Lacework - Security und Compliance in der Cloud
Der Schutz einer Cloud-Umgebung erfordert dedizierte und umfassende Bemühungen im Hinblick auf die Richtlinien, Prozesse, Technologien und Kontrollen, die beim Sichern der Daten und Ressourcen, aus denen die Cloud-Infrastruktur insgesamt besteht, zum Tragen kommen. In der Cloud gibt es keine herkömmliche Netz- oder Infrastrukturarchitektur. Stattdessen erfordert diese Sicherheitsdynamik einen besonderen Ansatz der geteilten Verantwortung zwischen Cloud-Nutzern und ihren Cloud-Service-Anbietern.
Eine einzigartige Herausforderung
Wenn Workloads und Ressourcen in eine öffentliche Cloud wie AWS, Azure und GCP verlagert werden, profitieren Kunden von einer integrierten Security-Ebene, die vom Cloud-Anbieter bereitgestellt wird. Dies wird als Security der Cloud beschrieben. Die Kunden müssen dann eigenverantwortlich die Security für alle Daten, Transaktionen und andere Aktivitäten in dieser Umgebung einrichten und verwalten. Die Herausforderung besteht darin, dass jeder Anbieter einer öffentlichen Cloud sein eigenes Maß an Security-Kontrollen und -Richtlinien bereitstellt. Kunden müssen diese Unterschiede verstehen, damit sie fundierte Entscheidungen darüber treffen können, welche Cloud-Umgebungen am besten für ihre individuellen Anforderungen geeignet sind.
Im Folgenden werden die Security-Anforderungen von Cloud-Anbietern beschrieben und die Anforderungen genannt, die ein informierter Käufer berücksichtigen sollte. Es wird untersucht, wie verschiedene Security-Anbieter diese Herausforderungen angehen, um den Anforderungen der Endnutzer gerecht zu werden, ihren Teil des Modells der gemeinsamen Verantwortung zu erfüllen und letztendlich ihre Daten und Ressourcen zu schützen.
Betrachten wir zunächst einige der einzigartigen Security-Herausforderungen, welche die Cloud mit sich bringt.
Die Cloud verändert alles, auch die Security
Eine Cloud-Umgebung hat einen virtuellen Charakter. Sämtliche Infrastrukturkomponenten Gateways, Server, Speicher, Rechner und alle Ressourcen und Assets, die die Gesamtheit einer Cloud-Plattformumgebung ausmachen, werden als virtuelle Dienste dargestellt und betrieben.
Eine solche Architektur vereinfacht die Abläufe in vielerlei Hinsicht: Hardware muss nicht installiert werden, Speicherplatz ist vorhanden, und die Rechenkapazitäten können je nach Bedarf effizient skaliert werden, statt sich an der Rechenzentrumskapazität ausrichten zu müssen.
Die Einrichtung von Workloads in der Cloud kann schnell komplexe Gruppen von Microservices und serverlosen Instanzen umfassen. Diese laufen in fließenden Architekturen, die sich alle paar Minuten oder Sekunden ändern, was wiederum eine sich ständig verändernde Security-Umgebung schafft.
Diese Veränderungen erfolgen auf Basis der folgenden Ressourcen und Prozesse, die jeweils ihre eigenen Security-Bedürfnisse und -Anforderungen mit sich bringen.
Die Prozesse und Bedürfnisse im Detail
Die Prozesse und Bedürfnisse im Detail
Microservices
In einer Cloud-Umgebung werden Anwendungen oft in viele einzelne Funktionen untergliedert. Diese Microservices ermöglichen eine größere Laufzeitflexibilität und eine effizientere Ressourcennutzung. Allerdings machen sie auch die Security komplexer. Wo man früher die Authentifizierung und Zugriffskontrolle für eine Anwendung verwalten musste, muss man dies heute für alle Microservices tun, die Teil einer Cloud-Anwendung sind.
DevOps
In einer Cloud-Umgebung wird ständig neuer Code eingespielt. Dies kann täglich oder sogar stündlich geschehen. In der Praxis sind die DevOps-Bereitstellungen der Security oft weit voraus. Jede neu bereitgestellte Funktion oder jeder neu bereitgestellte Dienst bedeutet eine Vergrößerung der Angriffsfläche.
Kurzlebige Workloads
Zur Nutzungsoptimierung von Cloud-Plattformressourcen werden üblicherweise Dinge wie Laufwerke, IP-Adressen, Daten, Firewalls und andere Betriebskomponenten recycelt. Diese Funktionen und Ressourcen werden in einer sich konstant verändernden Cloud-Umgebung ständig abgebaut und neu erstellt. Gleichzeitig verändert sich auch ständig die Art und Weise, wie sie den Nutzern bereitgestellt werden. Oft kommen und gehen diese Workloads innerhalb von Sekunden.
