Was Sie bei der Netzwerk-Sicherheit in hybriden Clouds bedenken sollten

Liebäugelt eine Firma mit einer hybriden Cloud, tun sich Security-Teams schwer. Die bewährten Netzwerk-Sicherheits-Tools funktionieren nicht.

Je mehr Unternehmen von internen, virtualisierten Data Centern auf hybride Cloud-Umgebungen migrieren, desto mehr müssen sich die IT-Security-Teams der Firmen Gedanken über Sicherheits-Kontrollen und Governance machen.

Der erste Bereich, auf den man sich konzentrieren muss, ist Netzwerk-Sicherheit. Viele Security-Teams schauen verdutzt, sobald Sie herausfinden, dass es für die bewährten Netzwerk-Sicherheits-Tools und -Kontrollen keinen äquivalenten Produkte in Public-Cloud-Umgebungen gibt. Es sind sehr wenige Firewalls der Enterprise-Klasse in der Public Cloud verfügbar und für viele kommerzielle IDS (Intrusion Detection System) gibt es keine vergleichbaren virtuellen Appliances für die Verwendung in Cloud-Umgebungen.

Die IT-Sicherheits-Teams müssen die Sicherheits-Optionen für die hybride Cloud evaluieren. Dazu gehören einfache Zugriffs-Kontroll-Richtlinien wie Amazons EC2 Security Groups. Das geht jedoch hin bis zu fortschrittlicheren Tools und Monitoring-Funktionen. 

Die lassen sich als virtuelle Appliances in Cloud-Umgebungen installieren oder sind als zusätzliche Service-Angebote vom Provider zu haben. Security as a Service übernimmt die Firewall-Filterung für die Web-Applikationen, DDoS-Schutz und Load Balancing sind ebenfalls häufig genutzte Services. 

Für bewährte Security-Tools und -Kontrollen gibt es keine äquivalenten Produkte in Cloud-Umgebungen.

Anbieter sind unter anderem CloudFlare und Akamai Technologies. Diese Services sind möglicherweise für Firmen einfacher zu implementieren und zu warten als das Installieren virtueller Appliances in der Umgebung des Cloud-Providers.

Da es nicht so viele Optionen für geeignete Sicherheits-Tools gibt, entscheiden sich einige IT-Teams für einen anderen Ansatz. Sie implementieren Host-basierte Security-Tools als kompensierende Kontrollmechanismen. Viele herkömmliche Host-basierten Firewalls, IDS und Antimalware-Optionen sind heutzutage „Cloud-kompatibel“. 

Das bedeutet, dass sie nicht so viele Hardware-Ressourcen in virtuellen Maschinen verbrauchen. Zusätzlich kann man Cloud-Security-Services wie CloudPassage und Dome9 nutzen, um Security-Agents in Cloud-Instanzen zu managen. Mit webbasierten Dashboards lassen sich Host-basierte Security-Agents in einer Vielzahl an Cloud-Service-Provider-Umgebungen konfigurieren und verwalten. Es gibt Funktionen wie zum Beispiel Konfigurations- und Patch-Management, Monitoring der Datei-Integrität, sowie lokale Firewalls und IDS-Tools.

Verschlüsselung hat es auch an die vorderste Front der IT-Security-Kontrollen geschafft. Unternehmen müssen diese Technologie implementieren, wenn Sie auf eine hybride Cloud setzen. Es gibt etliche Cloud-Verschlüsselungs-Gateways. Schlüssel-Management- und Rotations-Services wachsen zudem an Popularität. 

Dazu gehören unter anderem Porticor und Sepior. Inwiefern ein deutsches Unternehmen US-Service-Providern vertrauen mag, sei dahin gestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zur sicheren Nutzung von Cloud-Diensten ein PDF veröffentlicht.

Die Cloud-Provider selbst bieten viele neue Verschlüsselungs-Möglichkeiten an. Amazon Web Services hat sogar ein Produkt kreiert, das sich AWS CloudHSM nennt. Damit können Unternehmen ein dediziertes Hardware-Storage-Modul von SafeNet für das Speichern der Schlüssel nutzen. 

Die größte Herausforderung ist, die Sicherheits-Kontrollen des Cloud-Providers zu bewerten.

Die Kontrolle  für die Verschlüsselung liegt in diesem Fall in der eigenen virtuellen Private-Cloud-Umgebung. Firmen wie Hytrust bieten nun Amazon-kompatible Produkte an, die komplette Datensätze von virtuellen Maschinen für Public-Cloud-Umgebungen verschlüsseln können. Dieser Markt wächst derzeit.

Schwachstellen-Management (Vulnerability Management) ist ein weiterer Bereich, der bei einem Umzug in eine hybride Cloud Sorgen bereitet. Zum Glück haben viele Anbieter von Schwachstellen-Scannern Ihre Produkte in die Umgebungen der großen Cloud-Provider integriert. 

Somit können Firmen auf Abruf Scans durchführen und Mängel beseitigen, sollte das notwendig sein. Prüfen Sie einfach, ob der im eigenen Haus eingesetzte Schwachstellen-Scanner vom Cloud-Provider Ihrer Wahl unterstützt wird. An dieser Stelle gibt es immer mehr Unterstützung.

Die größte Herausforderung für Firmen, die eine hybride Cloud-Strategie verfolgen, ist es, die Security-Kontrollen des Cloud-Providers zu bewerten. Mit der Hilfe von Organisationen wie der Cloud Security Alliance, ist die Aufgabe weniger mühsam. Sie hat einen Satz an Kontrollen in Bezug auf die Evaluierung zusammengestellt. Das deutsche BSI bietet eine Cloud-Computing-Eckpunktepapier auf seiner Webseite an, das Sicherheitsempfehlungen für Clou- Computing-Anbieter zusammenfasst.

Allerdings stellen viele Cloud-Provider selbst nicht genug Details zu internen Kontrollen und Security-Möglichkeiten zur Verfügung. Dieser Umstand ändert sich möglicherweise, da der Druck der Security-Community immer weiter ansteigt. Bis dahin werden sich die meisten Unternehmen allerdings dahingehend orientieren, die eigenen IT-Sicherheits-Kontrollen in Public-Cloud-Umgebungen zu implementieren, wo immer das möglich ist.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Erfahren Sie mehr über Cloud-Networking

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close