Video: Cloud-Dienste: Sind die Daten in der Wolke wirklich sicher? | SUPER.MARKT (November 2024)
Das kommende Jahr verspricht ein beträchtliches Wachstum für Anbieter von öffentlichen Cloud-Diensten und Software-as-a-Service-Lösungen (SaaS). Zum einen bieten neue Technologien auf Foundation-Ebene, wie beispielsweise Microservice-Bereitstellungen und Blockchain, ungenutzte Möglichkeiten für Innovationen. Aber vielleicht noch wichtiger ist, dass einer der am häufigsten von CIO zitierten Cloud-Adoptionsblocker (nämlich Sicherheit und Datensicherheit) endlich in den Hintergrund tritt, insbesondere für Unternehmen und mittelständische Unternehmen.
Analysten sind sich zwar einig, dass die meisten Unternehmen - einschließlich der Unternehmens- und mittelständischen Segmente - heutzutage einige Cloud-Bereitstellungen in unterschiedlichem Maße haben, sie sind sich jedoch auch einig, dass größere Unternehmen große Workloads nur langsam in die Cloud verlagern, wobei der Hauptgrund die Cloud-Sicherheit und -Daten sind Sicherheit. Dies ist für diese Kunden nicht nur wichtig, weil diese Unternehmen ein enormes Datenvolumen migrieren würden, sondern auch, weil es für sie von entscheidender Bedeutung ist, strenge Compliance- und behördliche Prüfungen wie das Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) und ISO 27001 zu bestehen Geschäfte machen. Sicherheit ist für diese CIOs oberstes Gebot und war bis vor kurzem einfach nicht robust genug, um die Cloud in großem Maßstab zu übernehmen.
Laut Analystenprognosen für 2017 wird sich dies jedoch bald ändern. Die Cloud-Sicherheit hat im letzten halben Jahrzehnt einen sehr langen Weg zurückgelegt, und viele IT-Experten und CIOs scheinen dem zuzustimmen. Dies bedeutet, dass Analysten prognostizieren, dass die Cloud-Infrastruktur und -Dienstleistungen im Unternehmenssektor 2017 viel stärker in Anspruch genommen werden.
Ich führte ein E-Mail-Interview mit Brian Kelly, dem Chief Security Officer des bekannten Managed Cloud-Anbieters Rackspace, durch, um herauszufinden, was sich im kommenden Jahr an der Cloud-Sicherheit ändert, und um herauszufinden, ob er den Vorhersagen dieser Analysten zustimmt.
PCMag: Wie genau sieht Rackspace seine Rolle im Vergleich zu den IT-Mitarbeitern seiner Kunden in Bezug auf Datensicherheit und -sicherheit?
Brian Kelly (BK): Wir sehen direkte Beweise dafür, dass Kunden aus Sicherheitsgründen in die Cloud kommen, anstatt vor ihr davonzulaufen. Mit wenigen Ausnahmen verfügen Unternehmen einfach nicht über die Ressourcen und Fähigkeiten, um ihre Organisationen effektiv vor den komplexeren und beständigeren Bedrohungen zu schützen. In ähnlicher Weise erkennen Cloud-Anbieter an, dass die Zukunft unseres Geschäfts von der Bereitstellung von Vertrauen durch effektive Sicherheitspraktiken abhängt. Trotz der gestiegenen Investitionen von Cloud-Anbietern in die Sicherheit bleibt der Schutz von Unternehmensressourcen immer eine gemeinsame Verantwortung. Während der Cloud-Anbieter direkt für den Schutz von Einrichtungen, Rechenzentren, Netzwerken und virtuellen Infrastrukturen verantwortlich ist, sind Verbraucher auch für den Schutz von Betriebssystemen, Anwendungen, Daten, Zugriff und Anmeldeinformationen verantwortlich.
