Aufrufe
vor 2 Wochen

Netzwoche 10/2019

26 DOSSIER KOMPAKT

26 DOSSIER KOMPAKT Cloud-Security In Kooperation mit Barracuda Networks Bild: kirstypargeter / iStock.com Sicherheit und Performance in der Wolke Anwendungen müssen skalieren und performant sein. Um dies zu erreichen, werden Implementierungen auf Public-Cloud-Plattformen wie AWS, Microsoft Azure und GCP gehostet, was Elastizität und Geschwindigkeit bringt. Die Vorteile: Flexibilität, Effizienzsteigerung und verbrauchsabhängige Abrechnung. DER AUTOR Michael Ulrich Country Manager Switzerland, Barracuda Networks Die Sicherung von Cloud-Applikationen erfordert neue Ansätze, Richtlinien, Konfigurationen und Strategien, damit Geschäftsanforderungen wie Leistung und Skalierbarkeit mit den Sicherheitsvorkehrungen vereinbar sind. Verantwortung und Freiheit Oft ist nicht klar, wie die Sicherheitsverantwortung in der Cloud verteilt ist. Public-Cloud-Anbieter sind nur für die physische Sicherheit, die globale und regionale Konnektivität und Stromversorgung sowie Kühlung ihrer Rechenzentren verantwortlich. Es liegt bei den Unternehmen, die Sicherheit von Anwendungen, Workloads und Betriebssystemen zu konfigurieren, zu patchen und zu schützen. Zudem sind sie auch für den Datenschutz und die Verfügbarkeit von Workloads verantwortlich. Balance von Leistung und Sicherheit Unternehmen stellen bei der Sicherung ihrer Cloud-Anwendungen oft die Anwendungsleistung und -geschwindigkeit über die Sicherheit. Aufgrund der Risiken sollten diese Faktoren jedoch im Verhältnis ausgewogen sein. Der Einsatz von Layer 7-Schutzmassnahmen ist für die Sicherung von Applikationen sehr wichtig. Jede Technologie muss hierbei tief in bestehende Cloud-Plattformen und Lizenzmodelle integriert werden. Sie sollte eng mit der dynamischen Skalierbarkeit von Public-Cloud-Anbietern verbunden sein, um sicherzustellen, dass die Anforderungen an das Performance-Management ohne manuelle Eingriffe in Echtzeit erfüllt werden. Zudem sollten Unternehmen direkten Zugriff auf die nativen Protokollierungs- und Berichtsfunktionen der Cloud-Plattformen haben. Management von Anwendungsschwachstellen Die automatische und kontinuierliche Behebung von Schwachstellen ist für die Gewährleistung der Anwendungssicherheit von grosser Bedeutung. Daher ist es notwendig, Richtlinien einzuführen, die kontinuierlichen Schutz durch ein ständiges Schwachstellen-Management und -Behebungsverfahren bieten. Dies kann auch automatisiert werden, um sicherzustellen, dass Anwendungsänderungen keine Schwachstellen öffnen. Vier Punkte zur Auswahl einer effektiven Cloud-Sicherheit s- lösung Im Folgenden einige Best Practices für effektive Anwendungssicherheit in der Cloud: 1. Auf die Cloud spezialisiert: Die Sicherheitslösung sollte anspruchsvollste Anwendungsfälle erfüllen können, wie sie für cloud-gehostete Anwendungen spezifisch sind. Zudem ist es zwingend notwendig, dass sie sich direkt in native Public Cloud Services sowie Cloud-Access-Technologien integriert. 2. API: Die Lösung sollte eine möglichst umfassende API bereitstellen, die eine für Cloud-Einsatzszenarien angemessene Kontrolle durch bereits verwendete Orchestrierungswerkzeuge von Dev- Ops-Teams ermöglicht. 3. Skalierbarkeit und zentrale Verwaltung: Sicherheitsanwendungen müssen in Hochverfügbarkeits-Clustern implementiert und mithilfe von Cloud-Templates automatisch skaliert werden können. Zudem sollten sie eine Verwaltung und Überwachung von einer einzigen Konsole aus bieten. 4. Flexible Lizenzierung: Wichtig ist auch, dass die Lösungen vollständige Lizenzflexibilität samt einer verbrauchsabhängigen Abrechnung bieten. So können Unternehmen so viele Instanzen wie nötig bereitstellen und bezahlen nur den Datenverkehr, der durch diese Anwendungen gesichert ist. Die Abrechnung für jede Einheit einer Web Application Firewall (WAF) macht es teuer, eine WAF mit jeder Anwendung zu implementieren. Hier kann ein Application-Security-as-a-Service- oder Runtime-Sicherheitsschutz für Anwendungen helfen. 10 / 2019 www.netzwoche.ch © netzmedien ag

