Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.