Welcher Hyperscaler ist der sicherste?

Die Frage, welcher der drei großen Cloud Provider, Amazon Web Services (AWS), Google Cloud Platform (GCP) und Micrsoft Azure, die höchste Sicherheit bietet, ist leider nicht allzu einfach zu beantworten. CISOs sollten bei der Entscheidung zwei Fragen stellen:

• Welcher Cloud Provider leistet die beste Arbeit, um seine eigene Infrastruktur zu sichern?

• Welcher Cloud Provider hilft meinem Unternehmen am besten dabei, seine Daten und Anwendungen zu sichern?

Die Sicherheit in der Public Cloud basiert auf dem Modell der geteilten Verantwortung. Dies bedeutet, dass sowohl der Cloud-Anbieter wie auch sein Kunde für die Datensicherheit zuständig sind. Wobei der Provider die Sicherung seiner Plattform verantwortet und der User für den Schutz seiner Assets in der Cloud Verantwortung trägt. Klingt in der Theorie gut, aber in der Praxis kann das Modell der geteilten Verantwortung schwierig sein, wenn Unternehmen sich in die Multicloud-Welt vorwagen.

Der erfahrene Sicherheitsexperte Andy Ellis kommentiert: "Die Shared Responsibility scheint klar und einfach zu sein, kann jedoch einem Härtetest in der Realität meist nicht standhalten." Eine der Schwierigkeiten für Unternehmen sei es, die Verbindungen zwischen der Cloud-Plattform und den darauf ausgeführten Anwendungen zu analysieren, so Ellis. "Auch die Art und Weise, wie ein Kunde einen Cloud Service konfiguriert ist für die Sicherheit seiner Anwendungen entscheidend. Die Liste der Möglichkeiten, wie ein Kunde sich selbst in den Fuß schießen kann, ist bemerkenswert lang."

Ein Grund dafür ist, dass Unternehmen oft nicht klar ist, welche Verantwortung sie bei der Nutzung einer Public Cloud tatsächlich selbst tragen. Melinda Marks, Senior Analyst bei der Enterprise Strategy Group (ESG), hat beobachtet, dass sich viele Anbieter dieser Wissenslücken ihrer Kunden bewusst sind. Als Konsequenz versuchen sie, eine partnerschaftlichere Beziehung zu ihnen aufzubauen, in der sie die Grenzen der Verantwortlichkeiten nicht mehr so eng sehen. Davon würden sich die Provider Vorteile gegenüber Wettbewerbern erhoffen.

Lesetipp: Die 11 größten Cloud-Sicherheitsbedrohungen

Was macht die Hyperscaler besonders?

Richard Mogull ist Analyst und CEO beim Cloud-Sicherheitsexperten Securosis. Er beschäftigt sich tagtäglich mit der Datensicherheit in der Cloud und auch mit den Angeboten der Hyperscaler. Er hat für CSO drei grundlegende Annahmen formuliert:

• Alle Big 3, Amazon, Google und Microsoft, würden hervorragende Arbeit leisten, um die physische Sicherheit ihrer Rechenzentren zu gewährleisten, sich gegen Insider-Angriffe zu verteidigen und die Virtualisierungsschicht abzusichern, auf der Anwendungen und Entwicklungsplattformen laufen.

• Mogull bezeichnet die Cloud im Wesentlichen als eine neue Art von Rechenzentrum und jeder Anbieter sei auf technischer Ebene grundlegend anders. "Es gibt keine schnelle Lösung von der Stange. Die tatsächlichen Implementierungsdetails werden bei jedem dieser Anbieter unterschiedlich sein." Der CEO empfiehlt Unternehmen, ihre Mitarbeiter zu schulen, damit sie Fachwissen über den Betrieb von Anwendungen in den Hyperscaler-Umgebungen erlangen und sich nicht blind auf den Anbieter verlassen müssen.

• Dass die Nutzung der Hyperscaler-Dienste in den vergangenen Jahren deutlich zugenommen hat, stehe in einem Zusammenhang mit ihren vielfältigen Angeboten. AWS habe einen Marktanteil von 33 Prozent, Azure 21 Prozent und Google Cloud Platform (GCP) stünde an dritter Stelle mit acht Prozent. Alle drei Anbieter verfügen über eine breite Palette von Tools von Drittanbietern, umfangreiche Wissensdatenbanken sowie große Communities.

Google Cloud: Gemeinsames Schicksal statt gemeinsame Verantwortung

Google erregt das größte Aufsehen, wenn es darum geht, das Modell der geteilten Verantwortung neu zu definieren. Tatsächlich hat Google einen neuen Begriff geprägt, den der Suchmaschinen-Gigant "Shared Fate" nennt.

Laut Google-CISO Phil Venables schafft das Modell der gemeinsamen Verantwortung Unsicherheit darüber, wer sich um die Bedrohungserkennung kümmert, Best Practices für die Konfiguration entwickelt und Warnungen bei Sicherheitsverletzungen und anomalen Aktivitäten behandelt. Das gemeinsame Schicksal stellt Venables zufolge daher "den nächsten evolutionären Schritt dar, um eine engere Partnerschaft zwischen Cloud Service Providern und ihren Kunden zu schaffen". Mit dieseer Einstellung könne jeder den aktuellen und wachsenden Sicherheitsherausforderungen besser begegnen und gleichzeitig das Versprechen der digitalen Transformation einhalten.

Zu den Funktionen von Shared Fate gehören Standardkonfigurationen, die Sicherheitsgrundlagen gewährleisten, Blueprints, die Kunden für die Konfiguration einfacherer Produkte und Dienste nutzen können, und sichere Richtlinienhierarchien, sodass die Struktur automatisch in der gesamten Infrastruktur aktiviert wird. Darüber hinaus verfügt Google über ein Programm, das Cloud-Kunden mit Versicherern verbindet, die spezielle Angebote für Google Cloud Workloads anbieten.

