Ausweitung der vollständigen Datensicherheit auf die öffentliche Cloud mit DSPM

In letzter Zeit haben Angriffe, die direkt auf die Cloud abzielen, um 288 % zugenommen.¹ Da Unternehmen mittlerweile Zettabytes an Daten in die Cloud übertragen, ist eine Katastrophe vorprogrammiert. Angesichts der Tatsache, dass sensible Daten wie personenbezogene Daten, Kreditkartendaten, Gesundheitsdaten und andere vertrauliche Informationen über mehrere Clouds, Konten, Services und Datenspeicher verteilt gespeichert sind – bei gleichzeitig mangelnder Transparenz und unzureichendem Einblick – ist es nicht länger nur eine Option, Ihre Cloud-Daten zu priorisieren, sondern eine Notwendigkeit.

Aktuelle Ansätze zur Datensicherheit reichen nicht aus

Unternehmen geben mitunter jedes Jahr Millionen von Dollar für mehrere Sicherheitslösungen aus, um ihre Daten zu schützen. Dieser Ansatz ist jedoch nicht skalierbar und erfordert viele manuelle Vorgänge, was zu unzähligen Warnmeldungen und mehr Sicherheitslücken führt, insbesondere in komplexen Multicloud-Umgebungen. Zudem sind die durchschnittlichen Kosten einer Datenpanne in den letzten drei Jahren weltweit um 15 % auf etwa 4,45 Millionen US-Dollar gestiegen, wobei 82 % der Datenpannen Daten betreffen, die in Cloud-Umgebungen gespeichert sind.²

Darüber hinaus haben Unternehmen mit einem herkömmlichen Datensicherheitsansatz Schwierigkeiten in den folgenden Bereichen:

• Erkennen und Klassifizieren von Cloud-Daten: Wo werden vertrauliche Daten gespeichert? Um welche Art von Daten handelt es sich?
• Erkennen von Cloud-Daten: Wer hat Zugriff auf diese Daten? Werden die geltenden Vorschriften erfüllt?
• Kontextualisieren von Cloud-Daten: Werden Daten exponiert? Wie sieht der Sicherheitsstatus meiner Daten aus?

Eine Lösung für dieses Problem: Zscaler Data Security Posture Management (DSPM)

Um die heutigen Herausforderungen im Bereich der Cloud-Datensicherheit zu bewältigen, möchten wir Ihnen unsere vollständig integrierte Zscaler-DSPM-Lösung vorstellen, mit der Sie Ihre Cloud-Daten proaktiv klassifizieren, erkennen und schützen können.

Als Bestandteil der Zscaler-AI-Data-Protection-Plattform erweitert Zscaler DSPM die robuste, erstklassige Sicherheit für Ihre Daten auf die öffentliche Cloud. DSPM bietet detaillierten Einblick in Ihre Cloud-Daten, klassifiziert und identifiziert Daten sowie Zugriffe und kontextualisiert Datenexposition und Sicherheitsstatus. So können Sicherheitsteams Datenpannen in der Cloud in großem Maßstab verhindern und beheben.

Im Gegensatz zu älteren oder separaten Datensicherheitslösungen verwendet DSPM eine zentrale und einheitliche DLP-Engine, um konsistente Data Protection in allen Kanälen wie Endgeräten, E-Mail, SaaS und jetzt auch IaaS/PaaS zu gewährleisten. Durch die Überwachung aller User an allen Standorten und die Kontrolle der Daten während der Nutzung, Übertragung und im Ruhezustand wird sichergestellt, dass sowohl strukturierte als auch unstrukturierte Daten nahtlos geschützt sind und die Compliance eingehalten wird.

Wichtige Funktionen und Vorteile:

