Serverless Computing zeigt neue Sicherheitsherausforderungen in der Hybrid-IT auf

Was ist serverlose Architektur und warum ist sie für Ihr Unternehmen wichtig? Jeffrey Hammond, Principal Analyst von Forrester Research, sprach mit TechRepublic über die Grundprinzipien des Serverless Computing und darüber, wie Unternehmen es in der Infrastruktur der nächsten Generation einsetzen.

Während des jüngsten Tech Field Day 16-Events hat Forcepoint den Beginn einer meiner Meinung nach dringend benötigten Verschiebung der hybriden IT-Sicherheit aufgepeppt. Auf der von VMware gesponserten FutureNet-Konferenz teilte ein Verizon-Sprecher die grundlegende Herausforderung der hybriden IT-Sicherheit: Es gibt kein einheitliches Konstrukt, auf dem ein Plan zur Durchsetzung der Sicherheit in der öffentlichen und privaten Cloud erstellt werden kann.

Der traditionelle Ansatz zur Unternehmenssicherheit beruht auf der Netzwerkzugriffskontrolle (NAC). NAC hat sich seit Jahren als Krücke für die Unternehmenssicherheit erwiesen, da Sicherheitsexperten ihre Identität lose auf dem Knoten basieren können, auf dem der Datenverkehr entsteht.

Ein Beispiel ist die Identifizierung des gesamten Datenverkehrs aus einem bestimmten Netzwerksegment als von der Buchhaltungsabteilung stammend. Sicherheitsexperten würden eine Firewall-Funktion verwenden, um Datenverkehr vom Segment des Buchhaltungsnetzwerks zu einem Dateiserver zu ermöglichen, auf dem die Finanzdaten des Unternehmens gehostet werden. Das gleiche Firewall-Gerät kann den Datenverkehr von nicht abrechnungsfähigen Netzwerksegmenten einschränken.

Die Vorgehensweise wird durch die Verwendung von Konzepten wie Zertifikaten verbessert, die auf Identitätsdienste wie Active Directory zurückgehen. Der Durchsetzungspunkt bleibt jedoch die Firewall, wenn auch mit zusätzlichen Identitätsattributen.

Sicherheit heben und schalten

Die ersten Cloud-Bereitstellungen für Unternehmen waren einfach - Dienste und Datensicherheitszonen waren etwas statisch. Unternehmen könnten damit rechnen, die Sicherheit am Rande der Netze angemessen zu kontrollieren. Ein Beispiel ist die Verlagerung von Entwicklung und Test in die öffentliche Cloud. Sicherheitsexperten können ihr Sicherheitsdesign in der öffentlichen Cloud mithilfe von NAC über hostbasierte Firewalls replizieren oder virtuelle Firewalls in der öffentlichen Cloud-Infrastruktur bereitstellen.

Mit zunehmender Reife von Organisationen konnten sie mithilfe der Tools der Cloud-Steuerungsebene NAC-Regeln erstellen. Während die Benutzeroberfläche geschult werden musste, waren die Konzepte ähnlich. Datenverkehr von einer Gruppe von Hosts wurde zugelassen oder nicht zugelassen. Die Cloud-Sicherheitssteuerebene stellt jedoch eine der ersten frühen Herausforderungen in der hybriden IT-Sicherheit dar - eine konsistente Betriebssteuerungsebene.

Da hybride IT-Services immer komplexer werden, benötigten Sicherheitsexperten detailliertere Kontrollen zwischen der öffentlichen Cloud und der privaten Infrastruktur. Nehmen Sie als Beispiel das universelle Beispiel der Web- und Anwendungsebenen in einer dreistufigen Anwendung. Das bloße Erstellen einer Firewall-Regel, die den Datenverkehr von der Webschicht zur Anwendungsebene ermöglicht, erwies sich als komplex.

Frühe Firewalls für private Rechenzentren hatten keinen Kontext für kurzlebige Cloud-Sicherheitsobjekte. Wenn die Webschicht elastische Berechnungen nutzte, musste der Administrator der öffentlichen Cloud sicherstellen, dass automatisch skalierte Webserver alle im selben Netzwerkbereich erstellt wurden, damit die statische Firewall den Datenverkehr ordnungsgemäß filtern konnte. In Cloud-Dienste integrierte Firewalls der neueren Generation können jedoch Cloud-Objekte identifizieren und Filterung basierend auf dem alten Knoten-zu-Knoten-Konzept ermöglichen.

Native Cloud-Dienste

Bei Cloud-nativen Diensten bricht das traditionelle Firewall-Konzept. Nehmen Sie zum Beispiel Lambda von Amazon Web Services (AWS). AWS Lambda ist ein ereignisgesteuerter Dienst, der kein Konzept für einen Rechenknoten hat, der dem Dienstkonsumenten ausgesetzt ist - daher der Begriff serverlos. Lambda führt eine Falte in das traditionelle Firewall-basierte Sicherheitsmodell ein. Wie filtert eine Firewall den Datenverkehr von einem Lambda-Ereignis, das für einen privaten Rechenzentrumsknoten bestimmt ist?

Ich bekomme jedes Mal einen neugierigen Blick, wenn ich dieses Szenario präsentiere. Stellen Sie sich eine Lambda-Funktion vor, die ein in eine S3-Funktion geschriebenes Bild in eine lokale Oracle-Datenbank kopiert. Wie unterscheidet eine Firewall diese Aktivität von anderen Lambda-Aktivitäten?

Das Cybersicherheitsunternehmen Forcepoint hat im vergangenen Jahr viele Sicherheitsprodukte erworben. Zu ihrem Kaufrausch gehören sowohl ein Firewall-Produkt als auch ein Cloud Access Security Broker (CASB). CASB-Produkte lassen sich nativ in Cloud-basierte Dienste wie Office 365 integrieren. Mit zunehmender Reife von Forcepoint könnte das Unternehmen theoretisch die Firewall- und CASB-Produkte integrieren, um die für die End-to-End-Hybrid-IT erforderlichen Sicherheitskontrollen zu gewährleisten.

Forcepoint ist nicht der einzige Anbieter, der sich mit dieser Herausforderung befasst. Ich habe mit dem VMware NSX-Team gesprochen und sie sind zuversichtlich, dass NSX auf dem Weg ist, eine ähnliche Funktion anzubieten. Bis dahin muss ein Unternehmen Anwendungsdesigns berücksichtigen, die Cloud-native Dienste wie Lambda in private Rechenzentrumsressourcen integrieren. Bis eine domänenübergreifende Lösung verfügbar wird, müssen Unternehmen die detaillierten Steuerelemente der öffentlichen Cloud-Anbieter und die netzwerkbasierten Steuerelemente der Unternehmensfirewall verwenden, um eine vollständig sichere Lösung zu erstellen.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com