Was ist Cloud Security Posture Management (CSPM)?

Die Verwaltung der Cloud-Sicherheitslage (Cloud Security Posture Management, CSPM) ist die Antwort auf die zunehmenden Anforderungen, denen sich Unternehmen bei der Bewältigung von Cloud-Sicherheitsrisiken und von Fehlkonfigurationen bei Public Cloudservices gegenübersehen. Der Service dient zur Risikobewertung, zur Visualisierung, zur Reaktion auf Zwischenfälle, zur Einhaltung der Compliance, zur Überwachung und zur DevOps-Integration. Kunden führen CSPM-Services üblicherweise ein, um fehlkonfigurierte Ressourcen zu finden, riskante und unsichere Aktivitäten bei Cloud-Anwendungen und -Services festzustellen und um Sichtbarkeit zu bieten, damit Sicherheitsadministratoren Probleme bei der Cloud-Sicherheit erkennen und lösen können.

Warum ist das CSPM so entscheidend?

Bei der Definition und Aufrechterhaltung einer Cloud-Umgebung müssen Tausende von Einstellungen konfiguriert und verwaltet werden. Die Cloud gehört heute zur Normalität der IT. Aber die Herausforderungen bei der Gewährleistung der Sicherheit von cloudbasierten Systemen werden immer komplexer. Daten gehören zum wertvollsten Besitz eines Unternehmens. Daher ist es wichtig, Daten vor jeglichem unberechtigten Zugriff und vor Fehlkonfigurationen zu schützen. Im Hinblick auf die Compliance sollte man Folgendes bedenken: Datenverletzungen, fehlgeschlagene Audits und das Versäumnis, behördliche Auflagen zu erfüllen, führen zu Einbußen bei der Reputation und des Markenwerts, der Beeinträchtigung des geistigen Eigentums sowie zu Geldstrafen, wegen der Verletzung gesetzlicher Vorgaben. Der Missbrauch von Zugangsdaten war bisher einer der beliebtesten Angriffsvektoren. Aber dieser könnte schließlich bald durch eine Fehlkonfiguration von Cloud-Bereitstellungen abgelöst werden.

Häufige Fehlkonfigurationen bei der Cloud-Bereitstellung

Cloud-Bereitstellungen können auf viele Weisen fehlkonfiguriert werden, entweder bei der anfänglichen Einrichtung oder zu einem späteren Zeitpunkt der Lebensdauer der Cloud-Bereitstellung. Viele Konfigurationsfehler passieren während der Entwicklung – selbst bei den erfahrendsten Anwendungsentwicklern. Open Storage-Buckets ermöglichen die Erstellung der Anwendung und die Zusammenarbeit während der Entwicklung. Dabei nimmt man sich vor, Fehler bei der Bereitstellung zu beseitigen. Aber angesichts der Ausgefeiltheit heutiger Anwendungen, wird schnell mal eine Einstellung übersehen oder die Änderung einer Konfiguration vergessen. Einige übliche Fehlkonfigurationen sind:

  • Die Festlegung zu nachgiebiger Sicherheitsrichtlinien für den Zugriff
  • Die Bereitstellung eines offenen Zugriffs auf unverschlüsselte Storage-Buckets
  • Ungesicherte Internet-Konnektivitätspfade
  • Unsachgemäß konfigurierte virtualisierte Netzwerkfunktionen
  • Anwendungsspezifische Einstellungen bei jeder definierten Instanz

Warum ist die traditionelle Sicherheit für On Premise-Systeme für die Cloud nicht ausreichend?

Die traditionelle Sicherung von On Premise-Systemen beinhaltet Firewalls, Systeme zum Erkennen/Abhalten von Eindringlingen (IDS/IPS) und andere Sicherheitsmaßnahmen am Perimeter, um Datenzentren zu schützen. Diese Maßnahmen bieten zwar einigen Schutz, aber die Cloud von heute muss sich auch weiterhin an Änderungen anpassen, denn Unternehmen migrieren fortlaufend Anwendungen, Daten und Workloads in die Cloud. Einige der Sicherheitsprobleme, die in einer Cloud auftreten können, sind:

  • Die manuellen Prozesse können mit der Skalierung oder Geschwindigkeit, mit der sich neue Bedrohungen aus einfachen Fehlkonfigurationen entwickeln, nicht Schritt halten
  • Der Mangel an Zentralisierung erschwert erheblich die Sichtbarkeit möglicher Fehlkonfigurationen
  • Der „Perimeter“ der Cloud ist verwischt, da Mitarbeiter von überall her auf die Cloud zugreifen

Wie funktioniert die Verwaltung der Cloud-Sicherheitslage?

