Was ist Cloud-Security-Posture-Management (CSPM)?

Cloud-Security-Posture-Management (CSPM) bezeichnet spezielle Software und Strategien, mit denen Organisationen ihre Cloud-Ressourcen verwalten können. CSPM alarmiert das IT-Team im Falle von Fehlkonfigurationen und erkennt Sicherheitslücken, die Angreifer ausnützen könnten.

Heutzutage vertrauen viele Organisationen auf Public-Cloud-Infrastrukturen, um ihre internen Prozesse am Laufen zu halten. Aber viel zu viele dieser Cloud-Ressourcen sind fehlkonfiguriert oder werden falsch verwaltet. Das Ergebnis: kostspielige und schädliche Datenverletzungen.

Cloud-Plattformen sind generell sehr sicher, aber es kann passieren, dass IT-Teams potenzielle Gefahren falsch einschätzen. Manche vernachlässigen die ordentliche Konfiguration ihrer cloudbasierten Ressourcen. Fehlerhafte Konfigurationen stecken hinter einigen der größten Cloud-Datenverletzungen, die wir bisher erlebt haben.

Hier kommt CSPM ins Spiel. Ein Cloud-CSPM stellt sicher, dass Cloud-Ressourcen: 

• Geprüft werden.
• Gut strukturiert und organisiert sind.
• Über ordentliche Konfigurationen verfügen.
• Gewartet werden.
• Sicher sind.
• Alle geltenden Gesetze und rechtliche Vorgaben einhalten.

Unternehmen, die rechtlichen Vorgaben unterliegen, müssen branchenspezifische Regeln und Compliance-Standards einhalten. Das bedeutet, dass sie auch eine Cloud-Lösung wählen müssen, die diese Regeln befolgt und sich in ihr Compliance-Management-System integriert. Tun sie das nicht, können Regelverstöße enorme Geldbußen nach sich ziehen.

Es ist möglich, IT-Ressourcen in eine Cloud-Infrastruktur zu überführen und dabei Gesetzesvorgaben einzuhalten. Dafür muss die Cloud jedoch ordentlich konfiguriert werden. Darüber hinaus muss die Cloud-Plattform die richtigen Tools für Identitätsmanagement, Datensicherheit, Audits und Monitoring mitbringen. Wenn IT- und Sicherheitsteams jedoch nicht über die notwendige Expertise zum Thema Cloud-Hosts verfügen, kann es sie überfordern, alle Vorgaben umzusetzen.

Der Kern von Compliance und Datensicherheit ist Identitätsmanagement. Nur mit diesem Grundpfeiler haben Nutzer den Zugang, den sie brauchen, um ihre Arbeit machen zu können, ohne dass sie dabei Daten gefährden. Über das Verwalten von Zugängen hinaus müssen Organisationen Datenaktivitäten prüfen und überwachen können, wie es jeder moderne Compliance-Standard erfordert. Die meisten Cloudanbieter bieten dafür Tools an, die sich nahtlos in die Identitätsmanagementkontrollen integrieren, die Organisationen ohnehin bereits nutzen.

Audit-Kontrollen können offenlegen, wer versucht hat, sich Zugang zu verschaffen. Aber Compliance bedeutet darüber hinaus auch, zu überwachen, was Nutzer genau tun, sobald sie Zugang erlangt haben. Monitoring-Tools können riskante Zugangsanfragen erkennen, die oft ein Zeichen für eine Kompromittierung des Accounts oder Netzwerks sind. Sie können Administratoren auch benachrichtigen, wenn Zugangskontrollen fehlerhaft oder unzureichend konfiguriert sind.

Die meisten Cloudanbieter sagen von sich, dass ihre Angebote die gesetzlichen Vorgaben einhalten. Aber es obliegt der Organisation, sich zu versichern, dass dies auch wirklich der Fall ist, bevor sie Daten überträgt. Viele IT-Anforderungen, die in Gesetzen vorgeschrieben sind, beinhalten CSPM-Strategien zum Schutz von Daten und Aufdecken möglicher Kompromittierungen durch Monitoring.

