Prinzipien der sicheren Anwendungsarchitektur zur Verbesserung der Resilienz in der Cloud

SICHERE CLOUD-ARCHITEKTUR: DIE GRUNDLAGE FÜR STABILE ANWENDUNGEN

Es gibt viele gute Gründe für ein Unternehmen, seine Anwendungen in die Cloud zu verlagern, darunter Kosteneinsparungen, schnellere Implementierungen, höhere Resilienz und mehr Flexibilität. Unternehmen auf der ganzen Welt sehen Multi-Cloud-Implementierungen als die beste Lösung für die zahlreichen, sehr unterschiedlichen Anwendungen in ihrem Portfolio an, die in der Regel das gesamte Spektrum klassischer Anwendungen (MS Exchange, SAP usw.) und kundenspezifischer, firmeninterner Anwendungen umfassen.

Bei der Bereitstellung von Anwendungen in der Cloud stehen zwar einige wichtige Überlegungen an, zwei der wichtigsten umfassen jedoch die Sicherheit und Flexibilität. Wie sich herausstellt, sind diese Überlegungen eng miteinander verbunden. Die Möglichkeit, Webanwendungen zu sichern, insbesondere wenn sie über mehrere Cloud-Standorte verteilt sind, kann und sollte von Anfang an in Ihre Architektur eingebaut werden. Auf diese Weise gewährleisten Sie die Bereitstellung einer konsistenten Sicherheitsrichtlinie für all Ihre Anwendungen und bieten Ihren Benutzern (Mitarbeiter, Partner, Kunden oder alle eben genannten) ein reibungsloses Erlebnis. Diese Konsistenz schafft auch ein gewisses Maß an operativer Flexibilität und Resilienz, wodurch es wesentlich einfacher ist, schnell auf unerwartete Herausforderungen zu reagieren oder sich an neue Gelegenheiten anzupassen.

Prinzipien der Cloud-Architektur

Wie John Wagnon in einer kürzlichen Lightboard-Lektion erwähnte, müssen die Benutzer einer Cloud wissen, wo sich ihre Verantwortlichkeitsfelder tatsächlich befinden. „Im Allgemeinen ist der Cloud-Betreiber für die Sicherheit der Cloud verantwortlich, und der Nutzer ist für die Sicherheit in der Cloud verantwortlich“, sagte Wagnon. Leider lässt diese Konzeptualisierung eine Menge Sicherheitsbedenken unbeantwortet. Um die Sicherheit Ihrer Anwendungen zu gewährleisten, müssen Sie diese Lücken schließen.

Bei der Entwicklung eines Plans zur Gewährleistung der Sicherheit und Resilienz der Anwendungen Ihres Unternehmens sollten drei Prinzipien im Vordergrund stehen: Konsistenz, Kontrolle und Agilität. Der von uns empfohlene Ansatz ähnelt den Prinzipien der Flughafensicherheit. Anstatt von jeder Fluggesellschaft zu verlangen, dass sie ihre eigenen Sicherheitskontrollen durchführt, werden die Reisenden an einem konsolidierten Kontrollpunkt überprüft und dann zu ihren Gates geleitet. In ähnlicher Weise kann eine sichere Cloud-Architektur den gesamten Datenverkehr durch eine einheitliche Sicherheits-VPC (Virtual Private Cloud) leiten, bevor sie den Zugriff auf eine bestimmte Anwendung erlaubt. Und so wie der Mitarbeiter am Gate die Sitzplätze neu zuweisen und die Tickets der Reisenden vor dem Einsteigen überprüfen kann, kann jede Anwendung mit zusätzlichen Sicherheitsfunktionen und -fähigkeiten ausgestattet werden.

In einem Szenario wie diesem ist die Sicherheits-VPC oft für viele kritische und häufig ressourcenintensive Funktionen verantwortlich, darunter Lastenausgleich, WAF (und andere Firewalls), Zugriffsverwaltung, Identitätsverschlüsselung, SSL-Überprüfung, DDoS- und Bot-Schutz, API-Verwaltung, Leistungsverwaltung und vieles mehr.

Die Dienste in der Sicherheits-VPC können einfach untereinander kommunizieren, was zusätzliche Vorteile mit sich bringt. Wenn Ihre WAF beispielsweise einen Angriff abfängt, kann sie Ihre Zugriffskontrolldienste benachrichtigen, damit diese den Angreifer ebenfalls blockieren.

Die Möglichkeit, über alle Elemente in der Sicherheits-VPC zu kommunizieren, ermöglicht eine effektive, anwenderübergreifende Überprüfung und beseitigt Spannungs- und Redundanzpunkte für Organisationen, die Prüfungs-Tools wie McAfee, FireEye, Palo Alto Networks usw. einsetzen. Datenverkehr, der im Rahmen der SSL-Überprüfung unverschlüsselt ist, kann zur weiteren Untersuchung an Prüfungs-Tools weitergeleitet werden. Dieser Ansatz ist effizienter, als wenn jedes Tool den gleichen Datenverkehr entschlüsseln, untersuchen und wieder verschlüsseln müsste.

Dieser Ansatz zur Schaffung einer sicheren Cloud-Architektur ermöglicht ein hohes Maß an Agilität und Skalierbarkeit für Anwendungsentwickler und trägt dazu bei, Spannungen zu verringern und die Zusammenarbeit zwischen den Teams zu verbessern. In der Sicherheits-VPC werden Basisstandards eingesetzt, welche nur minimale Aktualisierungen erfordern. Entwickler können je nach Bedarf mehr Sicherheit auf der Anwendungsebene hinzufügen und sich bei den Grundlagen auf die Sicherheits-VPC verlassen. Ebenso können Netzwerkadministratoren Sicherheitsdienste für jede Umgebung (Entwicklung, Test, Produktion) definieren. Wenn Entwickler eine Anwendung ohne vordefinierte Sicherheitsfunktionen starten, wird die auf der VPC-Ebene definierte Basissicherheit angewendet.

Alle Funktionen an einem Punkt

Die Bereitstellung von Anwendungen – vom Code bis zum Kunden – gestaltet sich so komplex wie eh und je. Sie können einige Schritte unternehmen, um den Prozess zu vereinfachen und gleichzeitig die Sicherheit in allen Umgebungen und in Multi-Cloud-Architekturen zu gewährleisten. Beginnen Sie damit, einen guten Einstiegspunkt für den gesamten Anwendungsdatenverkehr einzurichten und Standards in Sachen Sicherheit und Datenverkehrsverwaltung bis zu diesem Punkt bereitzustellen. Von dort aus besitzen Sie die Flexibilität, zusätzliche Sicherheitsdienste auf der Anwendungsebene zu definieren. Dieser zweistufige Ansatz bietet zuverlässige Sicherheit bei gleichzeitiger Wahrung von Konsistenz, Kontrolle und Agilität.