Absicherung der Cloud-Kommunikation

Behrooz Moayeri

Fast jedes Unternehmen muss die Kommunikation mit Public Clouds ermöglichen. Diese Kommunikation ist abzusichern. 

Zugriffsweg ist vom Cloud-Typ abhängig 

Der Zugriffsweg ist vom Cloud-Typ abh√§ngig. Mit Cloud-Typ ist vor allem das Servicemodell gemeint. Zu unterscheiden sind vor allem Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Bei SaaS liegt die Verantwortung der gesamten Infrastruktur in der Cloud beim Cloud-Betreiber. Es gibt keine virtuelle, private Cloud (VPC), die ausschlie√ülich dem SaaS-Nutzer zur Verf√ľgung steht. Anders bei PaaS und IaaS: die Nutzung solcher Dienste geht in der Regel damit einher, dass in der Public Cloud eine virtuelle Infrastruktur ausschlie√ülich f√ľr einen Kunden entsteht. VPC ist die daf√ľr von AWS genutzte Bezeichnung. Das Pendant bei Microsoft Azure ist VNET. Ob es eigene VPCs / VNETs in der Cloud gibt, entscheidet den Zugriffsweg zur Cloud.¬†

VPN f√ľr den Zugriff auf VPC / VNET¬†

Eine virtuelle, private Infrastruktur in der Cloud erfordert auch einen privaten Weg f√ľr den Zugriff darauf. Folgerichtig k√∂nnen in der privaten Infrastruktur private IP-Adressen genutzt werden, deren Routing √ľber das Internet nicht m√∂glich ist. Ein solches Szenario kennt man auch bei der Vernetzung von eigenen Standorten √ľber das Internet. Das Mittel dazu hei√üt Virtual Private Network (VPN). Ein VPN besteht aus verschl√ľsselten Tunnels zwischen privaten Netzen. Eine VPC bzw. ein VNET ist ein solches privates Netz. Der Zugriff auf VPCs / VNETs erfolgt somit meistens √ľber VPN-Gateways an den beiden Enden des Tunnels. Der VPN-Gateway in der Cloud ist eine virtuelle Instanz, die man mieten kann. Das Gegenst√ľck muss man am eigenen Standort betreiben. Ein VPN-Gateway am eigenen Standort verschl√ľsselt die IP-Pakete in Richtung Cloud und entschl√ľsselt die aus der Cloud kommenden. Wenn man die virtuelle Infrastruktur in der Cloud als Verl√§ngerung des eigenen RZs ansieht, geh√∂rt das lokale Interface des f√ľr die Cloud-Kommunikation genutzten VPN in eine interne RZ-Zone.¬†

Zugriff auf SaaS 

Bei der Nutzung von SaaS entf√§llt in der Regel eine eigene virtuelle Infrastruktur in der Cloud. Die Absicherung der SaaS-Kommunikation muss daher anders aussehen als die Absicherung der Kommunikation mit eigenen virtuellen Netzen in der Cloud. H√§ufig erfolgt der Zugriff auf SaaS √ľber das √∂ffentliche Internet. Somit sind die vom Provider betriebenen zentralen SaaS-Ressourcen (zum Beispiel die Office-365-Cloud von Microsoft) wie Webserver einzustufen, auf die man √ľber das Internet zugreift.¬†

Wieviel Kontrolle ist bei SaaS-Zugriffen erforderlich? 

Nun ist der Zugriff auf externe Webserver nichts Neues. Die Absicherung des Zugriffs erfolgt h√§ufig mittels Web Proxies. Ein Web Proxy kann verschiedene Sicherheitsfunktionen √ľbernehmen. Dazu geh√∂ren die Authentisierung der User, Autorisierung mittels Black Listing und White Listing, Pr√ľfung der √ľbertragenen Inhalte auf Schadsoftware, Logging etc. Es ist seit Jahren gelebte Praxis, solche Funktionen zu nutzen. Man kann sie auch deaktivieren bzw. den Web Proxy f√ľr bestimmte Ziele ganz umgehen, je nach Grad des Vertrauens in den Ziel-Web-Server. Dieselbe Praxis empfiehlt sich bei SaaS.¬†

Sonderveranstaltung Technologietage 21.04.-22.04.2021 in Aachen

Diese Veranstaltung fasst an zwei Tagen die neuesten Technologien in der IT, der Kommunikation und der Digitalisierung zusammen. Die Projektverantwortlichen und erfahrenen Referenten bei ComConsult werden die neuesten Trends darstellen und dar√ľber mit Ihnen diskutieren.

Der Netzwerk Insider geh√∂rt mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den f√ľhrenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.