Erhöhte Enterprise Security dank Cloud

Aug 13, 2020 | Cloud

Der anhaltende Trend in Richtung Cloud und neuen Technologien, sowie die zunehmende Komplexität von Cyberangriffen erfordern in Unternehmen ein Umdenken bezüglich Enterprise Security-Ansätzen. Neue Modelle im Bereich Security wie Zero-Trust-Architekturen oder BeyondCorp versuchen dieser Situation Rechnung zu tragen.

Technologische Trends machen die Strategie mit dem traditionellen Perimeter-Ansatz nicht einfacher. Immer öfter kommen Cloud Services zum Einsatz, bei denen die Daten nicht mehr intern abgespeichert sind, sondern bei einem Cloud-Anbieter. Weiterhin gibt es immer mehr Mobile Worker, die von zu Hause arbeiten oder unterwegs Zugriff auf Firmendaten benötigen, ohne dass die Benutzerfreundlichkeit dramatische Einbussen erfährt. Zudem wird auch das Thema Kollaboration immer wichtiger. Externe Mitarbeiter oder Firmen, die im Rahmen eines Projektes zusammenarbeiten, müssen Daten untereinander austauschen oder gleichzeitig an einem Dokument arbeiten.  Darum kommen neue, moderne, Cloud-basierte Lösungen zum Einsatz, die diesen Anforderungen gerecht werden. Auch CRM-Systeme, IT Service Management-Systeme, Buchhaltungssoftware und Ticket-Lösungen wandern zunehmend in die Cloud.

Neue Security-Ansätze versprechen Effektivität

Neue Wege geht das Zero-Trust-Modell oder auch das relativ nahe BeyondCorp von Google. Beim Zero-Trust-Modell geht es darum, dass es keine Rolle mehr spielen soll, aus welchem Netzwerk ein Benutzer kommt. Es wird davon ausgegangen, dass Angreifer sowohl aus internen wie auch aus externen Netzen kommen. Damit wird die Unterscheidung zwischen intern oder extern, trusted oder untrusted hinfällig. Es gibt keinen Unterschied mehr, denn grundsätzlich wird einfach allem misstraut. Jegliche Kommunikation wird verschlüsselt, Geräte identifizieren sich untereinander, wie auch jeder Benutzer, der auf einen Service zugreifen will.

So können zum Beispiel auch Verhaltensmuster analysiert werden und in den Trust-Level miteinbezogen werden. Werden Anomalien entdeckt, kann das System weitere Identifikationsmerkmale erfordern. Loggt sich ein Benutzer immer von einem Mac ein, aber dann plötzlich von einem Windows-Rechner, kann das System stutzig werden und einen Verifizierungs-Token verschicken oder Multifaktor-Authentifizierung erfordern. Auch wenn sich ein Benutzer normalerweise von der Schweiz aus anmeldet, aber dann plötzlich aus Russland, wird das System zusätzliche Prüfungen einleiten. Immer öfter kommen komplexe Tools zum Einsatz, welche in Applikationen integriert sind und das Benutzerverhalten analysieren. Bei Anomalien können Massnahmen eingeleitet oder das Trust-Level eines Benutzers entsprechend angepasst werden. Zum Beispiel kann man mit Software das Klickverhalten eines Benutzers analysieren und so quasi einen digitalen, biometrischen Fingerabdruck erstellen. Auch ob ein Benutzer einer App Links- oder Rechtshänder ist, kann die Software feststellen und darauf reagieren, wenn ein App plötzlich mit der anderen Hand bedient wird.

«Identity is the new perimeter.»

Die Sicherheitsmassnahmen verlagern sich also unter Einbezug von Cloud Services immer mehr von klassischen Perimeter-Security-Komponenten wie Firewalls und Virtual Private Networks (VPN) hin zu Zero-Trust-Ansätzen. Der Schutz der beteiligten Komponenten findet in diesem Falle nicht mehr an einer Mauer statt, sondern direkt bei den jeweiligen Komponenten und deren Kommunikationskanal. Die Identität der Benutzer und Geräte steht dabei im Mittelpunkt. Es heisst wortwörtlich: “Identity is the new perimeter”.

