Zpedia 

/ Was ist Cloud-Workload-Sicherheit?

Was ist Cloud-Workload-Sicherheit?

Der Begriff Cloud-Workload-Sicherheit bezieht sich auf eine Lösung, die Workloads in Datenbanken, Containern wie Kubernetes, virtuellen Maschinen (VMs) und physischen Servern während der Übertragung zwischen Cloud-Umgebungen schützt.

Warum ist Cloud-Workload-Sicherheit so wichtig?

Da immer mehr Unternehmen von On-Premise-Lösungen auf digitale Geschäftsmodelle umsteigen, die auf Cloud Computing basieren, migrieren sie auch ihre Daten und Anwendungen über Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud in die Cloud. Diese Migration birgt Herausforderungen hinsichtlich des Schutzes von Daten, die zwischen Anwendungen und SaaS übertragen werden, da diese in verschiedenen Cloud-Umgebungen und in Rechenzentren miteinander kommunizieren und alle über das Internet verbunden sind.

Bei der Absicherung von Cloud-Workloads gibt es eine ganze Reihe von Sicherheitsrisiken, die es zu beheben gilt. Mit einer Sicherheitslösung für Cloud-Workloads können Unternehmen Workloads identifizieren, verwalten und schützen und dadurch Risiken reduzieren, die Compliance verbessern, mehr Skalierbarkeit für Anwendungen gewährleisten und letztlich den gesamten Sicherheitsstatus optimieren.

Wie funktioniert Cloud-Workload-Sicherheit?

Zum Schutz von Cloud-Workloads setzen Sicherheitsexperten auf die kleinteilige Segmentierung von Anwendungs-Workloads, um die Überprüfung des Traffics zu vereinfachen und abzusichern.

Mithilfe von Sicherheitslösungen für Cloud-Workloads können Unternehmen Cloud-Konten, Computing- und Storage-Instanzen sowie die Steuerungsebene überwachen und schützen. Dadurch sinkt die Wahrscheinlichkeit von Fehlkonfigurationen bei der Bereitstellung, sodass mehr Cloud-native Anwendungen im großen Maßstab entwickelt und veröffentlicht werden können, während gleichzeitig weniger Sicherheitsrisiken auftreten.

Sicherheitsrisiken von Cloud-Workloads

In einer modernen, auf Cloud-Infrastruktur basierenden Umgebung sollten Anwendungen und Services im Mittelpunkt der umfassenden Sicherheitsstrategie stehen. Der meiste Traffic in einer Cloud-Umgebung – der sogenannte East-West-Traffic – bewegt sich lateral innerhalb der Umgebung. Allerdings sind herkömmliche Sicherheitskontrollen auf North-South-Traffic ausgelegt, der in die oder aus der Umgebung übertragen wird, und die Überprüfung erfolgt mittels eines Perimeter-Gateways. Folglich ist es mittlerweile nicht mehr ausreichend, Software nach der Traffic-Route zu definieren.

Sicherheitskontrollen müssen workloadorientiert ablaufen und dürfen nicht an die Cloud-Plattform gekoppelt sein. Es ist wichtig, die Zugriffskontrollen und -berechtigungen von den Netzwerkpfaden zu lösen, die die Anwendungen nutzen, und sie direkt mit der Identität der kommunizierenden Anwendungen und Services zu verknüpfen. Auf diese Weise können Sie verhindern, dass netzwerkbasierte Bedrohungen in Ihre Cloud-Systeme gelangen.

Zitat

Unternehmen, die private und öffentliche Clouds nutzen, müssen nicht nur ihre Endgeräte schützen, sondern auch Sicherheitsmaßnahmen auf Workload-Ebene einführen, um sich effektiv gegen Cyberangriffe zur Wehr zu setzen.

VMWare

Warum reichen veraltete Sicherheitsstrategien nicht mehr aus?

Legacy-Sicherheitstools beruhen auf einem vertrauensbasierten Modell, das keinen ausreichenden Schutz vor heutigen Bedrohungen gewährleistet, da sich Anwendungen zunehmend in der Cloud befinden und über das Internet kommunizieren. Damit verlieren Netzwerkperimeter an Relevanz; zudem erschwert die zunehmende Verschlüsselung die Überprüfung des Traffics.

Veraltete Sicherheitskontrollen, die den Traffic nicht entschlüsseln, überprüfen und erneut verschlüsseln, können Cyberangriffe wie Ransomware und andere Malware nicht zuverlässig erkennen und abwehren. Unternehmen, die private und öffentliche Clouds nutzen, müssen nicht nur ihre Endgeräte schützen, sondern auch Sicherheitsmaßnahmen auf Workload-Ebene einführen, um sich effektiv gegen Cyberangriffe zur Wehr zu setzen.

