Überzeugen Sie sich selbst von den Vorteilen eines Cloud-fähigen CWPP – auf Anfrage stellen wir Ihnen gerne eine Demo-Version von Zscaler Workload Segmentation bereit.
Cloud-Anwendungen sind aus dem Geschäftsalltag längst nicht mehr wegzudenken, und der Zugriff darauf ist in vielen Unternehmen Voraussetzung für produktives Arbeiten. Zur Steigerung der Effizienz ihrer Fachabteilungen setzen Organisationen zunehmend auf die Services und Infrastrukturen von Cloud-Anbietern wie Amazon Web Services (AWS), Microsoft Azure, und Google Cloud Platform. Häufig werden SaaS-, PaaS- und IaaS-Lösungen verschiedener Anbieter in Multicloud-Umgebungen kombiniert.
Mit der Verlagerung geschäftskritischer Anwendungen und Abläufe aus dem Rechenzentrum in die Cloud hat der Schutz von Cloud-Workloads für IT-Sicherheitsbeauftragte höchste Priorität gewonnen.
Besonders die großen Cloud-Serviceanbieter stellen integrierte Cybersicherheitslösungen bereit und werben häufig explizit mit ihrer sicheren Infrastruktur. Dabei ist jedoch zu beachten, dass in diesen Cloud-Umgebungen das Prinzip der geteilten Verantwortung greift. Entsprechend fällt zwar die Sicherheit für die Cloud-Infrastruktur in die Zuständigkeit des Anbieters. Die Verantwortung für die Inhalte und die Kommunikation in der Cloud – also für Anwendungen, Workloads und Daten – liegt hingegen beim Kunden.
Aus diesem Grund ist heute eine Vielzahl von Sicherheitslösungen auf dem Markt erhältlich, die Workloads bei der Übertragung zur und aus der Cloud schützen sollen. Diese Lösungen erfreuen sich zunehmender Beliebtheit, je mehr sich die Erkenntnis durchsetzt, dass herkömmliche Sicherheitsarchitekturen keinen ausreichenden Schutz vor neuartigen Bedrohungen gewährleisten. Woran das liegt, wird deutlich, wenn man sich vor Augen führt, wie Workloads früher geschützt wurden – und wie drastisch sich die entsprechenden Rahmenbedingungen im Laufe der letzten Jahre verändert haben.
Als geschäftskritische Anwendungen noch im Rechenzentrum installiert waren und IT-Teams vergleichsweise geringe Datenmengen im Auge behalten mussten, reichten netzwerkbasierte Legacy-Technologien wie Firewalls und virtuelle Maschinen zum Schutz von Workloads aus. Diese Methoden funktionierten nicht zuletzt deshalb gut, weil Cyberangriffe längst nicht so komplex und effektiv und Cloud-Anwendungen bei Weitem nicht so stark verbreitet waren wie heute.
Wir leben in einer vollkommen anderen Welt als noch vor zehn oder zwanzig Jahren: einer Welt, in der Mitarbeiter quasi von überall auf Unternehmensressourcen zugreifen und Cloud-basierte bzw. Cloud-native Anwendungen aus dem Geschäftsalltag nicht mehr wegzudenken sind.
IT- und Sicherheitsexperten haben längst begriffen, dass Legacy-Technologien sich nicht ohne weiteres auf Cloud-Umgebungen übertragen lassen, da diese elastisch und nur lose mit der Infrastruktur verknüpft sind. Entsprechend gibt es keinen statischen Perimeter, an dem Sicherheitskontrollen eingerichtet werden könnten. Hinzu kommt, dass Anwendungen und Workloads zumeist in hybriden Umgebungen aus Cloud-Anbietern und Rechenzentrum gehostet werden, was es nahezu unmöglich macht, Workload-Kommunikationen durchgängig im Blick zu behalten.
Entsprechend dürfen Anwendungen und Services bei der Sicherheitsplanung keinen Nebenaspekt darstellen, sondern müssen im Mittelpunkt stehen.
Zugriffskontrollen müssen unabhängig von den jeweils genutzten Netzwerkpfaden direkt mit der Identität der kommunizierenden Anwendungen und Services verknüpft werden. Eine Software allein nach ihrer Adresse und ihrem Netzwerkpfad zu definieren, reicht unter heutigen Vorzeichen nicht mehr aus. Adressbasierte Kontrollen sind insbesondere in Cloud-Umgebungen anfällig für Änderungen, die sich nur durch die Erstellung zusätzlicher Regeln bewältigen lassen.
Die der Cloud inhärente Kurzlebigkeit stellt die IT-Sicherheit vor zahlreiche Herausforderungen. Legacy-Sicherheitstechnologien beruhen auf einem Berechtigungsmodell, das der heutigen Bedrohungslage nicht mehr gerecht wird. Perimeter im herkömmlichen Sinn haben so gut wie keine Bedeutung mehr, die Verschlüsselung erschwert die Kontrolle des Datenverkehrs und die Klassifizierung verteilter Daten ist ressourcenintensiv. Aus Sicht von Cyberkriminellen machen gerade diese Herausforderungen Cloud-Umgebungen nur noch attraktiver.
