Security Fails – Top 7

Wie Cloud-App-Migration nicht geht

18.01.2021

David schreibt unter anderem für unsere US-Schwesterpublikationen CSO Online, Network World und Computerworld.

Während Schlüssel-Apps wegen Remote Work in die Cloud wandern, entstehen neue Möglichkeiten für kriminelle Hacker. Diese sieben Fehler sollten Sie vermeiden.

Cloud-Migration ohne zeitgemäße Security-Maßnahmen? Keine gute Idee.
Foto: Moiseenko Liubov - shutterstock.com

Applikationen auf Cloud-Basis erfreuen sich Pandemie-bedingt immer größerer Beliebtheit - dem Remote Work Shift sei Dank. Oder eher nicht: Eine Menlo-Umfrage unter 200 IT-Managern hat zu Tage gefördert, dass diese Entwicklung bei 40 Prozent der Befragten zu steigenden Bedrohungen durch Cloud-Apps und IoT-Angriffe geführt hat.

Wenn es um diese Art der Cloud-Migration geht, gibt es gute und schlechte Ansätze, um sie zu schultern. Die Top 7 haben wir in den folgenden Absätzen für Sie zusammengestellt.

VPN für Remote-Zugriff

Je nach Anzahl der Remote-Arbeiter im Unternehmen ist ein Virtual Private Network (VPN) eventuell nicht die beste Wahl für den Fernzugriff. Das zeigt beispielsweise der Hackerangriff auf den Security-Anbieter FireEye im Dezember 2020 - hier diente ein kompromittierter VPN-Zugang den Angreifern als Einfallstor.

Die zeitgemäßere Lösung ist ein Zero Trust Network. Außerdem sind auch Security Policies fürs Homeoffice empfehlenswert, schließlich werden Rechner im Homeoffice unter Umständen nicht nur für berufliche Zwecke verwendet. Laut einer Umfrage von CyberArk speichern mehr als die Hälfte der Befragten ihre privaten Passwörter im Browser des Firmenrechners.

Falsches Cloud-Portfolio

Brauchen Sie Private Clouds, um businesskritische Daten vom Rest des Universums abzuschotten? Haben Sie daran gedacht, dass bestimmte Apps spezifische Windows- oder Linux-Konfigurationen erfordern? Haben Sie die richtigen Konnektoren und Authentifizierungsschutzmaßnahmen am Start, um ihr On-Premises-Equipment einzubinden?

Wenn Sie eine Legacy Mainframe App betreiben, empfiehlt es sich, diese erstmal einmal in der Private Cloud einem Testlauf zu unterziehen. Im Anschluss ermitteln Sie die Umgebung, die dem bestehenden Mainframe Setup am nächsten kommt.

Cloud-Untauglichkeit

Zu den gängigen Cloud-Security-Fehlgriffen gehören beispielsweise ungesicherte Storage Container, schlecht konfigurierte Zugriffsrechte und Authentifizierungsparameter oder großzügig geöffnete Ports. Egal ob Sie On-Premises unterwegs sind oder sich aus Timbuktu verbinden: Ihr Security-Niveau sollte so konsistent wie möglich sein.

Bevor Sie auch nur eine einzige App in die Cloud hieven, sollten Sie an die Security denken. So wie der Pharmariese Johnson & Johnson, der vor einigen Jahren das Gros seiner Workloads in die Cloud überführt und seine Security zentralisiert hat. Unterstützung bietet seit kurzem ein Open-Source-Tool von Netflix namens ConsoleMe. Es ermöglicht das Management mehrerer AWS Accounts in einem Browserfenster.

Disaster Recovery - eventuell

Wann haben Sie das letzte Mal Ihren Disaster-Recovery-Plan auf die Probe gestellt? Wahrscheinlich ist das schon eine Weile her, schließlich frisst die Betreuung einer Schar von Mitarbeitern im Homeoffice Zeit und Ressourcen.

Nur weil Ihre Apps in der Cloud sind, bedeutet das nicht, dass diese unabhängig von bestimmten Web- und Datenbanken-Servern sowie anderen Infrastruktur-Elementen abhängig sind. Diese Abhängigkeiten gilt es in einem guten Disaster-Recovery-Plan zu berücksichtigen - ebenso wie die kritischsten Workflows.

Continuous Testing ist ebenfalls ein wichtiger Bestandteil, um partielle Cloud-Ausfälle kompensieren zu können. Die treten auch bei den Hyperscalern Amazon, Google und Microsoft ab und zu auf. Das weiß man auch bei Netflix - und hat mit dem Tool "Chaos Monkey" Abhilfe geschaffen. Dieses basiert auf Chaos Engineering und war so konzipiert, dass es die AWS-Infrastruktur des Streaming-Giganten durch konstantes, zufälliges Abschalten von Produktiv-Servern testete.

Mithilfe dieses Ansatzes und einiger spezifischer Security-Tests lassen sich Schwachpunkte in Ihrer Cloud-Konfiguration aufspüren. Der Schlüssel zum Erfolg liegt in der Automatisierung, um Bottlenecks und Infrastruktur-Schwächen zuverlässig aufzuspüren. Neben den Open-Source-Werkzeugen von Netflix stehen dafür auch einige kommerzielle Lösungen zur Verfügung:

Authentifizierungsdefizite

Eventuell haben Sie noch ein IAM, SIEM, CASB oder auch ein Single-Sign-On Tool aus den guten alten On-Premises-Zeiten im Einsatz. Das wäre nicht die beste Wahl für den Eintritt in die Cloud- und Remote-Access-Welt.

Schauen Sie sich solche Tools noch einmal ganz genau an: Können diese Ihre Wirkung in Cloud-Umgebungen voll und ganz entfalten und so den Schutz Ihrer Systeme gewährleisten? Cloud Access Security Broker sind beispielsweise bestens geeignet, um den Zugriff auf Cloud Apps zu managen. Es könnte aber auch sein, dass Sie eine andere Lösung benötigen, die mit Ihrer Custom App oder Risked-Based Authentication funktioniert oder sie auch vor raffinierteren Bedrohungen schützt.

Out-of-Date-Directory

Die richtigen Leute brauchen den richtigen Zugriff auf die richtigen Ressourcen zur richtigen Zeit und aus dem richtigen Grund. Entsprechend viel kann man hierbei falschmachen. Jedenfalls sollte Ihre Active Directory (AD) auf dem aktuellen Stand sein, was autorisierte User, Apps und Server angeht. Der Weg in die Cloud gestaltet sich mit einer akkuraten AD wesentlich komfortabler.

Support-Verweigerung

Jede Menge Managed Service Provider haben sich auf diese Art der Cloud-Migration spezialisiert - Sie sollten also nicht zögern, Hilfe in Anspruch zu nehmen, wenn Sie diese benötigen. Gerade bei etwas überstürzten Migrationen kann es vorkommen, dass die ein oder andere Hintertür für kriminelle Hacker offenbleibt. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren