![\"\"](\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/10\/data-center-breach-blog-image-blog-size-845x187.png\")
Moderne\nUnternehmen und IT-Abteilungen haben viele gesch\u00e4ftliche Arbeitsprozesse\numgestellt und werden das auch weiterhin vorantreiben (m\u00fcssen). Immer mehr\nOrganisationen setzen auf DevOps, Infrastructure as a Service (IaaS) und\napplikationsgesteuerte Verfahren. Im Kern verfolgen diese Umstellungen das\nZiel, IT-Abl\u00e4ufe deutlich zu beschleunigen, effektiver auszurichten und\nver\u00e4nderten Gesch\u00e4ftsanforderungen auf Unternehmensseite dadurch Rechnung zu tragen.\n<\/p>\n\n\n\n
Das Hauptproblem aktuell ist die fehlende Visibilit\u00e4t, Sicherheit und Kontrolle dar\u00fcber, was innerhalb der Rechenzentren vor sich geht. An diesen neuralgischen Punkten befinden sich sensible Daten und kritische IT-Systeme, die unverzichtbar f\u00fcr den Unternehmenserfolg sind. Der klassische Sicherheitsansatz legt alle Anstrengungen darauf, unbefugte Zugriffe von au\u00dfen auf Datacenter zu unterbinden. Gelingt es Angreifern dennoch, die vorgelagerten Firewalls, Einbruchserkennungssysteme und Viren-Schutzl\u00f6sungen zu umgehen, f\u00e4llt das Perimeter-Sicherheitskonzept in sich zusammen. Nun stehen alle Server und Applikationen innerhalb des Rechenzentrums offen und Hacker k\u00f6nnen unbeobachtet und frei ihre Pl\u00e4ne umsetzen.<\/p>\n\n\n\n\n\n\n\n
Durch\nIaaS- und DevOps-Strukturen ver\u00e4nderte Gesch\u00e4ftsprozesse als Taktgeber einer\ninnovativen und agilen IT-Infrastruktur erfordern, dass IT-Abteilungen viel\nenger mit anderen Unternehmensbereichen zusammenarbeiten. Die Sicherstellung betriebswirtschaftlicher\nGesch\u00e4ftsziele bedingt neue Strategien und Tools, die auf Skalierbarkeit,\nFlexibilit\u00e4t und Datenvisibilit\u00e4t f\u00fcr hybride Cloud-Umgebungen optimiert werden.\nDurch Implementierung entsprechender Security-Technologien m\u00fcssen Unternehmen f\u00fcr\ndie erforderliche Sichtbarkeit, Sicherheit und Kontrolle in hybriden Enterprise-Infrastrukturen\nsorgen, deren Schutz eine noch komplexere Aufgabe im Vergleich zu On-Premise-Umgebungen\nist. Hier sind neun Pr\u00fcfsteine f\u00fcr die Absicherung von Cloud-Umgebungen:<\/p>\n\n\n\n
Nummer 1: Visibilit\u00e4t und\nVisualisierung<\/strong><\/p>\n\n\n\n Sicherheitsverantwortliche\nsind auf der Suche nach L\u00f6sungen, die eine anwendungsbezogene Darstellung aller\nDatenstr\u00f6me innerhalb der IT-Firmenumgebung bieten. Eine detaillierte Sichtbarkeit\nauf die entsprechenden Applikationen und Prozesse erm\u00f6glicht die Erkennung verd\u00e4chtiger\nAktivit\u00e4ten, Daten\u00fcbertragungen und Schadsoftware. Die Sammlung dieser Informationen\nist unbedingte Voraussetzung daf\u00fcr, um die Vorg\u00e4nge verst\u00e4ndlich visualisieren und\nauch gro\u00dfe Datenmengen intelligent auswerten zu k\u00f6nnen. Eine grafisch aufbereitete \u00dcbersicht \u00fcber die\ngesamte IT-Landschaft erm\u00f6glicht eine individuell justierbare Analyse, welche\nBedrohungen und Probleme akut sind, und wie sie sich am besten begrenzen lassen.