Als erster IT-Dienstleister in Deutschland haben wir CloudGuard Dome9 bei einem Kunden implementiert. Die innovative Lösung des Cyber-Security-Spezialisten Check Point ermöglicht es, komplexe Public-Cloud-Umgebungen zu analysieren, in Echtzeit auf Sicherheit und Compliance zu überprüfen und automatisiert Regeln umzusetzen. Was Dome9 bringt und welche Erfahrungen wir bisher gemacht haben, möchte ich hier kurz vorstellen.
Ein großes Handelsunternehmen kam auf uns zu, weil es Unterstützung in der Absicherung seiner Public-Cloud-Umgebung wünschte. Es nutzt AWS, um von der Agilität und Skalierbarkeit der Public Cloud zu profitieren. Doch für die Cyber Security bringt diese neue Herausforderungen mit sich. Grundsätzlich gilt das Prinzip der geteilten Verantwortung: Der Cloud-Anbieter übernimmt die Absicherung der Plattform, der Kunde die Absicherung dessen, was er auf der Plattform macht. Er muss also zum Beispiel selbst dafür sorgen, dass seine Umgebung richtig konfiguriert ist und seine virtuellen Server gepatcht sind. Und genau in diesem selbst verantworteten Bereich passieren die meisten Fehler. So geht Gartner davon aus, dass bis 2022 mindestens 95 Prozent aller Cloud-Sicherheitsvorfälle durch die Kunden verursacht werden.
Warum ist das so? Ein großes Problem ist die mangelnde Sichtbarkeit in komplexen Cloud-Umgebungen. Denn man kann nur absichern, was man sieht. Im Check Point Cloud Security Report 2019 nannten rund ein Drittel der befragten IT-Administratoren Compliance (34 Prozent) und mangelnde Transparenz bei der Infrastruktursicherheit (33 Prozent) als ihre größten Herausforderungen. 42 Prozent von ihnen halten unberechtigte Netzwerk-Zugriffe für das größte Sicherheitsrisiko. Ähnlich ging es auch unserem Kunden.
Er wünschte sich eine bessere Übersicht darüber, was in den verschiedenen AWS-Accounts passiert und ob die gesetzten Sicherheits- und Compliance-Standards bei seinen Cloud-basierten Services eingehalten werden. Außerdem ging es ihm darum, verdächtige Netzwerkaktivitäten stets im Blick zu behalten. Mit CloudGuard Dome9 von Check Point hatte Axians genau die richtige Lösung parat. Da es derzeit keine vergleichbare Cyber-Security-Plattform am Markt gibt, die für eine derart hohe Netzwerktransparenz sorgt und dabei Compliance-Unterstützung bietet, war das Handelsunternehmen schnell von den Vorteilen überzeugt. Daraufhin konnten wir Premiere feiern und haben Dome9 als erster IT-Dienstleister in Deutschland bei einem Kunden implementiert.
Mehr Sicherheit durch Transparenz und Visualisierung
Dome9 analysiert die Cloud-Umgebung des Handelsunternehmens und zeigt in einer übersichtlichen Darstellung an, wie sie aufgebaut ist, welcher Service von wo erreichbar ist und welche IP-Adressen mit wem kommunizieren. Dafür zieht die Lösung per Programmierschnittstelle (API) Meta-Daten aus AWS und bereitet sie grafisch auf. Neben AWS arbeitet Dome9 übrigens auch mit Microsoft Azure und Google Cloud Platform zusammen und kann auch hybride Umgebungen analysieren.
Die Visualisierung erleichtert es, Risiken und Fehlkonfigurationen zu erkennen und zu mindern. Ein häufiges Beispiel: Ein Administrator schaltet einen Zugang für einen externen Dienstleister frei, den dieser temporär benötigt. Anschließend vergisst er aber, den Zugang wieder zu löschen und lässt damit quasi ein Fenster offen. Mit Dome9 kann das Handelsunternehmen schnell sehen, welche Dienste sich in welcher Sicherheitszone befinden, und gegebenenfalls eingreifen.
Mithilfe von Nutzergruppen und Rechtemanagement kann der Kunde zudem sicherstellen, dass jeder Nutzer stets nur über die Rechte verfügt, die er auch wirklich braucht. Privilegierter Zugang lässt sich auf ausgewählte Nutzer einschränken und kontrollieren. Die Lösung ermöglicht es zum Beispiel auch, einen Zugang auf Zeit einzurichten, der automatisch wieder gelöscht wird.
Die Compliance kontinuierlich und automatisch überwachen
Wichtig für das Handelsunternehmen war außerdem sicherzustellen, dass die Cloud-Umgebung den geforderten gesetzlichen und internen Richtlinien entspricht – unter anderem der DSGVO. Dafür hat Dome9 vorgefertigte Cyber-Security-Regeln und Best Practices gespeichert. Es gibt Regelwerke für HIPAA, PCI DSS, DSGVO, NIST 800-53 / FedRAMP, ISO 27001 und CIS Foundations Benchmark, die per Mausklick im Baukastensystem angewählt werden können. Zudem haben Administratoren die Möglichkeit, mit einer einfachen Scripting-Sprache eigene Regeln zu erstellen. Dome9 prüft auf Knopfdruck, ob die angewählten Vorgaben eingehalten werden, und zeigt an, wo es Probleme gibt. Administratoren können die Konfiguration dann anpassen, um ihre Umgebung regelkonform zu machen.
Anschließend prüft Dome9 die Compliance kontinuierlich in Echtzeit und schlägt bei Verstößen Alarm. Mithilfe von sogenannten Cloud Bots kann die Lösung Probleme auch direkt beseitigen. Gilt zum Beispiel die Vorgabe, dass alle S3-Buckets verschlüsselt werden müssen, verhindert ein solcher Bot, dass ein Nutzer einen unverschlüsselten Speicher anlegt. Dome9 kann außerdem ausführliche, druckbare Berichte über die Compliance-Testergebnisse und den aktuellen Sicherheitsstatus ausgeben. Das vereinfacht den Nachweis der Sicherheitslage jedes Servers und erleichtert Audits. Zusätzliche Hilfestellung geben Best Practice Reports mit Empfehlungen für das Aufsetzen von Cloud Services.
Die Cloud Security immer im Blick
Den vollen Funktionsumfang von Dome9 konnte das Handelsunternehmen aus Zeitmangel bisher noch nicht komplett ausloten. Der erste Eindruck ist jedoch positiv. Der Kunde kann die Cloud Security jetzt von einer einzigen Plattform aus überblicken und steuern und die Einhaltung der Compliance in Echtzeit überwachen. Damit gewinnt er mehr Sicherheit in seiner komplexen Public-Cloud-Umgebung.