Was ist Hybrid Cloud-Sicherheit?

Hybrid Cloud Security ist der Schutz von Daten, Anwendungen und Infrastruktur im Zusammenhang mit einer IT-Architektur, die ein gewisses Maß an Workload-Portabilität, Orchestrierung und Verwaltung über mehrere IT-Umgebungen hinweg umfasst, darunter mindestens eine Cloud – Public oder Private.

Hybrid Clouds bieten die Möglichkeit, das Risiko einer möglichen Offenlegung Ihrer Daten zu reduzieren. Sie können vertrauliche oder kritische Daten von der Public Cloud isolieren, die Cloud aber trotzdem für Daten nutzen, die nicht mit denselben Risiken behaftet sind.

Warum Hybrid Cloud für mehr Sicherheit?

Mit Hybrid Clouds können Unternehmen anhand von Compliance-, Audit-, Richtlinien- oder Sicherheitsanforderungen entscheiden, wo Workloads und Daten gespeichert werden sollen.

Während die verschiedenen Umgebungen, aus denen eine Hybrid Cloud besteht, weiterhin besondere und separate Einheiten bleiben, wird die Migration zwischen ihnen durch Container oder verschlüsselte APIs (Application Programming Interfaces) erleichtert, die bei der Übertragung von Ressourcen und Workloads helfen. Diese separate, aber dennoch vernetzte Architektur ermöglicht es Unternehmen, kritische Workloads in der Private Cloud und weniger sensible Workloads in der Public Cloud auszuführen. Es handelt sich um eine Lösung, die Datenexposition minimiert und es Unternehmen ermöglicht, ein flexibles IT-Portfolio anzupassen.

Hybrid Cloud-Sicherheit besteht, wie die Computersicherheit im Allgemeinen, aus 3 Komponenten: physische, technische und administrative Elemente.

Physische Kontrollen dienen der Sicherung Ihrer Hardware. Beispiele hierfür sind Schlösser, Wachpersonal und Überwachungskameras.

Technische Kontrollen sind Schutzmaßnahmen, die in IT-Systeme selbst integriert sind, wie Verschlüsselung, Netzwerkauthentifizierung und Verwaltungssoftware. Viele der leistungsstärksten Sicherheitstools für Hybrid Clouds sind technische Kontrollmechanismen.

Administrative Kontrollen sind Programme, die Menschen dabei helfen, sich sicherheitsfördernd zu verhalten, wie Trainings und Notfallplanung.

Checkliste: 6 Sicherheitsvorteile von Cloud Computing-Umgebungen

Hybrid Clouds können sich über mehrere Standorte erstrecken, was die physische Sicherheit zu einer besonderen Herausforderung macht. Sie können nicht alle Ihre Rechner mit einem Zaun umgeben und die Tür abschließen.

Bei gemeinsam genutzten Ressourcen wie einer Public Cloud bestehen möglicherweise SLAs (Service Level Agreements) mit Ihrem Cloud-Anbieter, in denen festgelegt ist, welche physischen Sicherheitsstandards erfüllt werden müssen. So haben einige Public Cloud-Anbieter Vereinbarungen mit Regierungskunden getroffen, um den Zugang zur physischen Hardware auf bestimmte Mitarbeiter zu beschränken.

Aber selbst mit guten SLAs geben Sie ein gewisses Maß an Kontrolle auf, wenn Sie sich auf einen Public Cloud-Anbieter verlassen. Das bedeutet, dass andere Sicherheitskontrollen noch wichtiger werden.

Technische Kontrollen sind für die Hybrid Cloud-Sicherheit zentral. Eine zentralisierte Verwaltung einer Hybrid Cloud erleichtert die Implementierung technischer Kontrollen.

Zu den leistungsstärksten technischen Kontrollmechanismen in Ihrem Toolkit für die Hybrid Cloud gehören Verschlüsselung, Automatisierung, Orchestrierung, Zugangskontrollen und Sicherheit von Endgeräten.

