.
SSE setzt sich in der Branche zunehmend als Lösung für grundlegende Herausforderungen durch, die Organisationen im Zusammenhang mit Remote-Arbeit, Cloud-Umgebungen, sicherem Edgecomputing, digitaler Transformation sowie der Bereitstellung sicheren Zugriffs auf Internet, SaaS, Cloud-Anwendungen und interne Unternehmensanwendungen zu bewältigen haben.
Zero Trust als Kernbestandteil von SSE setzt sich ebenfalls zunehmend durch. Der Zero-Trust-Ansatz basiert auf dem Grundsatz, dass kein User und keine Entität automatisch als vertrauenswürdig eingestuft werden darf. Stattdessen wird der Zugriff auf Daten und Anwendungen unter Berücksichtigung des jeweiligen Kontexts einer Verbindung (Identität, angeforderte Inhalte, Standort, Gerät usw.) gewährt, wodurch zugleich eine optimale User Experience gewährleistet werden kann.
Weitere Informationen zu Zero Trust
Endgeräte, Ressourcen und Daten sind über unzählige Standorte und Umgebungen verteilt, und die Vorteile der Cloud setzen sich zunehmend gegenüber althergebrachten lokal installierten Technologien durch. Zur Absicherung von Cloud-Umgebungen sind Investitionen in Technologien erforderlich, die Sicherheitsverletzungen verhindern, ohne die Qualität der Anwendererfahrung oder die Produktivität der User zu beeinträchtigen. Unter aktuellen Vorzeichen gibt es nur ein Sicherheitsparadigma, das diese Kriterien voll erfüllt: Zero Trust.
Eine Studie von Cybersecurity Insiders ergab, dass 72 % der befragten Organisationen die Umstellung auf Zero Trust priorisieren. Diese Organisationen haben verstanden, dass veraltete isolierte Sicherheitstools einfach nicht die erforderliche Kapazität oder Skalierbarkeit bieten, um sämtliche Cloud-Ressourcen und alle Verbindungspfade zuverlässig zu schützen.
Bei der Bewertung der einschlägigen Angebote ist zu beachten, dass nicht jeder Anbieter von der Zero Trust auch wirklich Zero Trust liefert. Sprich: In einigen Fällen handelt es sich um Legacy-Appliances, die nachträglich mit einer Cloud-Plattform aufgestockt und dann als „Cloud-ready“ verkauft werden. Statt der Verwendung einer solchen Lösung empfiehlt sich unbedingt die Zusammenarbeit mit einem Partner, der seine Zero-Trust-Lösung in der Cloud und für die Cloud entwickelt hat.
Zscaler vereinfacht die Verwaltung der Cloud-Workload-Sicherheit erheblich. Im Rahmen der Zero Trust Exchange™ kombiniert Zscaler Cloud Protection vier nativ integrierte Datenschutzlösungen:
Zusammen können diese Lösungen die Anzahl der erforderlichen Sicherheitsrichtlinien um bis zu 90 % und die Kosten um bis zu 30 % reduzieren. Dadurch unterstützen sie Organisationen bei der Verkleinerung ihrer Angriffsflächen, substantiellen Risikominderung und Automatisierung der Sicherheit zur Reduzierung von Komplexität.
Zscaler Cloud Protection sichert Cloud-Workloads ohne zusätzlichen Betriebsaufwand. Die innovative Zero-Trust-Architektur behebt Sicherheitslücken und Fehlkonfigurationen automatisch, minimiert die Angriffsfläche, sichert die Kommunikation zwischen Usern und Anwendungen sowie zwischen Anwendungen selbst ab, verhindert eine laterale Bewegung von Bedrohungen und reduziert so Geschäftsrisiken. Weitere Informationen sind über die Website über Zscaler Cloud Protection abrufbar.
Sie fragen sich, ob ein Umstieg auf Cloud-Sicherheit das Schutzniveau Ihres Unternehmens verbessern könnte? Unser kostenloser Security-Preview-Test gibt Auskunft über Ihr aktuelles Schutzniveau zur Abwehr vor Ransomware und anderen Bedrohungen.
Magic Quadrant für Security Service Edge 2022
Zum ReportZscaler Cloud Protection auf einen Blick
AnsehenAbsicherung der Cloud-Transformation durch einen Zero-Trust-Ansatz
Whitepaper lesenAktueller Lagebericht zur (Un-)Sicherheit in der Cloud im Jahr 2020
Zum Blogbeitrag