Sicherheit beim Industry-Cloud-Computing: Security und Leistung vereinen

Als Bestandteil von Industrie-4.0-Konzepten verliert die Cloud langsam an Schrecken – aber sie erfordert neue Security-Methoden, zumal wenn sie nach dem Shared-Responsibility-Modell genutzt wird. Welche Security-Konzepte sind in diesem Fall möglich und nötig?

Barracuda Networks Bildquelle: © Barracuda Networks

Klaus Gheri, Barracuda Networks: »Die Sicherung von Cloud-Applikationen erfordert neue Ansätze, Richtlinien, Konfigurationen und Strategien.«

Um möglichst skalierbar und leistungsfähig sein zu können, werden viele Software-Implementierungen – speziell für Industrie 4.0 – auf Public-Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) gehostet, was für Flexibilität und Geschwindigkeit sorgt. Und die Cloud-Nutzung boomt – mittlerweile nutzen zwei von drei Unternehmen in Deutschland Cloud Computing, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Vorteile sind hohe Flexibilität, effizientere Betriebsabläufe und verbrauchsabhängige Abrechnung von Services.

Die Herausforderung besteht jedoch in der Sicherung von Anwendungen in der Cloud. Das Problem: »Traditionelle Sicherheitskonzepte für On-Premises-Nutzungsmodelle«, bei denen der Nutzer bzw. Lizenznehmer Software in eigener Verantwortung auf eigener oder fremder Hardware betreibt, »lassen sich nicht effektiv auf Public-Cloud-Applikationen übertragen«, erläutert Klaus Gheri, Vice President and General Manager Network Security bei Barracuda Networks. »Deshalb sollten Unternehmen auch nicht versuchen, ihre alten lokalen Security-Tools einfach in eine Cloud-Umgebung zu verlagern. Die Sicherung von Cloud-Applikationen erfordert neue Ansätze, Richtlinien, Konfigurationen und Strategien, die es Unternehmen ermöglichen, Geschäftsanforderungen wie Leistung und Skalierbarkeit mit den nötigen Sicherheitsvorkehrungen in Einklang zu bringen.«

Balance von Leistung und Sicherheit

Die Akzeptanz der Public Cloud bei Unternehmen nimmt zu, doch Sicherheitsbedenken sind immer noch eine Hürde beim Wechsel in die Cloud. Vielen Unternehmen ist nicht klar, wie die Sicherheitsverantwortung in der Cloud verteilt ist. »Nach dem Shared-Responsibility-Modell ist es Aufgabe des Cloud-Providers, die Infrastruktur zu schützen; er sorgt also für die physische Sicherheit, die globale und regionale Connectivity sowie die Stromversorgung und Kühlung seiner Rechenzentren«, verdeutlicht Klaus Gheri. »Doch es ist Sache der Unternehmen, ihre Daten und Anwendungen in der Cloud zu schützen. Bedrohungsvektoren wie Cyber-Angriffe, Software-Fehler und menschliches Versagen gelten daher in der Cloud ebenso wie bei klassischen On-Premises-Modellen und erfordern entsprechende Sicherheitsvorkehrungen.« Dennoch stellen viele Unternehmen die Anwendungsleistung und -geschwindigkeit über die Sicherheit. Angesichts der Risiken sollten diese Faktoren jedoch in einem ausgewogenen Verhältnis zueinander stehen.

Für die Sicherung von Applikationen sind Layer-7-Schutzmaßnahmen wichtig, doch jede Technologie muss dabei tief in bestehende Cloud-Plattformen und Lizenzmodelle integriert werden. »Sie sollte dann eng mit der dynamischen Skalierbarkeit von Public-Cloud-Anbietern wie AWS, Azure und GCP verbunden sein, um sicherzustellen, dass die Anforderungen an das Performance-Management ohne manuelle Eingriffe in Echtzeit erfüllt werden«, stellt Klaus Gheri fest. »Außerdem sollten Unternehmen direkten Zugriff auf die nativen Protokollierungs- und Berichts-Funktionen der Cloud-Plattformen haben.«

Management von Anwendungs-Schwachstellen in der Cloud

Viele Anwendungs-Schwachstellen bleiben oft so lange unbemerkt, bis es zu spät ist. »Leider sind Fixes oder Patches ein reaktiver Prozess, der Schwachstellen viel zu lange offen lässt – Monate sind keine Seltenheit«, führt Klaus Gheri aus. »Die automatische und kontinuierliche Behebung von Schwachstellen ist für die Gewährleistung der Anwendungssicherheit sowohl On-Premise als auch in der Cloud von großer Bedeutung. Daher ist es unerlässlich, eine Reihe von Richtlinien zu implementieren, die kontinuierlichen Schutz durch ein regelmäßiges Schwachstellen-Management und -Behebungsverfahren bieten. Dies lässt sich auch automatisieren, um sicherzustellen, dass Anwendungsänderungen keine Schwachstellen öffnen.«

Klaus Gheri nennt vier Best-Practice-Aspekte für effektive Anwendungssicherheit in der Cloud:

  1. Auf die Cloud spezialisiert: Die Sicherheitslösung sollte auch anspruchsvolle Anwendungsfälle erfüllen können, wie sie für in der Cloud gehostete Anwendungen typisch sind. Außerdem ist es zwingend erforderlich, dass sie sich direkt in native Public-Cloud-Services wie Elastic Load Balancing, AWS CloudWatch, Azure OMS und andere sowie Cloud-Access-Techniken wie Azure ExpressRoute oder AWS Direct Connect integriert.
  2. API: Die Lösung sollte eine möglichst umfassende API bereitstellen, die eine für Cloud-Einsatzszenarien angemessene Kontrolle durch von DevOps-Teams (Development & IT Operations) verwendete Orchestrierungs-Werkzeuge wie etwa Puppet ermöglicht.
  3. Skalierbarkeit und zentrale Verwaltung: Sicherheitsanwendungen müssen in Hochverfügbarkeits-Clustern implementiert und mithilfe von Cloud-Templates automatisch skaliert werden können. Außerdem sollten sie eine Verwaltung und Überwachung von einer einzigen Konsole aus bieten.
  4. Flexible Lizenzierung: Wichtig ist darüber hinaus, dass die Lösungen vollständige Lizenzflexibilität bieten, einschließlich einer rein verbrauchsabhängigen Abrechnung. Auf diese Weise können Unternehmen so viele Instanzen wie nötig bereitstellen und bezahlen nur den Datenverkehr, der durch diese Anwendungen gesichert ist.

Grundsätzlich erfordert die Sicherung von Anwendungen in der Cloud neue Security-Strategien. »Unternehmen sollten daher die von ihnen eingesetzten Lösungen unter die Lupe nehmen und prüfen, wo es der Nachbesserung bedarf, um eine kontinuierliche Überwachung und Schwachstellenbehebung von Anwendungen in der Cloud zu gewährleisten«, betont Klaus Gheri. »Dabei ist es wichtig, jede Anwendung auf entsprechendem Sicherheitsniveau zu schützen. So sollten die Security-Maßnahmen auf den aktuellen Cloud-Verbrauch abgestimmt sein und entsprechende Tools genutzt werden, die speziell für Cloud-Umgebungen entwickelt sind.«