In Kooperation mit Barracuda Networks Cloud-Security DOSSIER KOMPAKT27 « Für Bots ist es ein Leichtes, ständig nach neuen Angriffspunkten zu suchen » Sicherheitsfragen gehen bei Cloud-Anwendungen bei einem Fokus auf Performance und Geschwindigkeit schnell unter. Oliver Braekow, Director Technical Marketing bei Barracuda, erklärt, welche Aspekte bei der Wahl einer Sicherheitslösung von zentraler Rolle sind und wie deren Tests ablaufen. Interview: Linus Bauer Welche klassischen Schwachstellen liegen bei Unternehmen ohne zureichenden Schutz ihrer Cloud-Anwendungen vor? Oliver Braekow: Unternehmen, die ihre Workloads in die Cloud verlagern, sehen sich immer Angriffen aus dem Internet gegenüber. Egal, ob Webapplikationsangriffe der OWASP-Top-20-Schwachstellen, DDoS oder SQL-Injektionsattacken. Das liegt daran, dass alle IP-Adressen der Cloud-Anbieter offenliegen oder programmatisch abfragbar sind. Somit ist es ein Leichtes für bösartige Bots, ständig nach neuen Angriffspunkten zu suchen. Die gute Nachricht ist, dass Web Application Firewalls diese Angriffe sehr effektiv stoppen und kostengünstig zu implementieren sind. Es gibt auch SaaS-Angebote für WAFs, sodass Nutzer, die sich mit dem Thema Security weniger auskennen, diese problemlos einsetzen können. « Bei der Wahl des Cloud- Anbieters sollten Basiszertifizierungen nachgefragt werden. » Oliver Braekow, Director Technical Marketing, Barracuda Wie kann die Sicherheit von Cloud-Umgebungen getestet werden? Unternehmen können mit den meisten Anbietern eine sogenanntes «Proof of Concept» vereinbaren, um Lösungen selbst zu evaluieren. Darüber hinaus bieten die meisten Cloud-Security-Provider «Testfahrten» an, die das Produkt tatsächlich in einer Testumgebung einsetzen und es auf eine extra für Testzwecke eingerichtete poröse Website leiten lassen. Bei einer solchen Probefahrt werden dann die Angriffe auf diese Website beobachtet, wie die WAF oder die Firewall, diese Angriffe blockiert. Mit dem Barracuda Vulnerability Manager bieten wir eine noch einfachere Lösung an. Diese kostenfreie Analyseanwendung in der Cloud erlaubt das Austesten einer existierenden Webapplikation innerhalb weniger Minuten. Welche Schutzzertifikate sind bei Cloud-Anbietern zu empfehlen? Fast alle namhaften Cloud-Anbieter sind heute nach ISO 9001 (Global Quality Standards), ISO 27001 (Security Management Controls), ISO 27017 (Cloud Specific Controls) und ISO 27018 (Personal Data Protection) zertifiziert. Bei der Wahl des Cloud-Anbieters sollten diese Basiszertifizierungen nachgefragt werden. Für die weitergehenden Zertifizierungen der Anwendungen zeichnen sich mehrere Standards ab, die immer mehr Anwendung finden: Im englischsprachigen Umfeld stellt das «Center for Internet Security» eine Reihe von Zertifizierungen auf (CIS Benchmarks). Diese beinhalten etwa Verfahren, um unabsichtliche Sicherheitslecks durch Fehlbedienung zu vermeiden, Mindestanforderungen an die verwendeten Maschinenimages und einige mehr. Um diese Standards einzuhalten, helfen Lösungen, wie zum Beispiel Barracuda Cloud Security Guardian. Spielt es für die Sicherheit von Cloud-Diensten eine Rolle, ob auf Strukturen im In- oder Ausland gesetzt wird? Die meisten cloudbasierten Sicherheitslösungen arbeiten als virtuelle Maschinen innerhalb der Cloud, sodass sie sich streng genommen in der kundeneigenen Cloud-Infrastruktur des Benutzers befinden. Um dennoch Sicherheitsbedenken vorzubeugen, haben alle namhaften Cloud-Hersteller Rechenzentren direkt vor Ort in den meisten ausschlaggebenden Jurisdiktionen aufgebaut. Falls dies immer noch nicht ausreichen sollte, kann auf ein «hybrides» Modell zurückgegriffen werden. Bei diesem Modell sind etwa der Webserver und der Applikationsserver in der Cloud, die Kundendatenbank mit den zu schützenden Daten ist nach wie vor im eigenen Rechenzentrum. Mittels mehrfach redundant ausgelegtem VPN-Tunnel ist zu jedem Zeitpunkt die Anbindung gesichert. Spezielle Firewall-Lösungen wie die «Barracuda CloudGen Firewall» können für eine höchst performante VPN-Verbindung bis zu zwei Dutzend kostengünstige Internetanbindungen wie DSL, Kabelmodem oder LTE-Modem kombinieren und den VPN-Datenverkehr mehrfach komprimieren. Dadurch steht tatsächlich weitaus mehr Bandbreite zur Verfügung, als physikalisch tatsächlich vorhanden ist – Stichwort: SD-WAN. Gleichzeitig ist die Verbindung deutlich kostengünstiger als spezielle dedizierte Leitungen. Bei SaaS- Angeboten ist das etwas komplizierter. Hier ist es wichtig zu wissen, wo die Daten liegen, wenn sie sich im Ruhezustand befinden. Dann kommt es darauf an, welche Zusicherungen der Cloud-Anbieter gibt. www.netzwoche.ch © netzmedien ag 10 / 2019

Archiv