Use case

Lacework - Security und Compliance in der Cloud

Der Schutz einer Cloud-Umgebung erfordert dedizierte und umfassende Bemühungen im Hinblick auf die Richtlinien, Prozesse, Technologien und Kontrollen, die beim Sichern der Daten und Ressourcen, aus denen die Cloud-Infrastruktur insgesamt besteht, zum Tragen kommen. In der Cloud gibt es keine herkömmliche Netz- oder Infrastrukturarchitektur. Stattdessen erfordert diese Sicherheitsdynamik einen besonderen Ansatz der geteilten Verantwortung zwischen Cloud-Nutzern und ihren Cloud-Service-Anbietern.

Lacework Use Case Cloud Image

Eine einzigartige Herausforderung

Wenn Workloads und Ressourcen in eine öffentliche Cloud wie AWS, Azure und GCP verlagert werden, profitieren Kunden von einer integrierten Security-Ebene, die vom Cloud-Anbieter bereitgestellt wird. Dies wird als Security der Cloud beschrieben. Die Kunden müssen dann eigenverantwortlich die Security für alle Daten, Transaktionen und andere Aktivitäten in dieser Umgebung einrichten und verwalten. Die Herausforderung besteht darin, dass jeder Anbieter einer öffentlichen Cloud sein eigenes Maß an Security-Kontrollen und -Richtlinien bereitstellt. Kunden müssen diese Unterschiede verstehen, damit sie fundierte Entscheidungen darüber treffen können, welche Cloud-Umgebungen am besten für ihre individuellen Anforderungen geeignet sind.

Im Folgenden werden die Security-Anforderungen von Cloud-Anbietern beschrieben und die Anforderungen genannt, die ein informierter Käufer berücksichtigen sollte. Es wird untersucht, wie verschiedene Security-Anbieter diese Herausforderungen angehen, um den Anforderungen der Endnutzer gerecht zu werden, ihren Teil des Modells der gemeinsamen Verantwortung zu erfüllen und letztendlich ihre Daten und Ressourcen zu schützen.

Betrachten wir zunächst einige der einzigartigen Security-Herausforderungen, welche die Cloud mit sich bringt.

Die Cloud verändert alles, auch die Security

Eine Cloud-Umgebung hat einen virtuellen Charakter. Sämtliche Infrastrukturkomponenten Gateways, Server, Speicher, Rechner und alle Ressourcen und Assets, die die Gesamtheit einer Cloud-Plattformumgebung ausmachen, werden als virtuelle Dienste dargestellt und betrieben.

Eine solche Architektur vereinfacht die Abläufe in vielerlei Hinsicht: Hardware muss nicht installiert werden, Speicherplatz ist vorhanden, und die Rechenkapazitäten können je nach Bedarf effizient skaliert werden, statt sich an der Rechenzentrumskapazität ausrichten zu müssen.

Die Einrichtung von Workloads in der Cloud kann schnell komplexe Gruppen von Microservices und serverlosen Instanzen umfassen. Diese laufen in fließenden Architekturen, die sich alle paar Minuten oder Sekunden ändern, was wiederum eine sich ständig verändernde Security-Umgebung schafft.

Diese Veränderungen erfolgen auf Basis der folgenden Ressourcen und Prozesse, die jeweils ihre eigenen Security-Bedürfnisse und -Anforderungen mit sich bringen.

Die Prozesse und Bedürfnisse im Detail

Microservices

In einer Cloud-Umgebung werden Anwendungen oft in viele einzelne Funktionen untergliedert. Diese Microservices ermöglichen eine größere Laufzeitflexibilität und eine effizientere Ressourcennutzung. Allerdings machen sie auch die Security komplexer. Wo man früher die Authentifizierung und Zugriffskontrolle für eine Anwendung verwalten musste, muss man dies heute für alle Microservices tun, die Teil einer Cloud-Anwendung sind.

DevOps

In einer Cloud-Umgebung wird ständig neuer Code eingespielt. Dies kann täglich oder sogar stündlich geschehen. In der Praxis sind die DevOps-Bereitstellungen der Security oft weit voraus. Jede neu bereitgestellte Funktion oder jeder neu bereitgestellte Dienst bedeutet eine Vergrößerung der Angriffsfläche.

