Absicherung der Cloud überall

Druckfreundlich, PDF & E-Mail

Amazon Web Services (AWS) hat auf der letzten Konferenz AWS re:Invent die Idee verkündet, dass IT-Organisationen dazu übergehen sollten, die „Everywhere Cloud“ zu implementieren, da Anwendungs-Workloads stärker verteilt werden als je zuvor. Werner Vogels, CTO von AWS, erläuterte den Konferenzteilnehmern, dass die Everywhere Cloud es Unternehmen erleichtert, eine hochgradig verteilte Rechenumgebung, die sich nun über den gesamten Globus erstreckt, zentral zu sichern und zu verwalten.

Es überrascht nicht, dass AWS diese Workloads sicher auf den von ihnen verwalteten Plattformen bereitstellt. Als Argument wird angeführt, dass die AWS-Cloud sicherer ist als jede von einem internen IT-Team selbst aufgebaute und gewartete On-Premise-IT-Umgebung. Im Kontext der AWS-Cloud trifft das sicherlich zu. Aber eben nicht generell. Das Problem bei der Cloud-Sicherheit hat nichts mit der zugrunde liegenden Plattform zu tun. Das Kernproblem liegt darin, dass Unternehmen heute routinemäßig Entwickler mit wenig oder gar keinem Security-Know-how beauftragen, die Cloud-Infrastruktur mit Tools wie Terraform zu konfigurieren. Bei der Verwendung dieser Tools ist ein Konfigurationsfehler durch die Entwickler, z. B. einen Port offen zu lassen, über den Daten leicht exfiltriert werden können, fast unvermeidbar.

Wie alle anderen Cloud-Anbieter befürwortet auch AWS ein Modell der geteilten Verantwortung für die Sicherung von Cloud-Umgebungen. Die Unternehmen selbst sind für die Sicherung der Anwendungen auf einer Cloud-Computing-Plattform verantwortlich. Unabhängig davon, wie sicher die zugrundeliegende Plattform ist, können Unternehmen in vielerlei Hinsicht Fehler machen.

Beim Einsatz von Multi-Cloud-Umgebungen ist ein hohes Sicherheitsniveau natürlich schwieriger zu erreichen und aufrechtzuerhalten. Unternehmen stellen heute nicht nur Anwendungen in Multi-Cloud-Umgebungen bereit, sondern verbinden auch eine breite Palette von Anwendungs-Workloads, die in lokalen Rechenzentren und am Netzwerkrand laufen, mit diesen Cloud-Umgebungen. In der Tat wächst die Angriffsfläche, die es zu sichern gilt, mit dem Zuwachs der sogenannten Everywhere Cloud weiterhin exponentiell.

Es ist natürlich einfacher, dieses Ziel zu erreichen, wenn die Unternehmen eine einheitliche Cloud-Plattform nutzen können. Es gibt nur eine geringe Anzahl an Unternehmen, die in der Lage sein werden, dieses Maß an Cloud-Disziplin aufrechtzuerhalten. Der Großteil der Sicherheitsteams muss – ob es ihnen gefällt oder nicht – Entwicklungsteams unterstützen, die je nach den Leistungsanforderungen ihrer Anwendungs-Workloads routinemäßig Workloads auf Multi-Cloud-Plattformen bereitstellen werden. Das bedeutet, dass Sicherheitsteams einen Weg finden müssen, um gemeinsame Sicherheitsrichtlinien in einer Cloud-Computing-Umgebung durchzusetzen, die aus einer Vielzahl unterschiedlicher Plattformen besteht.

Es gibt bereits mehrere Ansätze, mit denen Cybersicherheitsteams dieses Ziel erreichen können. Den Maßstab, den Sicherheitsteams jedoch erfüllen müssen, ist jedoch, dass die Geschwindigkeit, mit der Anwendungen entwickelt und bereitgestellt werden, nicht nachlassen darf, ganz gleich, welchen Ansatz sie für die Anwendungssicherheit wählen. Es bleibt zu hoffen, dass die Einführung der besten DevSecOps-Praktiken dieses Problem lösen wird, aber es wird Jahre dauern, bis die Entwickler geschult sind und die Plattformen, die sie derzeit zur Erstellung von Anwendungen einsetzen, beispielsweise um Tools zur Codeprüfung ergänzt werden. In der Zwischenzeit wird die Verantwortung für die Sicherung von Cloud-Anwendungen weiterhin auf Sicherheitsteams fallen, die aufgrund der Everywhere Cloud ohnehin schon an der Grenze der Kapazität arbeiten.

Nach oben scrollen
Twittern
Teilen
Teilen