• Erkennen und Klassifizieren von Daten: Verschiedene Cloud-Plattformen und -Services werden in Echtzeit auf vertrauliche Daten gescannt. Sie profitieren von präziser, KI-basierter Datenklassifizierung mit Unterstützung der Zscaler Zero Trust Exchange™, die täglich Milliarden von Transaktionen überwacht.
• Abbilden und Verfolgen von Gefährdungen: Erhalten Sie eine einheitliche Ansicht der Sicherheit, des Bestands und der Compliance für vertrauliche Daten in Ihrer Multicloud-Umgebung. Verschaffen Sie sich einen granularen, risikobasierten, userzentrierten Überblick über alle Zugriffspfade auf unternehmenskritische Daten und Konfigurationen. Analysieren Sie versteckte Risiken wie Fehlkonfigurationen, übermäßige Berechtigungen und Schwachstellen.
• Risikobehebung: Mindern Sie Risiken proaktiv, indem Sie potenzielle Sicherheitslücken identifizieren und die erforderlichen Kontrollen implementieren. Beheben Sie Probleme und Verstöße mit kontextbasierter, geführter Fehlerbehebung direkt an der Quelle.
• Konsistenter Sicherheitsstatus: Sorgen Sie überall für konsistente, erstklassige Datensicherheit, von Endgeräten bis hin zu E-Mail, SaaS, öffentlicher Cloud usw.
• Zuverlässige Compliance: Sorgen Sie für die kontinuierliche Einhaltung branchenspezifischer Vorschriften und Data Protection-Standards. Gleichen Sie Ihren Sicherheitsstatus kontinuierlich mit aufsichtsrechtlichen Frameworks wie DSGVO, HIPAA und PCI DSS ab, um Compliance-Verstöße zu erkennen und zu beheben.
• Integrierte Workflows: Sie können die Lösung nahtlos in Ihr bestehendes Sicherheits-Ökosystem, in Services von Drittanbietern, in native Tools zur Risikopriorisierung und in Anwendungen für die Zusammenarbeit im Team integrieren.

Zscaler DSPM zur Lösung echter Sicherheitsprobleme

Erkennung und Klassifizierung der sensibelsten Daten

Um einen Überblick über Ihre Daten in der öffentlichen Cloud zu erhalten – einschließlich der Art der gespeicherten Daten, der Services, in denen die Daten gespeichert sind, und des Speicherorts sensibler Daten – kann Zscaler DSPM Ihr gesamtes Unternehmen oder bestimmte Konten, die Sie schützen möchten, scannen. Standardmäßig verwendet Zscaler DSPM alle verfügbaren sofort einsatzbereiten KI-Klassifizierungstools, Wörterbücher und DLP-Engines sowie alle userdefinierten Engines, um die Daten zu erkennen und zu klassifizieren.

Mithilfe von DSPM können Sicherheitsteams Daten an verschiedenen Cloud- und Netzwerkstandorten erkennen und klassifizieren. Die Lösung bietet umfassende Einblicke in Speicherort, Kategorisierung, Klassifizierung, Zugriffsberechtigungen und Compliance-Risiken von Dateien. So können Fehlkonfigurationen, unzureichende Zugriffskontrollen und Schwachstellen, die zu einer Datenpanne führen könnten, identifiziert werden.

Abb. 1: DSPM-Dashboard – Datenerkennung

Sicherheitsteams können Daten detailliert untersuchen, indem sie sich auf einen bestimmten Datentyp konzentrieren, um zugehörige Informationen wie das Volumen, die geografische Verteilung der Daten und die Services, die diese Art von Daten speichern, zu ermitteln. Beispielsweise zeigt sich, dass Krankenakten meist in Speicher-Buckets, einige in VM-Laufwerken und nur wenige in Datenbanken gespeichert sind.

Für einige Unternehmen ist es wichtig, Daten aus einer geografischen Perspektive zu überprüfen, z. B. eine bestimmte Region oder eine Aufschlüsselung der Daten nach Regionen. Mit Geo-Fencing kann Zscaler DSPM Unternehmen dabei helfen, die Datennutzung zu überprüfen und auf bestimmte Standorte/Regionen zu beschränken.

Sicherheitsteams erhalten einen Überblick über die Art und Menge der an den einzelnen Standorten gespeicherten Daten und können die Aufschlüsselung nach Typ des Datenspeichers einsehen. Dadurch erhalten sie umfassende Transparenz und Kontrolle darüber, welche Daten in ihren Clouds verarbeitet werden, und können die DSPM-Einstellungen optimieren, indem sie eine vollständige Analyse durchführen oder sich auf bestimmte Datentypen konzentrieren, die für sie von Bedeutung sind.

Abb. 2: DSPM-Dashboard – vollständige Ansicht der Datenspeicher im Datenbestand

Sicherheitsteams können bei der Untersuchung noch einige Ebenen tiefer gehen. Über jeden der Links können Sie bis auf die Ebene eines einzelnen Datenspeichers navigieren, die dort vorhandenen spezifischen Informationen prüfen und sich einen Überblick über den Datenspeicher verschaffen. So lässt sich der Sicherheitsstatus leicht nachvollziehen, Sie erhalten Informationen darüber, wie Daten gekennzeichnet sind, und können viele weitere Informationen (z. B. zu welchem Projekt sie gehören oder wer der Eigentümer ist) abrufen, um die Daten besser einordnen zu können.