Gartner, Market Guide for Cloud Workload Protection Platforms
Mit der wachsenden Bedeutung der Cloud haben sich auch die Bedrohungen für die dort gespeicherten und übertragenen Daten vervielfacht. Ohne angemessenen Workload-Schutz sind heutige Organisationen einer Vielzahl schwer erkennbarer Bedrohungen mit hohem Schadenpotenzial ausgesetzt. Dazu zählen insbesondere:
Neben der zuverlässigen Minderung dieser und weiterer Cloud-Risiken bietet eine dedizierte Lösung zum Schutz von Workloads einige zusätzliche Vorteile, die im nächsten Abschnitt erläutert werden.
Eine Workload-Schutz-Lösung platziert Kontrollen nicht bei einzelnen Geräten oder Usern, sondern bei speziellen Anwendungen. Somit liefert sie Ihnen aussagekräftige Informationen zu sicherheitsrelevanten Fragen:
Sind diese Fragen geklärt, wird die ausschließliche Kommunikation zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen möglich. Dadurch werden Risiken minimiert und der umfassendste Schutz vor Datenpannen bereitgestellt. Ein effektiver Workload-Schutz verschafft Ihrem Team gleich in mehrfacher Hinsicht einen Sicherheitsvorsprung:
In Cloud-Umgebungen sind die Inventarisierung von Assets sowie Richtlinien und die Zuordnung von Datenflüssen komplizierte Aufgaben, da sich bei jeder Verlagerung eines Service die Anzahl der zu überwachenden und verwaltenden Datenpunkte erhöht. Workload-Schutz vereinfacht die Überwachung sowie den Schutz und antizipiert die Auswirkungen von Veränderungen, indem die Konzentration nicht auf der Umgebung, sondern auf den Anwendungen selbst liegt.
Herkömmliche Sicherheitstools, die IP-Adressen, Ports und Protokolle als Steuerungsebene verwenden, sind nicht für Cloud-Umgebungen geeignet. Durch die der Cloud eigenen Dynamik sind diese statischen Sicherheitskontrollen unzureichend, weil jederzeit Änderungen möglich sind – in manchen Fällen mehrmals am Tag. Workload-Schutz-Plattformen bewältigen dieses Problem durch Berücksichtigung unveränderlicher Eigenschaften der Software selbst.
Sicherheitsexperten wissen, dass ihre Unternehmensnetzwerke angreifbar sind. Sie sind jedoch häufig nicht in der Lage, das Risikoniveau zu quantifizieren, dem das Unternehmen insbesondere durch exponierte Anwendungen ausgesetzt ist. Eine effektive Lösung zum Schutz von Workloads misst die öffentlich sichtbare Angriffsfläche Ihrer Organisation in Echtzeit und liefert Ihnen zuverlässige Auskünfte darüber, wie viele der möglichen Verbindungspfade jeweils für Kommunikationen zwischen Anwendungen genutzt werden.
Gartner, Market Guide for Cloud Workload Protection Platforms
John Arsneault, CIO, Goulston & Storrs
Zuverlässiger Workload-Schutz beginnt mit der Auswahl der richtigen Plattform. Die folgenden Tipps sollen Ihnen dabei als Orientierungshilfe dienen:
Die Workload-Segmentierung ist eine der zentralen Strategien zum Schutz von Workloads, da sie den in flachen Netzwerken herrschenden übermäßigen Zugriff verhindert. In solchen Netzwerken bewegen sich Angreifer ungehindert lateral durch Umgebungen in Clouds und Rechenzentren, wodurch die Sicherheit von Workloads gefährdet ist. Dadurch, dass Anwendungen segmentiert und damit isoliert werden und unnötige Angriffspfade verschwinden, beschränken sich eventuelle Kompromittierungen auf das betroffene Asset, was das Schadenspotenzial erheblich verringert.
Durch die Segmentierung von Anwendungen und Workloads – auch als Mikrosegmentierung bezeichnet – können basierend auf den Merkmalen der miteinander kommunizierenden Workloads intelligente Workload-Gruppen erstellt werden. So ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen, und empfiehlt sich daher als robustere und zuverlässigere Alternative zu herkömmlichen Sicherheitslösungen.
Zscaler Workload Segmentation (ZWS) ist eine neue und wesentliche einfachere Methode zur Segmentierung von Anwendungs-Workloads mit einem einzigen Klick. ZWS wendet identitätsbasierten Schutz auf Workloads an, ohne dass Änderungen am Netzwerk erforderlich sind. Zscaler Workload Segmentation bietet:
Sie kann zudem das Risiko entsprechend der Kritikalität der kommunizierenden Software quantifizieren und anhand von maschinellem Lernen eine Empfehlung für die geringste Anzahl von Zero-Trust-Richtlinien erstellen. Dadurch wird die Wahrscheinlichkeit einer Datenpanne erheblich reduziert und gleichzeitig der Verwaltungsaufwand verringert.
Überzeugen Sie sich selbst von den Vorteilen eines Cloud-fähigen CWPP – auf Anfrage stellen wir Ihnen gerne eine Demo-Version von Zscaler Workload Segmentation bereit.
Zscaler Workload Protection
Zu unseren LösungenWas ist eine Cloud Workload Protection Platform (CWPP)?
Artikel lesenCWPP: Besserer Schutz durch (zweifache) Verlagerung der Sicherheit
Zum BlogbeitragCNAPP und Cloud Workload Protection