Wieso brauche ich eigentlich Cloud Security? 5 Mythen zu Cloud Security entlarvt!

Die Einführung von Cloud-Diensten ist ein fundamentaler Teil der digitalen Transformation und bei den meisten Unternehmen bereits im vollen Gange. Da immer mehr Anwender von Cloud-Applikationen und -Infrastrukturen abhängig sind, muss auch der CISO seinen Approach anpassen und Sicherheit in der Cloud garantieren können.

“Die Cloud hat alles, was On-Premises Datacenter Umgebungen haben, ausser dass alles völlig anders ist; nämlich viel grösser und dynamischer, ein riesiger Self-Service der ausserhalb der traditionellen Security-Kontrollen existiert.”

Zuerst einmal ein paar Definitionen:

• • Cloud Service Provider (CSP) sind Amazon AWS, Microsoft Azure oder Google GCP.
  • Native Cloud Security: Tools, die von den CSP zur Verfügung gestellt werden.
  • Cloud-native Security: Tools, die von Anfang an in der Cloud konzipiert und nicht von On-Prem in die Cloud migriert wurden.
  • Cloud-based Security: Security Lösungen, die in der Cloud gehostet sind, aber meistens nichts mit der Sicherheit der Cloud zu tun haben (z.B. ein Cloud-based SIEM).

Wer sich mit Cloud und Cloud Security zum ersten Mal auseinandersetzt, lernt sehr früh das Konzept von “Shared Responsibility” kennen. Dabei teilen der Cloud Provider und das Unternehmen als Benutzer die Verantwortung. Der Cloud Provider (oder Anbieter) kümmert sich um den Schutz der Cloud selber (der Infrastruktur) und das Unternehmen (der Benutzer) kümmert sich um die Daten (und die Konfiguration) in der Cloud. 

Damit dies nochmals ganz klar ist, der Cloud Provider kümmert sich um die physische Sicherheit der Cloud und nur um gewisse Teile der Infrastruktur. Damit sind meistens das Betriebssystem, die Firewall, das Netzwerk, das IAM, usw. in der Verantwortung des Kunden. 

Der CSP kann sehr wohl Security-Tools zur Verfügung stellen, aber wenn der Benutzer (oder das Unternehmen als Kunde) diese gar nicht oder schlecht konfiguriert, dann liegt das in der Verantwortung des Benutzers und nicht des Cloud-Providers.

Sollten nicht eigentlich die Cloud Provider am besten wissen, wie man sich in ihren Umgebungen schützen kann? Wenn es sich um den Schutz der darunterliegenden Infrastruktur handelt, dann ja, der Cloud-Provider weiss wahrscheinlich am besten wie er seine eigene Umgebung schützen kann.

Aber wenn es um die Applikationen geht, die in der Cloud laufen, oder um die Daten, die in der Cloud liegen, dann ist der Cloud Provider nicht dafür zuständig. Und wenn er Sicherheitslösungen anbietet, um die Applikationen, Netzwerke und Daten zu sichern, dann sollte man diese unbedingt mit anderen Anbietern vergleichen, denn weder AWS, noch Google noch Microsoft haben Security als Kernkompetenz. Wenn man sich z.B. Tests von Microsoft ATP anschaut, sieht man, dass ATP im Vergleich zu dedizierten Security-Lösungen beim Erkennen von Malware langsamer ist und auch eine viel höhere Miss-Rate hat⁽¹⁾. 

Wenn man mehr als einen Cloud-Provider benutzt, eine sogenannte Multi-Cloud betreibt, dann müssen die Native Cloud-Security Tools der CSP in jeder Cloud separat konfiguriert und betrieben werden. Denn die Security-Lösungen von Microsoft Azure funktionieren nur in Azure und nicht in Google GCP oder AWS⁽²⁾. 

Vieles ist in der Cloud durch den Benutzer selber konfigurierbar, was dem Self-Service Gedanken entspricht. Die Qualität der Konfiguration hingegen wird nicht geprüft und wenn man selber konfigurieren will, dann sollte man auch wissen, wie man die richtigen und sicheren Optionen wählt. Man kann auch oft lesen, dass Cloud-Native Security alles viel einfacher macht. Cloud-Native bedeutet in diesem Kontext, dass ein Tool für die Cloud konzipiert wurde und es sich nicht um eine bestehende On-Premises Lösung handelt, die für die Benutzung in der Cloud angepasst wurde. Solche Cloud-Native Lösungen sind einfacher, indem sie z. B. mit den dynamischen Aspekten der Cloud (Auto-Scaling) oder den Security-Groups (SG oder NSG) kompatibel sind. Aber einfach ist in diesem Zusammenhang relativ. Man muss auch bei Cloud-Native Tools wissen, wie man sie richtig konfigurieren und optimal einsetzen muss. 

Dies ist mit den Punkten 1 und 3 verwandt. Es besteht die Idee, dass die Cloud-Provider am besten wissen, wie man Cloud absichert und dass sie mit den Standardkonfigurationen (Defaults) ein Optimum an Sicherheit für alle anbieten können. Die Realität ist natürlich viel komplizierter. Da nicht alle Applikationen oder Cloud-Umgebungen gleich sind, und nicht alle Benutzer die gleichen Sicherheitsanforderungen haben, sind die Defaults eben wirklich nur das, Standard-Konfigurationen die man für sich und seine Umgebungen anpassen sollte. Und meistens leuchtet auch kein rotes Lämpchen auf, wenn etwas unsicher konfiguriert wird, was auch für Defaults gilt.

Es ist de facto so, dass viele Security-Lösungen, die On-Prem funktionieren, für die Cloud angepasst wurden. Das kann in hybriden Multi-Cloud Umgebungen auch sehr sinnvoll sein. Wenn man z. B. das gleiche Management für On-Prem wie auch über verschiedene Cloud-Provider hinweg verwenden kann, dann ist das aus betrieblicher Sicht effizient. Es kann auch ein guter Ansatz sein, wenn man seine Applikationen oder Infrastruktur in die Cloud verschiebt, eine einheitliche Lösung zu haben, mit der man Policies über alle Umgebungen hinweg abgleichen kann. Wenn man dann in der Cloud eine gewisse Grösse erreicht und eine gewisse Maturität gewonnen hat, kann man sich immer noch überlegen, ob eine Migration zu anderen (evtl. Cloud-Native) Lösungen sinnvoll ist.

Hier will gesagt sein, dass vor allem grössere Migrationen zu einem Doppelbetrieb führen und normalerweise auch ihre Zeit brauchen. Kleinere On-Prem Umgebungen kann man schneller in die Cloud migrieren und es gibt auch Unternehmen, die in der Cloud sozusagen auf der grünen Wiese beginnen, bei denen lohnt es sich dann schon zu hinterfragen, welche Art von Cloud-Security Lösung man einsetzen kann und möchte. 

Die grössten Bedrohungen in der Cloud gehen heute von Problemen wie Fehlkonfigurationen und unzureichendem IAM aus, bei denen der Kunde allein für die Sicherheit verantwortlich ist. Die Cloud Transformation ist in Wirklichkeit ein genauso grosser kultureller wie auch ein technologischer Wandel. Deswegen hilft eine gute und klare Cloud- und Cloud-Security Strategie, damit man vor lauter Tools und Agilität die Sicherheit nicht aus den Augen verliert.