Jedes interne Netzwerk, das ein Unternehmen vor Ort in den eigenen Räumen betreibt, sollte über Monitoring- und Analytics-Funktionen verfügen. Bei öffentlichen Cloud-Infrastrukturen sind diese Funktionen jedoch wichtiger, weil bei einer öffentlichen Cloud die Wahrscheinlichkeit, dass sie falsch konfiguriert ist, höher ist, wodurch sie eine größere Angriffsfläche bietet. Deshalb müssen Organisationen ein Auge auf Monitoring- und Analytics-Tools behalten. Diese Tools helfen IT- und Sicherheitsteams dabei, die Nutzung der Infrastruktur und die Zugriffsanfragen auf einzelne Ressourcen besser zu verstehen.

Die meisten bekannten Cloudanbieter haben fortschrittliche Monitoring-Tools integriert. Bei vielen kommt sogar Künstliche Intelligenz (KI) zum Einsatz, um verdächtige Muster im Traffic zu erkennen. Wenn ein IT-Team den Zugang zu einer digitalen Ressource falsch konfiguriert, können Monitoring-Tools auf das Problem hinweisen.

Nehmen wir an, nur wenige Nutzer haben Zugriffsrechte auf eine Ressource. Wenn plötzlich viele Zugriffsanfragen außerhalb der Bürozeiten auftauchen, können Monitoring-Tools dies erkennen und beim IT- oder Sicherheitsteam Alarm schlagen.

Monitoring und Analytics gehen Hand in Hand. Beide liefern IT-Teams Informationen darüber, wie Cloud-Ressourcen genutzt werden. Analytics-Berichte enthalten:

• Spitzenzeiten der Nutzung
• Bandbreitenverbrauch
• Welche Ressourcen genutzt werden und welche nicht.
• Welche Ressourcen der Organisationen am meisten Geld kosten, wenn sie weiterhin gebraucht werden.

Große Unternehmensnetzwerke verbinden mitunter tausende Geräte über mehrere geografische Zonen hinweg. Tools zur Verwaltung des Bestands erfassen die Netzwerkinfrastruktur und prüfen, ob nur Geräte verbunden sind, die auch verbunden sein dürfen, und ob deren Software auf dem neuesten Stand ist. Bestandsaufnahmen und Klassifizierungen der Infrastruktur geben IT- und Sicherheitsteams den vollen Überblick. Dadurch können sie nicht nur sehen, welche Netzwerkgeräte verbunden sind, sondern auch, wie wichtig diese sind.

Komponenten zu klassifizieren ist essenziell wichtig. Dieser Schritt versetzt IT-Angestellte in die Lage zu priorisieren, was zu schützen ist – oder was sie wiederherstellen müssen, sollte etwas schief gehen. Beispielsweise ist der Haupt-Datenbankserver in Production wahrscheinlich wichtiger als ein Backup-Server für Reporting.

Bei größeren Organisationen kann die Ressourcennutzung leicht aus dem Ruder laufen, wenn sie nicht gut verfolgt und verwaltet wird. Wenn die IT-Abteilung einen Server abschaltet, kann dieser Server auch aus der Cloud herausgenommen werden. Dies spart der Firma bares Geld, weil sie so weniger IT-Ressourcen verbraucht.

Wenn eine Organisation nur mit wenigen Ressourcen auskommt, ist es einfacher, den Überblick über das Budget und dessen Verwendung zu behalten. Aber wenn hunderte Cloud-Ressourcen über verschiedene Abteilungen hinweg im Einsatz sind, kann es schnell passieren, dass alte Ressourcen vergessen und vernachlässigt werden.

Diese “Zombie-Ressourcen” bedeuten zusätzliche Kosten von teilweise tausenden Euro und mehr. Und was noch schlimmer ist, sie schaffen Cybersicherheitslücken durch veraltete Systeme und nicht mehr unterstützte Software. Diese Ressourcen sollten so organisiert werden, dass sie keine kritische Kompromittierung des Unternehmens verursachen.

CSPM sorgt für eine bessere Organisation von Ressourcen, sodass die Infrastruktur stets die neuesten Updates erhält, egal ob es sich um Router-Firmware oder ein Betriebssystem auf einem kritischen Server handelt. Dabei kommen häufig Asset-Tracking-Management-Tools zum Einsatz oder auch Strategien, die IT-Teams bei der Bestandsaufnahme ihrer Ressourcen helfen. Cloudanbieter haben oft Reporting-Features, mit denen es einfacher ist, Bestände zu tracken und sicherzustellen, dass sie nicht vergessen werden und längere Zeit ohne Wartung im System bleiben. 

