Multi-Cloud-Sicherheit und Compliance – Herausforderungen und Best Practices

[English]Unternehmen sind auf dem Marsch in die Cloud. Dabei kommen oft auch mehrere Cloud-Anbieter zum Zug. Multi-Cloud-Strategien machen Cloud-Sicherheit und -Compliance noch komplizierter, da Kontrollen und Richtlinien konsistent über mehrere Cloud-Umgebungen hinweg angewendet werden müssen. Das IT-Sicherheitsunternehmen Orca Security hat sich mit den Herausforderungen und Best Practices in Bezug auf Cloudsicherheit befasst.

Unternehmen verlagern ihren Betrieb zunehmend nicht nur auf eine, sondern in vielen Fällen auf mehrere Public Clouds. Im kürzlich von HashiCorp durchgeführten State of the Cloud Strategy Survey gaben 76 Prozent der Befragten an, dass sie bereits Multi-Cloud-Strategien verfolgen. Weitere 47 Prozenten dieser Befragten stimmten zu, dass die Sicherheit ein Haupthindernis für die Cloud ist.

Multi-Cloud-Strategien machen Cloud-Sicherheit und -Compliance noch komplizierter, da Kontrollen und Richtlinien konsistent über mehrere Cloud-Umgebungen hinweg angewendet werden müssen. Durch die Befolgung einer Reihe von Best Practices können Sicherheitsteams nach Meinung von Orca Security jedoch die Komplexität und den Aufwand für die Sicherung einer Multi-Cloud-Umgebung erheblich minimieren, so dass Unternehmen ihre Cloud-Strategie vollständig umsetzen können. Das IT-Sicherheitsunternehmen Orca Security befasst sich mit Cloudsicherheit und benennt nachfolgt Herausforderungen sowie Best Practices.

Was ist eine Multi-Cloud-Strategie?

Von einer Multi-Cloud-Strategie spricht man, wenn Unternehmen mehrere Anbieter von öffentlichen IaaS-Cloud-Diensten – wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud – nutzen, um ihre IT-Dienste und -Infrastruktur zu optimieren. Da jeder Cloud-Anbieter unterschiedliche Services und Preismodelle anbietet, können Unternehmen durch die Nutzung mehrerer Cloud-Anbieter den besten Service zum besten Preis erhalten.

Das Konzept lässt sich am besten anhand einer Analogie aus dem Supermarkt erklären. Wenn Kunden zum Beispiel ihre Lieblingsbioprodukte in einem Naturkostladen kaufen, nehmen sie in Kauf, dass die Preise etwas höher sind. Für die meisten Grundnahrungsmittel gehen sie jedoch lieber in ein normales Geschäft, da die Preise dort viel niedriger sind. Kurz gesagt, sie optimieren ihren Lebensmitteleinkauf auf der Grundlage des individuellen Angebots und der Preise der einzelnen Geschäfte, was einer Multi-Cloud-Strategie ähnelt.

Was ist der Unterschied zwischen den Cloud-Plattformen?

Wie Supermärkte haben alle Cloud-Anbieter ähnliche Angebote, aber jeder verfolgt einen etwas anderen Ansatz. Es handelt sich keineswegs um einen vollständigen Vergleich, aber die folgende kurze Zusammenfassung zeigt, wie die Plattformen der führenden Cloud-Anbieter in verschiedenen Bereichen einen Mehrwert bieten:

• AWS bietet die größte Auswahl an Services, darunter Rechen-, Speicher-, Datenbank-, Analyse-, Netzwerk- und mobile Ressourcen, Entwickler- und Verwaltungstools, IoT, Sicherheit und Unternehmensanwendungen.
• Azure hat den Vorteil, dass es Produktivitäts- und Unternehmenssoftware (wie Office 365 und Teams) mit flexiblen Cloud-Computing-Ressourcen für Entwickler auf einer Plattform kombiniert.
• Google Cloud zeichnet sich durch seinen technologischen Fortschritt im Bereich der Open-Source-Technologien aus, insbesondere bei Containern, und spielte eine entscheidende Rolle bei der Entwicklung von Kubernetes, einer Container-Orchestrierungsplattform, die sich mittlerweile zu einem Branchenstandard entwickelt hat.

Was sind die Vorteile einer Multi-Cloud-Strategie?

Es ist nicht verwunderlich, dass die meisten Unternehmen mehrere Cloud-Plattformen nutzen, da diese Strategie den Unternehmen Folgendes ermöglicht

• Den Zugang zu Diensten zu optimieren: Wie oben beschrieben, sind einige Cloud-Anbieter stärker auf die Bereitstellung bestimmter Dienste spezialisiert als andere Anbieter, so dass es sinnvoll ist, für jeden benötigten Dienst den besten Cloud-Anbieter auszuwählen.
• Risikostreuung und Ausfallsicherheit: Es ist immer eine gute Idee zu vermeiden, „alles auf eine Karte zu setzen". Wenn beispielsweise ein Ausfall oder ein anderes Problem bei einem Cloud-Dienstanbieter auftritt, sind die anderen Cloud-Plattformen wahrscheinlich nicht betroffen.
• Kosten und Abhängigkeiten reduzieren: Durch den Einsatz mehrerer Cloud-Anbieter können Unternehmen flexibel bleiben und den Anbieter wechseln, um ihre Ausgaben zu optimieren, anstatt sich an einen Anbieter zu binden und hohe Betriebskosten für die Verlagerung von Diensten zu tragen.

