{"id":15615,"date":"2020-02-04T11:09:00","date_gmt":"2020-02-04T10:09:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15615"},"modified":"2020-01-28T09:16:25","modified_gmt":"2020-01-28T08:16:25","slug":"absicherung-komplexer-cloud-und-datacenter-umgebungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15615","title":{"rendered":"Absicherung komplexer Cloud- und Datacenter-Umgebungen"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.guardicore.com\/\">Martin Dombrowski, Senior Security Engineer bei Guardicore<\/a>\/gg<\/p>\n\n\n\n<p>Cloud-Umgebungen, IT-Virtualisierung und softwaredefinierte Infrastruktur (SDI) sollen auf Unternehmensseite wichtige Gesch\u00e4ftsziele wie Skalierbarkeit, flexible Service-Bereitstellung und Kosteneffizienz realisieren. Agile IT-Infrastrukturen als Grundlage f\u00fcr die digitale Transformation bedingen zwangsl\u00e4ufig, dass CIOs und IT-Leiter ihre Sicherheitsstrategie \u00fcberdenken. Deshalb hat Mikrosegmentierung eine hohe Priorit\u00e4t.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/cloud-security-trends-blog-image-base-blog-size-845x187-1.png\" alt=\"\" class=\"wp-image-15616\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/cloud-security-trends-blog-image-base-blog-size-845x187-1.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/cloud-security-trends-blog-image-base-blog-size-845x187-1-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Grafik: Guardicore<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Immer mehr Organisationen nutzen komplexe Hybrid-\nund Multi-Cloud-Umgebungen, aber\nbei deren Absicherung kommen sie nicht nach. F\u00fcr <a href=\"https:\/\/www.gartner.com\/smarterwithgartner\/gartner-top-10-security-projects-for-2018\/\">Gartner<\/a> z\u00e4hlt Mikrosegmentierung daher zu\nden zehn wichtigsten Sicherheitsprojekten f\u00fcr CISOs. IT-Abteilungen erweitern\nso ihre Sicherheitsma\u00dfnahmen und reduzieren die Angriffsfl\u00e4che, indem sie separate\nSicherheitszonen schaffen. Die Unterteilung von Datacenter- und\nCloud-Umgebungen in logische Teile erm\u00f6glicht es, kritische Daten, Prozesse und\nSysteme gegen Hackerzugriffe zu h\u00e4rten. Ziel ist es, h\u00f6chste\nSicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und\nDatenstr\u00f6me zwischen Rechenzentren \u00fcberwachen zu k\u00f6nnen. <\/p>\n\n\n\n<p><strong>Auswahl des richtigen\nUmsetzungsmodells<\/strong><\/p>\n\n\n\n<p>Bei\nder Implementierung in Datacenter- und Cloud-Umgebungen stehen zwei\nMikrosegmentierungmodelle zur Auswahl. Bei einem netzwerkzentrierten\nSicherheitskonzept kommen dabei Hypervisor-basierte oder virtuelle Firewalls\nzum Einsatz \u2013 im Cloud-Umfeld werden h\u00e4ufig entsprechende Sicherheitsgruppen\ngebildet. Zentrale Netzwerkhardware \u00fcbernimmt die \u00dcberwachung von Datenstr\u00f6men,\nwas sich leicht als Engpass entpuppen kann. Alternativ werden die\nIT-Kontrollaufgaben von Drittanbietern verantwortet, oder aber man versucht, im\neigenen Netz entsprechende Sicherheitsregeln f\u00fcr alle Workloads durchzusetzen.<\/p>\n\n\n\n<p>Der applikationszentrierte Ansatz dagegen basiert auf der Bereitstellung von Workload-Agenten. Das hat gleich mehrere Vorteile: So ist die Visibilit\u00e4t um ein Vielfaches h\u00f6her und reicht bis zu Layer 7 des ISO\/OSI-Schichtenmodells. Eine agentenbasierte L\u00f6sung kommt au\u00dferdem in unterschiedlichen IT-Infrastrukturen und Betriebsumgebungen besser zurecht. \u00dcber mehrere Technologien hinweg steht eine einheitliche Vorgehensweise zur Verf\u00fcgung, was sich unter anderem auszahlt, wenn neue Investitionen in Container-Technologien und andere Modelle zur Anwendungsentwicklung und IT-Bereitstellung get\u00e4tigt werden.