Public Manager
17.05.2023 | Digitalisierung, E-Government, Sicherheit

Implementierung von Cloud-nativer Sicherheit nicht vernachlässigen

Da die Cloud-Infrastruktur immer mehr an Bedeutung gewinnt, ist ihre Absicherung zu einem zentralen Thema in den Behörden geworden. Daher ist die Implementierung von Cloud-nativer Sicherheit ein wichtiger Schwerpunkt. Schwachstellen in den Systemen und Umgebungen der Cloud setzen Behörden angesichts der Anwendungsmöglichkeiten sowie der Menge und Sensibilität der Daten ähnlich schwerwiegenden Bedrohungen aus, wie Palo Alto Networks berichtet.

Die Bedeutung der Cloud nimmt weiter zu 

Der anhaltende Trend zur Cloud macht diesen Risikobereich noch ernster. Mehrere Faktoren haben die beschleunigte Migration in die Cloud vorangetrieben, darunter erhebliche technologische Fortschritte, die Auswirkungen von COVID auf die Bereitstellung von Arbeitskräften und die allgegenwärtigen Herausforderungen bei der Einstellung von IT- und Sicherheitsteams. 

Schlüsselstrategien zur Sicherung der Cloud 

Da Behörden ebenso wie Unternehmen immer mehr Systeme in die Cloud verlagern, können Anwendungen und Daten durch Fehler und Schwachstellen gefährdet sein. Bei der Zusammenstellung des Verteidigungsarsenals gilt es, sich auf mehrere miteinander verbundene Bereiche zu konzentrieren, um diese Risiken zu bekämpfen. Die folgenden vier Aspekte sind nach einung von Palo Alto Networks besonders relevant: 

  1. Verlagerung des Sicherheitsfokus und der Verantwortung „nach links“

Das „Shift Left“-Sicherheitskonzept sieht Sicherheitstests und -validierung zu einem früheren Zeitpunkt im Cloud-nativen Entwicklungsprozess vor. Die Cloud-native Entwicklung bringt neue Entwicklungsressourcen mit sich, wie z. B. IaC-Dateien (Infrastructure as Code), Container-Image-Spezifikationen, APIs für Microservices und Cloud-Deployment-Artefakte, um nur einige zu nennen. Mit diesen neuen Assets kommen auch neue Angriffsvektoren. Diese neuen Angriffsvektoren in Kombination mit der Geschwindigkeit und dem Umfang der Cloud machen es erforderlich, dass Schwachstellen und Sicherheitsrisiken nicht dem Sicherheitsteam oder dem SOC überlassen werden, um sich während der operativen Bereitstellung damit zu befassen. Die Angriffsvektoren sollten vorzugsweise die Entwickler bereits während des Entwicklungsprozesses identifizieren und angehen. Indem Behörden den Zeitplan für die Identifizierung und Behebung von Sicherheitsproblemen auf der Zeitachse „nach links“ verschieben, können sie sowohl die Kosten für die Behebung als auch das Risiko eines Vorfalls bei Cloud-nativen Anwendungen reduzieren. 

  1. Cloud-native Anwendungen erfordern Cloud-native Sicherheitslösungen

Wie bereits erwähnt, generiert die Entwicklung von Cloud-nativen Anwendungen einzigartige Ressourcen für Cloud-native Bereitstellungen. Der Prozess für die Entwicklung, das Testen und die Bereitstellung solcher Anwendungen ist ebenfalls unterschiedlich und führt zu verschiedenen Sicherheitsrisiken. Diese erfordern „Cloud-bewusste“ oder Cloud-native Sicherheitslösungen, um sie anzugehen. Egal, ob es sich um Schwachstellen in containerisierten Anwendungen, Fehlkonfigurationen in der Cloud-Infrastruktur, Cloud-fähige Malware, überprivilegierte Cloud-Berechtigungen oder unsichere APIs zur Unterstützung von Microservice-basierten Architekturen handelt, diese Risiken lassen sich nicht durch herkömmliche Sicherheitslösungen beheben. Nur Cloud-native Sicherheitslösungen verfügen über das Cloud-Bewusstsein, die Skalierbarkeit und die durchgängige Abdeckung des Anwendungslebenszyklus, um diese Risiken von der Entwicklung bis zur Bereitstellung anzugehen. 

  1. Angemessene Sicherheitsinvestitionen, um der gestiegenen IT-Komplexität zu begegnen

Eine kürzlich durchgeführte McKinsey-Studie kam zu dem Schluss, dass „die Budgets vieler, wenn nicht sogar der meisten Chief Information Security Officers (CISOs) zu gering angesetzt sind“. Dies kann zu schwierigen Entscheidungen darüber führen, wo investiert werden soll. Es kann bedeuten, dass neue Projekte skaliert werden müssen, um die Bandbreite und die Ausbildung des Cybersicherheitsteams zu berücksichtigen. Darüber hinaus können neue und kreative Ansätze erforderlich sein, um zusätzliche Mittel für Sicherheitsinvestitionen zu erhalten, einschließlich Fonds für die technologische Modernisierung oder Zuschüsse. Der jüngste Bericht von Gartner  (1. Link - CNAPP) ist eine gute Quelle, um den Prozess der Ideenfindung für die erforderlichen Investitionen zu beginnen. 

  1. Eine bewährte Vision von Zero Trust für die Cloud-Sicherheitsstrategie nutzen

Zero Trust ist ein strategischer Ansatz für die Cybersicherheit, der ein Unternehmen absichert, indem er implizites Vertrauen eliminiert und jede Phase einer digitalen Interaktion kontinuierlich überprüft. Dieser Ansatz umfasst die Sicherung von On-Premises-, Cloud- oder öffentlichen Multi-Cloud-Umgebungen. Zero Trust ist für die Cloud-Welt ebenso relevant wie für herkömmliche Umgebungen. In einer Multi-Cloud-Welt sind Compliance und Sichtbarkeit die Eckpfeiler für die Aufrechterhaltung eines Zero-Trust-Ansatzes. Die Praxis zeigt, dass Inkonsistenzen in den Konfigurationen verschiedener Cloud-Plattformen zu einem deutlich erhöhten Risiko führen können.