Das Erkennen von fehlerhaften Konfigurationen ist wahrscheinlich eine der wichtigsten CSPM-Komponenten. Gartner schätzt, dass 90% aller Organisationen, die die Konfiguration ihrer öffentlichen Cloud-Ressourcen vernachlässigen, eine Datenverletzung erleiden werden, bei der sensible Daten an die Öffentlichkeit gelangen. Dabei fällt bei 99% dieser Vorfälle die Schuld auf den Cloud-Kunden, weil er seine Ressourcen unzureichend verwaltet oder konfiguriert hat. Seit dem Aufstieg von Cloud Computing gehen einige der größten Datenverletzungen auf Cloudspeicher-Fehlkonfigurationen bei Amazon Web Services (AWS) zurück.

IT-Teams, die Cloud-Ressourcen einsetzen, brauchen auch eine Strategie für deren Wartung, Konfiguration und Bereitstellung. CSPM enthält Richtlinien, wie Ressourcen gesichert und überwacht werden sollten.

Gesetzliche Standards geben Administratoren ebenfalls einige Richtlinien an die Hand, wie sie Cloud-Ressourcen sichern. CSPM bietet Monitoring-Dienste, die erkennen, wenn Ressourcen fehlerhaft konfiguriert sind und aufgrund dessen sensible Daten offen liegen – und das bevor Angreifer sie finden.

Passende CSPM-Tools zu finden, die vorhandene Unternehmensressourcen voll unterstützen, kann sich als schwierig herausstellen. Viele Unternehmen beginnen mit einem Cloudanbieter, wenn sie noch relativ klein sind. Aber mit dem Wachstum des Unternehmens wachsen auch die Ansprüche. Deshalb ist eine skalierbare Lösung gefragt.

Hier sind einige Dinge, die Sie beachten sollten, wenn Sie CSPM-Anbieter vergleichen:

• Die Einrichtung der Strategien und Lösungen sollte möglichst einfach sein und sich in existierende Cloud-Ressourcen integrieren. Dabei sollten sie flexibel genug sein, um mit vorhandenen Ressourcen zu funktionieren, ohne dass dies zu Lasten von Performance oder Sicherheit geht. Das gilt auch für jegliche Ressourcen, die später dazu kommen.
• Es sollte möglich sein, Anwendungen über alle Cloud-Ressourcen hinweg zu aktualisieren. Während sich der Cloudanbieter um die Hardware kümmert, sind Organisationen dafür verantwortlich, welche Software sie installieren. Manche Unternehmen bevorzugen einen Managed-Service-Provider (MSP), der Updates und Patches übernimmt.
• Skalierbarkeit ist für wachsende Unternehmen entscheidend. Wenn eine CSPM-Lösung auf einige wenige Ressourcen zugeschnitten ist, sich aber nicht auf die gesamte Infrastruktur skalieren lässt, kann dies zu Chaos in der IT führen. Cloudanbieter segmentieren ihre Ressourcen nach geografischer Region, weshalb CSPM-Lösungen global funktionieren müssen.
• Beachten Sie, dass Cloud-Sicherheit anders funktioniert als Cybersicherheit für lokale Netzwerke, weil sich Cloud- Ressourcen im Internet befinden. In einem lokalen Netzwerk sind Ressourcen normalerweise nicht mit dem öffentlichen Internet verbunden. Cloud-Ressourcen sind öffentlich zugänglich, solange sie nicht anderweitig konfiguriert werden. Deshalb müssen die Konfigurationen von Cloud-Ressourcen stets überwacht werden.

Konfigurationen fallen in den Verantwortungsbereich der Administratoren. Sie müssen wissen, dass die ordentliche Konfiguration der Cloud nicht die Verantwortung des Cloudanbieters ist. Ein MSP kann dabei helfen, alle Cloud-Ressourcen richtig zu konfigurieren und Anwendungen zu überwachen, damit Administratoren mögliche Probleme besser erkennen.