Forrester prägte den Begriff "ungleichmäßiger Händedruck" in Bezug auf diese geteilte Verantwortung. In mancher Hinsicht glauben die Verbraucher, dass sie die Last für die Sicherheit ihrer Daten tragen. Dies mag vor einigen Jahren der Fall gewesen sein; Wir sind jedoch Zeugen eines Ausgleichs des Handshakes. Das heißt, Cloud-Anbieter können und sollten mehr für die Verbraucher tun, um die Verantwortung für die Sicherheit zu teilen. Dies kann in der Form erfolgen, dass gehostete Workloads einfach besser sichtbar und transparenter werden, der Zugriff auf Steuerungsebenen ermöglicht wird oder verwaltete Sicherheitsdienste angeboten werden. Während die Sicherheitsverantwortlichkeiten eines Verbrauchers niemals aufhören, werden Cloud-Anbieter weiterhin mehr Verantwortung übernehmen und verwaltete Sicherheitsangebote mit Mehrwert bereitstellen, um das Vertrauen aufzubauen, das beide Seiten für einen sicheren Betrieb in der Cloud benötigen.
PCMag: Haben Sie Ratschläge für IT-Experten und Geschäftskunden, was sie zusätzlich zu den Leistungen eines Anbieters tun können, um ihre Cloud-basierten Daten selbst zu schützen?
BK: Sie müssen weiterhin bewährte Sicherheitsmethoden in ihren Enklaven implementieren. Sie müssen die Workloads in der Enklave verantwortungsbewusst segmentieren, um den Umfang der Kompromisse zu begrenzen, sicherstellen, dass die Workload-Umgebungen (Betriebssysteme, Container, virtuelle LANs) ordnungsgemäß gesichert und gepatcht sind, und die Erkennungs- und Reaktionstechnologien auf Endpunkt- und Netzwerkebene (IDS / IPS, Erkennung und Eindämmung von Malware) und aktive Verwaltung von Konten und Zugriffen. Kunden können diese Dienste und Technologien häufig in ihre Cloud-Nutzungsverträge aufnehmen. Andernfalls muss der Verbraucher sicherstellen, dass dies auf seiner Seite geschieht.
PCMag: Eine wichtige Frage, die wir von Lesern gestellt bekommen haben, ist die effektive Abwehr von massiven Internet-of-Things-Angriffen (IoT), ähnlich dem Vorfall im vergangenen Oktober, zu dem ein chinesischer IoT-Anbieter versehentlich einen großen Beitrag geleistet hat der Angriff. Funktionieren solche Angriffe mit Internet Service Providern (ISPs)? Und wie verhindern sie, dass ein Angriff auf einen Kunden alle Mitarbeiter einer Einrichtung aus dem Verkehr zieht?
BK: Das Hauptziel der DDoS-Abwehr ist die Aufrechterhaltung der Verfügbarkeit bei Angriffen. Die DDoS-Angriffsfunktionen von IoT sind allgemein bekannt und können durch die Implementierung bewährter Sicherheitsmethoden und den Einsatz intelligenter DDoS-Abwehrsysteme erfolgreich gemindert werden. Die größte Bedrohung ist nicht die Methode der Angriffe durch das Internet der Dinge, sondern die immense Anzahl an anfälligen internetfähigen Geräten. Netzwerke müssen gesperrt werden, um das Risiko von Bedrohungen im Internet zu begrenzen. Netzwerkbetreiber müssen alle möglichen Bedrohungen proaktiv erkennen und die effektivsten Techniken zu ihrer Abwehr kennen, während sie gleichzeitig in der Lage sind, den gesamten Netzwerkverkehr zu analysieren und zu klassifizieren.
Eine starke DDoS-Abwehrstrategie erfordert einen mehrschichtigen, defensiven Ansatz. Die große Anzahl an IoT-Geräten erschwert die Abwehr von IoT-Angriffen für kleine Netzwerke. Die Effektivität eines IoT-Angriffs liegt in seiner Flexibilität, verschiedene Angriffsvektoren zu generieren und massiven DDoS-Verkehr mit hohem Datenvolumen zu erzeugen. Selbst das am stärksten gehärtete Netzwerk kann schnell von dem enormen Verkehrsaufkommen überwältigt werden, das das Internet der Dinge in den Händen eines fähigen Angreifers erzeugen kann. Vorgelagerte ISPs sind häufig besser gerüstet und mit Personal ausgestattet, um diese groß angelegten Angriffe zu bewältigen, die kleine Netzwerkverbindungen schnell überlasten würden. Darüber hinaus stellen der Umfang des Netzwerkbetriebs und die Tools, die zur Abwehr solcher Angriffe erforderlich sind, eine effektive Erkennung und Reaktion für die meisten Organisationen außer Reichweite. Eine bessere Lösung ist die Auslagerung solcher Vorgänge an die vorgelagerten ISPs von Cloud-Anbietern, die bereits mit dieser Netzwerkgröße arbeiten.
