Cloud-Risiken verwalten: So wählen Sie das passende CSPM-Tool aus

Foto: tete_escape – shutterstock.com

Nach dem Umzug in die Cloud gehen viele Unternehmen davon aus, dass ihre Cloud-Hosting-Anbieter allein für die Sicherheit verantwortlich sind – ein Irrglaube, der zu Datenschutzverletzungen und anderen Sicherheitsproblemen führen kann.

Die Verantwortung für die Sicherung der Cloud-Infrastruktur liegt zwar bei den Anbietern von Cloud-Diensten. Doch Aufgabe der Kunden ist es, die Cloud zu konfigurieren und ihre Anwendungen und sensiblen Unternehmensdaten zu schützen.

Lesetipp: Drei Tipps für die Datensicherung in der Cloud

Hier können CSPM-Tools helfen. Diese prüfen die Infrastruktur kontinuierlich und automatisch auf Fehlkonfigurationen, die zu Datenlecks und Datenschutzverletzungen führen können. CSPM-Tools verwalten die Cloud-Sicherheitsrisiken fortlaufend und gewährleisten die Compliance in der Cloud, so dass Unternehmen kontinuierlich alle notwendigen Änderungen vornehmen können.

“CSPM-Lösungen nutzen Best Practices und Compliance-Vorlagen (PCI, SOC2 etc.), um Abweichungen und unsichere Konfigurationen in der Cloud-Infrastruktur (AWS, Azure, Google Cloud Platform) in den Bereichen Compute, Storage und Netzwerk zu identifizieren”, erklärt Andras Cser, Vice President und Principal Analyst bei Forrester Research. “CSPM-Tools können vor unsicheren Konfigurationen warnen und diese optional beheben.”

Solche Security-Lösungen analysieren Workloads, um zu sehen, was passiert. Zudem liefern sie Kontext, so dass Unternehmen wissen, welche der Schwachstellen oder Probleme am wichtigsten sind, führt Charlie Winckless, Senior Director Analyst bei Gartner aus. “Diese Tools ermöglichen es Unternehmen, Prioritäten zu setzen, welche Risiken real sind, welche Risiken wichtig sind und welche Risiken sie vielleicht ein wenig aufschieben können.”

Merkmale von CSPM-Tools

Unternehmen, die verschiedene CSPM-Tools evaluieren, sollten sicherstellen, dass dabei alle verwendeten Cloud-Plattformen abgedeckt werden, so der Gartner-Experte.

“Sie sollten in der Lage sein, die Konfigurationsrisiken über die wichtigsten Cloud-Plattformen hinweg zu normalisieren”, fügt er hinzu. “Die meisten Unternehmen, die diese Tools kaufen, sind wahrscheinlich Multi Cloud-Anwender. Sie werden mindestens zwei Clouds nutzen, vielleicht sogar mehr, da die Cloud-Anbieter selbst einige dieser Funktionen in ihre Plattformen integriert haben.”

Laut Philip Bues, Cloud Security Research Manager bei IDC, haben die meisten Unternehmen eine hybride Multicloud-Umgebung. “Deshalb brauchen sie Tools, die ihnen wirklich tiefe Einblicke in alle Umgebungen und Workloads liefert. Und genau das sollte eine CSPM-Lösung bieten können.”

Wichtige CSPM-Features

Weitere Funktionen, auf die Unternehmen bei der Auswahl von CSPM-Tools achten sollten:

• Umfassende Erkennung von Bedrohungen: Da die Bedrohungen in Multi-Cloud-Umgebungen komplex sind, müssen diese Tools Bedrohungsdaten aus einer Reihe von Quellen sammeln. Dadurch erhalten Unternehmen einen klaren Überblick über ihre Risiken.

• Integrierte Datensicherheit: Die Sicherheit von Daten in der Cloud erfordert eine mehrgleisige Verteidigung, die Unternehmen einen umfassenden Einblick in den Zustand ihrer Daten ermöglicht. Dazu gehört auch, dass Unternehmen überwachen können, wie jeder einzelne Speicher-Bucket über alle Speicherdienste hinweg konfiguriert ist. Dadurch wird sichergestellt, dass ihre Daten nicht versehentlich für unbefugte Anwendungen oder Benutzer zugänglich sind.