\nLeistungsstarke Visibilit\u00e4ts- und Visualisierungsfunktionen sind der erste Schritt,\num die Kontrolle \u00fcber die IT-Umgebung zur\u00fcckzugewinnen.<\/p>\n\n\n\n Nummer 2: Mikrosegmentierung<\/strong><\/p>\n\n\n\n Netzwerksegmentierung\nbeschreibt in der IT den Vorgang, mehrere Teile in einem Firmennetz zu schaffen,\ndie nicht oder nur noch bedingt miteinander vernetzt sind. Die Unterteilung in\nVertrieb, Personalabteilung und Buchhaltung hilft einerseits bei administrativen\nAufgaben, um beispielsweise applikationsgesteuerte Kommunikationsprozesse zu\nbeschleunigen. Dar\u00fcber hinaus ergeben sich aber auch sicherheitstechnische\nVerbesserungen, wenn kritische Daten, Prozesse und Systeme gegen Hackerzugriffe\nabgegrenzt werden. Auch mit Blick auf gesetzliche Compliance-Vorgaben ist die\nSchaffung von Sicherheitszonen sinnvoll, um datenschutzrechtlich sensible Informationen\nzu sch\u00fctzen. Eine Mikrosegmentierung bis auf Applikationsebene spielt so eine\nentscheidende Rolle bei der Kontrolle und Sicherheit einer IT-Umgebung. <\/p>\n\n\n\n Nummer 3: Bestandserkennung und\n-\u00fcberwachung<\/strong><\/p>\n\n\n\n Verteidigen\nkann man sich nur gegen Angriffe, die zuvor identifiziert wurden. F\u00fcr DevOps-Teams\ngilt das auf besondere Weise, da sie neue IT-Systeme in einem viel h\u00f6heren\nTempo bereitstellen. Diese Systeme m\u00fcssen\nden Asset-Bestand erkennen k\u00f6nnen oder in bestehende Asset-Management-L\u00f6sungen\nintegriert werden, die diese Aufgabe \u00fcbernehmen. So lassen sich Sicherheitsstatus\nund Funktionsf\u00e4higkeit der Netzwerksysteme \u00fcberwachen, damit im Bedarfsfall\ndurch Implementierung passender IT-Werkzeuge die gesamte Unternehmens-IT\ngesch\u00fctzt werden kann. <\/p>\n\n\n\n Nummer 4: Konfigurationsmanagement<\/strong><\/p>\n\n\n\n Softwarewerkzeuge f\u00fcr das Konfigurationsmanagement wie Chef und Puppet unterst\u00fctzen DevOps-Teams dabei, relevante Prozesse der Server-Verwaltung zu automatisieren. Konfigurationen lassen sich damit testen, versionieren und replizieren, um IT-Systeme m\u00f6glichst schnell bereitzustellen. Zur Minimierung von Risiken sollten indes auch IT-Sicherheitsverantwortliche mit den DevOps-Teams direkt zusammenarbeiten und eine zeitnahe Bereitstellung von Sicherheitsprogrammen gew\u00e4hrleisten.<\/p>\n\n\n\n\n\n\n\n Nummer 5: Erkennen von Netzwerkeinbr\u00fcchen<\/strong><\/p>\n\n\n\n Die\nStudie \u201e2017 Cost of a Data Breach\u201c des Ponemon Institutes belegt, dass\nOrganisationen rund eine Million Dollar sparen, wenn sie Angriffe innerhalb von\n100 Tagen erkennen. K\u00f6nnen sie eine Sicherheitsverletzung in weniger als 30 Tagen\neind\u00e4mmen, sparen sie ebenfalls rund eine Million Dollar. Noch brauchten Unternehmen allerdings durchschnittlich\n197 Tage, um eine