Cloud ermöglicht stärkere Mikrosegmentierung und Automatisierung

Ein weiterer wichtiger Aspekt von Zero-Trust ist die Mikrosegmentierung im Netzwerkbereich. Das bedeutet, dass jedes System, Teilsystem oder Komponente eines Systems unabhängig und von anderen Komponenten isoliert ist. Dabei geht es nicht darum, Netzwerke in verschiedene Sicherheitssegmente einzuteilen, sondern generell die Kommunikation unter allen Komponenten soweit einzuschränken, dass lediglich die benötigte Kommunikation mmöglich ist. Wenn also zwei Server in einem Netzwerk nicht zusammengehören und kommunizieren müssen, dann ist eine Kommunikation unter ihnen nicht möglich, selbst wenn sie im selben Subnetz stehen. In Multi-Tier-Applikationsarchitekturen wird so auch jede Komponente einer Applikation voneinander getrennt und nur die Kommunikation zugelassen, die auch explizit erforderlich ist. Es findet eine starke Entkopplung statt.

Dadurch wird vermieden, dass Komponenten der eigenen oder unterschiedlichen Applikationen miteinander kommunizieren könnten, weil sie zufällig in derselben Zone oder im selben Subnetz stehen. Dies ist auch eine effektive Containment-Strategie zur Bekämpfung von Malware, die sich von System zu System weiterverbreitet. Ein Angreifer, der eine einzelne Komponente eines Systems kompromittiert hat, ist in seinem Bewegungsradius durch die Mikrosegmentierung sehr eingeschränkt. Cloud Provider wie AWS, Azure oder Google bieten hier hervorragende Werkzeuge, um eine solche Segmentierung zu bewerkstelligen. Mit «Infrastructure as Code» lassen sich entsprechende Konfigurationen komplett automatisieren und in den Entwicklungsprozess des jeweiligen Services integrieren.

Identitäten sind der neue Dreh- und Angelpunkt in Zero-Trust-Architekturen und werden daher viel besser abgesichert. Multifaktor-Authentisierung (MFA) gehört mittlerweile zum Standard und ist gerade für Applikationen, die öffentlich im Internet verfügbar sind, unabdingbar. In Zero-Trust-Architekturen sind Applikationen grundsätzlich ohne VPN oder ähnliche Mechanismen via Internet verfügbar, ähnlich wie das bei bekannten SaaS-Diensten wie Office 365 oder Salesforce der Fall ist. Es spielt keine Rolle mehr, ob sich ein Benutzer aus dem Bürogebäude, einem Restaurant oder Mobilfunknetz auf Services zugreift. Die Zugriffe erfolgen ohne VPN auf die Web-Schnittstelle. Dadurch sind die Applikationen aber keineswegs weniger sicher, ganz im Gegenteil: Da Applikationen in Zero-Trust-Architekturen exponiert sind, werden sie auch dementsprechend geschützt und zwar direkt an der Quelle und am Ziel – nicht irgendwo in der Mitte. Somit hat ein potentiell böswilliger Akteur, egal ob es sich um einen unbekannten Angreifer aus einem anderen Kontinent oder einen internen Mitarbeiter handelt, viel weniger Möglichkeiten, die Applikation anzugreifen.

Maschinen identifizieren sich gegenseitig via Zertifikate, welche durch eine vertrauenswürdige, zentrale Stelle ausgestellt werden. Standards für Authentisierung werden laufend verbessert und weiterentwickelt, auch hinsichtlich der Benutzerfreundlichkeit. Tokens, bei denen man von Hand einen 6-stelligen Code zusätzlich zum Benutzernamen und Passwort eingeben muss, gehören eigentlich schon fast wieder zum Alteisen. Mobile Push-Notifikationen oder U2F-Keys sind für Benutzer viel angenehmer, da sie so den Login nur noch via Klick auf dem Mobiltelefon oder einem Hardware Token Key im USB-Port bestätigen müssen. Neue Technologien wie FIDO2 werden zukünftig den Einsatz von Passwörtern sogar teilweise eliminieren. Die meisten modernen Web-Applikationen unterstützen zudem Single Sign-On-Methoden wie SAML oder OpenID Connect. Wenn ein Benutzer sich erfolgreich mit einem zentralen Account angemeldet hat, kann er sich dadurch auf sämtliche integrierte Applikationen im Unternehmen einloggen, ohne nochmals separate Zugangsdaten zu benötigen. Das erleichtert auch die Administration von Benutzerrechten. Berechtigungen können so zentral via Rollen vergeben oder bei einem Übertritt geändert werden. Verlässt ein Mitarbeiter das Unternehmen, wird ein einziger Account deaktiviert und der Mitarbeiter verliert damit automatisch den Zugriff auf alle Ressourcen. Dadurch kann vermieden werden, dass einzelne Accounts vergessen gehen und der Mitarbeiter auch nach seinem Austritt immer noch Zugriff auf Firmendaten hat. Es werden nicht nur die Sicherheit massgeblich erhöht und operative Prozesse vereinfacht, sondern auch die Benutzerfreundlichkeit merklich verbessert.