Kurzlebige Workloads

Zur Nutzungsoptimierung von Cloud-Plattformressourcen werden üblicherweise Dinge wie Laufwerke, IP-Adressen, Daten, Firewalls und andere Betriebskomponenten recycelt. Diese Funktionen und Ressourcen werden in einer sich konstant verändernden Cloud-Umgebung ständig abgebaut und neu erstellt. Gleichzeitig verändert sich auch ständig die Art und Weise, wie sie den Nutzern bereitgestellt werden. Oft kommen und gehen diese Workloads innerhalb von Sekunden.

Container

Mit Containern lassen sich Anwendungen, Funktionen und Microservices in streng kontrollierten Container-Umgebungen problemlos bereitstellen. Obwohl Container oberflächlich betrachtet sicher zu sein scheinen, führen sie gleichzeitig eine ganz neue Ebene der Komplexität ein, gepaart mit einer Reihe potenzieller neuer Schwachstellen. Alle Container in einer Umgebung teilen sich einen gemeinsamen Betriebssystem-Kernel. Wenn dieser durch einen schlecht konfigurierten Container beeinträchtigt wird, kann er auch alle anderen Container in dieser Umgebung gefährden. Außerdem ist es nicht immer einfach zu erkennen, was zwischen den Containern passiert. Die Überwachung des Datenverkehrs zu und von einer EC2-Instanz ist beispielsweise eine Möglichkeit, die Security des eigenen Betriebs zu gewährleisten. Wenn jedoch mehrere Container innerhalb einer EC2-Instanz Daten gemeinsam nutzen, kann viel passieren, was für das Überwachungs-Tool nicht erkennbar ist. Außerdem steigt bei der Verwendung vieler Container-Instanzen die Wahrscheinlichkeit einfacher menschlicher Fehler, darunter z. B. die Überausstattung eines Containers mit überflüssigen Funktionen und Berechtigungen.

Die kombinierte Wirkung der Aktivitäten aus all diesen Bereichen führt zu einem exponentiellen Anwachsen der Angriffsfläche einer Cloud-Umgebung. Außerdem gibt es in der Cloud eine enorme Menge an Ereignissen. Eine stark frequentierte Cloud-Umgebung kann acht bis zehn Milliarden Ereignisse pro Monat generieren, was die Erkennung von Bedrohungen zu einer großen Herausforderung macht. Angreifer sind sich dieser Schwachstellen durchaus bewusst und arbeiten fieberhaft daran, sie auszunutzen.

Herkömmliche Ansätze funktionieren nicht länger in der Cloud

Dynamische, ständig wechselnde Cloud-Umgebungen sind für traditionelle Security Tools nicht gut geeignet. Das liegt daran, dass diese Tools nie für fließende Umgebungen mit hohem Zugriff konzipiert wurden.

Herkömmliche Verteidigungsmaßnahmen für Rechenzentren wurden zum Schutz eines definierten Perimeters entwickelt, in dem die in eine Netzwerkumgebung ein- und ausgehenden Daten überwacht und kontrolliert werden. Die Verteidigung des Perimeters erfordert eine mehrstufige Verteidigungsstrategie, die in der Regel die folgenden Komponenten umfasst:

  • Router: Bietet Konnektivität zwischen dem Rechenzentrum und der Außenwelt und kann durch voreingestellte TCP/IP-Filterung eine erste Verteidigungsschicht bilden.

  • Firewall: Überwacht den IP-Adress-, Port- und Anwendungsverkehr in und aus dem Netzwerk und filtert diesen Traffic auf der Grundlage einer Reihe vergebener Regeln und Listen.

  • Antivirus/ Schutz vor Malware: Scannt nach schädlichem Code unter Verwendung bekannter Code-Signaturen zur Identifizierung von Bedrohungen.

  • Eindringungserkennung und Vorbeugung: Überwacht den Datenverkehr innerhalb des Netzwerks des Rechenzentrums, um Aktivitäten zu identifizieren, die gegen definierte Richtlinien verstoßen.