Beim Vergleich der Big 3 ist Google in einer interessanten Position. Mogull weist darauf hin, dass die Google Cloud "auf dem langfristigen Engineering und den weltweiten Operationen von Google basiert, die wahnsinnig beeindruckend sind".

Der Marktanteil von Google von nur acht Prozent ist jedoch ein Problem, da es deshalb weniger Sicherheitsexperten gibt, die fundierte Erfahrungen mit Google Cloud Platform haben. Dies schlage sich in der weniger starken Community nieder, sagt Mogull. Außerdem gebe es deshalb auch weniger Tools für die GCP. Insgesamt sei Google Cloud "nicht so ausgereift wie AWS" und verfüge nicht über die gleiche Breite an Sicherheitsfunktionen.

Doch Google adressiert dieses Problem bereits und hat jüngst angekündigt, die Sicherheitsangebote weiter auszubauen, damit Unternehmen ihre Abhängigkeit von Drittanbieter-Tools reduzieren können. Eines dieser Tools ist das Cloud Intrusion Detection System. Dieses können Unternehmen mit nur wenigen Klicks bereitstellen, um sich vor Malware, Spyware, Command-and-Control-Angriffen und anderen netzwerkbasierten Bedrohungen zu schützen.

Lesetipp: Google wehrt Rekord-DDoS-Angriff ab

Microsoft Azure bewältigt die Multicloud-Sicherheit

Mit der Veröffentlichung von Microsoft Defender for Cloud versucht Microsoft, die Sicherheit in Multicloud-Umgebungen zu verbessern. Die Lösung bietet Cloud Security Posture Management (CSPM) sowie Cloud Workload Protection (CWP) in Azure, AWS und GCP. Ihr Ziel ist es, Schwachstellen in Cloud-Konfigurationen zu finden, die allgemeine Sicherheitslage zu stärken und Workloads vor Bedrohungen in Multicloud- und Hybrid-Umgebungen zu schützen. Defender for Cloud deckt virtuelle Computer, Container, Datenbanken, Speicher und Anwendungsdienste ab.

Das Modell der geteilten Verantwortung bleibt jedoch in der Azure Cloud bestehen. Die Organisationen sind für den Schutz der Sicherheit ihrer Daten und Identitäten, lokalen Ressourcen, Endpunkte, Konten und der Zugriffsverwaltung selbst verantwortlich.

Mogull sagt, dass Azure im Gegensatz zu AWS in vielen Diensten standardmäßig weniger sichere Konfigurationen verwende. Dennoch habe Azure einige Vorteile. Azure Active Directory kann mit dem Active Directory des Unternehmens verknüpft werden, um alle Berechtigungen von einem einzigen Verzeichnis aus zu verwaltet. Das Identitäts- und Zugriffsmanagement von Azure sei laut Mogull sofort sehr hierarchisch und einfacher zu verwalten als AWS.

In Bezug auf die Marktdynamik sagt Mogull, dass Microsoft "stark wird", weil das Unternehmen weiß, wie es seine bestehenden Beziehungen zu Unternehmenskunden nutzen kann. Er warnt jedoch davor, dass Unternehmen bedenken sollten, dass Datensicherheit nicht so in die DNA von Microsoft eingebrannt ist, wie es bei reinen Sicherheitsanbietern der Fall ist.

Lesetipp: Microsoft erhöht Sicherheitsstandards

AWS bietet ein breites Security-Toolset

Als ältester und dominantester Anbieter hat AWS einen Vorteil, wenn es um Knowhow und Tools geht. "Es ist einfacher, Support zu erhalten, Hilfe von der Community zu bekommen und unterstützte Tools zu finden, sagt Mogull. "Diese Vorteile kommen hinzu zur allgemeinen IT-Security-Reife und zum großen Umfang der Plattform." AWS verfüge über einen riesigen Marktplatz von Drittanbietern und bietee eine Vielzahl von Add-On-Angeboten sowie Beratungs-, Schulungs- und Zertifizierungsservices. ESG-Analystin Marks weist darauf hin, dass Amazon "viel über die Funktionen nachgedacht hat, die AWS bietet".

Als Beispiel nennt sie "Amazon GuardDuty". Die Lösung ist ein Bedrohungserkennungsservice, der AWS-Konten und -Workloads kontinuierlich auf bösartige Aktivitäten überwacht und detaillierte Analysen und Empfehlungen für die Problembehebung liefert. Add-Ons wie dieser Service gehören zu dem AWS Security Hub, der Sicherheitsdaten von AWS-Services und Drittanbietern sammelt und eine konsolidierte Ansicht des Sicherheitsstatus des Kunden bietet.

Mogull fügt hinzu: "Zwei der besten AWS-Sicherheitsfunktionen sind die hervorragende Implementierung von Sicherheitsgruppen und granularem IAM." Die AWS-Sicherheit basiere jedoch auf der Isolierung von Services voneinander, es sei denn, der Zugriff sei explizit aktiviert. Dies funktioniere aus Sicherheitssicht gut, aber der Nachteil bestehe darin, dass dadurch das Management auf Unternehmensebene schwieriger werde. Zudem wird es durch diese Trennung der Services schwieriger, IAM in großem Maßstab zu verwalten, sagt Mogull. "Trotz dieser Einschränkungen ist AWS in der Regel der beste Ausgangspunkt, an dem Sie auf die wenigsten Sicherheitsprobleme stoßen." (ms)

Lesetipp: Neue Kryptomining-Malware zielt auf AWS Lambda

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.