Container
Mit Containern lassen sich Anwendungen, Funktionen und Microservices in streng kontrollierten Container-Umgebungen problemlos bereitstellen. Obwohl Container oberflächlich betrachtet sicher zu sein scheinen, führen sie gleichzeitig eine ganz neue Ebene der Komplexität ein, gepaart mit einer Reihe potenzieller neuer Schwachstellen. Alle Container in einer Umgebung teilen sich einen gemeinsamen Betriebssystem-Kernel. Wenn dieser durch einen schlecht konfigurierten Container beeinträchtigt wird, kann er auch alle anderen Container in dieser Umgebung gefährden. Außerdem ist es nicht immer einfach zu erkennen, was zwischen den Containern passiert. Die Überwachung des Datenverkehrs zu und von einer EC2-Instanz ist beispielsweise eine Möglichkeit, die Security des eigenen Betriebs zu gewährleisten. Wenn jedoch mehrere Container innerhalb einer EC2-Instanz Daten gemeinsam nutzen, kann viel passieren, was für das Überwachungs-Tool nicht erkennbar ist. Außerdem steigt bei der Verwendung vieler Container-Instanzen die Wahrscheinlichkeit einfacher menschlicher Fehler, darunter z. B. die Überausstattung eines Containers mit überflüssigen Funktionen und Berechtigungen.
Die kombinierte Wirkung der Aktivitäten aus all diesen Bereichen führt zu einem exponentiellen Anwachsen der Angriffsfläche einer Cloud-Umgebung. Außerdem gibt es in der Cloud eine enorme Menge an Ereignissen. Eine stark frequentierte Cloud-Umgebung kann acht bis zehn Milliarden Ereignisse pro Monat generieren, was die Erkennung von Bedrohungen zu einer großen Herausforderung macht. Angreifer sind sich dieser Schwachstellen durchaus bewusst und arbeiten fieberhaft daran, sie auszunutzen.
Herkömmliche Ansätze funktionieren nicht länger in der Cloud
Dynamische, ständig wechselnde Cloud-Umgebungen sind für traditionelle Security Tools nicht gut geeignet. Das liegt daran, dass diese Tools nie für fließende Umgebungen mit hohem Zugriff konzipiert wurden.
Herkömmliche Verteidigungsmaßnahmen für Rechenzentren wurden zum Schutz eines definierten Perimeters entwickelt, in dem die in eine Netzwerkumgebung ein- und ausgehenden Daten überwacht und kontrolliert werden. Die Verteidigung des Perimeters erfordert eine mehrstufige Verteidigungsstrategie, die in der Regel die folgenden Komponenten umfasst:
-
Router: Bietet Konnektivität zwischen dem Rechenzentrum und der Außenwelt und kann durch voreingestellte TCP/IP-Filterung eine erste Verteidigungsschicht bilden.
-
Firewall: Überwacht den IP-Adress-, Port- und Anwendungsverkehr in und aus dem Netzwerk und filtert diesen Traffic auf der Grundlage einer Reihe vergebener Regeln und Listen.
-
Antivirus/ Schutz vor Malware: Scannt nach schädlichem Code unter Verwendung bekannter Code-Signaturen zur Identifizierung von Bedrohungen.
-
Eindringungserkennung und Vorbeugung: Überwacht den Datenverkehr innerhalb des Netzwerks des Rechenzentrums, um Aktivitäten zu identifizieren, die gegen definierte Richtlinien verstoßen.
-
Zugangs- und Identitätsmanagement: Definiert rollen- und kontobasierte Richtlinien zur Verwaltung des Anwendungs- und Datenzugriffs und verwaltet die Identitätsauthentifizierung
Das Ziel dieser mehrstufigen Verteidigungsstrategie ist es, den unbefugten Zugang zum Netzwerk zu blockieren und unbefugte Aktivitäten innerhalb des Netzwerks zu verhindern. Damit ein Angreifer erfolgreich sein kann, muss er alle diese Schichten umgehen.
Dieser Ansatz funktioniert relativ gut in einer isolierten Rechenzentrumsumgebung, die sich kaum verändert. Aber die Cloud ist weder isoliert noch unveränderlich. Die Cloud ist eine gemeinsam genutzte Umgebung, deren einziger Zweck darin besteht, jedem, der eine Verbindung zum Internet herstellen kann, einen einfachen Zugang zu ermöglichen.
Obwohl Sie mit Cloud Security Tools den Zugriff auf Ihre eigenen Cloud-Ressourcen kontrollieren können, wird es immer Millionen von anderen geben, darunter auch böswillige Akteure, die dieselbe Cloud-Infrastruktur nutzen wie Sie.
