Paradigmenwechsel bei der IT-Sicherheit

Die Firewall – seit den 1980er Jahren elementarer Bestandteil der Sicherheitskonzepte zahlreicher Unternehmen – galt Jahrzehnte lang als Synonym für die Sicherheit von IT-Systemen. Am zentralen Zugangspunkt zum internen Netzwerk verankert, schottet sie dieses vor Bedrohungen von außen ab, indem sie den eingehenden Traffic kontrolliert und anhand bestimmter Regeln entscheidet, ob er passieren darf oder nicht. Diese Methode fußt auf einer Zugriffskontrollstrategie, die nach Absender, Zustelladresse, Protokoll und Sendevorgang erlaubte Datenpakete von verbotenen unterscheidet. Damit sollen unautorisierte Zugriffe auf stationäre Systeme abgewehrt werden. Doch: Funktioniert dieser Ansatz im Cloud-Zeitalter immer noch?

Die Cloud stellt neue Anforderungen bei der IT-Sicherheit

Der anhaltende Trend zum Cloud Computing stellt jedoch die Weichen in Sachen IT-Security neu. Die bisherige Aufteilung in das Diesseits und das Jenseits einer schützenden Firewall ist bei Cloud-Diensten, die aus verteilten Mikroservices bestehen, nicht mehr gegeben. Ein Cloud-Dienst lässt sich prinzipiell von jedem Ort mit einer stabilen Internet-Verbindung ausführen. Vor diesem Hintergrund müssen Sicherheitsverantwortliche neue Ansätze verfolgen, um Cloud-basierte IT-Systeme umfassend zu schützen. Dabei verlagert sich die Verantwortung zu einem guten Stück von Ihnen, den Anwendern, hin zu den System-Providern.

Sicherheit beginnt beim Softwaredesign

Der Paradigmenwechsel bei der IT-Security beginnt bereits bei der Software-Entwicklung: In einer Cloud-Umgebung gilt es, alle relevanten Security-Mechanismen schon im Design der jeweiligen Anwendung zu verankern, also bei der Definition von Architektur, Komponenten, Schnittstellen, Datenstrukturen und Algorithmen. Das ist ein klarer Auftrag an uns als Entwickler, neben den Funktionen und der Leistung der zu entwickelnden Dienste von Anfang an auch Sicherheitsaspekte sowie die jeweiligen Compliance-Anforderungen und bestimmte branchenspezifische Security-Vorgaben mit zu berücksichtigen.

IT Security durchdringt alle System-Layers

Wir verstehen IT-Sicherheit vor diesem Hintergrund als elementares Designkriterium, das den gesamten Entwicklungszyklus eines nativen Cloud-Dienstes von Anfang an prägt und sich auf alle Layers und Building-Blocks der Cloud-Anwendungsarchitektur erstreckt. Von entscheidender Bedeutung ist zudem, dass wir die Sicherheitsfeatures bereits während des Entwicklungsprozesses regelmäßig testen, um ihre Funktionsfähigkeit sicherzustellen. Treten bei den Tests Probleme auf, können wir die jeweilige Schwachstelle sofort beheben.

Eigenes Identitätsmanagement: Sage ID

Authentisierung und Authentifizierung – also Identitätsnachweise sowie Mechanismen zu deren Prüfung – erfordern in verteilten Cloud-Szenarien einen anwendungs- und plattformübergreifenden Ansatz. Im Zuge der Weiterentwicklung unserer in Teilen noch On-Premise-basierten Plattform für Unternehmenssoftware hin zu einer komplett nativen Business Cloud implementieren wir bei Sage beispielsweise ein eigenes Identitätsmanagement – die Sage ID: Rollen und Zugriffsrechte werden dabei aus dem Azure Active Directory importiert. Da die Sage ID auf der multiproviderfähigen Auth0-Technologie basiert, lassen sich im Bedarfsfall mehrere Identitätsprovider einbinden. Theoretisch könnten Sie sich als Anwender künftig also auch mit Ihrer Bank-ID in Buchhaltungs- oder Warenwirtschaftsmodule einloggen.

Transparentes Security-Monitoring als Kriterium

Neben robustem Zugriffsschutz durch ein plattformweites Identity- und Access-Management zählt das Thema Transparenz zu den tragenden Säulen eines jeden ganzheitlichen Cloud-Security-Konzepts. Denn die große Stärke einer Cloud, nämlich die Verarbeitung dynamisch wechselnder Work-Loads, bringt auf der anderen Seite die Notwendigkeit mit sich, diese oftmals weiträumig verteilten Work-Loads permanent zu überwachen. Folglich müssen Monitoring-Funktionen über alle Anwendungen, Services und Architekturebenen hinweg tief in der Cloud-Infrastruktur integriert sein – was sich zum Beispiel mit den erprobten Tools aus dem Azure Security Center realisieren lässt.