  • Zugangs- und Identitätsmanagement: Definiert rollen- und kontobasierte Richtlinien zur Verwaltung des Anwendungs- und Datenzugriffs und verwaltet die Identitätsauthentifizierung

Das Ziel dieser mehrstufigen Verteidigungsstrategie ist es, den unbefugten Zugang zum Netzwerk zu blockieren und unbefugte Aktivitäten innerhalb des Netzwerks zu verhindern. Damit ein Angreifer erfolgreich sein kann, muss er alle diese Schichten umgehen.

Dieser Ansatz funktioniert relativ gut in einer isolierten Rechenzentrumsumgebung, die sich kaum verändert. Aber die Cloud ist weder isoliert noch unveränderlich. Die Cloud ist eine gemeinsam genutzte Umgebung, deren einziger Zweck darin besteht, jedem, der eine Verbindung zum Internet herstellen kann, einen einfachen Zugang zu ermöglichen.

Obwohl Sie mit Cloud Security Tools den Zugriff auf Ihre eigenen Cloud-Ressourcen kontrollieren können, wird es immer Millionen von anderen geben, darunter auch böswillige Akteure, die dieselbe Cloud-Infrastruktur nutzen wie Sie.

Vieles von dem, was geschieht, ist für den Benutzer nicht sichtbar. Beispielsweise stellen Server über im Hintergrund ablaufende API-Aufrufe eine Verbindung zueinander her. Die automatische Skalierung ändert die Workload-Kapazität und das Leistungsniveau.

Die Benutzer können sich diese Aktivitäten so vorstellen: Sie konfigurieren nicht nur ihre lokalen Geräte, um mit der Cloud zu kommunizieren, sondern auch die Cloud. Um bei Bedarf sicheren Zugriff gewähren zu können, müssen die Benutzer die Tools, Identitätsquellen und Verbundfunktionen des Cloud-Anbieters nutzen. Außerdem werden viele autonome Verbindungen hergestellt, weshalb Listen für die Zugangskontrolle von entscheidender Bedeutung sind.

Die Cloud ist anpassungsfähig. Das ist eine ihrer wichtigsten Eigenschaften. Wird sie allerdings mit strengen, unnachgiebigen Regeln betrieben, führt das jedoch zu Konflikten. Beachten Sie, dass fast alle Tools des herkömmlichen Security Stacks darauf beruhen, dass überwachte Aktivitäten mit voreingestellten Regeln, Richtlinien, Listen und bekannten Signaturen abgeglichen werden.

In einer Cloud-Umgebung, die sich alle paar Minuten neu konfigurieren kann, um den betrieblichen Anforderungen gerecht zu werden, ändert sich die Datenverarbeitungsfunktion zu schnell, um mit einem herkömmlichen regelbasierten Ansatz gesichert zu werden. Regeln und Kontrollen können mit dem Tempo der Veränderungen nicht Schritt halten. Gleichzeitig ist es nicht möglich, die Regeln manuell anzupassen. Vor allem aus diesem Grund werden die alten Security-Gruppen und -Richtlinien in einer Cloud-Umgebung weniger wichtig als Service Meshes und Layer 7 Firewalls. Sie schränken den Anwendungsbereich ein, indem sie kontrollieren, welche Microservices mit welchen APIs kommunizieren.

Die Nutzung der Cloud erfordert auch ein Maß an Transparenz, das sich von dem für herkömmliche Umgebungen unterscheidet. Im Gegensatz zu herkömmlichen Tools, die alle Vorgänge in Ihrem isolierten Rechenzentrum überwachen können, ist man in einer Cloud-Infrastruktur immer eingeschränkt, da es sich um eine gemeinsam genutzte Infrastruktur handelt.

Außerdem ist es nicht gestattet, die Aktivitäten anderer Cloud-Clients oder tiefgreifender Cloud-Vorgänge zu überwachen. Cloud-Anbieter bieten oft keine umfassende Transparenz, die den Benutzern ein klares, präzises Bild von Aktivitäten und Anomalien vermittelt.