Die Verwaltung der Cloud-Sicherheitslage stellt Ressourcen für Sicherheitsschwächen zur Verfügung, die sich aus der Konfiguration oder riskanten Aktivitäten von Anwendern und Nutzern ergeben. Nach der Erkennung können Vorschläge oder Unterstützung angeboten werden, um Korrekturmaßnahmen auf der Basis der Konfigurationen durchzuführen. Die Anforderungen der Richtlinien können auch für Gruppen von Ressourcen definiert werden, sodass die Richtlinien durchgesetzt und Verletzungen automatisch korrigiert und protokolliert werden. CSPM stellt die erforderlichen Tools zum Identifizieren, Analysieren und Beheben von Problemen bei definierten Mandanten und Compartments zur Verfügung. CSPM ermöglicht einen umfassenden Einblick in die Cloud-Infrastruktur eines Unternehmens. Diese Informationen ermöglichen durch folgende Angaben Sichtbarkeit:

  • Eine Zusammenfassung der Probleme über SaaS, IaaS und PaaS hinweg, um Risiken zu reduzieren und die Compliance zu gewährleisten
  • Sicherheits- und Risikobewertungen
  • Maßnahmenempfehlungen
  • Eine Karte, die anzeigt, von wo verdächtige Nutzeraktivitäten ausgehen

Jede Aktion oder Einstellung einer Ressource, die potenziell ein Sicherheitsrisiko verursachen könnte, ist ein Problem. Die Verwaltung der Cloud-Sicherheitslage unterstützt Sie beim Auffinden fehlkonfigurierter Ressourcen und unsicherer Aktivitäten über mehrere Mandanten hinweg, um Sicherheitsadministratoren die Sichtbarkeit zu bieten, um Cloud-Sicherheitsprobleme erkennen und beheben zu können.

 

Vorteile der Verwaltung der Cloud-Sicherheitslage

  • Kundenmandate schützen. Führen Sie eine Verwaltung der Cloud-Sicherheitslage mit einem globalen und zentralisierten Ansatz ein, um Public Cloud-Mandanten zu sichern.
  • Automatisieren Sie die Behebung von Sicherheitsproblemen. Automatisieren Sie die Behebung von Sicherheitsbedrohungen für einfache und komplexe Probleme mithilfe von Sicherheitsmethoden, durch die Sie die Ressourcen des Teams für die Sicherheitsoperationen optimieren können.
  • Erhalten Sie einen umfassenden Einblick in die Risikolage. Bewerten und beobachten Sie die Sicherheits- und Risikolage von Cloud-Mandanten über die Benutzerschnittstelle einer Konsole oder über Programmierschnittstellen wie Cloud-APIs, Befehlszeilen-Schnittstellen, Software Development Kits (SDK) und anderen.
  • Automatisieren Sie die Durchsetzung der Cloud-Sicherheitsrichtlinien. Vermeiden Sie Fehlkonfigurationen der Cloud-Sicherheit, indem Sie die Anforderungen einer Sicherheitsrichtlinie für kritische Unternehmensdaten vom ersten Tag an durchsetzen, und reduzieren Sie so Sicherheitsrisiken über den gesamten Cloud-Lebenszyklus.
  • Richten Sie eine Richtlinienbibliothek mit Best Practices für die Sicherheit ein. Eignen Sie sich Fachwissen zur Sicherheit an, um Compartments mithilfe eines integrierten Cloud-Sicherheitsservices zu schützen, und richten Sie eine Sicherheitsrichtlinien-Bibliothek ein, um Workloads zu konfigurieren und zu sichern.
  • Bereichsbasierte Sicherheit. Verlagern Sie die Verantwortlichkeit für die Sicherheit beim Gastbetriebssystem, bei Anwendungen und bei Datenschichten durch eine tiefgreifende Durchsetzung der Cloud-Sicherheit, die integriert wurde, um die Erfüllung von Sicherheitsauflagen zu gewährleisten.