:quality(80)/p7i.vogel.de/wcms/ec/92/ec92249724e4a1c3194c9181d3f4d05a/0110319520.jpeg "In den EU-Mitgliedstaaten sind bislang nur 22 Prozent Frauen in der Technologie-Branche tätig. (Bild: Roman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/6c/da6cb1e08c819b60d0abf3c1691ce36f/0110522411.jpeg "Atila Kaplan, Director Cloud & Software bei Ingram Micro Deutschland, kündigt den Innvoation Summit als größte Präsenzveranstaltung des Distributors an. (Bild: Gudrun Kaiser)")
:quality(80)/p7i.vogel.de/wcms/1c/51/1c51c1eeaeda424d7c4d9c3c57a8780c/0110448933.jpeg "Zwölf Partnerverantwortliche aus der Content-Management-Branche enthüllen, wie sie die aktuelle Krise meistern. (Bild: gemeinfrei, Ralphs_Fotos / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/70/65/7065cec0bd03f566ef9bd7dbee649301/0110509833.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/e6/aee68366df3c69fe3aea7f82d33ee905/0110325878.jpeg "Unternehmen entscheiden sich immer noch lieber für eine männliche ITK-Fachkraft. (Bild: eyetronic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/53/3b53421a8042d049f880989064e6cdb3/0110482463.jpeg "Frank Rademacher, Gruppenleiter Montage Industriemaschinen, Vemag Maschinenbau: „Für uns ist die Einführung der Vier-Tage-Woche eine „Win-Win-Situation“. Die Mitarbeiter*innen sind zufriedener und die Produktivität steigt.“ (Bild: Vemag)")
:quality(80)/p7i.vogel.de/wcms/0e/76/0e7609a0fb18f576cdbef0f8b7f146c4/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/12/cc12a36b400c13c3001f76d5cba9f9b2/0109645617.jpeg "Data Lakes erlauben Sicherheitsteams den standardisierten Zugriff auf echte Bedrohungsdaten aus Cloud- und On-Premises-Quellen. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/b1/dcb1cb029222a9ade9475148c445a911/0109877684.jpeg "Wenn sich das eigene Cloud-Angebot über die Landesgrenzen verbreiten soll, ist der Boden dort zumeist nicht optinal vorbereitet, auch wenn Cloud-Computing luftig-leicht suggeriert. Doch mit welchen Hilfsmittel sich so manches Paket bewegen lässt, leitet PaaS-Anbieter Oreio aus der eigenen Praxiserfahrung ab. (Bild: frei lizenziert: Michael Schwarzenberger)")
:quality(80)/p7i.vogel.de/wcms/fe/30/fe305febeec7cd972d48a5f64006c6bb/0110512458.jpeg "Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für KRITIS-Unternehmen Einheitlichkeit schaffen. (Bild: SG- design - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/c8/58c8d6443a018e04baf62aaca4182902/0110507521.jpeg "(Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9add561148d8790e3be0ae6cb8447972/0110267609.jpeg "(Bild: Panuwat-stock.adobe.com – (M) Carin Boehm)")
:quality(80)/p7i.vogel.de/wcms/8f/41/8f41293f66203a10c0195efaf904f001/0109732739.jpeg "(Bild: 2019 Lubo Ivanko/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/06/1c/061cbd6222dae4f1f04fe31825592b02/0109770894.jpeg "Das Firmengelände der Erich Scheerer GmbH bietet mit mehr als 90.000 Quadratmeter Fläche genug Platz für das komplette Holzsortiment. (Bild: AGFEO)")
Problemfall Cloud Computing & Cloud Networking Netzwerk-Segmentierung – in der Cloud hoffnungslos?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/26000/26075/65.jpg "Acer-New logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135459/65.png "IGEL_LOGO_BLACK_RGB.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/4c/614c584fe3e68/f-secure-horizontal-logo-rgb-blue.png "f-secure-horizontal-logo-rgb-blue (www.f-secure.com)"){kind=logo}
Netzwerksegmentierung hat sich zu einer bewährten Strategie entwickelt, um Komplexität zu reduzieren und das Sicherheitsniveau zu heben. Durch strikte Regeln wird dabei festgelegt, welche Dienste zwischen Zonen erlaubt sind und welche Nutzer welche Zonen erreichen dürfen. Auf diese Weise wird im Falle eines Angriffs eine Bewegung im Netzwerk deutlich erschwert.