Datenpanne zu identifizieren (in Deutschland sind es im\nSchnitt 138 Tage), und f\u00fcr deren Eind\u00e4mmung 69 Tage (Deutschland: 41 Tage). Zur\nIdentifizierung von Netzwerkeinbr\u00fcchen reicht es nicht mehr aus, klassische\nSicherheitssysteme zu installieren, die Schadsoftware aufsp\u00fcren. Vielmehr\nm\u00fcssen verd\u00e4chtige Daten\u00fcbertragungen erkannt werden, wenn Angreifer sensible\nInformationen von einem System zum anderen verschicken. Nur so lassen sich\nAttacken rechtzeitig stoppen und und komplexe Angriffsmethoden analysieren.<\/p>\n\n\n\n Nummer 6:\nUnabh\u00e4ngigkeit von IT-Infrastrukturen<\/strong><\/p>\n\n\n\n In\nhybriden Cloud-Umgebungen gilt es Workloads zu sch\u00fctzen, die sich auf lokale\nNetze und verschiedene Cloud-Infrastrukturen verteilen. Folgerichtig m\u00fcssen die\nimplementierten IT-Werkzeuge beide Welten abdecken. Es reicht nicht, in ein Tool\nzu investieren, das ausschlie\u00dflich VMware-Systeme unterst\u00fctzt, w\u00e4hrend f\u00fcr AWS-Dienste\nein separates Tool und f\u00fcr Microsoft Azure noch ein drittes Tool eingesetzt\nwerden. Erforderlich ist ein einheitliches IT-Werkzeug f\u00fcr alle Umgebungen, das\neine Komplettsicht auf alles und mit durchg\u00e4ngig gleicher Funktionalit\u00e4t bietet. <\/p>\n\n\n\n Nummer 7: Erweiterbarkeit<\/strong><\/p>\n\n\n\n Wenig\nzielf\u00fchrend ist die Implementierung von Punktl\u00f6sungen, die nicht mit anderen\nL\u00f6sungen zusammenarbeiten. Sicherheitsadministratoren ben\u00f6tigen Technologien\nmit offener Programmierschnittstelle, die eine Anbindung weiterer L\u00f6sungen erlaubt,\nReaktionsm\u00f6glichkeiten automatisiert und eine Kommunikation zwischen den Tools\nzul\u00e4sst. Diese technische Erweiterbarkeit hilft Unternehmen bei der Schlie\u00dfung\nvon Sicherheitsl\u00fccken und m\u00f6glichst schnellen Umsetzung geeigneter Ma\u00dfnahmen. <\/p>\n\n\n\n Nummer 8: Plattformkonvergenz<\/strong><\/p>\n\n\n\n In\ndiesem Zusammenhang empfiehlt sich auch die Implementierung von IT-Plattformen,\ndie \u00fcber ein integriertes Werkzeugset verf\u00fcgen und nicht nur einzelne\nAnforderungen als Punktl\u00f6sung adressieren. Solche IT-Plattformen reduzieren die\nKomplexit\u00e4t bei der Einbindung von Unternehmensnetzen und vereinfachen das\nSicherheitsmanagement, weil die Bedienungsf\u00fchrung nicht mehrfach erlernt werden\nmuss.<\/p>\n\n\n\n Number 9: Skalierbarkeit<\/strong><\/p>\n\n\n\n Mit\nBlick auf die Herausforderungen bei der Absicherung hybrider Cloud- und\nDatacenter-Strukturen ist es notwendig, dass die implementierten L\u00f6sungen auf\ngr\u00f6\u00dfere IT-Umgebungen mit h\u00f6heren Datendurchsatzraten skalieren k\u00f6nnen. Die gew\u00e4hlten\nIT-Plattformen m\u00fcssen durch Autoskalierung auch ein explosionsartig steigendes\nDatenaufkommen unterst\u00fctzen. Es versteht sich von selbst, dass die Performance der\nIT-Systeme dabei nicht beeintr\u00e4chtigt werden darf. <\/p>\n\n\n\n