Cloud hat Security in der DNA und bietet integrierte Lösungen

Eine Access Control Engine überprüft zentral, für welche Aktionen und Daten ein Benutzer berechtigt ist. Zugriffe werden also vor allem auf der Basis von Identitäten geregelt und weniger basierend auf IP-Adressen und Port-Nummern. Cloud-Anbieter wie AWS, Azure und Google bieten hierzu jegliche Flexibilität und native Tools an, um Applikationen nach diesen neuen Grundsätzen zu bauen und zu betreiben. Viele grosse Konzerne setzen heute schon diese Ansätze erfolgreich um und verzichten komplett auf ein VPN.

Immer mehr Applikationen werden neu in der Cloud gebaut oder in die Cloud migriert, da native Werkzeuge von den Cloud-Anbietern diese Architekturen vollständig unterstützen und nahtlos integriert sind. Eine Web Application Firewall (WAF) muss nicht mehr als Infrastruktur-Komponente separat installiert und betrieben werden. Man erstellt einfach eine entsprechende WAF-Policy und verknüpft diese mit dem Load Balancer oder der CloudFront-Distribution (AWS) der jeweiligen Applikation. Es müssen keine Server dafür installiert oder Infrastruktur gewartet und betrieben werden, die WAF ist komplett in die Service-Landschaft des Cloud Providers integriert. Genauso verhält es sich auch mit etlichen weiteren Sicherheitskomponenten, die benötigt werden, um eine Applikation entsprechend abzusichern.

Fazit

Diese Modelle bilden eine solide Grundlage, um mit den neuen Herausforderungen und Technologien umzugehen. Zusammenfassend kann man also sagen, dass man sich zu Security bewegt, welche direkt zwischen den Akteuren (Identität, Kontext und Applikation sowie deren Kommunikation) stattfindet.

Natürlich spielt auch der Kostenfaktor eine Rolle. Nicht alle Systeme haben den gleichen Schutzbedarf. Daher ist es wichtig, ein entsprechendes Risiko-Management zu haben, den Schutzbedarf jedes Services abzuklären, eine Business Impact-Analyse durchzuführen und sicherzustellen, dass Daten richtig klassifiziert sind. Anhand dieser Parameter können dann die entsprechenden Massnahmen definiert werden. AWS stellt für ihre Plattform das „Well-Architected Framework“ zur Verfügung, welches dabei hilft, Services nach Best-Practices und unter Einbezug aller wichtigen Faktoren zu implementieren.

Warum zahlt sich also der Umstieg auf einen modernen Enterprise Security-Ansatz in der Cloud für ein Unternehmen aus?

  • Die Sicherheit der gesamten IT-Landschaft im Unternehmen wird drastisch erhöht. Applikationen werden mit dem Grundsatz gebaut, dass sie aus dem Internet heraus zugänglich sind.
  • Operative Tätigkeiten werden erleichtert. Zugriffe und Schnittstellen werden auf Komponentenebene geregelt, was die Komplexität insgesamt reduziert.
  • Softwarequalität, Stabilität, Zuverlässigkeit und Resilienz der Infrastruktur nehmen zu, was zu weniger Störungen und Ausfällen und damit zu weniger operativem Aufwand führt. Applikationen können selbstständig skalieren und beispielsweise fehlerhafte Instanzen automatisch durch gesunde ersetzen.
  • Unternehmen erhalten einen Wettbewerbsvorteil durch höhere Sicherheit, höhere Produktivität, schnellere Time-To-Market, Flexibilität, mehr Stabilität und die Möglichkeit, rasch auf Veränderungen reagieren zu können.
  • Die Kundenzufriedenheit steigt durch bessere und stabilere Produkte.
  • Die sichere Zusammenarbeit zwischen Mitarbeitern, Lieferanten und Partnern wird gefördert. Dadurch steigert sich die Effizienz von Business-Prozessen wie auch die Produktivität.
  • Die Mitarbeiterzufriedenheit steigt als auch die Akzeptanz von Sicherheitsmassnahmen.

Somit ist klar, dass eine passende IT-Security-Strategie eine zentrale Rolle hinsichtlich des Erfolgs eines Unternehmens spielt. Netcloud steht Ihnen als unabhängiger, kompetenter Partner sowohl in der Cloud wie auch für Security-Themen zur Verfügung. Profitieren Sie zudem auch von unseren Managed Services-Angeboten im Bereich Cyber Defence, Cloud und Operations. Nehmen Sie noch heute Kontakt auf für ein unverbindliches Gespräch. Wir freuen uns auf Sie!