So sichern Sie Hybrid Clouds: Was IT-Experten wissen müssen

Der Unterschied zwischen Hybrid Cloud, Public Cloud und Private Cloud Die größte Frage im heutigen Unternehmen ist häufig, welcher Cloud-Typ ausgeführt werden soll: öffentlich, privat oder hybride. Die Unterscheidungen können jedoch unklar sein, also definieren wir sie.

Öffentliche und private Organisationen haben festgestellt, dass das Verschieben von Daten- und Softwareplattformen in die Cloud kein Alles-oder-Nichts-Angebot ist. IT-Abteilungen lernen, eine Mischung aus lokalen Private-Cloud- und Public-Cloud-Diensten von Drittanbietern auszuführen. Durch die Erstellung einer Hybrid-Cloud-Plattform können Workloads zwischen privaten und öffentlichen Clouds verschoben werden, wenn sich die Computeranforderungen und -kosten ändern. Dies bietet Unternehmen mehr Flexibilität und mehr Optionen für die Datenbereitstellung.

Must-Read Cloud

  • Cloud Computing im Jahr 2020: Vorhersagen zu Sicherheit, KI, Kubernetes, mehr
  • Die wichtigsten Cloud-Fortschritte des Jahrzehnts
  • Top Desktop as a Service (DaaS) -Anbieter: Amazon, Citrix, Microsoft, VMware und mehr
  • Cloud-Computing-Richtlinie (TechRepublic Premium)

Hybridwolken haben Vor- und Nachteile. Der Komfort und die Anpassungsfähigkeit für Benutzer der Hybrid-Cloud-Technologie sind mit Kosten verbunden: Sicherheitsteams müssen Unternehmensdaten und in vielen Fällen proprietäre Prozesse in mehreren Umgebungen schützen. Dave Shackleford, Hauptberater von Voodoo Security und SANS-Analyst, hat beschlossen, diese Bedenken im SANS-Whitepaper Sichern der Hybrid Cloud: Traditionelle und neue Tools und Strategien auszuräumen.

"Da immer mehr Unternehmen ein Hybrid-Cloud-Modell verwenden, müssen sie ihre internen Sicherheitskontrollen und -prozesse an Umgebungen mit Anbietern öffentlicher Cloud-Dienste anpassen", schreibt Shackleford. "Zu Beginn sollten die Praktiken zur Risikobewertung und -analyse aktualisiert werden, um die in Abbildung 1 aufgeführten Punkte kontinuierlich zu überprüfen." Diese Elemente sind unten aufgeführt.

  • Sicherheitskontrollen, Funktionen und Compliance-Status von Cloud-Anbietern
  • Interne Entwicklungs- und Orchestrierungswerkzeuge und -plattformen
  • Tools für Betriebsmanagement und Überwachung
  • Sicherheitstools und -kontrollen sowohl intern als auch in der Cloud

Die Jury ist sich noch nicht sicher, wer letztendlich für die Sicherheit in der Cloud verantwortlich ist. Shackleford setzt sich dafür ein, dass Cloud-Service-Anbieter und ihre Kunden die Verantwortung teilen müssen. Was den Kunden betrifft, glaubt Shackleford, dass sein Sicherheitsteam Folgendes haben muss:

  • Ein gutes Verständnis der derzeit verwendeten Sicherheitskontrollen; und
  • Ein noch besseres Verständnis dafür, welche Sicherheitskontrollen geändert werden müssen, um in einer Hybrid-Cloud-Umgebung erfolgreich zu arbeiten.

In Bezug auf den Grund erklärt Shackleford: "Es ist fast garantiert, dass einige Sicherheitskontrollen nicht so funktionieren wie intern oder in Umgebungen mit Cloud-Dienstanbietern nicht verfügbar sind."

Interne Prozesse, die IT-Experten überprüfen sollten

Shackleford schlägt vor, die folgenden internen Prozesse zu untersuchen.

Konfigurationsbewertung : Laut Shackleford sind die folgenden Konfigurationen für die Sicherheit besonders wichtig:

  • Betriebssystemversion und Patch-Level
  • Lokale Benutzer und Gruppen
  • Berechtigungen für Schlüsseldateien
  • Gehärtete Netzwerkdienste, die ausgeführt werden

Scannen von Sicherheitslücken : Shackleford empfiehlt, Systeme kontinuierlich zu scannen und alle während des Lebenszyklus der Instanz festgestellten Sicherheitslücken zu melden. Zum Scannen und Bewerten von Ergebnissen stellt Shackleford fest, dass eine der folgenden Methoden normalerweise in Hybrid-Cloud-Situationen verwendet wird.

  • Einige Anbieter herkömmlicher Schwachstellenscanner haben ihre Produkte für die Verwendung in Cloud-Provider-Umgebungen angepasst und verlassen sich häufig auf APIs, um manuelle Anforderungen zur Durchführung aufdringlicherer Scans auf geplanter oder Ad-hoc-Basis zu vermeiden.
  • Verlassen Sie sich auf hostbasierte Agenten, die ihre jeweiligen virtuellen Maschinen kontinuierlich scannen können.