Vieles von dem, was geschieht, ist für den Benutzer nicht sichtbar. Beispielsweise stellen Server über im Hintergrund ablaufende API-Aufrufe eine Verbindung zueinander her. Die automatische Skalierung ändert die Workload-Kapazität und das Leistungsniveau.
Die Benutzer können sich diese Aktivitäten so vorstellen: Sie konfigurieren nicht nur ihre lokalen Geräte, um mit der Cloud zu kommunizieren, sondern auch die Cloud. Um bei Bedarf sicheren Zugriff gewähren zu können, müssen die Benutzer die Tools, Identitätsquellen und Verbundfunktionen des Cloud-Anbieters nutzen. Außerdem werden viele autonome Verbindungen hergestellt, weshalb Listen für die Zugangskontrolle von entscheidender Bedeutung sind.
Die Cloud ist anpassungsfähig. Das ist eine ihrer wichtigsten Eigenschaften. Wird sie allerdings mit strengen, unnachgiebigen Regeln betrieben, führt das jedoch zu Konflikten. Beachten Sie, dass fast alle Tools des herkömmlichen Security Stacks darauf beruhen, dass überwachte Aktivitäten mit voreingestellten Regeln, Richtlinien, Listen und bekannten Signaturen abgeglichen werden.
In einer Cloud-Umgebung, die sich alle paar Minuten neu konfigurieren kann, um den betrieblichen Anforderungen gerecht zu werden, ändert sich die Datenverarbeitungsfunktion zu schnell, um mit einem herkömmlichen regelbasierten Ansatz gesichert zu werden. Regeln und Kontrollen können mit dem Tempo der Veränderungen nicht Schritt halten. Gleichzeitig ist es nicht möglich, die Regeln manuell anzupassen. Vor allem aus diesem Grund werden die alten Security-Gruppen und -Richtlinien in einer Cloud-Umgebung weniger wichtig als Service Meshes und Layer 7 Firewalls. Sie schränken den Anwendungsbereich ein, indem sie kontrollieren, welche Microservices mit welchen APIs kommunizieren.
Die Nutzung der Cloud erfordert auch ein Maß an Transparenz, das sich von dem für herkömmliche Umgebungen unterscheidet. Im Gegensatz zu herkömmlichen Tools, die alle Vorgänge in Ihrem isolierten Rechenzentrum überwachen können, ist man in einer Cloud-Infrastruktur immer eingeschränkt, da es sich um eine gemeinsam genutzte Infrastruktur handelt.
Außerdem ist es nicht gestattet, die Aktivitäten anderer Cloud-Clients oder tiefgreifender Cloud-Vorgänge zu überwachen. Cloud-Anbieter bieten oft keine umfassende Transparenz, die den Benutzern ein klares, präzises Bild von Aktivitäten und Anomalien vermittelt.
Das Problem wird noch komplizierter (und weniger transparent), weil das dynamische Hinzufügen und Entfernen von Containern und Microservices die Landschaft der Umgebung verändert. Das wiederum bedeutet, dass jede Änderung neue Dinge mit sich bringt, die es zu verstehen und untersuchen gilt.
Die dynamische Natur einer Cloud-Umgebung limitiert auch den Wert von Aktivitätsprotokollen, die viele herkömmliche Tools zur Erkennung und Untersuchung von ungewöhnlichen Aktivitäten inspizieren. In einer Umgebung, in der Server innerhalb von Minuten hoch- und heruntergefahren werden können, sind Protokollinformationen nur von begrenztem Nutzen oder gar nicht vorhanden. Eine IP-Adresse, die mit einer Funktion oder Ressource verknüpft ist, kann innerhalb von zehn Minuten eine völlig andere Rolle einnehmen. Dies erschwert die Erkennung von Vorfällen und die Forensik.
Cloud Security braucht einen neuen Ansatz
Die einzige Möglichkeit, eine sich ständig verändernde Cloud-Umgebung abzusichern, sind Security-Maßnahmen, die kontinuierlich und in Echtzeit durchgeführt werden. Diese Security-Funktionen müssen die folgenden Fähigkeiten umfassen:
Eine kontinuierliche Anomalieerkennung in Echtzeit und Verhaltensanalysen, die alle Ereignisaktivitäten in der Cloud-Umgebung überwachen, Aktivitäten zwischen Containern, Anwendungen und Benutzern verfolgen und die entsprechenden Aktivitäten für die Analyse protokollieren können, nachdem Container und andere kurzlebige Workloads recycelt wurden.
Diese Überwachung und Analyse muss in der Lage sein, automatische Benachrichtigungen auszusenden. Die Verhaltensanalyse ermöglicht die nicht regelbasierte Erkennung und Analyse von Ereignissen in einer Umgebung, die sich an die sich ständig ändernden betrieblichen Anforderungen anpasst.