Identifizierung, Untersuchung und Behebung von Risiken

Nachdem sie verschiedene Überprüfungen durchgeführt haben, haben die Sicherheitsteams nun einen vollständigen Überblick über den Speicherort der Cloud-Daten. Die nächsten Fragen, die Sie sich stellen sollten, lauten:

• Was sind die größten Risiken für die Sicherheit der Daten?
• Schränkt die aktuelle Konfiguration der Sicherheitsrichtlinien das Risiko eines Datenverlusts ein?
• Umfasst die aktuelle Konfiguration geeignete Kontrollen, um böswillige Zugriffe auf die Daten oder deren versehentliche Offenlegung zu verhindern?
• Welche Maßnahmen können als Nächstes ergriffen werden, um sensible Daten in der Cloud zu schützen und einen konsistenten Sicherheitsstatus zu gewährleisten?

DSPM kann diese Probleme automatisch beheben, indem es KI- und ML-Algorithmen in Verbindung mit erweiterter Bedrohungskorrelation verwendet, um Datenrisiken zu identifizieren und zu priorisieren. Die Lösung analysiert den Datenkontext und -inhalt, um vertrauliche Informationen (z. B. geistiges Eigentum, personenbezogene Daten, Krankenakten) zu identifizieren, Datenrisiken zu priorisieren und Sicherheitsteams dabei zu unterstützen, sich auf den Schutz der wichtigsten Datenbestände zu konzentrieren.

Abb. 3: DSPM-Dashboard – Datenspeicher mit den höchsten Risiken

Auf der Grundlage der Erkenntnisse über den Sicherheitsstatus und der sensiblen Daten sortiert das System die Datenspeicher nach dem höchsten bis zum geringsten Risiko, das sie für das Unternehmen darstellen. Grundsätzlich gilt: Wenn Sie nur eine Stunde Zeit haben, um das Risiko Ihrer Cloud zu reduzieren, beginnen Sie oben in diesem Dashboard und arbeiten sich nach unten vor.

Sie können auch sehen, dass Warnmeldungen ausgegeben wurden, die jeweils einen Angriffsvektor beschreiben, der Anlass zur Sorge gab. Die Ansicht der DSPM-Warnmeldungen bietet eine genaue, aber einfache Übersicht über das erkannte Problem. Im Beispiel in Abbildung 3 wären die Auswirkungen eines potenziellen Angriffs über diese Vektoren enorm, da dieser S3-Bucket eine große Menge sensibler Datensätze enthält. Zusammengenommen stellen diese ein kritisches Risiko dar.

Sobald Sicherheitsteams davon Kenntnis haben, besteht der nächste Schritt in der Regel darin, sich umfassend über den Datenspeicher zu informieren und die potenziellen Probleme zu beheben, um so das Risiko für die Datensicherheit zu verringern. DSPM bietet einen umfassenden Einblick in Sicherheitsprobleme und eine Schritt-für-Schritt-Anleitung zur Behebung, um Sicherheitsteams, bereichsübergreifende Teams und Projektbeteiligte bei der Lösung dieser Probleme zu unterstützen.

Im Folgenden wird anhand eines Beispiels erläutert, wie DSPM bei der Identifizierung, Priorisierung und Behebung von Risiken helfen kann.

Abb. 4: Detaillierte Ansicht der Warnmeldungen

In diesem Beispiel haben wir einen komplexen Angriffsvektor untersucht, der es einem böswilligen User ermöglicht, auf sensible Daten in einem Speicher-Bucket zuzugreifen. Dieser Speicher-Bucket ist ordnungsgemäß konfiguriert: Es besteht kein direkter Zugriff darauf, es wird eine Sicherungskopie erstellt und die entsprechenden Protokolle sind aktiviert. Trotzdem ist er über einen erweiterten Pfad zugänglich: Mehrere VMs (AWS-EC2-Instanzen) können darauf zugreifen.