Sicherheitsüberwachung : Hybrid-Cloud-Umgebungen sind fast immer auf virtualisierten Servern mit mehreren Mandanten vorhanden, sodass sie nur schwer auf Angriffe pro Kunde überwacht werden können. "Die Überwachung der virtuellen Infrastruktur erfolgt an einem von mehreren Orten: der VM / dem Container, dem virtuellen Switch, dem Hypervisor oder dem physischen Netzwerk", schreibt Shackleford. "In fast allen Cloud-Umgebungen können wir nur auf die vom Cloud-Anbieter angebotene VM / Container oder das softwaredefinierte Netzwerk zugreifen."

"Zu den Überlegungen zur Erstellung von Überwachungstools gehören die Netzwerkbandbreite, vorhandene dedizierte Verbindungen und Methoden zur Datenaggregation / -analyse", fährt Shackleford fort. "Protokolle und Ereignisse, die von Diensten, Anwendungen und Betriebssystemen in Cloud-Instanzen generiert werden, sollten automatisch erfasst und an eine zentrale Erfassungsplattform gesendet werden."

In Bezug auf die automatisierte Remote-Protokollierung ist Shackleford der Ansicht, dass die meisten Sicherheitsteams bereits über das Sammeln der entsprechenden Protokolle, das Senden an sichere zentrale Protokollierungsdienste oder Cloud-basierte Ereignisverwaltungsplattformen und deren genaue Überwachung mithilfe von SIEM- und / oder Analysetools verfügen.

Laut Shackleford ist der Himmel die Grenze für das, was überwacht wird. Er glaubt, dass Folgendes Vorrang haben sollte:

  • Ungewöhnliche Benutzeranmeldungen oder Anmeldefehler
  • Import oder Export großer Datenmengen in und aus der Cloud-Umgebung
  • Privilegierte Benutzeraktivitäten
  • Änderungen an genehmigten Systemabbildern
  • Zugriff und Änderungen an Verschlüsselungsschlüsseln
  • Änderungen an Berechtigungen und Identitätskonfigurationen
  • Änderungen an den Protokollierungs- und Überwachungskonfigurationen
  • Cloud-Anbieter und Bedrohungsinformationen von Drittanbietern

Silos und Punktlösungen sind ein Problem

Wir haben uns alle mit einer Dienstleistung oder einem Produkt in eine Ecke geboxt. Aus dem gleichen Grund empfiehlt Shackleford dringend, Optionen von Einzelanbietern oder Cloud-nativen Optionen zu vermeiden, die keine Flexibilität zwischen verschiedenen Anbietern und Umgebungen bieten - um jeden Preis.

"Einige Anbieterprodukte funktionieren nur in bestimmten Umgebungen, und die integrierten Dienste der meisten Cloud-Anbieter funktionieren nur auf ihren eigenen Plattformen", erklärt er. "Ein solches Siloing kann zu erheblichen Kopfschmerzen führen, wenn geschäftliche Anforderungen Unternehmen zu einer Multi-Cloud-Strategie führen und die erneuten Besuche von Sicherheitskontrollen erforderlich machen, die den Anforderungen entsprechen."

Sicherheit nach links verschieben

Shackleford ist ein starker Befürworter der Sicherheit nach links, ein einfaches Konzept, das schwer umzusetzen ist. Die Idee ist, Sicherheitsaspekte näher an die Entwicklungsphase des Produkts heranzuführen. "Mit anderen Worten, Sicherheit ist wirklich eingebettet in Entwicklungs- und Betriebspraktiken und Infrastruktur (eine Praxis, die manchmal als SecDevOps oder DevSecOps bezeichnet wird)", schreibt Shackleford. "Sicherheits- und DevOps-Teams sollten IT-Organisationsstandards für eine Reihe von Bereichen definieren und veröffentlichen, einschließlich Anwendungsbibliotheken und Betriebssystemkonfigurationen, die zur Verwendung zugelassen sind."

Eine letzte Warnung

Neben der normalen Due Diligence schlägt Shackleford vor, eine Basis zu bilden, indem alle vorhandenen Kontrollen und Prozesse gründlich überprüft werden, bevor Daten und / oder Prozesse in die öffentliche Cloud verschoben werden. "Dies gibt ihnen die Möglichkeit, die betroffenen Daten angemessen zu schützen und nach gleichwertigen Sicherheitsfunktionen in öffentlichen Cloud-Umgebungen zu suchen", rät Shackleford. "Suchen Sie nach Tools, mit denen Sie sowohl interne als auch Cloud-Assets an einem Ort verwalten können, da Sicherheits- und Betriebsteams normalerweise zu dünn verteilt sind, um mehrere Management- und Überwachungstools in einer oder mehreren Cloud-Anbieterumgebungen zu verwalten."

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com