Executive View

Orca Cloud Security Platform

Unzureichend verwaltete Sicherheitskontrollen innerhalb der Ressourcen eines Mandanten von Cloud-Diensten sind zunehmend die Ursache von Sicherheitsvorfällen und Compliance-verletzungen. Die dynamische Infrastruktur und die Entwicklungsmethoden von heute erfordern einen dynamischen Ansatz für die Cybersicherheit. In diesem Report wird die Cloud Security Platform von Orca vorgestellt, die die zum Patent angemeldete SideScanning™-Technologie von Orca nutzt, um eine vollständige Transparenz der Cyberrisiken und der Compliance in der dynamischen Cloud-Umgebung eines Unternehmens zu gewährleisten, ohne dass Agenten erforderlich sind.

Mike Small

sm@kuppingercole.com

1 Einleitung

Die leichte Verfügbarkeit von Cloud-Diensten hat eine Möglichkeit geschaffen, neue Anwendungen und Dienste auf eine Art und Weise zu entwickeln und bereitzustellen, die flexibler, reaktionsschneller und kostengünstiger ist als herkömmliche Ansätze. Ermöglicht wird dies durch die dynamische Just-in-Time-Natur der von diesen Diensten bereitgestellten virtuellen Infrastruktur in Verbindung mit dem schnellen DevOps-Ansatz auf der Grundlage von Containern und Mikrodiensten. Diese dynamische virtuelle Infrastruktur bringt jedoch Herausforderungen für die Sicherheit mit sich. Der herkömmliche Ansatz für die IT-Sicherheit geht von einer vergleichsweise statischen Umgebung aus, was für die Anforderungen der heutigen dynamischen Infrastruktur und Entwicklungsmethoden suboptimal ist. Eine dynamische Just-in-Time-Infrastruktur und -Entwicklung erfordert einen dynamischen Just-in-Time-Ansatz für die IT-Sicherheit.

Als IT-Dienste noch direkt von den eigenen physischen Geräten aus erbracht wurden, bedeuteten die Beschaffungskosten, Prozesse und Verzögerungen, dass Veränderungen nur langsam vonstatten gingen und Innovationen nur schwer möglich waren. IT-Sicherheitstools und -ansätze wurden entwickelt, um die mit dieser statischen Umgebung verbundenen Sicherheitsrisiken zu bewältigen. Kontrollen konnten nach der Installation von Geräten durchgeführt werden, und der IT-Bestand konnte in einer Configuration Management Database (CMDB) genau katalogisiert werden. Da Änderungen in hohem Maße verwaltet wurden, waren die Risiken relativ statisch, und manuelle oder teilweise automatisierte Sicherheitsmanagementprozesse waren ausreichend. So konnten beispielsweise durch wöchentliches Scannen alle neu entdeckten Schwachstellen und Identitäten gefunden und behoben werden, und für die Verwaltung der Zugriffsberechtigungen waren manuelle Prozesse ausreichend.

Dies ist nicht mehr der Fall, wenn Dienste genutzt werden, bei denen die Infrastruktur virtuell ist und neue Ressourcen dynamisch erstellt und vernichtet werden, sobald sie benötigt werden. Der Bestand dieser virtuellen Ressourcen ist nicht fest, sondern ändert sich ständig mit der schwankenden Nachfrage und der Bereitstellung von Anwendungen. In dieser dynamischen Umgebung bestehen alle bekannten Risiken, wie z. B. ungepatchte Sicherheitslücken weiter, aber es existieren auch neue Risiken. Diese neuen Risiken ergeben sich aus den neuen Arten von Diensten, die die Cloud anbietet, wie z. B. das serverlose Computing, sowie aus der Fehlkonfiguration der verwendeten Komponenten der Cloud-Dienste durch den Benutzer.

Ein besonderer Bereich, der Anlass zur Sorge gibt, ist der Bereich DevOps. Der traditionelle Ansatz für die Bereitstellung neuer Anwendungen beinhaltete eine Risikobewertung, gefolgt von Sicherheitskontrollen, die vor der Bereitstellung implementiert wurden. Die Flexibilität, die DevOps bietet, macht es jetzt jedoch einfach, neuen Code schnell und ohne strenge Kontrollen bereitzustellen. In dem Wettlauf um die Bereitstellung von Funktionen wird die Sicherheit oft zweitrangig. Dies kann dazu führen, dass allgemeine Schwachstellen im Code und in der Systemkonfiguration verbleiben, die dann von Cyber-Angreifern ausgenutzt werden können. Darüber hinaus verfügen die Komponenten der virtuellen Infrastruktur in dieser dynamischen Umgebung über Privilegien, und wo diese zu umfassend sind, gibt es zusätzliche Schwachstellen, die ausgenutzt werden können. Es ist wichtig, dass Cybersicherheitstools in moderne Entwicklungsumgebungen integriert werden, um sicherzustellen, dass Sicherheits- und Compliance-Richtlinien während der Anwendungsentwicklung und -bereitstellung umgesetzt werden, ohne DevOps zu verlangsamen.

Ein Bereich, der oft vergessen wird, ist die Notfallwiederherstellung für Cloud-Dienste. Während der CSP (Cloud Security Provider) für die Kontinuität seiner Dienste verantwortlich ist, ist der Cloud-Mieter für die Sicherung seiner Daten und Anwendungen zuständig. Dies ist nicht nur zum Schutz vor bösartigen Angriffen, sondern auch zum Schutz vor Fehlern erforderlich. Ob kritische Anwendungsdaten durch Ransomware oder aus Versehen gelöscht werden, liegt nicht in der Verantwortung des CSP. Es sollten Backup-Richtlinien für Cloud-Assets festgelegt und durchgesetzt werden.

Eine dynamische Just-in-Time-IT benötigt ein dynamisches Just-in-Time-Cybersicherheitsmanagement. Es sollte in der Lage sein, Sicherheitskontrollen zu implementieren, wenn neue Ressourcen hinzugefügt werden, ohne die IT-Ressourcen zu belasten. Zu diesem Zweck sollte die Plattform neue Ressourcen automatisch überwachen und katalogisieren. Sie sollte präskriptive Kontrollen durch Richtlinien unterstützen, die sicherstellen, dass die Sicherheitsattribute von Ressourcen bei deren Erstellung angewendet werden. Zudem sollte sie auch aufdeckende Kontrollen unterstützen, ohne dass manuelle Eingriffe, wie die Installation oder Konfiguration von Agenten erforderlich seien.

Continue reading...
Read the full report and get access to KuppingerCole Research for 4 weeks.
Start Your Free Trial
Already a subscriber? Click here to login.