Verschlüsselung

Durch Verschlüsselung wird das Risiko einer Offenlegung lesbarer Daten, selbst bei Angriffen auf einen physischen Rechner, erheblich verringert.

Sie können Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsseln. Wir zeigen Ihnen wie:

Schutz Ihrer Daten im Ruhezustand:

• Die vollständige Festplattenverschlüsselung (Partitionsverschlüsselung) schützt Ihre Daten, wenn Ihr Computer ausgeschaltet ist. Testen Sie hierfür das Format Linux Unified Key Setup-on-disk (LUSK), mit dem Sie Ihre Festplattenpartitionen in großem Umfang verschlüsseln können.
• Hardwareverschlüsselung schützt die Festplatte vor unbefugtem Zugriff. Testen Sie das Trusted Platform Module (TPM), einen Hardware-Chip, der kryptografische Schlüssel speichert. Ist das TPM aktiviert, bleibt die Festplatte gesperrt, bis sich der Nutzende bei der Anmeldung authentifizieren kann.
• Verschlüsseln Sie Root-Volumes, ohne Ihre Passwörter manuell eingeben zu müssen. Haben Sie eine hoch automatisierte Cloud-Umgebung erstellt, nutzen Sie diese als Basis für automatisierte Verschlüsselung. Falls Sie Linux verwenden, versuchen Sie es mit Network Bound Disk Encryption (Netzwerkgebundene Festplattenverschlüsselung, NBDE), die sowohl auf physischen als auch auf virtuellen Maschinen funktioniert. Bonus: Integrieren Sie TPM in NBDE und sorgen Sie für 2 Sicherheitsebenen (NBDE schützt vernetzte Umgebungen, während TPM vor Ort zum Einsatz kommt).

Schutz Ihrer Daten während der Übertragung

• Verschlüsseln Sie Ihre Netzwerk-Session. Daten sind während der Übertragung einem viel höheren Risiko ausgesetzt, abgefangen und verändert zu werden. Internet Protocol Security (IPsec) ist eine Erweiterung des Internetprotokolls, die Kryptografie verwendet.
• Wählen Sie Produkte, die bereits Sicherheitsstandards implementieren.  Wählen Sie Produkte, die den Federal Information Processing Standard (FIPS) Publication 140-2 unterstützen, der kryptografische Module zum Schutz von besonders gefährdeten Daten verwendet.

Automatisierung

Um zu verstehen, warum Automatisierung für Hybrid Clouds wie geschaffen ist, sollten Sie sich die mit der manuellen Überwachung und Patch-Installation verbundenen Nachteile verdeutlichen.

Die manuelle Überwachung von Sicherheit und Compliance birgt oft mehr Risiken als Vorteile. Manuelle Patches und Konfigurationsmanagement beinhalten das Risiko einer asynchronen Implementierung. Außerdem wird die Implementierung von Self Service-Systemen erschwert. Bei einer Sicherheitsverletzung besteht die Gefahr, dass Aufzeichnungen über manuelle Patches und Konfigurationen verloren gehen, was zu interner Unruhe und Schuldzuweisungen im Team führen kann. Darüber hinaus sind manuelle Prozesse in der Regel fehleranfälliger und zeitaufwendiger.

Im Gegensatz dazu ermöglicht Ihnen die Automatisierung, Risiken vorzubeugen, anstatt nur auf sie zu reagieren. Die Automatisierung ermöglicht es Ihnen, Regeln festzulegen sowie Abläufe zu teilen und zu überprüfen, was letztendlich die Durchführung von Sicherheitsaudits erleichtert. Bei der Bewertung Ihrer Hybrid Cloud-Umgebungen sollten Sie die Automatisierung der folgenden Prozesse in Betracht ziehen:

• Monitoring Ihrer Umgebungen
• Verwaltung Ihrer Daten
• Überprüfen der Compliance
• Implementierung von Patches
• Implementierung benutzerdefinierter oder gesetzlicher Sicherheitsgrundlagen

Orchestrierung

Die Cloud-Orchestrierung geht noch einen Schritt weiter. Sie können sich Automatisierung als die Definition bestimmter Zutaten vorstellen und Orchestrierung als ein Kochbuch mit Rezepten, die diese Zutaten miteinander kombinieren.

