Schlagwort-Archive: Cloud

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.

Eine neue Ära

Die Analysten von Gartner gehen davon aus, dass der weltweite Markt für öffentliche Cloud-Services 2020 um beeindruckende 17% auf 266 Milliarden $ steigen wird. Die Vorteile der Cloud sind mittlerweile wohlbekannt: eine Verbindung aus IT-Effizienz und Flexibilität mit Kosteneinsparungen und Skalierbarkeit. Dadurch können so unterschiedliche Organisationen wie Versorgungsunternehmen, Einzelhändler und sogar Gesundheitsdienstleister Geschäftsprozesse optimieren und die Produktivität ihrer Mitarbeiter verbessern sowie innovative kundenorientierte Dienstleistungen anbieten, um das Wachstum zu fördern.

Unternehmenssysteme bestehen heutzutage aus einem komplexen, heterogenen Mix aus physischen Altservern und mehreren hybriden Cloud-Systemen. Um diese Komplexität zu bewältigen, setzen Unternehmen auf Container und Microservices, die eine bessere Integration hybrider Clouds und eine effizientere Entwicklung neuer Anwendungen ermöglichen sollen. Die für solche Projekte verantwortlichen DevOps-Teams arbeiten auf der Grundlage einer neuen Infrastructure-as-Code, wo alles softwaredefiniert ist – von den VMs und Containern, die schnell herkömmliche Server ersetzen, bis hin zu Netzwerken und Anwendungs-Stacks.

Es nimmt also nicht Wunder, dass der Markt für digitale Transformation in den nächsten fünf Jahren um 18% wachsen soll, und 2025 dann 924 Milliarden $ beträgt.

Neue Probleme

Mit dem radikalen Wechsel in der Bereitstellung von IT gehen zwei neue Gruppen von Risiken einher. Die Cloud Provider selbst haben zwar gute Sicherheitsteams, und ihre Datencenter werden nach den höchsten Sicherheits- und Betriebsstandards geführt, doch liegt die Sicherheit nicht allein in ihrer Verantwortung. Amazon Web Services (AWS) erklärt ausdrücklich, dass das Unternehmen sich um die Infrastruktur kümmert, auf der die Services (Sicherheit für die Cloud) laufen, doch für alles, was darüber hinaus geht, ist der Kunde verantwortlich, einschließlich Gast-Betriebssysteme, Anwendungen und Kundendaten. Das wird als Sicherheit in der Cloud beschrieben — wo die Trennlinie zwischen den beiden Verantwortlichkeiten verläuft, sorgt für permanente Verwirrung.

Auch wenn Cloud Computing Unternehmen das Outsourcing vieler Ressourcen ermöglicht, Verantwortung können sie nicht ausgliedern – eine Tatsache, die auch die DSGVO-Regularien bestätigen. Tatsächlich gestaltet sich das Cloud-Ökosystem genauso komplex, wenn nicht sogar noch komplexer, als das On-Premise-Ökosystem, das es zu ersetzen beginnt, denn Unternehmen setzen ihre Umgebungen über mehrere Anbieter hinweg auf. Geschätzte 85% der Unternehmen nutzen mittlerweile mehrere Clouds, und 76% haben zwischen zwei und 15 Hybrid Clouds im Einsatz.

In manchen Fällen fügen gar die Cloud Provider selbst zusätzliche Komplexität hinzu. Alle ein bis zwei Wochen gerät ein anderes Unternehmen in die Schlagzeilen, weil es versäumt hatte, eine kritische Cloud-Datenbank zu sichern, so dass Informationen im öffentlichen Internet zugänglich wurden. Interne Teams sind schlichtweg nicht in der Lage, angesichts der unzähligen verfügbaren Optionen, die geeignete zu wählen, um solche Accounts richtig zu konfigurieren. Und die schlechte Nachricht dabei ist, dass Hacker vermehrt nach exponierten Instanzen scannen: Manche haben gestohlene Daten und nutzen sie für Erpressung, andere wiederum fügen Code zum Datenabschöpfen in exponierte JavaScript-Dateien ein.

