Was ist Cloud-Workload-Sicherheit?
Begriffsklärung: Cloud-Workload-Sicherheit
Der Begriff Cloud-Workload-Sicherheit bezieht sich auf eine Lösung, die Workloads in Datenbanken, Containern wie Kubernetes, virtuellen Maschinen (VMs) und physischen Servern während der Übertragung zwischen Cloud-Umgebungen schützt.
Warum ist Cloud-Workload-Sicherheit so wichtig?
Da immer mehr Unternehmen von On-Premise-Lösungen auf digitale Geschäftsmodelle umsteigen, die auf Cloud Computing basieren, migrieren sie auch ihre Daten und Anwendungen über Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud in die Cloud. Diese Migration birgt Herausforderungen hinsichtlich des Schutzes von Daten, die zwischen Anwendungen und SaaS übertragen werden, da diese in verschiedenen Cloud-Umgebungen und in Rechenzentren miteinander kommunizieren und alle über das Internet verbunden sind.
Bei der Absicherung von Cloud-Workloads gibt es eine ganze Reihe von Sicherheitsrisiken, die es zu beheben gilt. Mit einer Sicherheitslösung für Cloud-Workloads können Unternehmen Workloads identifizieren, verwalten und schützen und dadurch Risiken reduzieren, die Compliance verbessern, mehr Skalierbarkeit für Anwendungen gewährleisten und letztlich den gesamten Sicherheitsstatus optimieren.
Wie funktioniert Cloud-Workload-Sicherheit?
Bei Cloud-Workload-Sicherheit, auch bekannt als Cloud-Workload-Schutz, dreht sich alles um die Workload-Segmentierung. Das bedeutet, dass Anwendungs-Workloads in kleinere Teile segmentiert werden, um den Traffic einfacher und sicher überprüfen zu können.
Mithilfe von Sicherheitslösungen für Cloud-Workloads können Unternehmen Cloud-Konten, Computing- und Storage-Instanzen sowie die Steuerungsebene überwachen und schützen. Dadurch sinkt die Wahrscheinlichkeit von Fehlkonfigurationen bei der Bereitstellung, sodass mehr Cloud-native Anwendungen im großen Maßstab entwickelt und veröffentlicht werden können, während gleichzeitig weniger Sicherheitsrisiken auftreten.
Sicherheitsrisiken von Cloud-Workloads
In einer modernen, auf Cloud-Infrastruktur basierenden Umgebung sollten Anwendungen und Services im Mittelpunkt der umfassenden Sicherheitsstrategie stehen. Der meiste Traffic in einer Cloud-Umgebung – der sogenannte East-West-Traffic – bewegt sich lateral innerhalb der Umgebung. Allerdings sind herkömmliche Sicherheitskontrollen auf North-South-Traffic ausgelegt, der in die oder aus der Umgebung übertragen wird, und die Überprüfung erfolgt mittels eines Perimeter-Gateways. Folglich ist es mittlerweile nicht mehr ausreichend, Software nach der Traffic-Route zu definieren.
Sicherheitskontrollen müssen workloadorientiert ablaufen und dürfen nicht an die Cloud-Plattform gekoppelt sein. Es ist wichtig, die Zugriffskontrollen und -berechtigungen von den Netzwerkpfaden zu lösen, die die Anwendungen nutzen, und sie direkt mit der Identität der kommunizierenden Anwendungen und Services zu verknüpfen. Auf diese Weise können Sie verhindern, dass netzwerkbasierte Bedrohungen in Ihre Cloud-Systeme gelangen.
Warum reichen veraltete Sicherheitsstrategien nicht mehr aus?
Legacy-Sicherheitstools nutzen ein vertrauensbasiertes Modell, das in einer modernen Bedrohungslandschaft seine Relevanz eingebüßt hat, da sich Anwendungen zunehmend in der Cloud befinden und über das Internet kommunizieren. Netzwerksicherheitsperimeter verschwinden und verschlüsselter Traffic durchläuft veraltete Sicherheitskontrollen, die nicht darauf ausgelegt sind, den Traffic zu entschlüsseln, zu überprüfen und erneut zu verschlüsseln. Daraus ergibt sich ein erhebliches Risiko für Unternehmen, da verschlüsselter Traffic nicht selten als Tarnung für Ransomware oder andere Malware dient.
Unternehmen, die private und öffentliche Clouds nutzen, müssen nicht nur ihre Endgeräte schützen, sondern auch Sicherheitsmaßnahmen auf Workload-Ebene einführen, um sich effektiv gegen Cyberangriffe zur Wehr zu setzen.