Orchestrierung ermöglicht es, Cloud-Ressourcen und ihre Softwarekomponenten als eine Einheit zu verwalten und sie dann mithilfe einer Vorlage automatisiert und wiederholbar bereitzustellen.

Der größte Vorteil der Orchestrierung für die Sicherheit ist die Standardisierung. Sie können die Flexibilität der Cloud nutzen und gleichzeitig sicherstellen, dass die eingesetzten Systeme Ihren Standards für Sicherheit und Compliance entsprechen.

Zugangskontrollen

Hybrid Clouds sind auch auf Zugangskontrollen angewiesen. Beschränken Sie Nutzerkonten auf die erforderlichen Berechtigungen und erwägen Sie die Einführung einer Zwei-Faktor-Authentifizierung. Die Beschränkung des Zugriffs auf Nutzende, die mit einem virtuellen privaten Netzwerk (VPN) verbunden sind, kann ebenfalls zur Einhaltung von Sicherheitsstandards beitragen.

Sicherheit von Endgeräten

Sicherheit von Endgeräten bedeutet oft, dass Software eingesetzt wird, um den Fernzugriff zu sperren oder sensible Daten zu löschen, wenn das Smartphone, Tablet oder der Computer eines Benutzers verloren geht, gestohlen oder gehackt wird.

Nutzende können sich von überall aus mit ihren persönlichen Geräten mit einer Hybrid Cloud verbinden, wodurch die Sicherheit von Endgeräten zu einer unverzichtbaren Kontrollmaßnahme wird. Angreifer können Ihre Systeme mit Phishing-Angriffen auf einzelne Nutzende und mit Malware angreifen, die einzelne Geräte kompromittiert.

Wir führen dies hier als technische Kontrollmaßnahme auf, aber die Sicherheit von Endgeräten umfasst physische, technische und administrative Kontrollen: Sorgen Sie für die Sicherheit physischer Geräte, nutzen Sie technische Kontrollen, um die Risiken zu begrenzen, falls ein Gerät in die falschen Hände fällt, und schulen Sie die Nutzenden in der Anwendung guter Sicherheitspraktiken.

Administrative Kontrollen für die Hybrid Cloud-Sicherheit werden implementiert, um den Faktor Mensch zu berücksichtigen. Da Hybrid Cloud-Umgebungen stark vernetzt sind, liegt die Sicherheit in der Verantwortung jedes einzelnen Nutzenden.

Die Vorbereitung auf Notfälle und Disaster Recovery sind ein Beispiel für administrative Kontrollen. Wenn ein Teil Ihrer Hybrid Cloud offline geht, wer ist dann für welche Maßnahmen verantwortlich? Verfügen Sie über Protokolle zur Wiederherstellung von Daten?

Eine Hybrid-Architektur bietet erhebliche Vorteile für die administrative Sicherheit. Da Ihre Ressourcen unter Umständen auf Hardware vor Ort und außerhalb verteilt sind, haben Sie verschiedene Optionen für Backups und Redundanzen. In Hybrid Clouds, die Public Clouds und Private Clouds umfassen, können Sie auf die Public Cloud ausweichen, wenn ein System in Ihrer Private Cloud im Rechenzentrum ausfällt.

Was sind SPIFFE und SPIRE?

IT-Sicherheit braucht Zeit und erfordert Iteration. Die Sicherheitslandschaft verändert sich ständig. Anstatt sich selbst unter Druck zu setzen, einen Zustand vollkommener Sicherheit zu erreichen (den es nicht gibt), konzentrieren Sie sich darauf, einen Fuß vor den anderen zu setzen und vernünftige, gut durchdachte Maßnahmen zu ergreifen, damit Sie heute sicherer sind als gestern.

E-Book: Sicherheits- und Compliance-Risiken auf Open Source Linux managen