Was ist Workload-Schutz?

Warum ist Workload-Schutz ein wichtiges Thema?

Cloud-Anwendungen sind aus dem Geschäftsalltag längst nicht mehr wegzudenken, und der Zugriff darauf ist in vielen Unternehmen Voraussetzung für produktives Arbeiten. Zur Steigerung der Effizienz ihrer Fachabteilungen setzen Organisationen zunehmend auf die Services und Infrastrukturen von Cloud-Anbietern wie Amazon Web Services (AWS), Microsoft Azure, und Google Cloud Platform. Häufig werden SaaS-, PaaS- und IaaS-Lösungen verschiedener Anbieter in Multicloud-Umgebungen kombiniert.

Mit der Verlagerung geschäftskritischer Anwendungen und Abläufe aus dem Rechenzentrum in die Cloud hat der Schutz von Cloud-Workloads für IT-Sicherheitsbeauftragte höchste Priorität gewonnen.

Unternehmen sind selbst für die Sicherheit ihrer Workloads verantwortlich

Besonders die großen Cloud-Serviceanbieter stellen integrierte Cybersicherheitslösungen bereit und werben häufig explizit mit ihrer sicheren Infrastruktur. Dabei ist jedoch zu beachten, dass in diesen Cloud-Umgebungen das Prinzip der geteilten Verantwortung greift. Entsprechend fällt zwar die Sicherheit für die Cloud-Infrastruktur in die Zuständigkeit des Anbieters. Die Verantwortung für die Inhalte und die Kommunikation in der Cloud – also für Anwendungen, Workloads und Daten – liegt hingegen beim Kunden.

Aus diesem Grund ist heute eine Vielzahl von Sicherheitslösungen auf dem Markt erhältlich, die Workloads bei der Übertragung zur und aus der Cloud schützen sollen. Diese Lösungen erfreuen sich zunehmender Beliebtheit, je mehr sich die Erkenntnis durchsetzt, dass herkömmliche Sicherheitsarchitekturen keinen ausreichenden Schutz vor neuartigen Bedrohungen gewährleisten. Woran das liegt, wird deutlich, wenn man sich vor Augen führt, wie Workloads früher geschützt wurden – und wie drastisch sich die entsprechenden Rahmenbedingungen im Laufe der letzten Jahre verändert haben.

Herkömmliche Methoden sind nutzlos gegen neuartige Bedrohungen

Als geschäftskritische Anwendungen noch im Rechenzentrum installiert waren und IT-Teams vergleichsweise geringe Datenmengen im Auge behalten mussten, reichten netzwerkbasierte Legacy-Technologien wie Firewalls und virtuelle Maschinen zum Schutz von Workloads aus. Diese Methoden funktionierten nicht zuletzt deshalb gut, weil Cyberangriffe längst nicht so komplex und effektiv und Cloud-Anwendungen bei Weitem nicht so stark verbreitet waren wie heute.

Wir leben in einer vollkommen anderen Welt als noch vor zehn oder zwanzig Jahren: einer Welt, in der Mitarbeiter quasi von überall auf Unternehmensressourcen zugreifen und Cloud-basierte bzw. Cloud-native Anwendungen aus dem Geschäftsalltag nicht mehr wegzudenken sind.

IT- und Sicherheitsexperten haben längst begriffen, dass Legacy-Technologien sich nicht ohne weiteres auf Cloud-Umgebungen übertragen lassen, da diese elastisch und nur lose mit der Infrastruktur verknüpft sind. Entsprechend gibt es keinen statischen Perimeter, an dem Sicherheitskontrollen eingerichtet werden könnten. Hinzu kommt, dass Anwendungen und Workloads zumeist in hybriden Umgebungen aus Cloud-Anbietern und Rechenzentrum gehostet werden, was es nahezu unmöglich macht, Workload-Kommunikationen durchgängig im Blick zu behalten.

Entsprechend dürfen Anwendungen und Services bei der Sicherheitsplanung keinen Nebenaspekt darstellen, sondern müssen im Mittelpunkt stehen.

In Cloud-Umgebungen herrschen andere Anforderungen

Zugriffskontrollen müssen unabhängig von den jeweils genutzten Netzwerkpfaden direkt mit der Identität der kommunizierenden Anwendungen und Services verknüpft werden. Eine Software allein nach ihrer Adresse und ihrem Netzwerkpfad zu definieren, reicht unter heutigen Vorzeichen nicht mehr aus. Adressbasierte Kontrollen sind insbesondere in Cloud-Umgebungen anfällig für Änderungen, die sich nur durch die Erstellung zusätzlicher Regeln bewältigen lassen.

