Hybrid-Cloud-Sicherheit bezieht sich auf den Schutz von Daten und Infrastrukturen, die Elemente einer Private Cloud, einer Public Cloud sowie der lokalen Infrastruktur in einer einheitlichen Architektur kombinieren. Eine Hybrid Cloud ist die IT-Umgebung, die diese Elemente miteinander verbindet. Sie bietet hohe Flexibilität, da Sie Workloads schnell in andere Umgebungen verschieben können und gleichzeitig von den besseren Funktionen in diesen Umgebungen profitieren.
Es gibt gute Gründe, eine Hybrid-Cloud-Architektur zu verwenden. Sie bringt jedoch auch einige zusätzliche Sicherheitsprobleme mit sich, die in diesem Artikel erläutert werden. Zunächst stellen wir jedoch die Anwendungsszenarien für eine Hybrid Cloud vor.
Anwendungsszenarien für die Hybrid Cloud
Die Cloud ist ein unverzichtbarer Bestandteil der IT-Infrastruktur aller Unternehmen, die erfolgreich sein wollen. Für die Hybrid Cloud gibt es derzeit drei gängige Anwendungsszenarien in Unternehmen.
Wechsel zu einer Public Cloud
Es ist gängige Praxis, beim Wechsel in die Cloud die bestehende lokale Infrastruktur anfangs weiterhin zu nutzen. Die meisten Unternehmen installieren zunächst virtuelle Maschinen und Kubernetes in Rechenzentren, die von ihnen kontrolliert werden. Anschließend konvertieren sie ihre monolithischen Anwendungen in Mikroservices und stellen sie in lokalen Systemen bereit.
Wenn die Verwaltung und Skalierung der lokalen Instanzen zu aufwändig wird, können Sie einige der Workloads in Public-Cloud-Systeme verschieben. In dieser Phase starten Sie Ihr Hybrid-Cloud-Abenteuer und profitieren von der Skalierbarkeit eines Public-Cloud-Anbieters. Gleichzeitig stellen Sie sicher, dass die wichtigen Systeme in Ihrer lokalen Umgebung weiterhin funktionieren, sodass der Wechsel in die Public Cloud nahtlos erfolgen kann.
Beibehalten einiger Workloads in der lokalen Umgebung
Bei Cloud-Anbietern profitieren Sie häufig von Flexibilität und Skalierbarkeit. Allerdings gehört die Infrastruktur einem anderem Unternehmen. Aufgrund verschiedener Datenschutzgesetze und Richtlinien ziehen es Unternehmen möglicherweise vor, geschäftskritische und sensible Daten in Ihren lokalen Systemen zu behalten, während die Workloads skalierbar und effizient auf externen Cloud-Systemen ausgeführt werden.
Verwenden mehrerer Cloud-Anbieter
Jeder Cloud-Anbieter hat eigene Services, Preise, Support-Stufen und SLAs, sodass es sinnvoll sein kann, mehrere Anbieter parallel zu nutzen. Leider haben auch alle Cloud-Anbieter eigene Verwaltungsportale und APIs, was die zentrale Verwaltung erschwert.
Aufgrund der Flexibilität und Kombinationsmöglichkeiten klingt die Hybrid Cloud im Vergleich mit herkömmlichen Cloud-Architekturen sehr vielversprechend. Allerdings bringt sie auch einige große Sicherheitsprobleme mit sich, die wir nachfolgend erläutern.
Sicherheitsherausforderungen der Hybrid Cloud
Die Hybrid Cloud löst oder mindert keine der Sicherheitsnachteile einer reinen Cloud-Infrastruktur. Im Gegenteil: Die Hybrid Cloud bereitet die nachfolgend beschriebenen Probleme.
Wenn Anwendungen über mehrere Clouds verteilt sind, müssen diese sich miteinander verbinden und untereinander Daten austauschen. Daher sollte der Datenverkehr zwischen den Clouds abgesichert und verschlüsselt werden. Der Aufbau einer durchgängig abgesicherten Verbindung zwischen mehreren Cloud-Infrastrukturen ist mitunter schwierig, v. a. wenn es sich um verschiedene Netzwerkmodelle handelt.
Der Fokus der Sicherheitsfunktionen bei den verschiedenen Cloud-Angeboten liegt auf dem Schutz der eigenen Services und Infrastruktur. Sie können zum Beispiel den Zugriff auf Cloud-Ressourcen in AWS mithilfe von IAM-Rollen einschränken – doch diese gelten nur für Workloads innerhalb der AWS-Infrastruktur.
Netzwerkkonfigurationen sind bereits bei einem einzelnen Cloud-Service eine Herausforderung und umso komplexer, wenn verschiedene Cloud-Angebote berücksichtigt werden müssen. Wenn Sie zum Beispiel eine Private-Cloud-Umgebung erstellen, müssen Sie Amazon Virtual Private Cloud (VPC), Azure Virtual Network (VNet) und Google Virtual Private Cloud (VPC) separat konfigurieren. Wenn diese Umgebungen nicht genügend Aufmerksamkeit erhalten und einige Parameter nicht berücksichtigt werden, kommt es unweigerlich zu Sicherheitsverletzungen.
Falls mehrere Cloud-Infrastrukturen verbunden sind, können Echtzeit-Bedrohungserkennungssysteme Fehlalarme ausgeben, wenn sie den Datenverkehr zwischen Cloud(s) und lokalen Systemen fälschlicherweise als ungewöhnlich oder sogar böswillig erkennen. Wenn die Infrastruktur insgesamt noch komplexer wird, sollten die Überwachungs- und Warnsysteme sehr gründlich konfiguriert werden, damit sie echte Sicherheitsverletzungen zuverlässig erkennen.