Ein dynamisches Problem

Die neue Welt der Cloud ist unbeständig und schnelllebig – und erfordert eine Änderung in der Art und Weise, wie Sicherheitsmanager reagieren. Cloud Workloads sind von Haus aus dynamisch und verursachen beispielsweise Probleme, für die herkömmliche Sicherheitsprozesse und -werkzeuge nur unzureichend gerüstet sind. Wie lässt sich der Überblick über diese sich schnell verändernden Workloads behalten? Heute handelt es sich vielleicht um einen einfachen Webserver, der nicht viel Schutz benötigt, aber morgen könnte er Teil einer stark regulierten E-Commerce-Umgebung sein. Die Anpassung der Sicherheitshaltung an solche Veränderungen stellt eine große Herausforderung dar.

Die Infrastructure-as-Code-Revolution bringt andere Probleme mit sich. Das Schöne an Containern und Microservices etwa ist, dass sie einfach zu erstellen und zu warten sind, sowie dass sie von DevOps-Teams entwickelt und getestet werden können, so dass sie schnell an Marktanforderungen angepasst werden. Doch die gemeinsame Nutzung von Bibliotheken von Drittanbietern setzt Unternehmen dem Risiko fehlerhaften Codes aus, und Cyberkriminelle sind dafür bekannt, versteckte Schadsoftware in diese Repositories einzufügen.

Zeit für einen Wandel

Für Unternehmen bedeutet all dies, dass die Nutzung der Cloud Hand in Hand mit Cybersicherheit gehen muss. Trend Micro stellte in einer kürzlich durchgeführten Forschungsarbeit fest, dass einem Drittel der befragten Unternehmen Sicherheitsteams beim Start von DevOps-Projekten leider nicht involviert waren, wobei 72% der IT-Leiter die Ansicht vertraten, dass diese Tatsache zu Cyberrisiken für das Unternehmen führt. Werden die oben genannten Probleme nicht angegangen, könnte dies zu hohen Datenverlusten, Service-Ausfällen und allen damit verbundenen Risiken für finanzielle und rufschädigende Auswirkungen führen.

Als guter Ausgangspunkt für eine Änderung der Situation empfiehlt es sich, dass Verantwortliche das Modell der geteilten Verantwortung verstehen und in den Cloud-Verträgen vollständig zu klären, welche Teile der Cloud-Umgebung das Unternehmen selbst sichern muss. Als Nächstes sollten sich die Sicherheitsmanager Tools für das Cloud Security Posture Management (CSPM) ansehen, um einen entscheidenden Einblick in ihre bestehende Infrastruktur zu erhalten und um herauszufinden, wo wichtige Fehlkonfigurationen vorhanden sind. Auch sollten sie in Betracht ziehen, die Leistungsfähigkeit der Infrastructure-as-Code für die Sicherheit zu nutzen, mit API-gesteuerten Diensten, die Kontrollmechanismen nahtlos in die DevOps-Pipelines einbetten, um Bedrohungen vor und während der Laufzeit zu erkennen.

Es gibt kein Zurück zu den Gewissheiten von früher. CISOs müssen sich daher das Neue zu eigen machen und einen Weg finden, das Cyberrisiko zu minimieren, ohne Innovation und Geschäftswachstum zu beeinträchtigen.

«Die Verantwortung liegt nicht nur beim Cloud-Anbieter»

Aus dem Dossier kompakt in Kooperation mit Trend Micro & Netzwoche*

Michael Unterschweiger, ­Regional Director Schweiz & Österreich bei Trend Micro

Wer muss sich darum kümmern, dass die Daten in der Cloud sicher sind? Der, der die Cloud ­betreibt, oder der, der seine Daten in die Cloud schob? Beide, sagt Michael Unterschweiger, ­Regional Director Schweiz & Österreich bei Trend Micro. Interview: Coen Kaat

Wer trägt die Verantwortung, wenn die Daten in der Cloud liegen? Der Kunde oder der Cloud-Dienstleister?
Michael Unterschweiger: Zur Klärung dieser Frage hat sich für Public und Hybrid Clouds das Shared-Responsibility-Modell durchgesetzt. Das bedeutet, dass sich Kunde und Cloud-Service-Provider die Zuständigkeit für die Sicherheit teilen: Der Cloud-Service-Provider ist für die Sicherheit der Cloud selbst verantwortlich. Dazu gehört ausser der physikalischen Sicherheit der Hardware auch die grundlegende Sicherheit der Software von Computing- und Storage-Workloads auf der Virtualisierungsebene. Der Kunde trägt hingegen die Verantwortung für die Sicherheit innerhalb der Cloud, also etwa für den Schutz von Anwendungen, Updates und Patching von Gastbetriebssystemen, für die Authentifizierung, die Verschlüsselung von Daten oder die Konfiguration von Firewalls.

