Absicherung der Cloud-Kommunikation

Behrooz Moayeri

Fast jedes Unternehmen muss die Kommunikation mit Public Clouds ermöglichen. Diese Kommunikation ist abzusichern. 

Zugriffsweg ist vom Cloud-Typ abhängig 

Der Zugriffsweg ist vom Cloud-Typ abhängig. Mit Cloud-Typ ist vor allem das Servicemodell gemeint. Zu unterscheiden sind vor allem Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Bei SaaS liegt die Verantwortung der gesamten Infrastruktur in der Cloud beim Cloud-Betreiber. Es gibt keine virtuelle, private Cloud (VPC), die ausschließlich dem SaaS-Nutzer zur Verfügung steht. Anders bei PaaS und IaaS: die Nutzung solcher Dienste geht in der Regel damit einher, dass in der Public Cloud eine virtuelle Infrastruktur ausschließlich für einen Kunden entsteht. VPC ist die dafür von AWS genutzte Bezeichnung. Das Pendant bei Microsoft Azure ist VNET. Ob es eigene VPCs / VNETs in der Cloud gibt, entscheidet den Zugriffsweg zur Cloud. 

VPN für den Zugriff auf VPC / VNET 

Eine virtuelle, private Infrastruktur in der Cloud erfordert auch einen privaten Weg für den Zugriff darauf. Folgerichtig können in der privaten Infrastruktur private IP-Adressen genutzt werden, deren Routing über das Internet nicht möglich ist. Ein solches Szenario kennt man auch bei der Vernetzung von eigenen Standorten über das Internet. Das Mittel dazu heißt Virtual Private Network (VPN). Ein VPN besteht aus verschlüsselten Tunnels zwischen privaten Netzen. Eine VPC bzw. ein VNET ist ein solches privates Netz. Der Zugriff auf VPCs / VNETs erfolgt somit meistens über VPN-Gateways an den beiden Enden des Tunnels. Der VPN-Gateway in der Cloud ist eine virtuelle Instanz, die man mieten kann. Das Gegenstück muss man am eigenen Standort betreiben. Ein VPN-Gateway am eigenen Standort verschlüsselt die IP-Pakete in Richtung Cloud und entschlüsselt die aus der Cloud kommenden. Wenn man die virtuelle Infrastruktur in der Cloud als Verlängerung des eigenen RZs ansieht, gehört das lokale Interface des für die Cloud-Kommunikation genutzten VPN in eine interne RZ-Zone. 

Zugriff auf SaaS 

Bei der Nutzung von SaaS entfällt in der Regel eine eigene virtuelle Infrastruktur in der Cloud. Die Absicherung der SaaS-Kommunikation muss daher anders aussehen als die Absicherung der Kommunikation mit eigenen virtuellen Netzen in der Cloud. Häufig erfolgt der Zugriff auf SaaS über das öffentliche Internet. Somit sind die vom Provider betriebenen zentralen SaaS-Ressourcen (zum Beispiel die Office-365-Cloud von Microsoft) wie Webserver einzustufen, auf die man über das Internet zugreift. 

Wieviel Kontrolle ist bei SaaS-Zugriffen erforderlich? 

Nun ist der Zugriff auf externe Webserver nichts Neues. Die Absicherung des Zugriffs erfolgt häufig mittels Web Proxies. Ein Web Proxy kann verschiedene Sicherheitsfunktionen übernehmen. Dazu gehören die Authentisierung der User, Autorisierung mittels Black Listing und White Listing, Prüfung der übertragenen Inhalte auf Schadsoftware, Logging etc. Es ist seit Jahren gelebte Praxis, solche Funktionen zu nutzen. Man kann sie auch deaktivieren bzw. den Web Proxy für bestimmte Ziele ganz umgehen, je nach Grad des Vertrauens in den Ziel-Web-Server. Dieselbe Praxis empfiehlt sich bei SaaS. 

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.