Vorgelagerte ISPs haben viele Vorteile durch die robuste Vielfalt von Internet-Zugangspunkten, über die sie den Verkehr verlagern können. Darüber hinaus verfügen sie im Allgemeinen über ausreichend große Datenpipes, um anfangs viel DDoS-Verkehr zu absorbieren, während sich die Antwortaktivitäten für das Umleiten von Verkehr beschleunigen. "Upstream" ist ein guter Begriff, da er einer Reihe von Dämmen entlang eines Flusses ähnelt. Während einer Überschwemmung können Sie die Häuser stromabwärts schützen, indem Sie mit jedem Damm immer mehr Wasser in jedem vom Damm erzeugten See auffangen und den Durchfluss messen, um eine Überschwemmung stromabwärts zu verhindern. Bandbreite und Access Point Diversity für vorgelagerte ISPs bieten die gleiche Ausfallsicherheit. Sie haben auch Protokolle über die Internet-Community ausgehandelt, um den DDoS-Verkehr in die Nähe der Quellen zu lenken, die sie aktivieren können.
Wie bei anderen Aktivitäten zur Reaktion auf Vorfälle sind Planung, Vorbereitung und Übung von wesentlicher Bedeutung. Keine zwei Angriffe sind genau gleich, daher ist es entscheidend, Optionen und Umstände vorherzusehen, um sie dann zu planen und umzusetzen. Bei IoT-Angriffsszenarien umfasst dies das Durchsuchen Ihres Netzwerks nach anfälligen Geräten und das Ergreifen von Korrekturmaßnahmen. Sie sollten auch sicherstellen, dass Sie das Scannen nach anfälligen IoT-Geräten von außerhalb Ihres Netzwerks nicht zulassen. Implementieren Sie dazu eine strenge Zugriffskontrolle und Betriebssystemhärtung und entwickeln Sie Verfahren zum Patchen verschiedener Codeversionen, vernetzter Geräte und Anwendungen.
Klicken Sie auf das Bild für eine vollständige Infografik. Bildnachweis: Twistlock
PCMag: Eine weitere Frage, die uns die Leser stellen, betrifft die Containersicherheit. Machen Sie sich Sorgen um Container mit Waffen, die komplexe Angriffssysteme enthalten könnten, oder glauben Sie, die Architektur schützt vor solchen Exploits?
BK: Die Sicherheit bei jeder neu hervorgehobenen Technologie ist immer ein erhöhtes Anliegen - Container sind in diesem Aspekt nicht einzigartig. Wie bei vielen Sicherheitsherausforderungen gibt es jedoch Kompromisse. Es besteht zwar möglicherweise ein erhöhtes Risiko, wir sind jedoch auch der Ansicht, dass es wirksame Strategien zur Minderung der Risiken gibt, die wir kontrollieren können.
Ein Container ist im Wesentlichen eine äußerst vorübergehende und schlanke, virtualisierte Betriebssystemumgebung. Sind virtuelle Maschinen weniger sicher als separate physische Server? Sie sind in den meisten Fällen. Viele Unternehmen erkennen jedoch die Kostenvorteile der Virtualisierung (geringere Ausgaben, einfachere Verwaltung, einfache Wiederverwendung von Maschinen) und entscheiden sich dafür, diese zu nutzen und gleichzeitig so viele Risiken wie möglich zu minimieren. Intel erkannte sogar, dass sie helfen könnten, einige der Risiken selbst zu mindern, und daher kam Intel VT.