Die der Cloud inhärente Kurzlebigkeit stellt die IT-Sicherheit vor zahlreiche Herausforderungen. Legacy-Sicherheitstechnologien beruhen auf einem Berechtigungsmodell, das der heutigen Bedrohungslage nicht mehr gerecht wird. Perimeter im herkömmlichen Sinn haben so gut wie keine Bedeutung mehr, die Verschlüsselung erschwert die Kontrolle des Datenverkehrs und die Klassifizierung verteilter Daten ist ressourcenintensiv. Aus Sicht von Cyberkriminellen machen gerade diese Herausforderungen Cloud-Umgebungen nur noch attraktiver.

Vor welchen Bedrohungen müssen Workloads geschützt werden?

Mit der wachsenden Bedeutung der Cloud haben sich auch die Bedrohungen für die dort gespeicherten und übertragenen Daten vervielfacht. Ohne angemessenen Workload-Schutz sind heutige Organisationen einer Vielzahl schwer erkennbarer Bedrohungen mit hohem Schadenpotenzial ausgesetzt. Dazu zählen insbesondere:

• Cloud-Ransomware: Cloud-Umgebungen sind keineswegs gefeit vor Malware- und Ransomware-Angriffen, bei denen vertrauliche Daten verschlüsselt bzw. exfiltriert werden, um die Organisation zur Zahlung von Lösegeldern zu zwingen.
• Lieferkettenangriffe: Bei diesen Angriffen verschaffen sich Bedrohungsakteure über sog. „Backdoors“ Zugriff. Diese sind in Produkten (in der Regel Softwareprodukten) eingebaut, welche die Zielorganisation nutzt. Auf diesem Weg können die Angreifer automatische Patches oder „trojanisierte“ Software-Updates ausliefern, über die Malware und andere Bedrohungen eingeschleust werden.
• Datenverluste: Datenverlust ist zwar keine „Bedrohung“ im eigentlichen Sinn, stellt aber dennoch eines der größten Sicherheitsrisiken für Organisationen dar, die auf Cloud-Computing setzen. In der Mehrzahl der Fälle sind Datenverluste auf tote Winkel in der Sicherheitslösung zurückzuführen. Dadurch werden Daten entweder durch Userfehler oder böswillig exponiert.

Neben der zuverlässigen Minderung dieser und weiterer Cloud-Risiken bietet eine dedizierte Lösung zum Schutz von Workloads einige zusätzliche Vorteile, die im nächsten Abschnitt erläutert werden.

Sicherheitsrelevante Vorteile von Workload-Schutz

Eine Workload-Schutz-Lösung platziert Kontrollen nicht bei einzelnen Geräten oder Usern, sondern bei speziellen Anwendungen. Somit liefert sie Ihnen aussagekräftige Informationen zu sicherheitsrelevanten Fragen:

• Welche Anwendungen kommunizieren miteinander?
• Welche Kommunikation sollte stattfinden?
• Kommunizieren die richtigen Systeme miteinander, ohne dass dabei schädlicher Traffic übertragen wird?

Sind diese Fragen geklärt, wird die ausschließliche Kommunikation zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen möglich. Dadurch werden Risiken minimiert und der umfassendste Schutz vor Datenpannen bereitgestellt. Ein effektiver Workload-Schutz verschafft Ihrem Team gleich in mehrfacher Hinsicht einen Sicherheitsvorsprung:

Reduzierte Komplexität

In Cloud-Umgebungen sind die Inventarisierung von Assets sowie Richtlinien und die Zuordnung von Datenflüssen komplizierte Aufgaben, da sich bei jeder Verlagerung eines Service die Anzahl der zu überwachenden und verwaltenden Datenpunkte erhöht. Workload-Schutz vereinfacht die Überwachung sowie den Schutz und antizipiert die Auswirkungen von Veränderungen, indem die Konzentration nicht auf der Umgebung, sondern auf den Anwendungen selbst liegt.

Einheitliches Schutzniveau unabhängig vom Standort

Herkömmliche Sicherheitstools, die IP-Adressen, Ports und Protokolle als Steuerungsebene verwenden, sind nicht für Cloud-Umgebungen geeignet. Durch die der Cloud eigenen Dynamik sind diese statischen Sicherheitskontrollen unzureichend, weil jederzeit Änderungen möglich sind – in manchen Fällen mehrmals am Tag. Workload-Schutz-Plattformen bewältigen dieses Problem durch Berücksichtigung unveränderlicher Eigenschaften der Software selbst.