Entscheidende Merkmale einer Sicherheitsplattform für Cloud-Workloads
Im Folgenden möchten wir die Strategien beleuchten, die erforderlich sind, um Cloud-Workloads effektiv zu schützen.
Mithilfe von Mikrosegmentierung können sichere Zonen in Rechenzentren, Netzwerken oder Cloud-Umgebungen geschaffen werden, die zur Isolierung und individuellen Absicherung von Workloads dienen. So wird durch granulare Partitionierung des Traffics ein effektiver Schutz vor Angriffen gewährleistet.
Mithilfe der Mikrosegmentierung können IT-Sicherheitsteams differenzierte Sicherheitseinstellungen für verschiedene Traffic-Typen einrichten. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation ausschließlich auf ausdrücklich berechtigte Workloads beschränken. Durch die Anwendung von Segmentierungsregeln und granularen Richtlinien auf Workloads oder Anwendungen kann die IT das Risiko reduzieren, dass sich Bedrohungen unentdeckt zwischen infizierten Workloads oder Anwendungen ausbreiten.
Dieser Ansatz sollte jedoch nicht mit der Netzwerksegmentierung verwechselt werden, bei der Stateful-Inspection-Firewalls oder Firewalls der nächsten Generation eingesetzt werden, um das Netzwerk in kleinere, leichter zu überwachende Segmente aufzuteilen. Zwar war diese Methode in der Vergangenheit recht wirkungsvoll, heutzutage weist sie jedoch vor allem in Hinblick auf Cloud- und Multicloud-Umgebungen einige Einschränkungen auf.
Eine weitere relevante Strategie ist Zero Trust Network Access (ZTNA), auch bekannt als Software Defined Perimeter (SDP). ZTNA beinhaltet eine Reihe von Technologien und basiert auf einem adaptiven Modell, bei dem keine Entität automatisch als vertrauenswürdig eingestuft wird. Zugriff wird nur nach Erforderlichkeitsprinzip mit minimaler Rechtevergabe auf Basis granularer Richtlinien gewährt.
Laut Gartner werden 60 % aller Unternehmen ihre Remote-Access-VPNs (Virtual Private Networks) bis 2023 zugunsten von ZTNA abschaffen. Dafür gibt es zahlreiche Gründe – unter anderem die optimierte Cloud-Workload-Sicherheit.
Mikrosegmentierung und ZTNA können dazu beitragen, den Traffic und die Anwendungen eines Unternehmens während der Laufzeit zu schützen, aber nur mit einer Sicherheitsplattform für Cloud-Workloads kann vollständige Cloud-Workload-Sicherheit gewährleistet werden.
Entscheidende Vorteile von Cloud-Workload-Sicherheit
Im Folgenden finden Sie einige Möglichkeiten, wie Sie mit Cloud-Workload-Sicherheit Risiken verringern und die Sicherheit in Ihrem Unternehmen optimieren können:
Reduzierte Komplexität
In einer serviceorientierten Architektur ist es mühsam, Ressourcen- und Richtlinieninventar zu erfassen, und jede Änderung einer Cloud-Instanz wirkt sich auf bestehende Abhängigkeiten aus, wodurch Probleme hinsichtlich Management und Verfügbarkeit entstehen. Darüber hinaus ist die Zuordnung von Datenflüssen in einer Cloud komplex, da Services ihren Standort ändern können, wodurch sich die Anzahl der zu überwachenden und verwaltenden Datenpunkte erhöht. Cloud-Workload-Sicherheit vereinfacht die Erfassung und den Schutz und antizipiert die Auswirkungen von Veränderungen. Dabei stehen die Anwendungen im Fokus und nicht deren Umgebung.
Lückenloser Schutz
Herkömmliche Sicherheitstools, die IP-Adressen, Ports und Protokolle als Steuerungsebene verwenden, sind nicht auf Cloud-Anwendungsfälle ausgelegt. Durch die dynamische Natur von Cloud-Services, deren zugrunde liegende Infrastruktur sich jederzeit ändern kann, sind diese statischen Sicherheitskontrollen nicht länger zuverlässig. Um den typischen Herausforderungen adressbasierter Kontrollen zu begegnen, bieten Sicherheitsplattformen für Cloud-Workloads konsistenten Workload-Schutz und erfordern keine umständlichen Architekturänderungen.
