Was ist Cloud Enclaving?

Cloud Enclaving: Was ist das und wie unterscheidet es sich von herkömmlicher Cybersicherheit?

Cloud Enclaving wurde gezielt als Methode zur Schließung empfindlicher Sicherheitslücken in den IT-Umgebungen digitaler Unternehmen entwickelt, die sich mit Legacy-Lösungen nicht oder nur schwer beheben lassen. In diesem Beitrag werden die historischen Hintergründe beleuchtet.

Früher – als sich Anwendungen und Daten noch im lokalen Rechenzentrum der betreffenden Organisation befanden und die Mehrzahl der Belegschaft ebenfalls an diesem Standort arbeitete – ließ sich mit herkömmlicher perimeterbasierter Netzwerksicherheit ein ausreichendes Schutzniveau gewährleisten. Inzwischen haben Globalisierung und hybride Arbeitskonzepte dazu geführt, dass sich Cloud-Computing zunehmend als Standardmodell durchsetzt und ältere Konzepte verdrängt.

In der Cloud werden die geschäftskritischen Workloads einer Organisation häufig in den Umgebungen unterschiedlicher Anbieter gehostet (Amazon Web Service [AWS], Microsoft Azure usw.), wo die User über das Internet darauf zugreifen können. In der Praxis bedeutet dies, dass es den „Netzwerk-Perimeter“ im herkömmlichen Sinne nicht mehr gibt. Dadurch vervielfachen sich die Schwachstellen und Sicherheitslücken, über die sich Angreifer Zugriff auf Unternehmensressourcen verschaffen können. Cloud Enclaving empfiehlt sich als Möglichkeit, diese Risiken durch präzise definierte Sicherheitsrichtlinien in den Griff zu bekommen, die eine Verbindung zu den betroffenen Workloads nur mit ausdrücklicher Berechtigung zulassen.

Was ist unter einer sicheren Enclave zu verstehen?

Als sichere Enklave wird ein Netzwerkbereich bezeichnet, der vom Rest des Netzwerks abgetrennt und durch granulare Sicherheitsrichtlinien geschützt wird. Der Zweck einer sicheren Enklave besteht darin, im Rahmen einer mehrstufigen Abwehrstrategie den Zugriff auf kritische Ressourcen mit den geringsten Privilegien durchzusetzen.

Netzwerksegmentierung und Cloud Enclaving im Vergleich

Netzwerksegmentierung eignet sich vor allem zur Absicherung von Verbindungen zwischen der unternehmenseigenen IT-Umgebung und externen Standorten. Cloud Enclaving hingegen bietet eine zusätzliche Schutzschicht für den Traffic innerhalb der Umgebung (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Nachstehend werden die Vor- und Nachteile beider Verfahren ausführlicher erläutert.

Netzwerksegmentierung

Im Vergleich zu einem Perimeter-basierten Modell, das ein Netzwerk nur von außen schützt, zeichnet sich Netzwerksegmentierung durch mehr Differenzierung aus. Konkret wird hierbei das Netzwerk in sogenannte Subnetze unterteilt, für die jeweils eigene Sicherheits- und Complianceprotokolle gelten. Der Traffic zwischen den Segmenten wird in der Regel mithilfe eines VLANs getrennt und über eine Firewall geleitet.

Da dieser Ansatz auf IP-Adressen basiert, lässt sich jedoch nur erkennen, woher die Anfrage kommt (d. h. die IP-Adresse, der Port oder das Protokoll, von der bzw. dem sie ausgeht). Hingegen ist weder der Kontext noch die Identität der Entität ersichtlich, die die Anfrage stellt. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT genau weiß, von welcher Entität die Kommunikation ausgeht. Nachdem die Verbindungsanforderung genehmigt wurde, kann die betreffende Entität sich innerhalb des jeweiligen Segments frei bewegen. Das gilt auch für Bedrohungsakteure, denen es gelungen ist, sich unbefugten Zugriff auf ein Subnetz zu verschaffen.

Durch Netzwerksegmentierung entstehen „flache“ Netzwerke mit ungeschützten Verbindungspfaden, sodass Angreifer sich ungehindert lateral durch Umgebungen in Clouds und Rechenzentren bewegen können. Dadurch ist die Sicherheit der dort gehosteten Workloads gefährdet. Darüber hinaus ist die Netzwerksegmentierung mithilfe von Legacy-Firewalls oder virtuellen Maschinen (VMs) mit einem hohen Kosten- und Arbeitsaufwand verbunden, der ihre sicherheitsrelevanten Vorteile wieder aufhebt.

Cloud Enclaving

Cloud Enclaving, also cloudbasierte Mikrosegmentierung, ermöglicht eine detailliertere Kontrolle des Traffic und minimiert gleichzeitig die Angriffsfläche eines Unternehmens. Dadurch wird eine Segmentierung erreicht, die sich einfacher und sicherer umsetzen lässt als eine Netzwerksegmentierung. Dies geschieht, indem Anfragen anhand von Identität und Kontext authentifiziert werden anstatt nur über IP-Adressen, Ports und Protokolle. Durch Anwendung granularer Richtlinien auf der Ebene einzelner Workloads wird eine effektivere Kontrolle der Kommunikationen zwischen Workloads möglich.

Cloud Enclaving ist eine wirksame Methode zur Abwehr sowohl interner als auch externer Bedrohungen. Durch Bereitstellung von Schutzmechanismen unmittelbar an der jeweiligen Workload werden unbefugte Zugriffe von Insidern ebenso verhindert wie die laterale Ausbreitung von Angriffen nach erfolgreichem Eindringen in die IT-Umgebung.