Container erhöhen die anfänglichen Kosteneinsparungen und die Flexibilität der Virtualisierung. Sie sind auch riskanter, da sich zwischen jedem Container und dem Host-Betriebssystem eine sehr dünne Wand befindet. Ich kenne keine Hardwareunterstützung für die Isolierung, daher ist es Sache des Kernels, alle auf dem Laufenden zu halten. Unternehmen müssen die Kosten- und Flexibilitätsvorteile dieser neuen Technologie zusammen mit diesen Risiken abwägen.
Linux-Experten sind besorgt, weil jeder Container den Kernel des Hosts gemeinsam nutzt, wodurch die Oberfläche für Exploits viel größer ist als bei herkömmlichen Virtualisierungstechnologien wie KVM und Xen. Es besteht also die Möglichkeit eines neuen Angriffs, bei dem ein Angreifer die Berechtigungen in einem Container hackt, um auf Bedingungen in einem anderen Container zuzugreifen oder diese zu beeinflussen.
Wir haben noch nicht viel im Bereich der containerinternen Sicherheitssensoren. Dieser Marktbereich muss meiner Meinung nach reifen. Darüber hinaus können Container die in CPUs integrierten Sicherheitsfunktionen (wie Intel VT) nicht verwenden, mit denen Code je nach Berechtigungsstufe in verschiedenen Ringen ausgeführt werden kann.
Letztendlich gibt es unzählige Exploits für physische Server, virtuelle Maschinen und Container. Immer wieder tauchen neue auf. Auch Luftspaltmaschinen werden ausgenutzt. IT-Experten sollten sich über Sicherheitsrisiken auf allen diesen Ebenen Gedanken machen. Ein Großteil der Schutzmechanismen ist für alle diese Bereitstellungstypen gleich, jedoch muss für jeden ein zusätzlicher Schutzmechanismus angewendet werden.
Der Hosting-Anbieter muss Linux-Sicherheitsmodule (wie SELinux oder AppArmor) verwenden, um Container zu isolieren, und dieses System muss genau überwacht werden. Es ist auch wichtig, den Host-Kernel auf dem neuesten Stand zu halten, um lokale Eskalations-Exploits zu vermeiden. Die UID-Isolierung (Unique ID) hilft auch, da verhindert wird, dass ein Root-Benutzer im Container tatsächlich Root auf dem Host ist.
PCMag: Ein Grund, warum PCMag.com keinen umfassenden Vergleich von Managed Security Service Providern (MSSPs) durchgeführt hat, ist, dass in der Branche Unklarheiten darüber bestehen, was genau dieser Begriff bedeutet und was diese Anbieterklasse liefern kann und sollte. Können Sie den verwalteten Sicherheitsdienst von Rackspace unterbrechen? Was macht es, wie unterscheidet es sich von anderen Anbietern und wo sehen Sie es, damit die Leser eine gute Vorstellung davon bekommen, wofür sie sich anmelden, wenn sie einen solchen Dienst in Anspruch nehmen?
BK: MSSPs müssen akzeptieren, dass die Sicherheit nicht funktioniert hat, und ihre Strategie und Abläufe anpassen, um in der heutigen Bedrohungslandschaft, die komplexere und beständigere Gegner enthält, effektiver zu sein. Bei Rackspace haben wir diese Bedrohungsänderung erkannt und neue Funktionen entwickelt, um sie zu mindern. Rackspace Managed Security ist ein fortschrittlicher Erkennungs- und Antwortvorgang, der rund um die Uhr verfügbar ist. Es wurde nicht nur entwickelt, um Unternehmen vor Angriffen zu schützen, sondern auch, um die Auswirkungen auf das Geschäft bei Angriffen zu minimieren, selbst nachdem eine Umgebung erfolgreich gehackt wurde.