<\/p>\n\n\n\n<p><strong>Hybride Enterprise-Infrastrukturen<\/strong><\/p>\n\n\n\n<p>Ein\nweiterer Pluspunkt: IT-Policy-Vorgaben lassen sich komplett skalieren und\ndirekt an Workloads binden, die zwischen mehreren Umgebungen \u2013 von lokalen\nNetzen zu Public-Cloud-Infrastrukturen und wieder zur\u00fcck \u2013 wechseln. Zur\nReduzierung der Angriffsfl\u00e4che k\u00f6nnen Administratoren mit einem app-zentriertem\nAnsatz granulare Policy-Vorgaben festlegen, die einem IT-Management\nausschlie\u00dflich \u00fcber Netzwerkrichtlinien deutlich \u00fcberlegen sind. F\u00fcr eine\nspezifische IT-Umgebung konzipierte Tools k\u00f6nnen einfach nicht in gleicher\nWeise auch hybride Multi-Cloud-Rechenzentrumsanforderungen mit teils drastisch\nh\u00f6heren Datendurchsatzraten abdecken.<\/p>\n\n\n\n<p>Im\nErgebnis f\u00e4llt IT-Sicherheitsverantwortliche die Umstellung auf\napplikationsgesteuerte Gesch\u00e4ftsprozesse deutlich leichter. Immer mehr\nUnternehmen arbeiten zum Beispiel mit agilen DevOps-Strukturen, die unterschiedliche\nUnternehmensbereiche zusammenf\u00fchren. Im Zuge dieser Ver\u00e4nderungen w\u00e4chst die\nBedeutung von Security-Technologien, die f\u00fcr die Skalierbarkeits-,\nFlexibilit\u00e4ts- und Datenvisibilit\u00e4tsanforderungen hybrider\nEnterprise-Infrastrukturen optimiert sind. Durch Mikrosegmentierung l\u00e4sst sich\ndas Policy- und Service-Management dynamisch umsetzen. Verlagerungen,\nErg\u00e4nzungen und \u00c4nderungen m\u00fcssen im Gegensatz zu netzwerkzentrierten Modellen\nnicht manuell durchgef\u00fchrt werden.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>Schnelle Erfolge<\/strong><\/p>\n\n\n\n<p>Wie\nsieht die ideale Vorgehensweise bei der Einf\u00fchrung eines\nMikrosegmentierungskonzeptes aus? Jede Organisation ist nat\u00fcrlich anders, aber\nerfolgreiche Initiativen weisen gemeinsame Erfolgsfaktoren auf. Dazu z\u00e4hlt,\ndass man sich zun\u00e4chst einmal auf konkrete Projekte fokussiert, die\nvergleichsweise einfach durchf\u00fchrbar sind und bei denen die Vorteile\nunmittelbar sichtbar werden. Das sind \u00fcblicherweise Anwendungsf\u00e4lle, die ganze\nAufgabenfelder betreffen, wie zum Beispiel die Abtrennung von Servern und\nDatenstr\u00f6men in der Qualit\u00e4tssicherungs- oder Entwicklungsabteilung von\nProduktionsumgebungen. Die Separierung wertvoller Datacenter-Ressourcen von\nexternen Nutzern oder IoT-Ger\u00e4ten ist ein gutes Beispiel daf\u00fcr.<\/p>\n\n\n\n<p>Im\nGesundheitswesen wiederum empfiehlt sich die Trennung medizinischer Ger\u00e4te vom\nallgemeinen Datennetz als sinnvolles Pilotprojekt. Gesetzliche und\nregulatorische Vorschriften wie SWIFT, PCI und auch die DSGVO legen detailliert\ndie Arten von Daten und Prozessen fest, welche vom allgemeinen Netzwerkverkehr\nzu separieren sind. Durch Mikrosegmentierung lassen sich Applikationen und\nInformationen isolieren, selbst wenn die App-Workloads \u00fcber verschiedene\nUmgebungen hinweg verteilt werden.