• Automatisierte Beseitigung von Warnmeldungen: Unternehmen müssen dafür sorgen, dass die von ihnen ausgewählten CSPM-Tools die routinemäßige Sicherheitsüberwachung, Audits und Abhilfemaßnahmen in ihren Cloud-Umgebungen automatisieren können. Auf diese Weise können Sicherheitsteams die Risiken, die potenziell den größten Schaden anrichten können, priorisieren und beheben.

Die Vorteile von CSPM-Tools

CSPM-Tools bieten einige Vorteile für Unternehmen:

• Proaktive Identifizierung und Behebung von Risiken durch Echtzeit-Transparenz und automatische Erkennung von Schwachstellen, Fehlkonfigurationen und Sicherheitslücken, noch bevor Cyberkriminelle sie ausnutzen können.

• Kontinuierliche Überwachung von Konfigurationen in Bezug auf Branchenbenchmarks und -standards, um die Einhaltung von Best Practices und Vorschriften zu gewährleisten.

• Automatisierung der Durchsetzung und Behebung von Richtlinien, wodurch der Zeit- und Kostenaufwand für die manuelle Behebung von Sicherheitsproblemen in Cloud-Umgebungen verringert wird.

• Integration von DevOps-Workflows mit CSPM-Prozessen, um die Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung einzubetten.

Diese Fallstricke sollten Sie vermeiden

Es gibt aber auch einige Fallstricke, die Unternehmen bei der Verwendung von CSPM-Tools beachten sollten:

Unkenntnis der Anforderungen an CSPM-Tools: Aus Sicht des IDC-Experten Bues ist dies einer der größten Fehler von Unternehmen bei der Verlagerung von Workloads in die Cloud. “Denn Dinge, die vorher voneinander getrennt waren, sind jetzt miteinander verbunden. Der beste Weg, CSPM-Tools zu implementieren, besteht darin, sicherzustellen, dass die Teams die richtige Schulung erhalten und wissen, wie diese Lösung in der Umgebung funktionieren soll. “Sie wollen nicht, dass das Sicherheitsteam mit wenig oder keiner Cloud-Erfahrung oder Entwickler mit begrenzter Sicherheitserfahrung versuchen, diese neue CSPM-Lösung zu verwalten”, so Bues. “Die Entwickler und das Sicherheitsteam sollten zusammenarbeiten, denn jeder hat andere Bedürfnisse.”

Keine Entscheidung für ein Multi-Cloud-taugliches CSPM-Tool: Ein weiterer Fehler von Unternehmen ist die Auswahl von Tools, die keinen einheitlichen Ansatz über alle Cloud-Umgebungen hinweg bieten. Unternehmen sollten sich für CSPM-Tools entscheiden, die Multi-Cloud-Überwachung und -Schutz bieten.

Selbstunterschätzung: Manche Unternehmen gehen davon aus, dass sie zu klein oder nicht reif genug sind, um sich um die Sicherheit zu kümmern. Dadurch besteht das Risiko, dass sie sich erst dann Gedanken über die Sicherheit machen, wenn ein Problem oder eine Sicherheitsverletzung auftritt. Unternehmen jeder Größe sollten sicherstellen, dass sie ihre Ressourcen teamübergreifend schützen, indem sie CSPM-Tools implementieren.

Die 5 besten CSPM-Tools

Es gibt zahlreiche CSPM-Tools auf dem Markt. Um Ihnen die Auswahl zu erleichtern, stellen wir Ihnen die fünf besten vor:

Aqua Security Echtzeit-CSPM verbindet die Cloud-Konten von Unternehmen, sodass alle Cloud-Ressourcen identifiziert werden können, die in Amazon Web Services (AWS), Alibaba Cloud, Google Cloud Platform (GCP), Microsoft Intune und Oracle Cloud laufen. Die Anwendung liefert dabei einen umfassenden Überblick über die Cloud-Sicherheitsrisiken im Unternehmen in Echtzeit. Zudem identifiziert sie die kritischsten Probleme, damit Sie sich auf die Behebung von Problemen mit hoher Priorität konzentrieren können. Dabei werden die Workloads gescannt, um die grundlegende Risikolage von Unternehmen zu bewerten. Das Tool erkennt auch Cloud-Risiken und fängt Bedrohungen ab, die sich der agentenlosen Erkennung entziehen, einschließlich dateiloser Malware, speicherbasierter Angriffe und unbekannter Exploit-Versuche, wie Zero Days.