Sicherheits- und Compliance-Herausforderungen von Multi-Cloud-Umgebungen

Die Nutzung mehrerer Cloud-Anbieter ist zwar geschäftlich sehr sinnvoll, kann aber die Bemühungen um Sicherheit und Compliance enorm erschweren. So sollten die Sicherheitskontrollen und -richtlinien in allen Bereichen einheitlich sein. Da die meisten Sicherheitstools der nativen Cloud-Anbieter nur ihre eigene Plattform abdecken und nicht alle Lösungen von Drittanbietern mehrere Cloud-Anbieter unterstützen, können Sicherheit und Compliance für Multi-Cloud-Umgebungen schnell zu einem operativen Albtraum werden.

Wenn die Sicherheitskontrollen nicht in einer Plattform konsolidiert sind, führt dies zu folgenden Problemen:

• Mangel an zentraler Sichtbarkeit: Die Verwendung unterschiedlicher Lösungen für jede Cloud-Plattform – und oft sogar mehrerer Lösungen pro Plattform, wie Cloud Security Posture Manager (CSPM) und Cloud Workload Protection Platforms (CWPP) – macht es nahezu unmöglich, einen zentralen Überblick über Risiken zu erhalten. Dies bedeutet, dass Verantwortliche keinen klaren Überblick über ihre gesamte Cloud-Sicherheitslage haben und nicht wissen, welche Risiken am dringendsten behandelt werden müssen.
• Hohe Betriebskosten: Die Duplizierung von Sicherheitsrichtlinien für verschiedene Cloud-Sicherheits- und Compliance-Tools kann für das ohnehin unterbesetzte Cloud-Sicherheitsteam schnell zu einer Belastung werden. Cloud-Workload-Protection-Plattformen (CWPPs) erfordern außerdem die Installation eines Agenten auf jeder zu überwachenden Cloud-Ressource. Je größer und diversifizierter die Cloud-Ressourcen sind, desto zeitaufwändiger ist es, Agenten für jede Ressource zu installieren und zu pflegen.
• Mangelnde Konsistenz: Wenn Unternehmen gezwungen sind, mehrere verschiedene Cloud-Sicherheitstools mit jeweils unterschiedlichen Konfigurationsoptionen zu verwenden, ist es eine komplexe Aufgabe, sicherzustellen, dass in allen Cloud-Beständen dieselben Sicherheits- und Compliance-Prüfungen durchgeführt werden.
• Erhöhte Fehleranfälligkeit: Je mehr manuelle Eingriffe und Duplizierung von Sicherheitsrichtlinien erforderlich sind, desto mehr Raum gibt es für menschliche Fehler und falsch konfigurierte Sicherheitskontrollen.

Best Practices für Multi-Cloud-Sicherheit und Compliance

Um die Komplexität und den Aufwand für die Sicherung einer Multi-Cloud-Umgebung zu minimieren, sollten Sicherheitsverantwortliche die folgenden fünf Best Practices befolgen:

1. Auf Multi-Cloud-Unterstützung bestehen: Vergewissern Sie sich, dass Ihr Cloud-Sicherheitsanbieter mehrere Cloud-Anbieter-Plattformen unterstützt.

2. Cloud-Sicherheitslösungen konsolidieren: Nutzen Sie Full-Stack-Cloud-Sicherheitslösungen (CWPP und CSPM in einem – auch als Cloud-native Application Protection Platform (CNAPP) bezeichnet), damit Sie die Anzahl der Einzellösungen reduzieren und durch ein einziges Tool für alle Ihre Cloud-Umgebungen ersetzen können.

3. Agentenlos werden: Eliminieren Sie ressourcenintensive Agentenimplementierungen, die die Reaktionsfähigkeit einschränken und Ihre Fähigkeit behindern, Anwendungen bei Bedarf auf andere Cloud-Plattformen zu verschieben.

4. Plattformspezifische Abhilfemaßnahmen: Verwenden Sie eine Cloud-Sicherheitslösung mit kontextbezogener Intelligenz, die kritische Risiken priorisiert und plattformspezifische Anweisungen zur Schadensbegrenzung bereitstellt, um den Anwendern die Arbeit auf mehreren Cloud-Plattformen zu erleichtern.

5. Strategien zur Kosteneinsparung identifizieren: Sorgen Sie dafür, dass der CISO zufrieden ist, indem Sie ein Cloud-Sicherheitstool verwenden, mit dem Sie detaillierte Informationen zu jedem Asset auf jeder Cloud-Plattform abrufen können, einschließlich der Häufigkeit der Nutzung. Auf diese Weise können Sie Ratschläge für weitere Kosteneinsparungsstrategien geben, z. B. die Verlagerung bestimmter Anwendungen auf andere Cloud-Plattformen und die Konsolidierung oder Entfernung redundanter Dienste.

Im Multi-Cloud-Zeitalter ist die Sicherheit komplexer und zeitaufwändiger geworden als je zuvor. Durch die Verwendung eines ganzheitlichen Cloud-Sicherheitsansatzes, der konsistente Sicherheitskontrollen über mehrere Cloud-Umgebungen hinweg etablieren kann, lassen sich Komplexität und doppelter Aufwand nach Meinung von Orca Security jedoch erheblich reduzieren. So verschwenden Sicherheitsteams weniger Zeit mit operativen Aufgaben und können sich stattdessen auf die Sicherung der Cloud-Umgebungen konzentrieren.