Absicherung der Cloud-Kommunikation

Behrooz Moayeri

Fast jedes Unternehmen muss die Kommunikation mit Public Clouds ermöglichen. Diese Kommunikation ist abzusichern. 

Zugriffsweg ist vom Cloud-Typ abhängig 

Der Zugriffsweg ist vom Cloud-Typ abh√§ngig. Mit Cloud-Typ ist vor allem das Servicemodell gemeint. Zu unterscheiden sind vor allem Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Bei SaaS liegt die Verantwortung der gesamten Infrastruktur in der Cloud beim Cloud-Betreiber. Es gibt keine virtuelle, private Cloud (VPC), die ausschlie√ülich dem SaaS-Nutzer zur Verf√ľgung steht. Anders bei PaaS und IaaS: die Nutzung solcher Dienste geht in der Regel damit einher, dass in der Public Cloud eine virtuelle Infrastruktur ausschlie√ülich f√ľr einen Kunden entsteht. VPC ist die daf√ľr von AWS genutzte Bezeichnung. Das Pendant bei Microsoft Azure ist VNET. Ob es eigene VPCs / VNETs in der Cloud gibt, entscheidet den Zugriffsweg zur Cloud.¬†

VPN f√ľr den Zugriff auf VPC / VNET¬†

Eine virtuelle, private Infrastruktur in der Cloud erfordert auch einen privaten Weg f√ľr den Zugriff darauf. Folgerichtig k√∂nnen in der privaten Infrastruktur private IP-Adressen genutzt werden, deren Routing √ľber das Internet nicht m√∂glich ist. Ein solches Szenario kennt man auch bei der Vernetzung von eigenen Standorten √ľber das Internet. Das Mittel dazu hei√üt Virtual Private Network (VPN). Ein VPN besteht aus verschl√ľsselten Tunnels zwischen privaten Netzen. Eine VPC bzw. ein VNET ist ein solches privates Netz. Der Zugriff auf VPCs / VNETs erfolgt somit meistens √ľber VPN-Gateways an den beiden Enden des Tunnels. Der VPN-Gateway in der Cloud ist eine virtuelle Instanz, die man mieten kann. Das Gegenst√ľck muss man am eigenen Standort betreiben. Ein VPN-Gateway am eigenen Standort verschl√ľsselt die IP-Pakete in Richtung Cloud und entschl√ľsselt die aus der Cloud kommenden. Wenn man die virtuelle Infrastruktur in der Cloud als Verl√§ngerung des eigenen RZs ansieht, geh√∂rt das lokale Interface des f√ľr die Cloud-Kommunikation genutzten VPN in eine interne RZ-Zone.¬†

Zugriff auf SaaS 

Bei der Nutzung von SaaS entf√§llt in der Regel eine eigene virtuelle Infrastruktur in der Cloud. Die Absicherung der SaaS-Kommunikation muss daher anders aussehen als die Absicherung der Kommunikation mit eigenen virtuellen Netzen in der Cloud. H√§ufig erfolgt der Zugriff auf SaaS √ľber das √∂ffentliche Internet. Somit sind die vom Provider betriebenen zentralen SaaS-Ressourcen (zum Beispiel die Office-365-Cloud von Microsoft) wie Webserver einzustufen, auf die man √ľber das Internet zugreift.¬†

Wieviel Kontrolle ist bei SaaS-Zugriffen erforderlich? 

Nun ist der Zugriff auf externe Webserver nichts Neues. Die Absicherung des Zugriffs erfolgt h√§ufig mittels Web Proxies. Ein Web Proxy kann verschiedene Sicherheitsfunktionen √ľbernehmen. Dazu geh√∂ren die Authentisierung der User, Autorisierung mittels Black Listing und White Listing, Pr√ľfung der √ľbertragenen Inhalte auf Schadsoftware, Logging etc. Es ist seit Jahren gelebte Praxis, solche Funktionen zu nutzen. Man kann sie auch deaktivieren bzw. den Web Proxy f√ľr bestimmte Ziele ganz umgehen, je nach Grad des Vertrauens in den Ziel-Web-Server. Dieselbe Praxis empfiehlt sich bei SaaS.¬†

Der Netzwerk Insider geh√∂rt mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den f√ľhrenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.