Check Point CloudGuard für Cloud Security Posture Management automatisiert Sicherheit, Compliance und Governance in Multi-Cloud-Umgebungen und -Services. Das Tool erkennt Fehlkonfigurationen, visualisiert und bewertet die Sicherheitslage von Unternehmen und setzt Compliance-Frameworks und Best Practices im Sicherheitsbereich durch. Unternehmen können damit die Sicherheit und Compliance ihrer öffentlichen Cloud-Umgebungen in Azure, AWS, GCP, Alibaba Cloud und Kubernetes verwalten. Die Netzwerk- und Asset-Visualisierung von CloudGuard ermöglicht es Unternehmen, gefährdete Workloads, Schwachstellen, Fehlkonfigurationen oder offene Ports in Echtzeit zu erkennen. Das Tool bietet zudem Thread Intelligence Support als kostenloses Add-on für CSPM-Kunden. Diese Funktion gibt Einblicke in Kontoaktivitäten durch Bedrohungsforschung und maschinelles Lernen.

CrowdStrike Falcon Cloud Security bietet Bedrohungserkennung, -abwehr und -beseitigung und sorgt für die Durchsetzung von Compliance und Sicherheitsstatus in AWS, Azure und GCP. Bietet CSPM-Funktionen für hybride und Multi-Cloud-Umgebungen. Sie ermöglicht Unternehmen die kontinuierliche Überwachung der Konformität all ihrer Cloud-Ressourcen über eine einzige Konsole und ein Dashboard für zahlreiche Vorschriften, einschließlich des Payment Card Industry Data Security Standard (PCI-DSS), National Institute of Standards and Technology (NIST), SOC2 und weitere. Unternehmen können Cloud-Anwendungskonfigurationen mit Unternehmens- und Branchen-Benchmarks vergleichen, um Verstöße zu erkennen und in Echtzeit zu beheben. Auf diese Weise können sie sicherstellen, dass ihre Anwendungen stets verfügbar sind.

Palo Alto Networks Prisma Cloud schützt Ressourcen in Multi-Cloud- und Hybrid-Umgebungen. Dazu zählt AWS, Azure, Alibaba Cloud, Oracle Cloud und GCP Public Cloud-Umgebungen. Das Tool bietet Anwender dabei einen umfassenden Einblick in ihre Cloud-Umgebungen, automatische Reaktionen und eine kontinuierliche Erkennung von Bedrohungen. Außerdem analysiert und normalisiert es disparate Datenquellen, um Unternehmen Klarheit über das Risikomanagement zu verschaffen. Die Unternehmen erhalten damit historische und Echtzeit-Transparenz über Assets und Konfigurationen. Außerdem bietet ihnen das Tool Schritt-für-Schritt-Anweisungen zur Behebung von Compliance-Verstößen und Fehlkonfigurationen. Palo Alto Networks Prisma Cloud sammelt auch Audit-Ereignisprotokolle, die es Sicherheitsadministratoren ermöglichen, Konfigurationsänderungen zu sehen und festzustellen, wann sie aufgetreten sind.

Tenable Cloud Security bietet ein vollständiges Inventar von Assets in Azure, GCP und AWS. Das Tool erkennt und kartiert automatisch Cloud-Umgebungen von Unternehmen, einschließlich Workloads, Infrastrukturen, Daten und Identitäten. Zudem ermöglicht es Unternehmen, falsch konfigurierte Infrastrukturen sowie damit verbundene Risiken, Schwachstellen, übermäßige Berechtigungen und Netzwerkkonfigurationen zu erkennen, die Unternehmensressourcen gefährden können. Mit Hilfe der Anwendungen sind Unternehmen in der Lage, Fehlkonfigurationen, riskante Berechtigungen und Richtlinienverstöße automatisch zu beheben. Zudem können Multi-Cloud-Umgebungen anhand von Branchenstandards geprüft werden, darunter AWS Well-Architected Framework, NIST, PCI-DSS, SOC2 und Center for Internet Security Benchmarks für Kubernetes und weitere. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.