Absicherung komplexer Cloud- und Datacenter-Umgebungen

Schnelle Erfolge

Wie sieht die ideale Vorgehensweise bei der Einführung eines Mikrosegmentierungskonzeptes aus? Jede Organisation ist natürlich anders, aber erfolgreiche Initiativen weisen gemeinsame Erfolgsfaktoren auf. Dazu zählt, dass man sich zunächst einmal auf konkrete Projekte fokussiert, die vergleichsweise einfach durchführbar sind und bei denen die Vorteile unmittelbar sichtbar werden. Das sind üblicherweise Anwendungsfälle, die ganze Aufgabenfelder betreffen, wie zum Beispiel die Abtrennung von Servern und Datenströmen in der Qualitätssicherungs- oder Entwicklungsabteilung von Produktionsumgebungen. Die Separierung wertvoller Datacenter-Ressourcen von externen Nutzern oder IoT-Geräten ist ein gutes Beispiel dafür.

Im Gesundheitswesen wiederum empfiehlt sich die Trennung medizinischer Geräte vom allgemeinen Datennetz als sinnvolles Pilotprojekt. Gesetzliche und regulatorische Vorschriften wie SWIFT, PCI und auch die DSGVO legen detailliert die Arten von Daten und Prozessen fest, welche vom allgemeinen Netzwerkverkehr zu separieren sind. Durch Mikrosegmentierung lassen sich Applikationen und Informationen isolieren, selbst wenn die App-Workloads über verschiedene Umgebungen hinweg verteilt werden.

Langfristige Cloud-Strategie

Die Umsetzung von Pilotprojekten mit großer Aussagekraft ermöglicht den Verantwortlichen ferner, sich mit den IT-Werkzeugen und Prozessabläufen vertraut zu machen, um dann im nächsten Schritt weitere Unternehmensbereiche anzugehen. Die eingesetzten Tools sollten dabei nicht auf eine IT-Umgebung beschränkt sein und Workloads nicht nur im Unternehmensnetz unterstützen können. Gefordert ist die nötige Zukunftsfähigkeit für andere Rechenzentrumsarchitekturen – angefangen von Legacy-Systemen und Bare-Metal-Servern bis zu virtualisierten Landschaften, Container- und Public-Cloud-Lösungen.

Native Sicherheitskontrollen indes, die über IaaS- oder Public-Cloud-Dienste bereitgestellt werden, reichen für den vollständigen Schutz von Cloud-Workloads nicht aus. Hier teilen sich Dienstleister und Kunden die Verantwortlichkeit für IT-Sicherheit und Compliance. Neben der Verwaltung des Hostbetriebssystems und der Virtualisierungsebene sorgt der Anbieter für die Sicherheit der Cloud-Infrastruktur. Die Kunden wiederum haben die Verantwortung für das Gastbetriebssystem (einschließlich Updates und Sicherheits-Patches), steuern die damit verbundene Anwendungssoftware und übernehmen die Datenschutzkonfiguration.

Sichtbarkeit, Sicherheit und Kontrolle

Die mitgelieferten Sicherheitsfunktionen sind indes komplett auf die Provider-Umgebung ausgerichtet. Abseits der Provider-Umgebung sind Organisationen daher dazu gezwungen, mehrere Security-Plattformen zu verwalten und manuelle Anpassungen durchzuführen, wenn Applikationen in unterschiedlichen Cloud-Strukturen operieren. Folge: Auf das IT-Administrationsteam kommen zeitaufwendige und uneffektive Arbeiten zu.

Das Leben der IT-Teams wird zusätzlich dadurch erschwert, dass die meisten nativen Sicherheits- und Kontrollmöglichkeiten auf der Transportebene (Layer 4) angesiedelt sind und nicht auf der Anwendungsebene (Layer 7). Darunter leidet die zuverlässige Abwehr von Hackerangriffen und das effektive Schließen von Sicherheitsrisiken. Best Practice ist deshalb, applikationszentrierte Mikrosegmentierungs-Technologien zu implementieren, die sich direkt an die Workloads heften. Neben höherem Mehrwert sorgen sie für die erforderliche Sichtbarkeit, Sicherheit und Kontrolle in hybriden Enterprise-Infrastrukturen.