Absicherung komplexer Cloud- und Datacenter-Umgebungen

Autor/Redakteur: Martin Dombrowski, Senior Security Engineer bei Guardicore/gg

Cloud-Umgebungen, IT-Virtualisierung und softwaredefinierte Infrastruktur (SDI) sollen auf Unternehmensseite wichtige Geschäftsziele wie Skalierbarkeit, flexible Service-Bereitstellung und Kosteneffizienz realisieren. Agile IT-Infrastrukturen als Grundlage für die digitale Transformation bedingen zwangsläufig, dass CIOs und IT-Leiter ihre Sicherheitsstrategie überdenken. Deshalb hat Mikrosegmentierung eine hohe Priorität.

Grafik: Guardicore

Immer mehr Organisationen nutzen komplexe Hybrid- und Multi-Cloud-Umgebungen, aber bei deren Absicherung kommen sie nicht nach. Für Gartner zählt Mikrosegmentierung daher zu den zehn wichtigsten Sicherheitsprojekten für CISOs. IT-Abteilungen erweitern so ihre Sicherheitsmaßnahmen und reduzieren die Angriffsfläche, indem sie separate Sicherheitszonen schaffen. Die Unterteilung von Datacenter- und Cloud-Umgebungen in logische Teile ermöglicht es, kritische Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können.

Auswahl des richtigen Umsetzungsmodells

Bei der Implementierung in Datacenter- und Cloud-Umgebungen stehen zwei Mikrosegmentierungmodelle zur Auswahl. Bei einem netzwerkzentrierten Sicherheitskonzept kommen dabei Hypervisor-basierte oder virtuelle Firewalls zum Einsatz – im Cloud-Umfeld werden häufig entsprechende Sicherheitsgruppen gebildet. Zentrale Netzwerkhardware übernimmt die Überwachung von Datenströmen, was sich leicht als Engpass entpuppen kann. Alternativ werden die IT-Kontrollaufgaben von Drittanbietern verantwortet, oder aber man versucht, im eigenen Netz entsprechende Sicherheitsregeln für alle Workloads durchzusetzen.

Der applikationszentrierte Ansatz dagegen basiert auf der Bereitstellung von Workload-Agenten. Das hat gleich mehrere Vorteile: So ist die Visibilität um ein Vielfaches höher und reicht bis zu Layer 7 des ISO/OSI-Schichtenmodells. Eine agentenbasierte Lösung kommt außerdem in unterschiedlichen IT-Infrastrukturen und Betriebsumgebungen besser zurecht. Über mehrere Technologien hinweg steht eine einheitliche Vorgehensweise zur Verfügung, was sich unter anderem auszahlt, wenn neue Investitionen in Container-Technologien und andere Modelle zur Anwendungsentwicklung und IT-Bereitstellung getätigt werden.

Hybride Enterprise-Infrastrukturen

Ein weiterer Pluspunkt: IT-Policy-Vorgaben lassen sich komplett skalieren und direkt an Workloads binden, die zwischen mehreren Umgebungen – von lokalen Netzen zu Public-Cloud-Infrastrukturen und wieder zurück – wechseln. Zur Reduzierung der Angriffsfläche können Administratoren mit einem app-zentriertem Ansatz granulare Policy-Vorgaben festlegen, die einem IT-Management ausschließlich über Netzwerkrichtlinien deutlich überlegen sind. Für eine spezifische IT-Umgebung konzipierte Tools können einfach nicht in gleicher Weise auch hybride Multi-Cloud-Rechenzentrumsanforderungen mit teils drastisch höheren Datendurchsatzraten abdecken.

Im Ergebnis fällt IT-Sicherheitsverantwortliche die Umstellung auf applikationsgesteuerte Geschäftsprozesse deutlich leichter. Immer mehr Unternehmen arbeiten zum Beispiel mit agilen DevOps-Strukturen, die unterschiedliche Unternehmensbereiche zusammenführen. Im Zuge dieser Veränderungen wächst die Bedeutung von Security-Technologien, die für die Skalierbarkeits-, Flexibilitäts- und Datenvisibilitätsanforderungen hybrider Enterprise-Infrastrukturen optimiert sind. Durch Mikrosegmentierung lässt sich das Policy- und Service-Management dynamisch umsetzen. Verlagerungen, Ergänzungen und Änderungen müssen im Gegensatz zu netzwerkzentrierten Modellen nicht manuell durchgeführt werden.