Um dies zu erreichen, haben wir unsere Strategie auf drei Arten angepasst:
Wir konzentrieren uns auf die Daten, nicht auf den Umfang. Um effektiv auf Angriffe reagieren zu können, muss das Ziel darin bestehen, die Auswirkungen auf das Geschäft zu minimieren. Dies erfordert ein umfassendes Verständnis der Geschäftstätigkeit des Unternehmens und des Kontexts der Daten und Systeme, die wir schützen. Nur dann können wir verstehen, wie normal aussieht, einen Angriff verstehen und auf eine Weise reagieren, die die Auswirkungen auf das Unternehmen minimiert.
Wir gehen davon aus, dass Angreifer Zugang zum Netzwerk erhalten haben, und setzen hochqualifizierte Analysten ein, um nach ihnen zu suchen. Im Netzwerk angekommen, sind Angriffe für Tools nur schwer zu identifizieren, da fortgeschrittene Angreifer für Sicherheitstools wie Administratoren aussehen, die normale Geschäftsfunktionen ausführen. Unsere Analysten suchen aktiv nach Aktivitätsmustern, die von Tools nicht erkannt werden können. Diese Muster sind die Spuren, die uns zum Angreifer führen.
Zu wissen, dass Sie angegriffen werden, reicht nicht aus. Es ist wichtig, auf Angriffe zu reagieren, wenn sie auftreten. Unser Customer Security Operations Center verwendet ein Portfolio von "vorab genehmigten Aktionen", um auf Angriffe zu reagieren, sobald sie angezeigt werden. Hierbei handelt es sich im Wesentlichen um Laufbücher, die wir getestet haben, um Angriffe erfolgreich zu behandeln, wenn sie auftreten. Unsere Kunden sehen diese Laufbücher und lassen sie von unseren Analysten während des Onboarding-Prozesses ausführen. Aus diesem Grund sind Analysten keine passiven Beobachter mehr. Sie können einen Angreifer aktiv abschalten, sobald er erkannt wird, und zwar häufig, bevor die Persistenz erreicht ist und bevor das Geschäft beeinträchtigt wird. Diese Möglichkeit, auf Angriffe zu reagieren, gibt es nur bei Rackspace, da wir auch die Infrastruktur verwalten, die wir für unsere Kunden schützen.
Darüber hinaus stellen wir fest, dass Compliance ein Nebenprodukt der gut gemachten Sicherheit ist. Wir verfügen über ein Team, das auf der Konsequenz und den Best Practices basiert, die wir im Rahmen des Sicherheitsvorgangs implementieren, indem es die Compliance-Anforderungen nachweist und darüber berichtet, die wir unseren Kunden helfen, zu erfüllen.
PCMag: Rackspace ist ein großer Befürworter, in der Tat ein anerkannter Gründer von OpenStack. Einige unserer IT-Leser haben gefragt, ob die Sicherheitsentwicklung für eine solche offene Plattform tatsächlich langsamer und weniger effektiv ist als die eines geschlossenen Systems wie Amazon Web Services (AWS) oder Microsoft Azure, da das Dilemma "zu viele Köche" als problematisch empfunden wird viele große Open-Source-Projekte. Wie reagierst du darauf?
BK: Mit Open-Source-Software werden "Bugs" in der Open Community gefunden und in der Open Community behoben. Es gibt keine Möglichkeit, das Ausmaß oder die Auswirkungen des Sicherheitsproblems zu verbergen. Mit proprietärer Software sind Sie dem Softwareanbieter zur Behebung von Schwachstellen ausgeliefert. Was ist, wenn sie sechs Monate lang nichts gegen eine Sicherheitslücke unternehmen? Was ist, wenn sie einen Bericht eines Forschers verpassen? Wir betrachten all diese "zu vielen Köche", die Sie als einen riesigen Software-Sicherheitsfaktor bezeichnen. Hunderte kluger Ingenieure schauen sich oft jeden Teil eines Open-Source-Pakets wie OpenStack an, was es wirklich schwierig macht, dass Fehler durch die Risse rutschen. Die Erörterung des Mangels und die Bewertung von Reparaturmöglichkeiten erfolgen offen. Private Softwarepakete können niemals eine solche Analyse auf Codeebene erhalten, und die Korrekturen werden niemals eine so offene Prüfung erhalten.