<\/p>\n\n\n\n<p><strong>Langfristige Cloud-Strategie<\/strong><\/p>\n\n\n\n<p>Die\nUmsetzung von Pilotprojekten mit gro\u00dfer Aussagekraft erm\u00f6glicht den\nVerantwortlichen ferner, sich mit den IT-Werkzeugen und Prozessabl\u00e4ufen\nvertraut zu machen, um dann im n\u00e4chsten Schritt weitere Unternehmensbereiche\nanzugehen. Die eingesetzten Tools sollten dabei nicht auf eine IT-Umgebung\nbeschr\u00e4nkt sein und Workloads nicht nur im Unternehmensnetz unterst\u00fctzen\nk\u00f6nnen. Gefordert ist die n\u00f6tige Zukunftsf\u00e4higkeit f\u00fcr andere\nRechenzentrumsarchitekturen \u2013 angefangen von Legacy-Systemen und\nBare-Metal-Servern bis zu virtualisierten Landschaften, Container- und\nPublic-Cloud-L\u00f6sungen.<\/p>\n\n\n\n<p>Native\nSicherheitskontrollen indes, die \u00fcber IaaS- oder Public-Cloud-Dienste bereitgestellt\nwerden, reichen f\u00fcr den vollst\u00e4ndigen Schutz von Cloud-Workloads nicht aus.\nHier teilen sich Dienstleister und Kunden die Verantwortlichkeit f\u00fcr IT-Sicherheit\nund Compliance. Neben der Verwaltung des Hostbetriebssystems und der\nVirtualisierungsebene sorgt der Anbieter f\u00fcr die Sicherheit der\nCloud-Infrastruktur. Die Kunden wiederum haben die Verantwortung f\u00fcr das\nGastbetriebssystem (einschlie\u00dflich Updates und Sicherheits-Patches), steuern\ndie damit verbundene Anwendungssoftware und \u00fcbernehmen die\nDatenschutzkonfiguration.<\/p>\n\n\n\n<p><strong>Sichtbarkeit, Sicherheit und\nKontrolle<\/strong><\/p>\n\n\n\n<p>Die\nmitgelieferten Sicherheitsfunktionen sind indes komplett auf die\nProvider-Umgebung ausgerichtet. Abseits der Provider-Umgebung sind\nOrganisationen daher dazu gezwungen, mehrere Security-Plattformen zu verwalten\nund manuelle Anpassungen durchzuf\u00fchren, wenn Applikationen in unterschiedlichen\nCloud-Strukturen operieren. Folge: Auf das IT-Administrationsteam kommen\nzeitaufwendige und uneffektive Arbeiten zu.<\/p>\n\n\n\n<p>Das Leben der IT-Teams wird zus\u00e4tzlich dadurch erschwert, dass die meisten nativen Sicherheits- und Kontrollm\u00f6glichkeiten auf der Transportebene (Layer 4) angesiedelt sind und nicht auf der Anwendungsebene (Layer 7). Darunter leidet die zuverl\u00e4ssige Abwehr von Hackerangriffen und das effektive Schlie\u00dfen von Sicherheitsrisiken. Best Practice ist deshalb, applikationszentrierte Mikrosegmentierungs-Technologien zu implementieren, die sich direkt an die Workloads heften. Neben h\u00f6herem Mehrwert sorgen sie f\u00fcr die erforderliche Sichtbarkeit, Sicherheit und Kontrolle in hybriden Enterprise-Infrastrukturen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cloud-Umgebungen, IT-Virtualisierung und softwaredefinierte Infrastruktur (SDI) sollen auf Unternehmensseite wichtige Gesch\u00e4ftsziele wie Skalierbarkeit, flexible Service-Bereitstellung und Kosteneffizienz realisieren. Agile IT-Infrastrukturen als Grundlage f\u00fcr die digitale Transformation bedingen zwangsl\u00e4ufig, dass CIOs und IT-Leiter ihre Sicherheitsstrategie \u00fcberdenken. Deshalb hat Mikrosegmentierung eine hohe Priorit\u00e4t.<\/p>\n","protected":false},"author":3,"featured_media":15616,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6257,9408,4438,4194,3811,1152,13340,6443,7184],"class_list":["post-15615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cloud","tag-dsgvo","tag-guardicore","tag-pci","tag-policy","tag-rechenzentrum","tag-sdi","tag-segmentierung","tag-swift"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15615"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15615\/revisions"}],"predecessor-version":[{"id":15617,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15615\/revisions\/15617"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15616"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}