Cloud-Systeme sind mittlerweile in allen Lebens- und Arbeitsbereichen vertreten, und der Übergang zwischen Perimeter und Cloud wird immer fließender, da die meisten Unternehmen beginnen, ihre Cloud-Strategie auf einen Multicloud-Ansatz umzustellen. Der Wechsel in die Cloud bringt viele Vorteile wie Performance-Optimierung, verbesserte Zuverlässigkeit und allgemeine Kosteneinsparungen mit sich, ist aber auch mit Risiken und Herausforderungen verbunden. In einem Webinar mit dem Titel „Approaches for a More Secure Cloud Environment“ erläuterten Mitglieder des Splunk Security-Teams kürzlich, wie eine starke, einheitliche Multicloud-Security-Strategie dazu beitragen kann, Fehlkonfigurationen und andere Cyber-Security-Bedrohungen zu erkennen und zu verhindern.
Es ist wichtig zu verstehen, dass sich Unternehmen auf ihrem Weg in die Cloud meist in mehreren Phasen gleichzeitig befinden und, dass Sicherheit in jeder Phase des Aufbaus einer Cloud-Strategie berücksichtigt werden muss. Außerdem genügt es hinsichtlich der Cloud-Security und -Migration nicht, reine, innerhalb des Perimeters geltende Sicherheitsmaßnahmen und „Lift and Shift“-Modelle anzuwenden, da es gemeinsame Verantwortlichkeiten für Kunden und Provider gibt.
Bedingt durch den erheblichen Wettbewerb unter Providern und die vielen vernetzten Produkte, bringen Multicloud-Systeme ganz neue Formen der Komplexität und eine vergrößerte Angriffsfläche mit sich. Darüber hinaus legen die Analyseprodukte, die von Cloud-Service-Providern zur Verfügung gestellt werden, den Fokus auf proprietäre Angebote und bieten keine umfassende Sicht auf die Gesamtumgebung eines Unternehmens. Mangelnde Sichtbarkeit, kurzlebige Workloads und eine immer größer werdende Wissenslücke führen dazu, dass euch Cloud-Security ständig beschäftigt, ganz gleich, ob ihr eine Single-Cloud- oder Multi-Cloud-Umgebung nutzt.
Aber lasst uns das ganze Cloud-Thema einmal aus einem anderen Blickwinkel betrachten, denn man kann eine Cloud auch einfach als eine Art Data Center sehen. Wenn wir die Verantwortung übernehmen und Transparenz bei Security zu einer Top-Priorität machen, können wir uns darauf konzentrieren, Cloud-Angriffe auf Ziele wie Admins, User und Daten in AWS-, Microsoft Azure- und Google Cloud-Umgebungen zu verhindern.
Allgemeine Kriterien für Cloud-Security
Das Splunk Security Research-Team stellte vor Kurzem das Datenmodell für eine einheitliche Cloud-Infrastruktur (Unified Cloud Infrastructure Data Model) vor. Bei der Entwicklung dieses Datenmodells bestand der erste Schritt darin, eine Reihe allgemeiner Kriterien für Cloud-Security zu definieren. Das Team identifizierte sechs Hauptkategorien, in die die drei wichtigsten Cloud-Provider eingruppiert werden können, und erstellte ein Datenmodell, mit dem Unternehmen Analysen über verschiedene Cloud-Provider wie AWS, Microsoft Azure und Google Cloud hinweg durchführen und so ein einheitlicheres Sicherheitsniveau erreichen können. Das Team identifizierte folgende Kriterien:
- Computing: Artefakte wie Virtual Machines, Container, Apps, Microservices
- Storage: Storage-Typ (Block, Objekt, Datei)
- Management: Verwaltungszugriff, Logging-Einrichtung, Kubernetes-Ausprägung
- Netzwerk: Externer Zugriff, VLAN/VWAN, VPN, Routing
- Datenbank: SQL oder NoSQL
- Security: IAM, Verschlüsselung und Firewalls
Die Verwendung von Splunks Security Lösungen zusammen mit dem Unified Cloud Data Model kann es erleichtern, kritische Daten der verschiedenen Cloud-Service-Provider zu normalisieren und zu verwalten. Dies ermöglicht Unternehmen, das Security-Monitoring und die Transparenz innerhalb von Multicloud-Umgebungen zu verbessern, und versetzt sie gleichzeitig in die Lage, Erkennungs- und Untersuchungsprozesse über Splunk ES Content Update durchzuführen und mit Splunk Phantom auf ungewöhnliche Aktivitäten zu reagieren. Betreiber dieser Datenmodelle können sich detaillierteren Zugriff verschaffen, um Wissensobjekte (Knowledge Objects) anzupassen und zu implementieren, die auf dem einheitlichen Sicherheitsniveau ihrer Organisation basieren.
Kunden wie die FINRA nutzen die Splunk App für AWS, um Log-Daten zu zentralisieren und zu korrelieren, Bedrohungsinformationen aus Drittanbieterquellen in Security Alerts umzuwandeln und Dashboards zu Compliance/Governance zu erstellen. Splunk erfasst derzeit Logs aus über 170 unterschiedlichen Anwendungen innerhalb der FINRA-Umgebung und ermöglicht so die partnerschaftliche Zusammenarbeit der Security- und Operations-Teams. Die Organisation verfügt damit über beispiellose Transparenz bei jedem Aspekt ihrer Computing-Umgebung.
Weitere Informationen
- Habt ihr eine Cloud-Security-Strategie? Wie verhindert und erkennt ihr Bedrohungen, die auf eure Cloud-Umgebungen abzielen? Seht euch das Webinar an, um zu erfahren, wie ihr eine starke, einheitliche Cloud-Security-Strategie erstellt und die Multicloud-Services eures Unternehmens schützt.
- Weitere Informationen zur Nutzung des Cloud Infrastructure Data Model gibt es auch im Blog-Beitrag „Use Cloud Infrastructure Data Model to Detect Container Implantation (MITRE T1525).“
Bereit fürs Deployment?
Sichert euch noch heute direkten Zugriff auf das Cloud Infrastructure Data Model, um Security-Risiken und -Bedrohungen zu erkennen und zu verhindern und eure Umgebung sicherer zu machen – ganz gleich, ob euer Unternehmen eine Multi-Cloud- oder Single-Cloud-Umgebung nutzt.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Prevent and Detect Threats Across Multi-Cloud Environments (22.06.2020).
----------------------------------------------------
Thanks!
Splunk
