Der Weg zu sicheren Cloud Workloads führt über Zero TrustHöchster Stellenwert für die Sicherheit
25. April 2022
Wer unternehmensweit multiple Cloud-Umgebungen einführt, sollte bedenken, dass die Sicherheit hier den höchsten Stellenwert innehat. Sie verlangt nach der Einhaltung strenger Anforderungen bezüglich verschiedener Kommunikationswege von Anwendungen. Gleichzeitig muss die Komplexität kombinierter Cloud-Lösungen und der Austausch von Workloads untereinander vereinfacht werden.
In die Cloud verlagerte Workloads müssen auf unterschiedliche Art erreichbar und dabei abgesichert sein. Für die meisten Anwendungen in der Public Cloud sind drei Kommunikationsbeziehungen erforderlich. Administration und IT-Abteilung müssen auf Anwendungen zugreifen können, diese müssen wiederum über das Internet mit anderen Applikationen kommunizieren und zuletzt über eine Anbindung an das zentrale Rechenzentrum verfügen. Sind hierbei zu viele unnötige Zugriffsrechte vergeben, kann sich die Angriffsfläche eines Unternehmens schnell vergrößern.
Der Aufwand für die sichere Kommunikation der Workloads wächst allerdings mit der Anzahl der Applikationen in der Cloud und den eingesetzten Cloud-Providern. Da die Hyperscaler auf eine dezentrale Infrastruktur setzen, stehen Anwendungsentwickler, Netzwerk- und Sicherheitsabteilungen in Unternehmen vor der Herausforderung, die Kommunikationsbeziehungen zu jeder Workload von jedem Cloud-Anbieter leistungsstark und zugleich sicher zu gestalten. Kommt herkömmliche Netzwerksicherheit zum Einsatz, sind die Verantwortlichen mit hohem Komplexitäts- oder Kostendruck konfrontiert.
Komplexität von Cloud Workloads steigt
Wegen der Zunahme von Workloads in der Public Cloud in den vergangenen zwei Jahren sehen sich viele Unternehmen mit einem Verbindungschaos ihrer Cloud-Anwendungen konfrontiert, das nur mit einem hohen Aufwand zu verwalten ist. Die Komplexität kommt durch verschiedenste Routing-Anforderungen des Datenverkehrs zustande.
Darüber hinaus tragen weitere Faktoren, wie die geforderte Erreichbarkeit der Dienste über unterschiedliche Regionen und Verfügbarkeitszonen hinweg oder gar redundant angelegte Applikationen, zu verschachtelten Kommunikationswegen bei.
An Komplexität nicht zu überbieten sind Workloads, die sich über verschiedene Regionen und Cloud-Provider erstrecken, um Computing-Netzwerke zur Erzielung massiver Skalierungen oder für Big-Data-Anwendungen zu erzielen. Werden solche komplizierten Anwendungsszenarien auf klassischen WAN-Netzwerken und Hardware-Sicherheitsarchitekturen aufgesetzt, müssen umfangreiche Regelwerke in den Firewalls zur Abbildung des Traffics zwischen den Servern geschrieben und verwaltet werden.
Je nach Datenvolumen kommen Unternehmen nicht um die Implementierung von Glasfaserstandleitungen oder die direkte Anbindung an Hyperscaler herum. Dedizierte Punkt-zu-Punkt-Verbindungen adressieren die Anforderung der Kommunikation von Workloads zurück ins Rechenzentrum. Als Alternative bot sich Unternehmen mit geringerem Datenvolumen nur die aufwändige Verwaltung von VPN-Tunnels oder eine Kombination von Angeboten mit Carriern an.
Vereinfachung durch Zero Trust
In den letzten Jahren hat das Zero Trust-Konzept an Popularität gewonnen, um den Anwenderdatenverkehr ins Internet sowie den Remote-Zugriff auf Anwendungen im Rechenzentrum oder in Cloud-Umgebungen abzusichern. Die Kommunikation erfolgt dabei richtlinienbasiert durch definierte Zugangsberechtigungen und folgt dem Prinzip des Least Privilege. Für die Umsetzung der Policies sorgt bei diesem Ansatz ein zwischengeschalteter Sicherheits-Layer in Form einer Sicherheitsplattform. Ein solcher Service operiert zwischen Internet, Anwendungen und dem Nutzer und überwacht die Kommunikation.
Dieses Konzept auf Basis von Zero Trust lässt sich auch auf die Strukturierung und Überwachung der Beziehungen von Cloud Workloads übertragen. So lassen sich diese mit definierten Zielen im Internet verbinden, um Updates zu implementieren, oder um mit dem eigenen Rechenzentrum zu kommunizieren. Die Grundlage der sicheren Kommunikation sind auch in diesem Fall definierte Zugriffsberechtigungen zur Cloud Workload, von Workloads untereinander oder hin zum Rechenzentrum.
Cloud aus dem Fadenkreuz nehmen
Ein solcher Ansatz geht nicht nur mit einer Reduktion der Komplexität einher, sondern kann auch die Angriffsfläche von Cloud Workloads im Internet reduzieren. Da die Kommunikation von Apps untereinander über einen gekapselten Weg stattfindet, werden die Anwendungen nicht sichtbar im Internet dargestellt. Unautorisierte Personen können dementsprechend nicht darauf zugreifen und diese nicht sehen. Über die einmal definierten Policies der Zugriffsrechte wird festgelegt, welcher Server mit einem anderen Server kommunizieren darf, ohne dabei den Datenverkehr über externe Netzwerkgeräte zur Anwendung von Firewall-Regeln schicken zu müssen.
Gleichzeitig wird die klassische Trennung der Verantwortlichkeit für die Applikation, das Netzwerk und die Sicherheit wieder hergestellt. Der Anwendungsentwickler ist lediglich für die Implementierung des Cloud-Connectors in der Anwendung verantwortlich und transferiert die Sicherheit der Cloud-Infrastruktur mit dem Aufsetzen der Policies wieder an die Security-Abteilung. Die Anwendungen sind nicht mehr dem Internet ausgesetzt, wodurch das Unternehmen erreicht, so dass die Angriffsfläche minimiert wird.
Um die komplexen Cloud Workloads zu sichern und deren Verwaltung einfacher zu gestalten, bietet sich Zero Trust als Königsweg an. Das Konzept schützt Nutzer und Firmen gleichermaßen und ermöglicht die einfache, übersichtliche Kommunikation zwischen den Workloads. Die Umstrukturierung der Datenströme sorgt gleichzeitig für einen Abbau der Komplexität und die Angriffsfläche wird verkleinert – alles gemäß moderner Cloud-first-Prinzipien.
Nils Ullmann ist Solution Architekt bei Zscaler.