DDoS-Attacken und Ausspähungen von Daten wirksam zuvorkommen

Auf der Ebene der Informationssicherheit und des Datenschutzes empfehlen wir Ihnen, auf eine durchgängige End-to-End-Verschlüsselung zu setzen. Hierbei sollten Sie zwei verschiedene Szenarien für den aus- und eingehenden Datenverkehr in Cloud-Rechenzentren unterscheiden:

1. Für die Clientkommunikation mit dem Server via Internet, etwa bei der Nutzung von OneDrive for Business, kommen ausschließlich SSL/TLS-Verbindungen mit 2048-Bit-Verschlüsselung zum Einsatz.

2. Das zweite Szenario betrifft Datenbewegungen zwischen zwei oder mehreren Rechenzentren, um die Datensicherheit durch Georedundanz zu maximieren. Egal, ob klassische SQL-Server-Transaktion oder BLOB-Deltas für Multi-Target-Anwendungen – Datenströme dieser Art sollten gehärtet durch eine zusätzliche Verschlüsselung und ausschließlich über ein privates Netzwerk transportiert werden.

Darüber hinaus garantieren Ihnen SSL-Zertifikate die Echtheit von Quelle und Ziel des verschlüsselten Datentransfers.

Vorkehrungen bereits bei der Serviceinfrastruktur treffen

Mosaikartig zusammengesetzte Cloud-Anwendungen, deren Servicebausteine auf ganz verschiedenen, geografisch mitunter weiträumig verteilten Servern laufen, sind in besonderer Weise anfällig für DDoS-Angriffe: Wenn es Cyberkriminellen gelänge, nur einen dieser Server zum Beispiel per IP-Stressing in die Knie zu zwingen, können fehlende Dienste eine komplette Cloud-Anwendung lahmlegen. Genauso wie das Monitoring sollten daher auch unterschiedliche DDoS-Schutzvorkehrungen schon auf der Ebene der Serviceinfrastruktur implementiert sein. Eine Möglichkeit sind beispielsweise selbstlernende DDoS-Protection-Services für die fortlaufende Überwachung und Untersuchung des gesamten Datenverkehrs. Die zugrundeliegenden Algorithmen decken verdächtige Verkehrsmuster und andere Indikatoren auf, die auf einen möglicherweise bevorstehenden DDoS-Angriff hindeuten.

Multipler Schutz bei serverlosen Diensten und Containern

Viele Anwendungen unserer Sage Business Cloud laufen als Docker Container innerhalb der Azure Kubernetes Services-Umgebung (AKS). Mit dieser Plattform bringen wir zwei bewährte Architekturansätze für den Einsatz von Mikroservices zusammen:

1. Serverlose Dienste als Function-as-a-Service sowie

2. Container mit zugehöriger Orchestrierung.

AKS ermöglicht Ihnen die effiziente Verwaltung von Anwendungen auf Containerbasis inklusive aller involvierten Speicher- und Netzwerkkomponenten. Und zwar aus der Perspektive der Work-Loads – also weitgehend unabhängig von der zugrundeliegenden Infrastruktur.

Security-by-Design als DNA

AKS-Dienste basieren generell auf unabhängigen Prozessen, die via APIs mit einem sogenannten ETCD-Cluster kommunizieren. Zur API-Authentifizierung können solche Cluster wahlweise LDAP-Server, digitale Zertifikate, statische Token oder das Auth0-Protokoll OpenID-Connect (OICD) verwenden. Darüber hinaus bietet Kubernetes ein integriertes Tool zur rollenbasierten Zugriffskontrolle (RBAC) von API-Servern. Damit können Sie individuelle Schreib- und Leserechte von Pods und darin enthaltenen Containern präzise steuern. Sie sehen an dieser Stelle also sehr deutlich: Das Security-by-Design-Prinzip ist gleichsam als DNA in AKS verankert.

Ein neues, kooperatives Verständnis von Sicherheit

Die Verlagerung von On-Premise-Work-Loads in die Cloud verlangt ein grundlegend neues Entwicklungsparadigma, das bei der Entwicklung jedes einzelnen Servicebestandteils verteilter Anwendungen IT-Security als Designprinzip zugrunde legt. Außerdem aber muss selbstverständlich auch die physische Plattform gegen Cyberangriffe abgesichert sein. Bei der Beurteilung der Frage, inwieweit dies für eine konkrete Lösung zutrifft, können sich Unternehmen an Zertifikaten wie FISMA, ISO und SOC orientieren. Insgesamt wird die Frage der Sicherheit von IT-Systemen im Cloud-Zeitalter kooperativ von Software-Herstellern und Hosting-Providern gleichermaßen beantwortet werden. Sie als Anwender dagegen werden in Bezug auf diese Verantwortung entlastet.