Cloud-Kennwort-Manager wie GCP Secret Manager oder AWS Secrets Manager sind hervorragend geeignet, um Kennwörter, Schlüssel, Zertifikate und andere sensible Daten zu speichern, aber sie sind immer nur auf die jeweilige Cloud-Plattform beschränkt. Um Schlüssel in einer hybriden Infrastruktur zu verteilen und zu verwalten, müssen Sie zentrale und externe Tools wie Vault implementieren.
Komponenten und Kontrollen für einheitliche Infrastrukturen
Es gibt drei essenzielle Komponenten für die Erstellung einer einheitlichen, harmonischen Infrastruktur: Netzwerke, Verschlüsselung und Authentifizierung.
Netzwerke
Erst durch die Verbindung zwischen mehreren Cloud-Infrastrukturen entsteht eine Hybrid Cloud. Die Umsetzung erfolgt typischerweise mit direkten Netzwerkverbindungen zwischen lokalen Systemen und Clouds sowie mit VPN-Tunneln. Diese Methoden werden meist zusammen eingesetzt, wobei die direkte Verbindung als primäre Methode und das VPN als Standby verwendet wird.
Verschlüsselung
Mit Verschlüsselung können Sie sicherstellen, dass nur autorisierte Personen mit den entsprechenden Zugriffsrechten auf Daten zugreifen können. Wenn verschiedene Infrastrukturen und Cloud-Services miteinander verbunden werden, ist es einfach, für die sichere und verschlüsselte Kommunikation eine externe Lösung zu verwenden. Diese kann auch von einem der Cloud-Anbieter in Ihrer Hybrid-Cloud-Umgebung bereitgestellt werden.
Authentifizierung
Eine Hybrid Cloud schafft eine Umgebung, in der Anwendungen mitunter Services von anderen Cloud-Anbietern verarbeiten. Wenn zum Beispiel die Workload in Cloud A (oder einem lokalen System) sich bei Cloud B authentifizieren muss, erfolgt dies mithilfe von Anmeldedaten.
Sie müssen diese Anmeldedaten – und besonders ihre Weitergabe – sorgfältig verwalten, da ein Leck dieser Daten verheerende Folgen haben kann. Diese Anmeldedaten müssen auch regelmäßig geändert werden. Daher benötigen Sie eine Hybrid-Cloud-Sicherheitsarchitektur, die Anwendungen in verschiedenen Infrastrukturen verbindet.
Cloud-Erkennung und -Transparenz sind erforderlich, um diese Komponenten in einer verteilten Infrastruktur verwalten, konfigurieren und überwachen zu können. Falcon Horizon CSPM konzentriert sich auf die Sicherheitsverwaltung für Cloud-Umgebungen (Cloud Security Posture Management, CSPM), um Konfigurationsfehler und potenzielle Bedrohungen zu erkennen und gleichzeitig die Compliance bei mehreren Cloud-Anbietern wie AWS, Azure und Google Cloud zu gewährleisten.
Best Practices
Die Absicherung einer Hybrid Cloud ist aufgrund der zahlreichen Komponenten und der großen Verteilung eine echte Herausforderung. Es ist daher immer sinnvoll, mit branchenweit akzeptierten Best Practices zu beginnen:
- Netzwerk- und Sicherheitsexperten sollten die Netzwerktopologie sorgfältig überprüfen.
- Stellen Sie sicher, dass die Verwaltung der geheimen Daten (Anmeldedaten, Zertifikate, Schlüssel, Kennwörter) sorgfältig geplant wird, um Datenlecks zu vermeiden, und ändern Sie Zertifikate und Kennwörter regelmäßig.
- Ihr Team sollte Container-Images auf Schwachstellen prüfen und nur sichere Container bereitstellen. Wenn Sie Schwachstellen zu einem früheren Zeitpunkt identifizieren und DevSecOps-Grundsätze automatisieren möchten, sehen Sie sich CrowdStrike Falcon® Container Security an.
- Führen Sie kontinuierlich Audits durch, um Echtzeit-Transparenz und die Einhaltung von Compliance-Vorschriften zu gewährleisten.
- Implementieren Sie einen Zero-Trust-Ansatz für neue Anwendungen, Umgebungen und Tools.
Fazit
Mit einer Hybrid-Cloud-Umgebung können Sie Ihre lokalen Systeme und Cloud-Anbieter optimal nutzen, doch sie bringt im Vergleich zu einer reinen Cloud-Umgebung auch zusätzliche Sicherheitsprobleme mit sich. Zum Glück wiegen die Vorteile einer Hybrid Cloud die Zusatzkosten auf, die bei der Absicherung des Gesamtsystems anfallen. Dennoch ist es wichtig, allgemeine Sicherheits- und Netzwerkexperten sowie technische Spezialisten für die eingesetzten Cloud-Anbieter hinzuzuziehen.
CrowdStrike bietet Cloud-Sicherheitslösungen an, die durchgehenden Schutz mit Workload-Sicherheit, CSPM und Container-Sicherheit umfassen. Starten Sie einen kostenlosen Test, um schnellen und einfachen Schutz vor allen Bedrohungen in Ihrer Hybrid-Cloud-Umgebung zu erhalten.