Sicherheitsherausforderungen in Hybrid- und Multi-Cloud-Umgebungen

von am Kein Kommentar

Sicherheitsherausforderungen in Hybrid- und Multi-Cloud-Umgebungen

Der Aufstieg von hybriden Arbeitsmodellen und Multi-Cloud-Infrastrukturen bringen traditionelle IT-Sicherheitsmodelle an ihre Grenzen. Mitarbeiter greifen heute von überall aus auf Unternehmensanwendungen zu, oft außerhalb des Firmennetzwerks, und Daten befinden sich in lokalen Rechenzentren und mehreren Clouds. In solchen Umgebungen sind Perimeter basierte Abwehrmaßnahmen nicht mehr ausreichend. Tatsächlich kämpfen klassische VPN- und Firewall-zentrierte Modelle damit, das verteilte Personal und die hybriden IT-Umgebungen ausreichend zu schützen. Angreifer nutzen VPN-Schwachstellen und gestohlene Anmeldedaten aus, um sich lateral durch Firmennetzwerke zu bewegen. Und ungesicherte Heim- oder öffentliche Netzwerke bergen neue Risiken. Deshalb müssen Organisationen sicherstellen, dass jede Ebene gesichert und verifiziert ist, von den Endgeräten der Benutzer bis hin zu Anwendungen und Daten.

Moderne Sicherheitsframeworks legen Wert auf eine Mentalität des „Niemals vertrauen, immer überprüfen“, bekannt als Zero Trust Architektur (ZTA). Anstatt Geräten oder Netzwerkstandorten implizit zu vertrauen, erfordert Zero Trust eine kontinuierliche Authentifizierung, Autorisierung und Validierung des Kontexts für jeden Benutzer und jede Sitzung. Dieser Ansatz passt gut zu hybriden und Multi-Cloud-Umgebungen, in denen Ressourcen verteilt sind und traditionelle Netzwerkgrenzen verschwimmen. Ende-zu-Ende-Sicherheit auf Basis von Zero-Trust-Prinzipien bedeutet, dass jede Zugriffsanfrage als potenziell feindlich eingestuft wird, bis das Gegenteil bewiesen ist. Die Aufgabe besteht darin, diese Prinzipien auf praktische und benutzerfreundliche Weise umzusetzen, ohne die Produktivität zu beeinträchtigen.

Ende-zu-Ende-Sicherheitsprinzipien und der Zero-Trust-Ansatz

Um durchgängige Sicherheit in einer modernen IT-Umgebung zu erreichen, müssen mehrere Grundprinzipien beachtet werden. An erster Stelle steht ein umfassendes Identitäts- und Zugriffsmanagement, bei dem durch starke Authentifizierung und strenge Zugriffskontrollen bestätigt wird, dass das Individuum oder Gerät, welches den Zugriff beantragt, auch wirklich das ist, für das es sich ausgibt.

An zweiter Stelle steht der Zugriff mit geringsten Rechten. Benutzer erhalten nur das absolute Minimum an Zugriffsrechten, die ausreichen, um die Aufgaben zu erledigen (beispielsweise kann ein Mitarbeiter eine bestimmte Anwendung nutzen, aber auf nichts Anderes auf dem Server).

Der dritte Punkt ist Verschlüsselung und Sitzungssicherheit, um Daten während der Übertragung zu schützen und das Abhören oder Manipulieren von Remote-Sitzungen zu verhindern.

Abschließend ist die kontinuierliche Überwachung und Prüfung von Sitzungen relevant, um verdächtige Aktivitäten zu erkennen und forensische Analysen aufzuzeichnen.

Diese Prinzipien sind im Zero-Trust-Modell verankert, das sich zur bevorzugten Strategie für End-to-End-Cybersicherheit entwickelt hat. Sie behandelt das Netzwerk standardmäßig als feindlich; kein Benutzer und Gerät ist vertrauenswürdig, deshalb wird bei jedem Schritt eine strenge Überprüfung erzwungen. Selbst wenn sich ein Benutzer innerhalb des Unternehmensnetzwerks befindet, muss er sich beispielsweise für jede Ressource, auf die er zugreifen möchte, authentifizieren und autorisieren lassen. Ebenso genügt es nicht mehr, sich einfach über ein VPN zu verbinden – das System sollte kontinuierlich die Legitimität des Benutzers sicherstellen und Richtlinien wie Gerätesicherheit oder zeitliche Beschränkungen durchsetzen.

Zero Trust Network Access (ZTNA)

Ein Eckpfeiler eines Sicherheitsmodells ist die Implementierung von Zero Trust Network Access (ZTNA). Herkömmliche VPNs verbinden das Gerät eines Benutzers mit einem Unternehmensnetzwerk, wodurch große Teile des Netzwerks potenziell gefährdet sind, wenn dieses Gerät kompromittiert wird.

Um Nutzern niemals einen direkten Zugang zu ermöglichen, fungiert die Plattform als Vermittler, der nur authentifizierten Anwendern den Zugriff auf spezifische Apps oder Desktops gewährt, für die sie autorisiert sind.

Eine agentenbasierte Architektur vermeidet, dass interne Netzwerkports offengelegt werden. Im Zielnetzwerk (wo sich die Anwendung oder der Desktop befindet) initiiert ein kleiner Agent nur ausgehende Verbindungen zum Gateway oder Broker. Das bedeutet, dass von außen keine offenen, eingehenden Ports und keine öffentlichen IP-Adressen vorhanden sind, die direkt auf interne Ressourcen verweisen.