Oft herrscht die Annahme vor, dass eine Netzwerk-Segmentierung in der Cloud nicht funktioniere, da Cloud-Umgebungen in aller Regel zu dynamisch sind. Gerade im Bereich DevOps werden hier Ressourcen innerhalb kürzester Zeit gebunden und fast genauso schnell wieder aufgegeben. Diese dynamische Bereitstellung gepaart mit einer nahezu unbegrenzten Skalierbarkeit mache die Cloud für Unternehmen einerseits zwar attraktiv, aus Sicherheitssicht andererseits aber auch deutlich komplexer zu verwalten.
Auch hält sich der Irrglaube, dass eine Segmentierung zwingend starre, durch IPs definierte Richtlinien erfordere. Entsprechend könnten strukturierte Zonen in einer dynamischen Umgebung mit sich verändernden Zielpfaden nicht funktionieren.
Dynamische Umgebungen erfordern dynamische Lösungen
Fakt ist: Viele Unternehmen segmentieren heutzutage Cloud-Umgebungen, um die Sicherheit in der Cloud zu erhöhen und die Einhaltung von Vorschriften zu gewährleisten. Wenn es möglich ist, neue Server, Benutzer oder Sicherheitsgruppen dynamisch einer Zone in der Unternehmensumgebung zuzuordnen (oder eine neue Zone zu erstellen), kann man auch in der Cloud segmentieren.
Dabei erfordern diese dynamischen Herausforderungen Automation. Und schnelle Änderungen erfordern parallel laufende Sicherheitslösungen. Entscheidend dabei ist, dass der Änderungsmanagement-Prozess so agil ist wie die Änderungen der Cloud-Umgebung. Dies gelingt, wenn die Sicherheitsrichtlinien dabei in das Change-Management integriert werden, um die Verfolgung aller Objekte im Netzwerk zu automatisieren.
Dies gilt nicht nur für IP-Adressen, sondern auch für Benutzer- und Sicherheitsgruppen sowie Tags. Durch die Verwendung eines IPAM-Systems (IP Address Management) lässt sich beispielsweise jede Zone bei Änderungen im hybriden Netzwerk aktualisieren. Mit einem automatisierten Änderungsmanagement und einer automatisierten Verwaltung von IP-Adressen lassen sich die Änderungen in Echtzeit widerspiegeln.
Unternehmen, die einem Cloud-only-Ansatz folgen, können vom Tag-Einsatz zur Segmentierung profitieren. Hier werden Tags bestimmten Sicherheitsgruppen und Anwendungen zugewiesen, um konsistente Änderungen der Sicherheitsrichtlinien für Verbindungen zwischen allen Punkten mit demselben Tag einfach anzuwenden. Es ist eine ideale Lösung für Unternehmen, die ausschließlich die Cloud nutzen – aber eben nur für diese.
In hybriden Umgebungen müssen die Sicherheitskontrollen des physischen, lokalen Netzwerks mit denen der Cloud-Umgebung zur Automatisierung von Änderungen der Sicherheitsrichtlinien kombiniert werden, um eine ganzheitliche/umfassende Durchsetzung einer einheitlichen Sicherheitsrichtlinie in beiden Umgebungen zu erreichen. Mittlerweile stehen hierfür aber einige Lösungen zur Verfügung, die die erforderliche Transparenz, Verwaltung und Automatisierung über die gesamte Infrastruktur hinweg bieten, um Segmentierungsfunktionen in der Cloud bereitzustellen.
Agilität vs. Sicherheit?
Aber die Cloud-Segmentierung braucht mehr als effektive Technologien. Sie erfordert eine Änderung der Denkweise. Sicherheitsteams wissen, wie Sicherheit und Compliance aussehen und welche Services, Ressourcen und Konnektivität sicher sind und welche nicht.