Dieser Zugriff könnte bei einem legitimen Geschäftsszenario erforderlich sein. Beispielsweise kann eine VM eine Anwendung ausführen, die Zugriff auf die Daten im Speicher-Bucket benötigt. Diese VMs enthalten jedoch einige CVEs und sind so konfiguriert, dass sie öffentlich zugänglich gemacht werden können.

Das alles können Sie der Beschreibung der Warnmeldung, der Zusammenfassung und dem Diagramm entnehmen. Aus dieser Warnmeldung geht hervor, dass ein Hacker auf jede dieser VMs zugreifen (da sie öffentlich zugänglich sind), die Schwachstelle in ihren laufenden Paketen ausnutzen kann, um die Kontrolle/den Zugriff auf diese VM zu erlangen, und dann über die VM auf die Daten im Bucket zugreifen könnte.

An dieser Stelle suchen Sicherheitsteams nach weiteren Details. Durch Auswahl des Service-Knotens können Sie den Kontext wechseln, um mehr über diese VMs zu erfahren. Sie können dann durch die VMs scrollen, ihre Schwachstellen untersuchen, prüfen, zu welchen Paketen sie gehören, ob es einen Fix gibt und vieles mehr.

Um eine genauere Analyse des Angriffspfads zu erhalten, können Sie auf direkter EC2-Ebene über den öffentlichen Expositionspfad genauer nachforschen.

Abb. 5: DSPM – Details der Warnmeldung

Abb. 6: DSPM – Details der Warnmeldung – Öffentlicher Expositionspfad

Hier ist zu sehen, dass der öffentliche Expositionspfad für diese EC2-Instanz die Sicherheitsgruppe und die VPC-Zugriffssteuerungsliste umfasst, die mit der VM, einem Load Balancer und einem Internet-Gateway-Service verknüpft sind. DSPM hebt die Sicherheitsgruppe außerdem mit einem Ausrufezeichen hervor, was darauf hinweist, dass sie eine Schlüsselrolle bei dieser Exposition spielt. Durch Klicken auf die Sicherheitsgruppe wird der Kontext geändert und es werden Informationen über die Sicherheitsgruppe selbst angezeigt.

Abb. 7: DSPM – Details der Warnmeldung – Ursache der öffentlichen Exposition

Selbst wenn Ihre Teammitglieder keine Cloud-Experten sind, können sie die Ursache für die eingehende Regel der Sicherheitsgruppe leicht identifizieren. Diese Regel ermöglicht den direkten Zugriff. Sie können die Regel überprüfen oder kopieren und diese mit dem Cloud-Architekten oder -Entwickler teilen, der das Problem beheben wird.

In anderen Fällen möchten Teams möglicherweise die Berechtigungen für diese VM überprüfen und herausfinden, warum sie Zugriff auf den Speicher-Bucket hat, anstatt die öffentliche Exposition zu beheben.

Abb. 8: DSPM – Details der Warnmeldung – Zugriffspfad

Ähnlich wie beim öffentlichen Expositionspfad können Teams in diesem Fall auf den „Zugriffspfad“ klicken und eine einfache grafische Darstellung der Zugriffsberechtigungen anzeigen. Die Berechtigungen in der öffentlichen Cloud sind sehr granular. DSPM macht die komplexen Zusammenhänge leicht verständlich und erläutert diesen Zugriff. In diesem Fall verfügt die EC2 über ein Instanzprofil, das mit einer bestimmten Rolle verknüpft ist, die an drei Richtlinien gebunden ist, von denen jede unterschiedliche Zugriffsebenen auf den Bucket gewährt.

Auch hier können Teams jedes der Objekte im Diagramm untersuchen, die relevanten Metadaten kopieren oder sogar direkt zur AWS-Konsole gehen und die Probleme beheben. Durch unsere Funktionen zur Fehlerbehebung erhalten Sicherheitsteams dann eine Schritt-für-Schritt-Anleitung, wie sie Probleme lösen und sicherstellen können, dass Ihre Cloud-Daten geschützt bleiben.

Weitere Informationen zu Zscaler DSPM finden Sie im Einführungswebinar.

Weitere Ressourcen

• DSPM-Webseite: www.zscaler.com/de/dspm
• Datenblatt: Zscaler DSPM auf einen Blick
• Zscaler DSPM — Demovideo

Fußnoten

1. Cloud Security Alliance, The Common Cloud Misconfigurations That Lead to Cloud Data Breaches, 11. Oktober 2023.

2. IBM,Cost of a Data Breach Report 2023, 24. Juli 2023.