Kontinuierliche Risikobewertung
Die meisten Sicherheitsexperten wissen, dass ihre Unternehmensnetzwerke angreifbar sind, können aber häufig das Ausmaß des Risikos nicht genau abschätzen – insbesondere wenn es um Gefährdungen im Zusammenhang mit Anwendungen geht. Sicherheitslösungen für Cloud-Workloads können die sichtbare Angriffsfläche des Netzwerks automatisch messen. Dadurch erhalten Sie einen exakten Überblick über die Anzahl der genutzten potenziellen Kommunikationspfade zwischen Anwendungen und können entsprechend das Risiko auf Basis der Kritikalität der kommunizierenden Software quantifizieren. Darüber hinaus wird eine Empfehlung für die geringste Anzahl von Sicherheitsrichtlinien erstellt, die die Wahrscheinlichkeit einer Datenpanne erheblich reduzieren.
Best Practices für Cloud-Workload-Sicherheit
Eine effiziente Sicherheitsplattform für Cloud-Workloads sollte
- Workloads von der Erstellung bis zur Laufzeit absichern und dabei auf DevOps abgestimmt sein,
- sichere Verbindungen zwischen Cloud-Workloads und dem Internet, Rechenzentrum und anderen Anwendungen bieten,
- auf einer Zero-Trust-Architektur basieren und somit einheitlichen Schutz für alle User und Workloads bereitstellen.
Im Wesentlichen sollte Ihr Sicherheitsteam mithilfe der Sicherheitsplattform für Cloud-Workloads folgende Fragen beantworten können:
- Welche Anwendungen kommunizieren miteinander?
- Welche Kommunikation sollte stattfinden?
- Kommunizieren die richtigen Systeme miteinander, ohne dass dabei schädlicher Traffic übertragen wird?
Um moderne Cloud-Workloads schützen zu können, benötigen Sie einen Ansatz, der umfassende Zero-Trust-Sicherheit bietet und zudem das Management für DevOps- und SecOps-Teams vereinfacht. Dazu ist eine bewährte Cloud-basierte Plattform erforderlich – eine Art von Plattform, die nur Zscaler bietet.
Cloud-Workload-Schutz mit Zscaler
Zscaler Workload Segmentation™ (ZWS™) ist eine neue Methode zur Segmentierung von Anwendungs-Workloads. Sie können Ihr Sicherheitsniveau mit einem einzigen Klick erhöhen und mithilfe von ZWS Risiken aufdecken und identitätsbasierten Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk erforderlich sind.
ZWS gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der IT-Umgebung anpassen, sodass die Netzwerk-Angriffsfläche minimiert wird. Als API-gestützte Lösung kann Zscaler Workload Segmentation zur automatischen Segmentierung mit einem Klick mit vorhandenen Sicherheitstools und DevOps-Prozessen integriert werden.
Zscaler basiert auf Zero Trust und stellt die Kommunikation ausschließlich zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen her. Dadurch werden Risiken minimiert und der bestmögliche Schutz vor Datenpannen bereitgestellt.
Im Funktionsumfang inbegriffen:
Software-identitätsbasierter Schutz
ZWS überprüft nicht nur die Netzwerkadressen, um die Identität der kommunizierenden Anwendungssoftware und Workloads in öffentlichen oder privaten Clouds, Hybrid Clouds, On-Premise-Rechenzentren oder Container-Umgebungen zuverlässig zu verifizieren.
Engine zur Policy-Automatisierung
ZWS setzt maschinelle Lernalgorithmen zur Automatisierung des gesamten Policy-Zyklus für Mikrosegmentierung und Workload-Schutz ein. Weder bei der Bereitstellung noch im laufenden Betrieb ist eine manuelle Erstellung von Richtlinien erforderlich. Bei Änderungen oder neu hinzugefügten Anwendungen werden automatisch neue bzw. aktualisierte Richtlinien empfohlen.
Visualisierung und Messung der Angriffsfläche
ZWS erstellt automatisch eine Echtzeit-Anwendungstopologie mit Diagrammen zur Visualisierung der Abhängigkeiten bis hinunter zur Prozessebene. Anschließend werden die tatsächlich erforderlichen Anwendungspfade markiert und mit der Gesamtmenge aller verfügbaren Netzwerkpfade verglichen sowie entsprechende Empfehlungen für Richtlinien zur Minimierung der Angriffsfläche und zum effizienten Schutz der erforderlichen Pfade erstellt.
Wie genau schützt Zscaler Workload Segmentation Ihr Unternehmen? Fordern Sie eine Demo an und legen Sie gleich los.
Kompromittierte Anwendungen und Datenpannen dank Workload-Segmentierung verhindern
So funktioniert es
Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation
Fallstudie lesen
Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?
Mehr erfahren