Das Problem ist jedoch, dass sich Anwendungsentwicklungsteams im Allgemeinen auf die Anwendungsentwicklung und Konnektivität konzentrieren, und eben nicht auf die Sicherheit. Der traditionelle Ansatz, eine Anwendung zu erstellen und zur Überprüfung an das Security-Team zu schicken, ist zeitaufwändig und untergräbt die geschäftliche Agilität, die die Cloud bietet. Wenn nun Entwicklungsteams und nicht die Security-Teams für die Cloud-Sicherheit zuständig sind, können Produkte zwar schneller auf den Markt gebracht werden, aber Cloud-Sicherheit und Cloud-Compliance bleiben oft auf der Strecke.
Wie kann hier ein Ausweg aussehen? Unternehmen sollten sich nicht zwischen Agilität und Sicherheit entscheiden müssen. Die Lösung besteht darin, Sicherheit in die Entwicklung und Bereitstellung von Anwendungen zu integrieren und die Entwickler darüber aufzuklären, wie Sicherheit aussehen sollte.
Wenn alle Beteiligten verstehen, was zulässig ist und was nicht, können alle Beteiligten Sicherheitsrichtlinien in der Cloud anwenden. Wenn beispielsweise ein PCI-geschützter Server gestartet werden muss, sollten Entwickler wissen, dass er nur mit PCI-getaggten Anwendungen über bestimmte Dienste kommunizieren darf.
Wenn man diesen Prozess automatisiert, wird man den schnellen Änderungsanforderungen der Anwendungsentwickler gerecht. Diese nutzen je nach bei Bedarf Ressourcen, und wenn sie gegen die Compliance verstoßen, wird das Sicherheitsteam umgehend hierüber informiert und kann die entsprechenden weiteren Schritte einleiten, etwa notwendige Zugriffe als Ausnahme vermerken.
Richtig segmentieren
Zusätzlich sollte die Cloud-Segmentierung gleichzeitig mit der Erstellung von Zonen im lokalen Netzwerk durchgeführt werden. Das parallele Festlegen von Zonen im On-Premises- und Cloud-Netzwerk bietet die Möglichkeit, Zonen gegebenenfalls zu konsolidieren, wenn sie dem gleichen Zweck dienen.
Auch sollte zunächst auf eine Mikrosegmentierung verzichtet werden. Bei allen Vorteilen, die graduelle Zonen (insbesondere für die Sicherheit) bieten, kann dies die Mitarbeiter schnell überfordern – vor allem angesichts Hunderter von aktiven und ständig neu auftauchenden Anwendungen. Man sollte den Anwendern die nötige Zeit geben, sich an die Prozesse zu gewöhnen und eine Mikrosegmentierung erst dann ins Auge fassen, wenn die Lernkurve der Anwender erfolgreich absolviert ist.
Fazit
Die Segmentierung von Netzwerken ist ein fortlaufender Prozess, der sich mit der Entwicklung des Unternehmens ständig weiterentwickelt und von neuen Anforderungen und Möglichkeiten angetrieben wird. Folglich müssen auch die Sicherheitsrichtlinien immer weiterentwickelt werden. Geht man hier überlegt und strukturiert vor, sammelt man wertvolle Erfahrungen und sorgt so sukzessive für eine immer höhere Cloud-Sicherheit und bessere Compliance. Die Cloud-Segmentierung spielt dabei eine Schlüsselrolle und ist selbst in den dynamischsten und agilsten Umgebungen möglich, solange man mittels Automatisierung die betriebliche Agilität erhält und entwickelt.
Hierzu müssen das Änderungsmanagement automatisiert und die Sicherheit in die Entwicklung und Bereitstellung von Anwendungen und Services integriert werden. Auf diese Weise halten Sicherheitsrichtlinien immer mit den Änderungen in der Cloud Schritt und Sicherheit und Agilität sind keine Gegenspieler mehr, sondern ergänzen sich zum Unternehmenserfolg.
Über den Autor
Alexander Busshoff ist Solution Architect bei Tufin.
(ID:46463230)
:quality(80)/images.vogel.de/vogelonline/bdb/1956600/1956663/original.jpg "Aruba Central Netconductor soll die Bereitstellung und das Management moderner, fabricbasierter Netzwerke beschleunigen und deren Schutz verbessern. (Aruba)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937700/1937708/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")