-
Kontinuierliche Konfigurations- und Compliance-Prüfung in Echtzeit über sämtliche Cloud-Speichersysteme und Datenverarbeitungsinstanzen hinweg
-
Kontinuierliche Echtzeit-Überwachung von Zugriffs- und Konfigurationsaktivitäten über APIs hinweg sowie von Entwickler- und Benutzerkonten
-
Kontinuierliche Echtzeit-Überwachung der Workloads und Containeraktivitäten, losgelöst vom Netzwerk
Eine öffentliche Cloud-Umgebung gewährt nur einen begrenzten Einblick in die Netzwerkaktivitäten. Daher sind Agenten für Container erforderlich, die Orchestrierun-Tools, Dateiintegrität und Zugriffskontrolle überwachen.
Viele Unternehmen müssen heutzutage den schlechten Kompromiss eingehen, sich zwischen Geschwindigkeit und Security zu entscheiden. Neue Security Tools, die für eine umfassende Echtzeitüberwachung der Cloud-Infrastruktur und die Analyse von Arbeitslasten sowie Kontoaktivitäten entwickelt wurden, ermöglichen eine Bereitstellung und Skalierung ohne Security-Einbußen. Unternehmen, die in der Cloud arbeiten, müssen sich darauf verlassen können, dass ihre Infrastruktur bei der Skalierung sicher bleibt.
Sie brauchen die Gewissheit, dass sie Dienste bereitstellen können, welche die Compliance nicht gefährden oder neue Risiken mit sich bringen. Dies ist nur mit neuen Tools möglich, die speziell für hochdynamische Cloud-Umgebungen entwickelt wurden und die eine kontinuierliche Überwachung, Analyse und Benachrichtigung in Echtzeit ermöglichen.
Wie sich der Security-Markt entwickelt hat, um diese Herausforderungen zu begegnen
Bei der ursprünglichen Generation von Cloud-Security-Lösungen handelte es sich entweder um On-Premise-Lösungen, die in die Cloud verlagert wurden, oder um Lösungen, die sich hauptsächlich auf den Schutz des Perimeters konzentrierten. Dies war ein guter Ausgangspunkt, entsprach aber nicht den Anforderungen der schnelllebigen Innovationsprozesse in der Cloud.
Die zweite Generation von Cloud-Security-Lösungen übernahm diese alte Technologie und wendete sie an, um bekannte Bedrohungen durch neue Technologien wie Container zu erkennen.
Viele dieser Anbieter wurden durch Übernahmen in größere Unternehmen eingegliedert, was ihr einheitliches Lösungsangebot widerspiegelte.
In letzter Zeit gibt es neuere Punktlösungen, die neuartige Ansätze verfolgen, um bekannte Bedrohungen und Schwachstellen leichter zu erkennen, wie z. B. das Arbeiten mit inkrementellen Daten-Snapshots oder der Versuch, die Endpunkt-Security auf die Cloud zu übertragen. Dies löst jedoch nur einen Teil des Puzzles, anstatt das tatsächliche Laufzeitverhalten oder die Datenkomplexität zu adressieren.
Aus diesem Grund wurde Lacework mit der Polygraph Data Platform entwickelt, um das Security-Problem in der Cloud mit einem Ansatz zu lösen, der in der Cloud und für die Cloud entwickelt wurde. Ein Ansatz, um die riesigen Mengen an dynamischen Cloud-Daten zu erfassen, zu analysieren, zu speichern und zu sichern.
Abdeckung des gesamten Spektrums spezifischer Security-Bedürfnisse
Automatisierte Security und Compliance für die Generation Cloud
Lacework automatisiert die Security und Compliance in AWS, Azure, GCP sowie Private Clouds und ermöglicht einen ganzheitlichen Überblick über Risiken in Cloud-Workloads und Containern. Die einheitliche Cloud-Security-Plattform von Lacework bietet beispiellose Transparenz, automatisiert die Eindringungserkennung, ermöglicht Überprüfungen mit nur einem Klick und vereinfacht die Cloud Compliance.
Lacework wurde speziell dazu entwickelt, kontextuelle Daten über cloudbezogene Ereignisse bereitzustellen, da Änderungen zu neuen Schwachstellen und potenziellen Bedrohungen führen können, die sich möglicherweise auf die eigene Security-Situation und damit auch auf die Compliance-Ziele auswirken. Jede Aktualisierung, jede Konfigurationsänderung, jeder Zugriffspunkt und eine Million anderer Aktivitäten, die potenzielle Bedrohungen darstellen könnten, werden identifiziert und auf ihr Risikopotenzial hin analysiert.