Das Shared-Responsibility-Modell klingt schön und gut. Aber ist das in der Praxis auch so klar abgegrenzt?
Die Abgrenzung funktioniert in der Regel sehr gut. Dies liegt nicht zuletzt daran, dass die grossen Cloud-Anbieter es ihren Kunden möglichst einfach machen wollen, ihre Anwendungen und Daten zu schützen. So können Kunden zeitgemässe, Cloud-native Sicherheitslösungen wie Trend Micro Deep Security direkt aus den Marketplaces der Dienstleister beziehen und sehr einfach ausrollen und nutzen.

Wie sicher sind die Daten in der Cloud?
Gerade die Clouds der grossen Dienstleister sind sehr sicher. Es liegt im eigenen Interesse dieser Anbieter, ein hohes Schutzniveau aufrechtzuerhalten und strenge Sicherheitsrichtlinien zu erfüllen. Insofern ist die oftmals noch vorhandene Angst vor der Public Cloud unbegründet. Doch auch Private Clouds lassen sich sicher gestalten. Mit modernen Sicherheitslösungen für On-Premise-Infrastrukturen können diese ebenso wirkungsvoll abgesichert werden.

Wie unterscheiden sich Public- und Hybrid-Cloud-Lösungen in Bezug auf die Sicherheit?
Während in der Public Cloud geteilte Verantwortlichkeiten gelten, sind die Betreiber von On-Premise-Infrastrukturen selbst für deren Sicherheit verantwortlich. Davon abgesehen lassen sich heutige Cloud-Sicherheitslösungen nahtlos über hybride Infrastrukturen ausrollen und flexibel an die aktuellen Work­loads anpassen. Dabei ist für den Kunden kein Unterschied spürbar. Ein Vorteil der hybriden Cloud besteht zudem in der Möglichkeit, sensible Daten und Anwendungen im eigenen Rechenzentrum zu behalten, etwa um Compliance-Vorgaben zu erfüllen. Gleichzeitig können andere Prozesse von der grösseren Flexibilität der Public Cloud profitieren.

Was sollte ein Nutzer unternehmen, um seine Daten und Prozesse in der Cloud abzusichern?
Die wichtigste Regel ist, sich überhaupt mit der Sicherheit zu beschäftigen. Der grösste Fehler ist, der leider noch immer häufig gemacht wird, die Verantwortung allein beim Cloud-Dienstleister zu sehen. Die Annahme, eine Public oder Hybrid Cloud sei ein Rundum-Sorglos-Paket, ist schlicht falsch. Zunächst sollte der eigene Sicherheitsbedarf ermittelt und ein Sicherheitskonzept erstellt werden, das sowohl den eigenen Verantwortungsbereich als auch den des Cloud-Providers beinhaltet. Dabei müssen auch die branchen- und unternehmensspezifischen Compliance-Vorgaben beachtet werden. Das Ausrollen der Sicherheit geht dann mit modernen Lösungen vergleichsweise einfach. Bei allen Schritten kann ein Partner, etwa ein Systemhaus oder Managed Service Provider, wertvolle Unterstützung bieten.

*Dieser Beitrag erschien am 17. April in der Netzwoche.

Fünf Elemente einer erfolgreichen Multi-Cloud-Security

Aus dem Dossier kompakt in Kooperation mit Trend Micro & Netzwoche*

Zahlreiche Unternehmen setzen auf eine Multi-Cloud-Strategie. Die Nutzung mehrerer Cloud-Plattformen kann zahlreiche betriebliche und wirtschaftliche Vorteile bringen. Jedoch ist es von grösster Bedeutung, diese auch effektiv zu sichern – nicht zuletzt aus Compliance-Gründen.

Daniel Schmutz, Head of Channel & Marketing Schweiz & Österreich, Trend Micro

Um Multi-Cloud-Umgebungen effektiv abzusichern, ist ein plattformunabhängiger und standardisierter Sicherheitsansatz erforderlich. Wie aber kann eine solche Sicherheitsstrategie aussehen?

