Was bedeutet Schutz von Workloads in der Cloud?
Beim Schutz von Workloads in der Cloud geht es darum, Workloads zu schützen, die zwischen verschiedenen Cloud-Umgebungen verschoben werden. Damit Cloud-basierte Anwendungen ordnungsgemäß und ohne Sicherheitsrisiken funktionieren, müssen alle Workloads funktionsfähig sein. Die Sicherheit von Cloud-Workloads und der Workload-Schutz für Anwendungsservices unterscheiden sich daher grundlegend von der Anwendungssicherheit auf Desktop-Geräten.
Cyberkriminelle greifen immer häufiger auf Ransomware-Angriffe zurück und nehmen damit Unternehmen ins Visier. Mit der zunehmenden Verbreitung von Cloud Computing-Infrastrukturen steigt auch die Anzahl an Schwachstellen. Sicherheitsstrategien, die auf präventivem Endpunktschutz basieren oder den Zugriff auf Endpunktgeräte einschränken, können Ereignisse in der Cloud nicht erfassen. Um Cyberangriffe abzuwehren, müssen sich Unternehmen in Private und Public Clouds neben Endpunkten auch auf den Schutz auf Workload-Ebene konzentrieren.
VMware-Produkte für Workload-Sicherheit – Übersicht
Erweiterter Workload-Schutz für das moderne Rechenzentrum
Warum ist Schutz von Workloads in der Cloud so wichtig?
Workloads bestehen aus all den Prozessen und Ressourcen, die Anwendungen und deren Interaktionen unterstützen. Cloud-Workloads umfassen Anwendungen, die von Anwendungen erzeugten oder in Anwendungen eingegebenen Daten sowie die Netzwerkressourcen, die Verbindungen zwischen Anwendern und Anwendungen unterstützen. Cloud-basierte Anwendungen funktionieren nicht ordnungsgemäß, wenn ein Teil der jeweiligen Workloads beeinträchtigt ist.
Workload-Sicherheit ist insbesondere in hybriden Rechenzentrumsarchitekturen kompliziert, die von physischen On-Premises-Maschinen über mehrere Public Cloud Infrastructure as a Service(IaaS)-Umgebungen bis zu containerbasierten Anwendungsarchitekturen reichen. Die Sicherheit von Cloud-Workloads ist besonders komplex, da Workloads über verschiedene Anbieter und Hosts verteilt werden und somit eine gemeinsame Verantwortung für den Workload-Schutz besteht.
Schutz von Workloads in der Cloud mit einer CWPP
Gartner definiert Plattformen für den Schutz von Workloads in der Cloud (Cloud Workload Protection Platform, CWPP) als eine Technologielösung, die „vorrangig zum Schutz von Server-Workloads in Public Cloud Infrastructure as a Service-Umgebungen verwendet wird“. Mithilfe von CWPPs können mehrere Public Cloud-Anbieter und Kunden gewährleisten, dass Workloads sicher sind, wenn sie ihre Domäne passieren.
Es gibt zwei Hauptmethoden, um Workloads mit CWPPs zu schützen: Mikrosegmentierung und Bare-Metal-Hypervisoren.
Mikrosegmentierung: Eine Methode für den Workload-Schutz besteht darin, Mikrosegmentierung – ein Verfahren für Netzwerksicherheit – zu implementieren. Bei der Mikrosegmentierung unterteilen Sicherheitsarchitekten ihre Rechenzentren bis auf die Ebene einzelner Workloads in verschiedene Sicherheitssegmente und definieren dann Sicherheitskontrollen für jedes Segment. Technologie für Netzwerkvirtualisierung ersetzt physische Firewalls, wodurch Sie mithilfe von Mikrosegmentierung flexible Sicherheitsrichtlinien definieren können, die einzelne Workloads isolieren und schützen. Während Endpunktschutz verhindert, dass Bedrohungen in Ihre Umgebung gelangen, gewährleistet Mikrosegmentierung, dass sich Malware nicht von Server zu Server innerhalb Ihrer Umgebung ausbreitet.
Bare-Metal-Hypervisor: Bare-Metal-Hypervisoren bieten unter Umständen zusätzlichen Workload-Schutz. Ein Hypervisor ist eine Art von Virtualisierungssoftware, die Erstellung und Management virtueller Maschinen unterstützt, indem sie die Software eines Computers von seiner Hardware trennt. Bare-Metal-Hypervisoren werden direkt auf der Hardware physischer Maschinen zwischen Hardware und Betriebssystem installiert. Hypervisoren erstellen voneinander isolierte virtuelle Maschinen, d.h., dass sich Probleme oder Angriffe auf eine bestimmte virtuelle Maschine nur auf den entsprechenden Server auswirken, während Workloads auf den anderen virtuellen Maschinen davon nicht betroffen sind.