Open-Source-Software ermöglicht auch Minderungen außerhalb des Software-Stacks. Wenn beispielsweise ein OpenStack-Sicherheitsproblem auftritt, ein Cloud-Anbieter die Sicherheitsanfälligkeit jedoch nicht sofort aktualisieren oder patchen kann, können andere Änderungen vorgenommen werden. Die Funktion könnte vorübergehend deaktiviert werden oder Benutzer könnten daran gehindert werden, sie über Richtliniendateien zu verwenden. Der Angriff könnte effektiv abgeschwächt werden, bis eine langfristige Korrektur angewendet wird. Closed-Source-Software lässt dies oft nicht zu, da es schwierig ist zu erkennen, was gemindert werden muss.
Außerdem verbreiten Open-Source-Communities das Wissen über diese Sicherheitslücken schnell. Die Frage "Wie verhindern wir, dass dies später geschieht?" wird schnell gefragt und die Beratung erfolgt gemeinsam und offen.
PCMag: Lassen Sie uns bei der ursprünglichen Frage für dieses Interview abschließen: Stimmen Sie den Analysten zu, dass 2017 ein "Durchbruch" in Bezug auf die Einführung von Clouds in Unternehmen sein wird, hauptsächlich oder zumindest teilweise aufgrund der Akzeptanz der Sicherheit von Cloud-Anbietern in Unternehmen?
BK: Lassen Sie uns einen Moment zurücktreten, um die verschiedenen Cloud-Umgebungen zu diskutieren. Die meisten Ihrer Fragen beziehen sich auf den öffentlichen Cloud-Markt. Wie ich oben erwähnt habe, haben Forrester-Forscher den "ungleichmäßigen Handschlag" zwischen Cloud-Anbietern und Verbrauchern festgestellt, indem die Cloud-Anbieter eine Reihe von Diensten bereitstellen. Cloud-Verbraucher gehen jedoch häufig davon aus, dass sie in Bezug auf Sicherheit, Sicherung und Ausfallsicherheit viel mehr erhalten. usw. Ich habe mich seit meinem Beitritt zu Rackspace dafür ausgesprochen, dass Cloud-Anbieter diesen Handschlag ausgleichen müssen, indem sie für unsere Kunden transparenter sind. Nirgendwo ist der Handschlag auch heute noch geringer als in öffentlichen Cloud-Umgebungen.
Private Cloud-Umgebungen, insbesondere solche, die beim Kunden implementiert sind, leiden jedoch weniger unter solchen Illusionen. Die Verbraucher sind sich viel klarer darüber, was sie kaufen und was die Anbieter ihnen geben. Da die Verbraucher die Erwartungen an den Kaufprozess geweckt haben und Cloud-Anbieter unsere Spiele verstärkt haben, um umfassendere Services und mehr Transparenz zu bieten, sinken die emotionalen und risikobezogenen Hindernisse für die Verlagerung von Workloads von einem traditionellen Rechenzentrum in eine öffentliche Cloud-Umgebung rapide.
Ich glaube jedoch nicht, dass dies 2017 zu einem Ansturm auf die Cloud führen wird. Die Verlagerung von Workloads und ganzen Rechenzentren erfordert erhebliche Planungs- und Organisationsänderungen. Dies unterscheidet sich erheblich von der Aktualisierung der Hardware in einem Rechenzentrum. Ich ermutige Ihre Leser, den Netflix-Übergang zu studieren. Sie haben ihr Geschäft verändert, indem sie in die Cloud gewechselt sind, aber es hat sieben Jahre harte Arbeit gekostet. Zum einen haben sie die meisten ihrer Apps überarbeitet und neu geschrieben, um sie effizienter und besser an die Cloud anzupassen.
Wir sehen auch, dass viele Verbraucher private Clouds in ihren Rechenzentren einsetzen, die eine hybride Cloud-Architektur als Ausgangspunkt verwenden. Diese scheinen sich zu beschleunigen. Ich glaube, dass die Adoptionskurve 2017 einen Anstieg verzeichnen könnte, aber es wird einige Jahre dauern, bis sich die Schwellung wirklich aufbaut.