  1. Gemeinsame Verantwortung
    Sicherheit liegt in der gemeinsamen Verantwortung von Unternehmen und Cloud-Service-Providern (CSP). Als Faustregel gilt das Shared-Responsibility-Modell (Grafik), wonach der CSP für die Sicherheit der Cloud zuständig ist und der Kunde für die Sicherheit in der Cloud.
  2. Von perimeter- zu hostbasierter Sicherheit
    Ein moderner Cloud-Sicherheits-Ansatz sollte hostbasiert sein. Statt den Verkehr am Perimeter zu blockieren, wird per Mikrosegmentierung festgelegt, welcher Verkehr auf einer granularen Ebene, wie der einzelnen virtuellen Maschine, erlaubt ist. Dabei ist es möglich, einfach hoch oder herunter zu skalieren, was automatisiert werden sollte.
    Das einfache Starten neuer Workloads stellt dabei einen wesentlichen Vorteil der Public Cloud dar, birgt aber auch potenzielle Bedrohungen. Um Schatten-IT zu vermeiden, ist es deshalb wichtig, eine ganzheitliche Sicht auf die gesamte Umgebung zu haben, einschliesslich der Workloads bei Public-Cloud-Anbietern.
  3. Virtuelles Patching
    Um alle Server in einer Multi-Cloud-Infrastruktur wirksam zu schützen, bedarf es zentralisierter, hostbasierter Sicherheit. Hier ist «Virtual Patching» gefragt, das Intrusion-Detection- und -Prevention-Technologien nutzt, um Schwachstellen abzuschirmen, bevor ein Patch zur Verfügung steht. Auf diese Weise sind Unternehmen ständig geschützt.
  4. Sicherheit auf Applikationsebene
    Moderne Cloud-Sicherheits-Lösungen können Veränderungen in der Software erkennen. Sobald das Modul zur Applikationskontrolle aktiviert ist, werden alle Softwareänderungen protokolliert und Events erzeugt, wenn neue oder geänderte Software auf dem Dateisystem erkannt wird. Werden Änderungen auf dem Host erkannt, kann die Software zugelassen oder blockiert und optional der Computer oder Server gesperrt werden.
    Anwendungen lassen sich aber auch auf Netzwerkebene durch Intrusion Prevention schützen. Das Intrusion-Prevention-Modul überprüft dafür eingehenden und ausgehenden Datenverkehr, um verdächtige Aktivitäten zu erkennen und zu blockieren. Dies verhindert die Ausnutzung von bekannten und ­Zero-Day-Schwachstellen und kann auch Webanwendungen schützen.
  5. Richtlinien und Automatisierung
    Richtlinien stellen in der Cloud-Security ein wichtiges Werkzeug dar. Um optimalen Nutzen aus einer Multi-Cloud zu ziehen, ist es wichtig, Prozesse für Bestellungen, Konfiguration oder Upgrades von Dienstleistung bestmöglich zu automatisieren. Auf diese Weise lässt sich nicht nur die Bereitstellung der Umgebungen beschleunigen, sondern sie werden auch automatisch skalierbar und «selbstheilend». Durch richtlinienbasierte Automatisierung wird selbstständig die aktuelle Unternehmensrichtlinie angewendet und die Umgebungen mit den geltenden Sicherheitsregeln versehen.

Eine Multi-Cloud-Strategie kann einen wichtigen Beitrag zur Innovation und Wertschöpfung leisten. Jedoch müssen Unternehmen dazu sicherstellen, dass die richtigen Massnahmen ergriffen wurden und die Kontrolle über die Cloud bewahrt ist.

Das «Shared-Responsibility-Modell» regelt die Verantwortung zwischen Cloud-Service-Provider und Kunde.

*Dieser Beitrag erschien am 17. April in der Netzwoche.

Trend Micro „Representative Vendor“ bei Gartner

Presseinformation

Trend Micro für seine Fähigkeiten beim Schutz von Cloud-Workloads als „Representative Vendor“ ausgewiesen

Wallisellen, 14.08.2017 – Trend Micro wird in „Gartner’s Market Guide for Cloud Workload Protection Platforms“ genannt. Die Autoren führen in ihrem Bericht einundzwanzig wesentliche Schutzfähigkeiten auf, von denen Trend Micro sechzehn erfüllt. 

Unternehmen stellen ihre Rechenzentren zunehmend auf hybride Architekturen um, bei denen Workloads sowohl in der eigenen Umgebung als auch in der Cloud laufen. Deshalb verlangen viele Anwender nach einer einheitlichen Sicherheitslösung, mit der sie ihre Workloads umfassend absichern können, egal wo diese ausgeführt werden. Trend Micro, weltweit führender Anbieter für IT-Sicherheitslösungen, wurde kürzlich in „Gartner’s Market Guide for Cloud Workload Protection Platforms“ (1) genannt. Dieser Bericht umfasst 24 führende Security-Anbieter auf dem Gebiet der Cloud Workload Protection. Gartner nennt darin einundzwanzig wesentliche Fähigkeiten, von denen Trend Micro sechzehn erfüllt.