Unternehmensfirewalls müssen nicht für eingehenden Datenverkehr geöffnet werden, denn der Agent erreicht das Cloud-Gateway über eine ausgehende TLS-Verbindung, und alle Benutzersitzungen werden über diesen sicheren Kanal getunnelt. Da keine Offenlegung von RDP-, SSH-, VNC- oder anderen Protokollports nach außen erfolgt, gibt es auch kein Risiko von Port-Scans, Brute-Force-Angriffen und Exploits. Die gesamte Kommunikation wird mit starkem TLS verschlüsselt, und die Protokolldetails werden gekapselt, sodass Angreifer nicht einmal erkennen können, welche Protokolle möglicherweise verwendet werden.

Dieser ZTNA-Ansatz minimiert von Natur aus die Angriffsfläche. Eine unbefugte Person, die das Unternehmensnetzwerk von außen scannt, würde keinen Hinweis darauf finden, dass Remote-Desktop-Dienste überhaupt existieren, da keine offensichtlichen Lücken gezeigt werden.

Nur authentifizierte, autorisierte Benutzer können Sitzungen initiieren und erhalten dynamisch Zugriff auf ihre spezifischen Ressourcen, aber nicht mehr. Wird das Konto eines Benutzers gesperrt oder läuft sein Sitzungszeitfenster ab, dann verschwindet der Zugriff automatisch.

In der Praxis bedeutet eine solche ZTNA-Umsetzung, dass Unternehmen riskante VPN-Endpunkte ausmustern können. Es ist nicht erforderlich, Server in einer DMZ zu platzieren oder ihnen öffentliche IP-Adressen zuzuweisen, auf die über das Internet zugegriffen werden kann. Die interne Architektur bleibt abgeschirmt, und die Access-Lösung übernimmt die sichere Überbrückung von Sitzungen von außen nach innen. Dies verbessert nicht nur die Sicherheit, sondern vereinfacht auch die Netzwerkkonfiguration (keine komplexen VPN-Client-Einrichtungen oder Netzwerk-Routing-Probleme).

Eine Fernzugriffsplattform, die nach den hier beschriebenen Prinzipien entwickelt wurde, ist beispielsweise Thinfinity Workspace von Cybele Software. Sie bietet eine sichere, cloudfähige Virtual Desktop Infrastructure (VDI) und Anwendungsbereitstellung, die jede Sicherheitsebene – vom Netzwerkzugriff über die Identitätsprüfung bis hin zum Sitzungsschutz und zur Überwachung – abdeckt.

Mehr auf: https://www.giritech.de/…

Giritech unterstützt Unternehmen, Bildungsorganisationen, Einrichtungen im Gesundheitswesen/Healthcare und öffentliche Auftraggeber bei der Umsetzung einer durchgängigen Enterprise Mobility- und Security-Strategie. Als Distributor für Hersteller wie Cybele Software, Soliton Systems, WiseMo A/S und Faronics Corp., verfügt Giritech über die notwendige Erfahrung bei der Implementierung vor Ort und remote, leistet Pre- und After-Sales-Support und betreut Endkunden, Reseller und MSPs bei der Auswahl der geeigneten Produkte für spezifische Umgebungen. Das Portfolio umfasst hoch skalierbare, nutzerfreundliche Mobilty- und Zero-Trust-Access-Lösungen (On-Premises und Cloud), die maximale Flexibilität sowie hohe Investitionssicherheit bei niedrigen Lizenz- und Infrastrukturkosten bieten.

Sicherheitsherausforderungen in Hybrid- und Multi-Cloud-Umgebungen hinzugefügt von am
Alle Beiträge von Redaktion →

verwandte Themen:

Cloudflare steigt in den Markt der Multi-Cloud-Netzwerke ein: Einfache und sichere Multi-Cloud-Umgebungen für Unternehmen
Einführung von Magic Cloud Networking nachÜbernahme der Multi-Cloud-Anbindungstechnologie von Nefeli...

Nutanix stellt fortschrittliche Datenmanagementplattform für Hybrid- und Multi-Cloud-Umgebungen vor
Nutanix, Spezialist für Hybrid- und Multi-Cloud-Computing, hat die erste Cloud-agnostische Lösung für das Management multipler Datenbanken freigegeben. Era 2.0, die neue Version der Nutanix-Lösung für Datenbankmanagement, lässt sich jetzt Cloud- und Cluster-übergreifend bereitstellen. IT- und Datenbankteams profitieren von einem vereinfachten Betrieb, höherer Skalierung und reduzierten Kosten. Zudem hat Nutanix die Unterstützung der Lösung für weitere […]...

Nutanix Cloud Platformüberwindet Silos im Hybrid-Multi-Cloud-Betrieb
Version 6 des Betriebssystems AOS und Neuerungen in den Bereichen Virtual Networking, Sicherheit und Business Continuity sowie Disaster Recovery (BCDR)...

Qualys bietet neuen kostenfreien Dienst / Der Cloud-Dienst Global IT Asset Discovery and Inventory bietet Sicht auf lokale Systeme Multi-Cloud(s), Container, OT- und IoT-Umgebungen
Qualys, Inc. (NASDAQ: QLYS), Pionier und führender Anbieter für cloudbasierte Sicherheits- und Compliance-Lösungen, stellt jetzt allen Unternehmen kostenlos die Anwendung Global IT Asset Discovery and Inventory zur Verfügung. In einer Welt, in der vernetzte Geräte wie Pilze aus dem Boden schießen, bietet der Dienst die dringend benötigte Ãœbersicht über Geräte und IT-Umgebungen. „Als Autorität für […]...

Studie: Multi-Cloud-Umgebungen überfordern herkömmliche Ansätze für Infrastruktur-Monitoring im Einzelhandel
Teams verbringen 42% ihrer Zeit damit, die IT-Umgebung am Laufen zu halten - diese Zeit fehlt für die Bereitstellung umfassender Omnichannel-Angebote...