Entscheidende Merkmale einer Sicherheitsplattform für Cloud-Workloads

Im Folgenden möchten wir die Strategien beleuchten, die erforderlich sind, um Cloud-Workloads effektiv zu schützen.

Mikrosegmentierung ist eine Methode zum Erstellen sicherer, voneinander abgeschotteter Zonen innerhalb eines Rechenzentrums, Netzwerks oder einer Cloud-Umgebung, die es ermöglicht, Workloads zu isolieren und einzeln zu sichern. So wird durch granulare Partitionierung des Traffics ein effektiver Schutz vor Angriffen gewährleistet.

Mithilfe der Mikrosegmentierung können IT-Sicherheitsteams differenzierte Sicherheitseinstellungen für verschiedene Traffic-Typen einrichten. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation ausschließlich auf ausdrücklich berechtigte Workloads beschränken. Durch die Anwendung von Segmentierungsregeln und granularen Richtlinien auf Workloads oder Anwendungen kann die IT das Risiko reduzieren, dass sich Bedrohungen unentdeckt zwischen infizierten Workloads oder Anwendungen ausbreiten.

Dies ist nicht zu verwechseln mit der Netzwerksegmentierung, bei der Stateful Inspection Firewalls oder Firewalls der nächsten Generation verwendet werden, um das Netzwerk in kleinere Bereiche zu unterteilen, die sich leichter überwachen lassen. Zwar war diese Methode früher recht wirkungsvoll, heutzutage weist sie jedoch vor allem in Hinblick auf Cloud- und Multicloud-Umgebungen einige Einschränkungen auf.

Eine weitere wichtige Strategie ist Zero Trust Network Access (ZTNA), auch bekannt als Software-Defined Perimeter (SDP). ZTNA beinhaltet eine Reihe von Technologien und basiert auf einem adaptiven Modell, bei dem keine Entität automatisch als vertrauenswürdig eingestuft wird. Zugriffsberechtigungen werden nur nach Erforderlichkeitsprinzip mit minimaler Rectevergabe auf der Basis granularer Richtlinien erteilt.

Laut Gartner werden 60 % aller Unternehmen ihre Remote-Access-VPNs (Virtual Private Networks) bis 2023 zugunsten von ZTNA abschaffen. Dafür gibt es zahlreiche Gründe – unter anderem die optimierte Cloud-Workload-Sicherheit.

Mikrosegmentierung und ZTNA können dazu beitragen, den Traffic und die Anwendungen eines Unternehmens während der Laufzeit zu schützen, aber nur mit einer Sicherheitsplattform für Cloud-Workloads kann vollständige Cloud-Workload-Sicherheit gewährleistet werden.

Zitat

Mithilfe von Sicherheitslösungen für Cloud-Workloads können Unternehmen Cloud-Konten, Computing- und Storage-Instanzen sowie die Steuerungsebene überwachen und schützen. So können mehr Anwendungen im großen Maßstab entwickelt und bereitgestellt werden. Gleichzeitig treten weniger neue Sicherheitsrisiken auf und der allgemeine Sicherheits- und Compliance-Status wird optimiert.

AWS

Entscheidende Vorteile von Cloud-Workload-Sicherheit

Im Folgenden finden Sie einige Möglichkeiten, wie Sie mit Cloud-Workload-Sicherheit Risiken verringern und die Sicherheit in Ihrem Unternehmen optimieren können:

Reduzierte Komplexität

In einer serviceorientierten Architektur ist es mühsam, Ressourcen- und Richtlinieninventar zu erfassen. Jede Änderung einer Cloud-Instanz wirkt sich auf bestehende Abhängigkeiten aus, wodurch Probleme hinsichtlich Management und Verfügbarkeit entstehen. Darüber hinaus ist die Zuordnung von Datenflüssen in einer Cloud komplex, da Services ihren Standort ändern können, wodurch sich die Anzahl der zu überwachenden und verwaltenden Datenpunkte erhöht. Cloud-Workload-Sicherheit vereinfacht die Erfassung und den Schutz und antizipiert die Auswirkungen von Veränderungen. Dabei stehen die Anwendungen im Fokus und nicht deren Umgebung.