Welche Vorteile hat Cloud Enclaving?

Ähnlich wie Netzwerksegmentierung dient Cloud Enclaving zur Stärkung der Netzwerk- und Datensicherheit. Branchen- und regionsübergreifend sehen sich Organisationen einer zunehmenden Anzahl von Cyberbedrohungen ausgesetzt, wobei die Angreifer immer raffiniertere Techniken zur Umgehung von Schutzmechanismen entwickeln. Um diese Risiken in den Griff zu bekommen, müssen Organisationen darauf mit einer entsprechenden Anpassung und Weiterentwicklung ihrer Sicherheitsstrategien reagieren.

Eine effektive Cloud-basierte Mikrosegmentierung bringt Organisationen eine Reihe von Vorteilen:

• Proaktive Netzwerk- und IT-Sicherheit: Beim Cloud Enclaving werden anwendungsbezogene Richtlinien erstellt, die konsistent in sämtlichen Umgebungen durchgesetzt werden, sodass das Schadenspotenzial etwaiger Sicherheitsverletzungen radikal eingedämmt wird. Einige einschlägige Services können automatisch alle kommunizierenden Anwendungen identifizieren und entsprechende Zero-Trust-Richtlinien empfehlen, die sich mit einem einzigen Klick anwenden lassen.
• Reduzierung von Sicherheitsrisiken: Anstelle von statischen Kontrollen, die auf IP-Adressen, Ports und Protokollen beruhen, können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerprinting wird die Absicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.
• Kontinuierliche Risikobewertung: Mit Cloud-Enklaven können Sie Ihre sichtbare Angriffsfläche automatisch messen, um das Risiko zu quantifizieren. Am effektivsten sind Enclave-Services, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, und zugleich wird die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt.
• Vereinfachte Richtlinienverwaltung: Da Cloud-Enclave-Richtlinien nicht für IP-Adressen, Ports, Protokolle oder Hardware, sondern für einzelne Workloads gelten, bleiben sie bei Änderungen der Infrastruktur weiterhin gültig. Entsprechend sind zum Schutz eines Segments statt hunderter adressbasierter Regeln nur noch eine Handvoll identitätsbasierter Richtlinien erforderlich, die in allen Umgebungen konsistent durchgesetzt werden.

Cloud Enclaving mit Zscaler Workload Segmentation

Zscaler Workload Communications ist eine neue Möglichkeit, sichere Enklaven in der Cloud zu erstellen. Sie können Ihr Sicherheitsniveau mit einem einzigen Klick erhöhen und mithilfe von ZWS Risiken aufdecken und identitätsbasierten Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk erforderlich sind.

Workload Communications gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der IT-Umgebung anpassen, sodass die Netzwerk-Angriffsfläche minimiert wird. Als API-gestützte Lösung kann Zscaler Workload Communications zur automatischen Segmentierung mit einem Klick mit vorhandenen Sicherheitstools und DevOps-Prozessen integriert werden.

Zscaler basiert auf Zero Trust und stellt die Kommunikation ausschließlich zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen her. Dadurch werden Risiken minimiert und der bestmögliche Schutz vor Datenpannen bereitgestellt.

In Workload Communications inbegriffen:

Software-identitätsbasierter Schutz

Geht über die Überprüfung von Netzwerkadressen hinaus, um die Identität der kommunizierenden Anwendungssoftware und Workloads in öffentlichen oder privaten Clouds, hybriden Clouds, lokalen Rechenzentren oder Container-Umgebungen zuverlässig zu verifizieren.

Engine zur Policy-Automatisierung

Setzt maschinelle Lernalgorithmen zur Automatisierung des gesamten Policy-Zyklus für Mikrosegmentierung und Workload-Schutz ein. Es besteht keine Notwendigkeit, während der Bereitstellung oder im laufenden Betrieb manuell Richtlinien zu erstellen. Workload Communications empfiehlt neue oder aktualisierte Richtlinien, wenn Apps hinzugefügt oder geändert werden.

Visualisierung und Messung der Angriffsfläche

Erstellt automatisch eine Echtzeit-Anwendungstopologie mit Diagrammen zur Visualisierung der Abhängigkeiten bis hinunter zur Prozessebene. Anschließend werden die tatsächlich erforderlichen Anwendungspfade markiert und mit der Gesamtmenge aller verfügbaren Netzwerkpfade verglichen sowie entsprechende Empfehlungen für Richtlinien zur Minimierung der Angriffsfläche und zum effizienten Schutz der erforderlichen Pfade erstellt.

Interessiert?

Fordern Sie eine Demo an, um selbst zu sehen, wie Sie mit Zscaler Workload Communications Cloud-Enklaven erstellen können, um Ihre Sicherheit zu verbessern.

How Zscaler Secures Cloud Workloads

Zscaler Zero Trust Cloud delivers simplified, consistent security for modern workloads across multicloud environments. Built on zero trust principles, it secures all workload traffic—whether ingress, egress, or east-west flows—with a unified approach that eliminates lateral movement and reduces the attack surface.

With granular microsegmentation and AI-powered policy recommendations, Zscaler protects mission-critical applications, simplifies management, and speeds up deployment. Flexible deployment options let you manage the infrastructure yourself or use the solution as a gateway service.

Zero Trust Cloud unifies multicloud security in one solution, providing:

• Comprehensive traffic security: Protect east-west, ingress, egress, and micro-flows with consistent controls.
• Peerless risk reduction: Stop lateral movement of threats and isolate high-risk workloads with segmentation.
• Reduced admin complexity: Simplify management with automated policy creation and AI-powered recommendations.