Einige CWPP-Lösungen unterstützen hypervisorfähige Sicherheitsschichten, die speziell für den Schutz von Cloud-Workloads entwickelt wurden.
Inwiefern unterscheidet sich Workload-Schutz von Anwendungssicherheit?
Anwendungssicherheit bezieht sich auf Anwendungen, die lokal auf Desktops bereitgestellt werden, wobei Anwender auf Anwendungsinstanzen zugreifen. Die einzigen Sicherheitslücken in Anwendungen auf Desktops sind Schwachstellen im Anwendungscode – der Rest der Umgebung kann ignoriert werden. Früher konnten IT-Organisationen Anwendungssicherheit gewährleisten, indem sie Desktops schützten und von Bedrohungen fernhielten.
Cloud-basierte Anwendungen erfordern eine andere Form von Anwendungssicherheit. Die Abstrahierung zwischen Anwender und Anwendungen führt zu mehr potenziellen Schwachstellen, insbesondere wenn Unternehmen Public Clouds verwenden und dadurch bestimmte Bereiche ihrer Umgebungen nicht kontrollieren. Da Cloud-basierte Anwendungen nur funktionsfähig sind, wenn alle Workload-Teile ordnungsgemäß funktionieren, müssen Unternehmen neben Anwendungen auch ihre Workloads vollständig schützen und überwachen.
Die Vorteile von Workload-Schutz
Die Herausforderung Cloud-basierter Anwendungen besteht darin, dass sich Workloads unter Umständen in mehreren unterschiedlichen Umgebungen befinden, die alle von verschiedenen Anbietern und Technologien geschützt werden. CWPPs stellen umgebungsübergreifenden Workload-Schutz bereit. Die Implementierung von Workload-Schutz über CWPPs bietet zahlreiche Vorteile:
Überwachung des Workload-Verhaltens: Die Überwachung des Workload-Verhaltens spielt beim Schutz von Workloads in der Cloud eine wichtige Rolle. CWPPs bieten dank Workload-Überwachung zwei wichtige Aspekte der Workload-Sicherheit: Erkennung und Reaktion. Durch die Überwachung des Workload-Verhaltens können CWPPs Eindringversuche überall erkennen und Warnungen senden.
Workload-Transparenz und -Konfiguration: Ein wichtiger Aspekt des Workload-Schutzes besteht darin, Ereignisse in einzelnen Workloads nachzuvollziehen und diese Workloads dann so zu konfigurieren, dass etwaige Schwachstellen behoben werden.
Konsolidierte Protokollverwaltung und -überwachung: Wenn Workload-Teile von unterschiedlichen Sicherheitstechnologien verwaltet werden, gestaltet sich die Überwachung zeitaufwendig. CWPPs bieten eine zentrale Oberfläche, die aufzeigt, was in den jeweiligen Workload-Teilen in verschiedenen Umgebungen vor sich geht.
Systemhärtung und Schwachstellenmanagement: CWPPs helfen Ihnen dabei, potenzielle Angriffsvektoren zu beseitigen, indem überflüssige Anwendungen, Berechtigungen, Programme, Konten, Funktionen, Code usw. identifiziert werden, die Sicherheitsrisiken darstellen könnten.
Speicherschutz: Der nur in wenigen CWPPs enthaltene Speicherschutz ist eine neue Sicherheitskontrolle, die an Bedeutung gewinnt, da Hacker neue Verfahren entwickeln, um Schwachstellen im Arbeitsspeicher auszunutzen und herkömmliche Sicherheitsmethoden einfach zu umgehen.
Aktuelle Threat Intelligence: Einige CWPPs bieten ihren Kunden mithilfe von Threat Intelligence ein Frühwarnsystem für neue Bedrohungen.
Die Sicherheitslandschaft entwickelt sich stetig weiter und Legacy-Sicherheitssysteme sind für Unternehmen, die die Cloud als Teil ihrer Computing-Infrastruktur nutzen, nicht mehr ausreichend. Sie müssen ihren Workload-Schutz in mehreren Cloud-Umgebungen planen. Eine Plattform zum Schutz von Workloads in der Cloud bietet Transparenz für mehrere Umgebungen und nutzt ein zentrales Dashboard, um Sicherheitswarnungen zu konsolidieren und darauf zu reagieren.
Zugehörige Lösungen und Produkte
VMware Carbon Black Cloud Workload
Verringern Sie Angriffsflächen und schützen Sie kritische Ressourcen dank speziellem Workload-Schutz für moderne Rechenzentren.