Das Problem wird noch komplizierter (und weniger transparent), weil das dynamische Hinzufügen und Entfernen von Containern und Microservices die Landschaft der Umgebung verändert. Das wiederum bedeutet, dass jede Änderung neue Dinge mit sich bringt, die es zu verstehen und untersuchen gilt.

Die dynamische Natur einer Cloud-Umgebung limitiert auch den Wert von Aktivitätsprotokollen, die viele herkömmliche Tools zur Erkennung und Untersuchung von ungewöhnlichen Aktivitäten inspizieren. In einer Umgebung, in der Server innerhalb von Minuten hoch- und heruntergefahren werden können, sind Protokollinformationen nur von begrenztem Nutzen oder gar nicht vorhanden. Eine IP-Adresse, die mit einer Funktion oder Ressource verknüpft ist, kann innerhalb von zehn Minuten eine völlig andere Rolle einnehmen. Dies erschwert die Erkennung von Vorfällen und die Forensik.

Cloud Security braucht einen neuen Ansatz

Die einzige Möglichkeit, eine sich ständig verändernde Cloud-Umgebung abzusichern, sind Security-Maßnahmen, die kontinuierlich und in Echtzeit durchgeführt werden. Diese Security-Funktionen müssen die folgenden Fähigkeiten umfassen:

Eine kontinuierliche Anomalieerkennung in Echtzeit und Verhaltensanalysen, die alle Ereignisaktivitäten in der Cloud-Umgebung überwachen, Aktivitäten zwischen Containern, Anwendungen und Benutzern verfolgen und die entsprechenden Aktivitäten für die Analyse protokollieren können, nachdem Container und andere kurzlebige Workloads recycelt wurden.

Diese Überwachung und Analyse muss in der Lage sein, automatische Benachrichtigungen auszusenden. Die Verhaltensanalyse ermöglicht die nicht regelbasierte Erkennung und Analyse von Ereignissen in einer Umgebung, die sich an die sich ständig ändernden betrieblichen Anforderungen anpasst.

  • Kontinuierliche Konfigurations- und Compliance-Prüfung in Echtzeit über sämtliche Cloud-Speichersysteme und Datenverarbeitungsinstanzen hinweg

  • Kontinuierliche Echtzeit-Überwachung von Zugriffs- und Konfigurationsaktivitäten über APIs hinweg sowie von Entwickler- und Benutzerkonten

  • Kontinuierliche Echtzeit-Überwachung der Workloads und Containeraktivitäten, losgelöst vom Netzwerk

Eine öffentliche Cloud-Umgebung gewährt nur einen begrenzten Einblick in die Netzwerkaktivitäten. Daher sind Agenten für Container erforderlich, die Orchestrierun-Tools, Dateiintegrität und Zugriffskontrolle überwachen.

Viele Unternehmen müssen heutzutage den schlechten Kompromiss eingehen, sich zwischen Geschwindigkeit und Security zu entscheiden. Neue Security Tools, die für eine umfassende Echtzeitüberwachung der Cloud-Infrastruktur und die Analyse von Arbeitslasten sowie Kontoaktivitäten entwickelt wurden, ermöglichen eine Bereitstellung und Skalierung ohne Security-Einbußen. Unternehmen, die in der Cloud arbeiten, müssen sich darauf verlassen können, dass ihre Infrastruktur bei der Skalierung sicher bleibt.

Sie brauchen die Gewissheit, dass sie Dienste bereitstellen können, welche die Compliance nicht gefährden oder neue Risiken mit sich bringen. Dies ist nur mit neuen Tools möglich, die speziell für hochdynamische Cloud-Umgebungen entwickelt wurden und die eine kontinuierliche Überwachung, Analyse und Benachrichtigung in Echtzeit ermöglichen.