Trend Micro bietet herausragende Fähigkeiten bei der Absicherung von Workloads auf Servern. Dazu kommt die Unterstützung einer Vielzahl von Betriebssystemen wie Windows, Linux und Unix sowie die Integration mit VMWare, AWS und Azure. Lösungen von Trend Micro zeichnen sich durch neu entwickelte Funktionen wie native Applikationskontrolle sowie Sichtbarkeit und Schutz von Containern aus.

„Wir sehen, die IT-Transformation findet statt und treibt damit wesentlich die Adaption von Cloud-Diensten voran. Dies stellt Unternehmen vor neue Herausforderungen, das Sicherheitsniveau auch im Kontext von hybriden Architekturen sicherzustellen“, sagt Hannes Steiner, Enterprise Sales Director bei Trend Micro Deutschland. „Wir bieten Unternehmen ein einheitliches Security-Framework, um hybride Umgebungen ganzheitlich zu schützen. Bereits heute sind wir mit 2,5 Milliarden geschützten Cloud-basierten Workload-Stunden in diesem Segment führend. Wir sind stolz darauf, darin von Gartner bestätigt zu werden.“   

Eine zentrale Empfehlung von Gartner ist, dass Sicherheits- und Risikoverantwortliche von ihren Anbietern einfordern, dass sie Sichtbarkeit und Kontrolle von Workloads unterstützen, die sowohl physische als auch virtuelle Maschinen sowie Container und multiple Public Cloud IaaS (Infrastructures-as-a-Service) umfassen, und dies mittels einer zentralen Verwaltung und Konsole ermöglichen.

Trend Micro Hybrid Cloud Security mit XGen erfüllt diese Anforderungen, indem sie eine Kombination aus generationsübergreifenden Bedrohungsabwehrmechanismen bietet. Diese wurden darauf optimiert, physische, virtuelle und cloudbasierte Umgebungen mittels Trend Micro Deep Security zu schützen. 

Weitere Informationen zu Trend Micro Hybrid Cloud Security finden Sie unter:

http://www.trendmicro.de/grossunternehmen/hybrid-cloud-security/index.html

 Fussnoten
(1) Gartner “Market Guide for Cloud Workload Protection Platforms,” von Neil MacDonald; 22. März 2017.

 

Noch vor der Veröffentlichung: Cyber-Betrüger missbrauchen Beliebtheit von „Super Mario Run“

Nintendo hat sich lange gewehrt, um am Ende doch noch dem unaufhaltsamen Trend in Richtung Online-Spiele nachzugeben: Seit Mitte Dezember gibt es „Super Mario Run“ als App für das mobile Apple-Betriebssystem iOS, eine entsprechende Version für Google Android ist für 2017 vorgesehen. Die Cyber-Betrüger haben diese Entscheidung jedoch bereits antizipiert und seit 2012 über 6’000 bösartige Apps in unabhängigen App-Stores veröffentlicht. Zwar zeigen die meisten davon „nur“ unerwünschte Werbung an, jedoch finden sich nach Erkenntnissen des japanischen IT-Sicherheitsanbieters Trend Micro einige darunter, die weitere Apps herunterladen und installieren sowie die Nutzer auf bösartige Webseiten weiterleiten. Besonders die Besitzer von Android-Geräten und Super-Mario-Fans seien also gewarnt. Sie müssen sich noch etwas gedulden und sollten unabhängige App-Stores unbedingt meiden.

Lesen Sie die gesamte Meldung hier

IAIT-Test zu Cloud App Security

Logo_TrendMicro_CAS

Das Institut zur Analyse von IT-Komponenten (IAIT) hat kürzlich Cloud App Security von Trend Micro einem Test unterzogen. Das Fazit: im Test konnte das Produkt voll überzeugen. Vor allem auch weil beim Betrieb der Sicherheitslösung von Trend Micro keine Änderungen an der laufenden Infrastruktur erforderlich sind. Und das bringt bekanntermassen zusätzliche Vorteile mit sich.

Laden Sie sich den Bericht herunter:

IAIT_Test_Trend_Micro_Cloud_App_Security