Lückenloser Schutz

Herkömmliche Sicherheitstools, die IP-Adressen, Ports und Protokolle als Steuerungsebene verwenden, sind nicht auf Cloud-Anwendungsfälle ausgelegt. Durch die dynamische Natur von Cloud-Services, deren zugrunde liegende Infrastruktur sich jederzeit ändern kann, sind diese statischen Sicherheitskontrollen nicht länger zuverlässig. Um den typischen Herausforderungen adressbasierter Kontrollen zu begegnen, bieten Sicherheitsplattformen für Cloud-Workloads konsistenten Workload-Schutz und erfordern keine umständlichen Architekturänderungen.

Kontinuierliche Risikobewertung

Die meisten Sicherheitsexperten wissen, dass ihre Unternehmensnetzwerke angreifbar sind, können aber häufig das Ausmaß des Risikos nicht genau abschätzen – insbesondere wenn es um Gefährdungen im Zusammenhang mit Anwendungen geht. Sicherheitslösungen für Cloud-Workloads können die sichtbare Angriffsfläche des Netzwerks automatisch messen. Dadurch erhalten Sie einen exakten Überblick über die Anzahl der genutzten potenziellen Kommunikationspfade zwischen Anwendungen und können entsprechend das Risiko auf Basis der Kritikalität der kommunizierenden Software quantifizieren. Darüber hinaus wird eine Empfehlung für die geringste Anzahl von Sicherheitsrichtlinien erstellt, die die Wahrscheinlichkeit einer Datenpanne erheblich reduzieren.

Best Practices für Cloud-Workload-Sicherheit

Eine effiziente Sicherheitsplattform für Cloud-Workloads sollte

  • Workloads von der Erstellung bis zur Laufzeit absichern und dabei auf DevOps abgestimmt sein,
  • Sichere Konnektivität für Cloud-Workloads zum Internet, Rechenzentrum und anderen Anwendungen
  • auf einer Zero-Trust-Architektur basieren und somit einheitlichen Schutz für alle User und Workloads bereitstellen.

Im Wesentlichen sollte Ihr Sicherheitsteam mithilfe der Sicherheitsplattform für Cloud-Workloads folgende Fragen beantworten können:

  • Welche Anwendungen kommunizieren miteinander?
  • Welche Kommunikation sollte stattfinden?
  • Kommunizieren die richtigen Systeme miteinander, ohne dass dabei schädlicher Traffic übertragen wird?

Um moderne Cloud-Workloads schützen zu können, benötigen Sie einen Ansatz, der umfassende Zero-Trust-Sicherheit bietet und zudem das Management für DevOps- und SecOps-Teams vereinfacht. Dazu ist eine bewährte Cloud-basierte Plattform erforderlich – eine Art von Plattform, die nur Zscaler bietet.

Zitat

Zscaler Workload Segmentation hat das Potenzial, die Standardlösung für jedes Unternehmen weltweit zu werden. Trotz all der speziell entwickelten Sicherheitstools, die heutzutage angepriesen werden, bin ich der Meinung, dass Zscaler Workload Segmentation deren Schutzmaßnahmen um ein Vielfaches übertrifft. Und was ich noch überzeugender finde: Das Produkt lässt sich unglaublich intuitiv und unkompliziert verwenden.

John Arsneault, CIO Goulston & Storrs

Cloud-Workload-Schutz mit Zscaler

Zscaler Workload Communications sichert den Traffic zwischen Workloads und Internet sowie zwischen mehreren Cloud-Umgebungen bzw. Regionen für geschäftskritische Cloud-Workloads. Die Lösung basiert auf der Zscaler Zero Trust Exchange™ und überprüft den gesamten Traffic inline, um zuverlässigen Schutz vor Cyberbedrohungen und Datenverlusten zu gewährleisten. Unsere Plattform ermittelt Identität und Kontext jeder einzelnen Zugriffsanfrage und wendet entsprechende Richtlinien an. Erst dann wird eine Verbindung zu Internet, SaaS-Anwendungen oder privaten Workloads hergestellt.

Kommunikation zwischen Workloads und Internet

Cloud-Workloads können mit einer skalierbaren, zuverlässigen Sicherheitslösung, die alle Transaktionen überprüft, auf jedes Internet- oder SaaS-Ziel zugreifen (wie APIs von Drittanbietern oder Software-Updates).

Workload-to-workload communications

Workloads in einer öffentlichen Cloud können sicher mit jeder öffentlichen oder privaten Cloud kommunizieren. Die Kommunikation zwischen VPCs, Zonen und Regionen innerhalb derselben Cloud wird ebenfalls unterstützt – ganz ohne VPNs und unsicheres Cloud-Routing.

Empfohlene Ressourcen

Zscaler Workload Communications
Datenblatt lesen
Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation
Zur Fallstudie
Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?
Mehr erfahren