Wie sich der Security-Markt entwickelt hat, um diese Herausforderungen zu begegnen

Bei der ursprünglichen Generation von Cloud-Security-Lösungen handelte es sich entweder um On-Premise-Lösungen, die in die Cloud verlagert wurden, oder um Lösungen, die sich hauptsächlich auf den Schutz des Perimeters konzentrierten. Dies war ein guter Ausgangspunkt, entsprach aber nicht den Anforderungen der schnelllebigen Innovationsprozesse in der Cloud.

Die zweite Generation von Cloud-Security-Lösungen übernahm diese alte Technologie und wendete sie an, um bekannte Bedrohungen durch neue Technologien wie Container zu erkennen.

Viele dieser Anbieter wurden durch Übernahmen in größere Unternehmen eingegliedert, was ihr einheitliches Lösungsangebot widerspiegelte.

In letzter Zeit gibt es neuere Punktlösungen, die neuartige Ansätze verfolgen, um bekannte Bedrohungen und Schwachstellen leichter zu erkennen, wie z. B. das Arbeiten mit inkrementellen Daten-Snapshots oder der Versuch, die Endpunkt-Security auf die Cloud zu übertragen. Dies löst jedoch nur einen Teil des Puzzles, anstatt das tatsächliche Laufzeitverhalten oder die Datenkomplexität zu adressieren.

Aus diesem Grund wurde Lacework mit der Polygraph Data Platform entwickelt, um das Security-Problem in der Cloud mit einem Ansatz zu lösen, der in der Cloud und für die Cloud entwickelt wurde. Ein Ansatz, um die riesigen Mengen an dynamischen Cloud-Daten zu erfassen, zu analysieren, zu speichern und zu sichern.

Alle Vorteile von Lacework auf einen Blick

Abdeckung des gesamten Spektrums spezifischer Security-Bedürfnisse

Cloud-Konfiguration

Fehlkonfigurationen der Cloud können zu gravierenden Schwachstellen führen, die die gesamte Infrastruktur gefährden. Lacework lässt sich direkt in AWS-, Azure- oder GCP-Cloud-Bereitstellungen integrieren und prüft die Konfiguration anhand des CIS-Benchmark-Standards. Die von Lacework erstellten Berichte ordnen die Ergebnisse nach Schweregrad und kategorisieren sie nach Service (z. B. IAM, EC2 und CloudTrail).

Serverless Monitoring

Lacework ermöglicht es, alle Ressourcen und Dienste in Echtzeit zu identifizieren und zu überwachen. Dazu gehören traditionelle Quellen wie On-Premise Server, Datenbanken, Caches und Load Balancer, aber auch Container, VMs und andere serverlose Ressourcen.

 

 

 

 

Anwendungsbeziehungen

In komplexen Cloud-Umgebungen interagieren mehrere Anwendungen und Ressourcen, die allesamt Einblicke in das Verhalten bei normalen Aktivitäten erfordern. Mit Lacework können Benutzer die Anwendungs-Workloads erkennen und überwachen, sowie Daten über die Aktivitäten bei der Inbetriebnahme/Stilllegung aller Verbindungen in der Cloud-Umgebung sammeln.

 

 

Host & Network Intrusion Detection System (HIDS, NIDS):

Die Security von Workloads ist davon abhängig, wie gut das hostbasierte Intrusion Detection System Insider-Angriffe identifiziert, die sonst im Netzwerkverkehr nicht entdeckt werden würden. Das hostbasierte Intrusion Detection System (HIDS) von Lacework identifiziert jede Aktivität, die über alle Cloud Workloads und Konten hinweg stattfindet. Laceworks hostbasierte Intrusion Detection überwindet die Einschränkungen von Network Intrusion Detection Systemen (NIDS), die traditionell in Unternehmensrechenzentren und nicht cloudbasierten Infrastrukturen eingesetzt werden.

Orchestration Runtime Detection

Lacework identifiziert Schwachstellen im Host-Betriebssystem, in Container-Images und den Containern selbst. Dafür werden Echtzeit-Analysedaten herangezogen, die in der gesamten Infrastruktur gesammelt werden. Dieses Dashboard vereinfacht die Orchestrierung und Cloud-Verwaltung.