Kontinuierliche Risikobewertung

Sicherheitsexperten wissen, dass ihre Unternehmensnetzwerke angreifbar sind. Sie sind jedoch häufig nicht in der Lage, das Risikoniveau zu quantifizieren, dem das Unternehmen insbesondere durch exponierte Anwendungen ausgesetzt ist. Eine effektive Lösung zum Schutz von Workloads misst die öffentlich sichtbare Angriffsfläche Ihrer Organisation in Echtzeit und liefert Ihnen zuverlässige Auskünfte darüber, wie viele der möglichen Verbindungspfade jeweils für Kommunikationen zwischen Anwendungen genutzt werden.

Best-Practice-Empfehlungen für den Schutz von Workloads

Zuverlässiger Workload-Schutz beginnt mit der Auswahl der richtigen Plattform. Die folgenden Tipps sollen Ihnen dabei als Orientierungshilfe dienen:

• Integration von DevSecOps: Eine DevSecOps-Strategie sieht vor, dass Sicherheitsaspekte in sämtlichen Phasen des Software-Entwicklungszyklus berücksichtigt werden. Dadurch braucht das DevOps-Team sich bei Entwicklung und Bereitstellung von Anwendungen keine Sorgen um potenzielle Sicherheitsrisiken zu machen.
• Segmentierung mit Zero Trust: Segmentierung hat sich als effektive Strategie zur Verhinderung von Infiltration und der lateralen Ausbreitung von Cyberbedrohungen bewährt. Eine Segmentierung mit Zero-Trust-Richtlinien mit minimaler Rechtevergabe und kontextbezogener Authentifizierung sorgt für zusätzlichen Schutz.
• Einsatz einer Cloud Workload Protection Platform (CWPP): Eine effektive CWPP gewährleistet standortübergreifend einheitliche Kontrolle und Transparenz für physische und virtuelle Maschinen, Container (z. B. Kubernetes) und serverlose Workloads.

Rolle einer Cloud Workload Protection Platform (CWPP)

Die Workload-Segmentierung ist eine der zentralen Strategien zum Schutz von Workloads, da sie den in flachen Netzwerken herrschenden übermäßigen Zugriff verhindert. In solchen Netzwerken bewegen sich Angreifer ungehindert lateral durch Umgebungen in Clouds und Rechenzentren, wodurch die Sicherheit von Workloads gefährdet ist. Dadurch, dass Anwendungen segmentiert und damit isoliert werden und unnötige Angriffspfade verschwinden, beschränken sich eventuelle Kompromittierungen auf das betroffene Asset, was das Schadenspotenzial erheblich verringert.

Durch die Segmentierung von Anwendungen und Workloads – auch als Mikrosegmentierung bezeichnet – können basierend auf den Merkmalen der miteinander kommunizierenden Workloads intelligente Workload-Gruppen erstellt werden. So ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen, und empfiehlt sich daher als robustere und zuverlässigere Alternative zu herkömmlichen Sicherheitslösungen.

Vorteile der Zscaler-Lösung

Zscaler Workload Segmentation (ZWS) ist eine neue und wesentliche einfachere Methode zur Segmentierung von Anwendungs-Workloads mit einem einzigen Klick. ZWS wendet identitätsbasierten Schutz auf Workloads an, ohne dass Änderungen am Netzwerk erforderlich sind. Zscaler Workload Segmentation bietet:

• Schutz vor lateralen Bewegungen von Malware und Ransomware über Server, Cloud-Workloads und Desktops – Zero-Trust-Sicherheit stoppt Bedrohungen
• Automatische Erstellung und Verwaltung von Richtlinien mithilfe maschineller Lernalgorithmen – so einfach war Mikrosegmentierung noch nie
• Einheitliche Einblicke in kommunizierende Anwendungen – On-Premise und in öffentlichen Clouds

Sie kann zudem das Risiko entsprechend der Kritikalität der kommunizierenden Software quantifizieren und anhand von maschinellem Lernen eine Empfehlung für die geringste Anzahl von Zero-Trust-Richtlinien erstellen. Dadurch wird die Wahrscheinlichkeit einer Datenpanne erheblich reduziert und gleichzeitig der Verwaltungsaufwand verringert.