peshkov - stock.adobe.com

Vorteile der Mikrosegmentierung in der Cloud

Die Abgrenzung unterschiedlicher Workloads voneinander ist die Basis sicherer Cloud-Umgebungen. Im Vergleich zu traditionellen Strukturen sind dabei aber einige Punkte zu beachten.

Mikrosegmentierung ist eine relativ junge Sicherheitsstrategie für Cloud-Umgebungen. Mit ihr lassen sich Richtlinien auf die verschiedenen Cloud-Instanzen, Workloads und virtuellen Maschinen verteilen und insbesondere beim Zusammenspiel der unterschiedlichen Komponenten miteinander einsetzen.

In traditionellen Datacentern wird dieses Ziel in der Regel mit Hilfe von speziellen Tools erreicht, die auf der Hypervisor-Backplane funktionieren. Sie steuern und kontrollieren, wie die virtuellen Maschinen miteinander kommunizieren dürfen. In Cloud-Umgebungen gibt es dazu aber mehrere Unterschiede, die für eine Entwicklung der so genannten Mikrosegmentierung gesorgt haben.

So haben Cloud-Kunden keine Kontrolle über die Hypervisor-Ebene des eingesetzten Computing-Stacks. Das verhindert, das In-House nutzbare Segmentierungsmodelle wie zum Beispiel VMware NSX und Cisco ACI transparent genutzt werden können. Die Hersteller arbeiten aber bereits mit Partnern daran, ihre Produkte an hybride Cloud-Umgebungen anzupassen. Noch befinden sich diese Lösungen jedoch in einem sehr frühen Entwicklungsstadium.

Cloud-basierte Werkzeuge und Kontrollmechanismen zur Mikrosegmentierung haben deswegen bislang meist nur relativ wenige Funktionen und ermöglichen deshalb auch nicht denselben Grad an Kontrolle, der mit in anderen Umgebungen genutzten Tools möglich ist. Auf der positiven Seite ist immerhin zu vermerken, dass auch der operative Overhead und die Managementanforderungen deutlich geringer sind.

Mikrosegmentierung in der Cloud erfolgt rein Software-basiert. Das heißt, dass dafür keinerlei Hardware-Kenntnisse benötigt oder vorausgesetzt werden. Die Cloud-Anbieter können den gesamten Layer vor ihren Kunden verbergen. Die gesamte Mikrosegmentierung lässt sich komplett auf Software-Basis erledigen, so dass alle Konfigurationsänderungen an den Assets und Workloads darüber erfolgen können.

Vor- und Nachteile der Mikrosegmentierung

Cloud-basierte Mikrosegmentierung hat viele Vorteile. Das liegt unter anderem daran, dass es sich hierbei häufig um die einzige Cloud-basierte Firewall und Abgrenzungstechnik handelt, die viele Cloud-Provider derzeit im Portfolio haben. Der Aufwand, sich damit zu beschäftigen, lohnt sich also. Zudem arbeitet sie dank ihrer APIs in der Regel gut mit anderen in der Cloud genutzten Tools und Funktionen zusammen.

Zweitens kann Mikrosegmentierung in der Cloud genutzt werden, um eine bessere Performance für bestimmte Workloads zu erhalten. Das hat eine große Bedeutung, da eine höhere Performance in einer Cloud-Umgebung meist auch für höhere Kosten sorgt.

Drittens bleiben Einstellungen der Mikrosegmentierung auch dann erhalten, wenn Workloads und Assets migriert werden sollen. Jedes Asset behält also die einmal getroffenen Richtlinien. In traditionellen Umgebungen ist dies normalerweise nicht der Fall.

Auf der anderen Seite gibt es aber auch einige Risiken und Probleme, die mit der Mikrosegmentierung zusammenhängen. So ist es eine noch recht junge Technologie, mit der die meisten Security-Teams noch nicht vertraut sind. Sie ist zwar leicht zu erlernen, das erfordert aber trotzdem Zeit und Aufwand, die in der Regel bereits ausgelastete Sicherheitsspezialisten oft nicht haben.

Dazu kommt, dass Anforderungen zum Management und dem Überwachen der neuen Policies sich in vielen Fällen deutlich von bislang eingesetzten und bewährten Methoden wie Firewalls, Switches und Routern zur Absicherung und Segmentierung von Netzen unterscheiden. Außerdem müssen sich die Security-Mitarbeiter und Netzwerk-Admins mit den Interfaces der Cloud-Anbieter und ihren Management-Werkzeugen beschäftigen.

Zu guter Letzt ist auch das Alarm- und Event-Management komplett anders als bislang genutzte Systeme. Beispielsweise können Security-Group-Events bei AWS (Amazon Web Services) an AWS CloudTrail gesendet werden, um sie dort zu speichern. Aber was dann? Wie lassen sich diese Daten mit den bisher genutzten Systemen verbinden, um zum Beispiel automatisch auf gerade geblockten Traffic oder offensichtliche Angriffe hingewiesen zu werden?

Fazit

Damit Mikrosegmentierung in der Cloud effektiv eingesetzt werden kann, muss es zu einer engen Zusammenarbeit zwischen Cloud-Architektur- und Deployment-Teams sowie den DevOps-Spezialisten kommen. Die Experten für Security-Architekturen und für den Betrieb der Infrastrukturen müssen die Segmentierungsrichtlinien gemeinsam entwickeln, implementieren und überwachen. Die Automatisierung dieser Prozesse mag erheblich leichter sein als bisher In-House genutzte Werkzeuge. Das ändert aber nichts daran, dass die Sicherheitsteams bereits zu einem frühen Zeitpunkt mit in das Design und Deployment dieser Prozesse integriert werden sollten.

Darüber hinaus müssen alle Workloads kontinuierlich auf die korrekte Anwendung der getroffenen Richtlinien überwacht werden. Dabei darf auch das Management der auftretenden Ereignisse nicht vernachlässigt werden. Glücklicherweise verfügen die meisten Mikrosegmentierungslösungen für die Cloud über einige Optionen, um sicherheitsrelevante Events zu registrieren und aufzuzeichnen. Das erleichtert den Sicherheitsspezialisten die Arbeit dann erheblich.

Die Software-definierte Mikrosegmentierung wird aller Voraussicht nach auch in Zukunft als Basis für den Schutz der einzelnen Workloads in Cloud-Umgebungen dienen. Es ist deswegen kaum zu vermeiden, dass sich Security-Teams mit dieser Thematik beschäftigen und sich Kenntnisse darüber aneignen müssen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit Logfiles aus Cloud-Umgebungen richtig verfahren

Unternehmensdaten schützen und die Cloud-Sicherheit verbessern

Kostenloses E-Handbook: Ratgeber Cloud-Sicherheit

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über SaaS-Sicherheit: Cloud-Services und -Systeme

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close