 

 

 

 

 

 

Container Runtime Detection (Container IDS)

Container-Laufzeit- und Orchestrierungsplattformen wie Docker und Kubernetes sorgen für eine schnellere Bereitstellung. Schwachstellen auf Orchestrierungsebene vergrößern jedoch die Angriffsfläche. Lacework bietet eine native Container-Security-Unterstützung, reduziert die Angriffsfläche und erkennt Bedrohungen in einer containerisierten Umgebung. Unsere Plattform zur Überwachung der Container-Security in der Cloud erkennt automatisch alle Container in der Umgebung eines Benutzers und gruppiert sie auf der Grundlage unterschiedlicher Verhaltensweisen.

Container Vulnerability Assessment

Lacework bewertet, identifiziert und meldet Schwachstellen, die in den Betriebssystemsoftwarepaketen in Container-Images gefunden werden, bevor das Container-Image bereitgestellt wird. So können Software-Schwachstellen in risikoreichen Container-Images identifiziert, adressiert und passende Maßnahmen ergriffen werden.

 

 

 

 

Host Vulnerability Assessment

Lacework prüft kontinuierlich das Risiko von Schwachstellen, die auf Hosts, Containern und Pods in einer Umgebung entdeckt werden. Dies bedeutet, dass Benutzer Software-Schwachstellen in ihrer Umgebung identifizieren und Maßnahmen ergreifen können, um dieses Risiko proaktiv zu adressieren.

 

 

 

 

 

 

Container Configuration Assessment

Beim Einsatz von Orchestrierungsplattformen wie Docker oder Kubernetes kommt es häufig zu fehlerhaften Konfigurationen, die Schwachstellen wie die übermäßige Gewährung von privilegiertem Zugriff offenlegen können. Lacework bietet eine fortlaufende Analyse von Container-Konfigurationen und Orchestrierungsrichtlinien.

 

 

 

 

Host Configuration Assessment

Lacework bewertet kontinuierlich die Konfigurationen von AWS Config, CloudTrail und S3-Buckets, indem es die SQS-Warteschlange und die IAM-Rolle erstellt und dann beide Integrationen mit Lacework konfiguriert.

 

 

 

 

 

 

Erkennung von Cloud-Protokollen

Lacework erfasst die mit AWS CloudTrail, Azure Activity Log sowie GCP Audit Trail erstellten Protokolle und überträgt sie in das Lacework Data Warehouse, um eine stündlich aktualisierte Basis für ein normales Verhalten zu erstellen. Auf dieser Grundlage liefert Lacework dann detaillierte kontextbezogene Warnhinweise für anomales Verhalten, indem es jede Stunde mit der vorherigen vergleicht. 

 

 

<5 Minuten Ermittlungszeit

Lacework wendet Analysen auf Basis maschinellen Lernens auf alle Cloud-Aktivitäten an, einschließlich Workloads und Container in der gesamten Umgebung. Dadurch wird die von einem SIEM verarbeitete Datenmenge erheblich reduziert. Und das alles geschieht kontinuierlich und mit Rückmeldung in weniger als fünf Minuten.

 

 

 

 

Automatisierte Security und Compliance für die Generation Cloud

Lacework automatisiert die Security und Compliance in AWS, Azure, GCP sowie Private Clouds und ermöglicht einen ganzheitlichen Überblick über Risiken in Cloud-Workloads und Containern. Die einheitliche Cloud-Security-Plattform von Lacework bietet beispiellose Transparenz, automatisiert die Eindringungserkennung, ermöglicht Überprüfungen mit nur einem Klick und vereinfacht die Cloud Compliance.

Lacework wurde speziell dazu entwickelt, kontextuelle Daten über cloudbezogene Ereignisse bereitzustellen, da Änderungen zu neuen Schwachstellen und potenziellen Bedrohungen führen können, die sich möglicherweise auf die eigene Security-Situation und damit auch auf die Compliance-Ziele auswirken. Jede Aktualisierung, jede Konfigurationsänderung, jeder Zugriffspunkt und eine Million anderer Aktivitäten, die potenzielle Bedrohungen darstellen könnten, werden identifiziert und auf ihr Risikopotenzial hin analysiert.