SIEM in der Wolke noch unerprobt

Security Monitoring für die Cloud

09. September 2013
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Viele Cloud-Anwender vertrauen blind darauf, dass sich die Provider schon um die Sicherheit ihrer Daten kümmern. Experten – unter anderem von Gartner – bewerten das als fahrlässig und raten zu Security Monitoring auch in der Wolke. Die Möglichkeiten dabei sind inzwischen recht vielfältig.
Gartner empfiehlt nachdrücklich, in der Cloud platzierte Daten einem Security Monitoring zu unterziehen.
Gartner empfiehlt nachdrücklich, in der Cloud platzierte Daten einem Security Monitoring zu unterziehen.
Foto: T-Systems

Der Tipp aus dem Hause Gartner ist unmissverständlich: Anwender sollten SecuritySecurity Monitoring in die Wolke verlagern – zumindest dann, wenn sie Services aus der Public Cloud beziehen. Das empfiehlt Analyst Anton Chuvakin, der bei Gartner als Spezialist für Security Information & Event Management (SIEM) tätig ist. Es sei längst noch nicht üblich, in der Cloud platzierte Daten einem Security Monitoring zu unterziehen, beobachtet der Experte. Nach Chuvakins Einschätzung ist das ein Fehler. Jede Datenspeicherung in der Wolke gehe unweigerlich mit einem Kontrollverlust einher. „Man kann das aber kompensieren, indem man die Visibilität bei den gesammelten Logfiless und beim Netzwerk-Traffic erhöht", sagt der Analyst. Alles zu Security auf CIO.de

Blindes Vertrauen in Provider

Im Wesentlichen geht es also darum, den SIEM-Werkzeugkasten auch für das Security-Management in der Public Cloud auszupacken. Wie Chukavin erstaunt feststellt, geschieht das bislang selten. Es herrsche die Einstellung vor, beim Umgang mit Logfiles vollends den Cloud-Providern zu vertrauen. Anders ausgedrückt: Es dominiert Gleichgültigkeit. Dabei gibt es laut Chuvakin neben der Anwendung klassischer SIEM-Lösungen in der Wolke mittlerweile auch cloud-basierte Ansätze, die die Sicherheit erhöhen. Und neben Data Loss Prevention (DLP), wie sie beispielsweise in MicrosoftMicrosoft Exchange Server 2013 und Office 365Office 365 erhältlich ist, ist laut Gartner SIEM das momentan wachstumsstärkste Segment auf dem globalen Markt für IT-Sicherheit – nur eben mit Nachholbedarf beim Cloud ComputingCloud Computing. Alles zu Cloud Computing auf CIO.de Alles zu Microsoft auf CIO.de Alles zu Office 365 auf CIO.de

Security Monitoring wird in den Unternehmen derzeit zumeist auf On-Premise-Basis erledigt. Innerhalb des Firmennetzwerkes werden dazu SIEM- und DLP-Tools sowie Intrusion Prevention Systems (IPS) eingesetzt. Wie Chukavin berichtet, ermöglichen es manche Public Cloud-Provider inzwischen, Logfiles zu sammeln und Kopien ins On-Premise-SIEM einzuspeisen. Der Vorteil dieses Ansatzes liegt darin, dass zum einen vertraute Tools verwendet werden. Zum anderen gewinnen die Anwender eine einheitliche Sicht sowohl auf ihre Cloud als auch auf ihr traditionelles IT-System. Probleme können laut Gartner durch zu geringe Bandbreiten oder durch Kompatibilitätskonflikte zwischen der Cloud-Umgebung und den eingesetzten SIEM-Tools auftreten.

Die Verantwortlichen in den Unternehmen müssten deshalb für sich die Frage beantworten, ob ihr SIEM-Tool für die Cloud geeignet sei – ob also in ungewohnter Form gesammelte Daten verarbeitet werden können. Manche SIEM-Tools seien aber mittlerweile in der Lage, mit speziellen Application Programming Interfaces (APIs) für Software-as-a-Service (SaaSSaaS) Logdateien aus der Public Cloud zu sammeln. Alles zu SaaS auf CIO.de

SIEM-Tools direkt in IaaS

Ein ganz anderer Ansatz für das Security Monitoring von Cloud-Daten besteht darin, ein SIEM-Tool direkt in eine Infrastructure-as-a-Service (IaaS) zu laden. Gartner bezeichnet diese Methode als „On-IaaS Monitoring". Dabei können ebenfalls die vertrauten Lösungen verwendet werden, ohne in Bandbreiten-Nöte zu kommen. Einen Pferdefuß sieht Gartner aber dennoch: Unter Umständen können die Storage-Kosten in der Cloud am Ende sehr hoch sein; zudem ist die Sicht nicht so einheitlich wie beim erstgenannten Ansatz.

Eine dritte Möglichkeit ist es laut Chukavin, sich die entsprechenden Daten vom Cloud Provider geben zu lassen, falls dieser dazu bereit ist. Sie könnten dann an einen Managed Service-Anbieter wie Splunk Storm weitergereicht werden, der sich dann um das Security Monitoring kümmert. Der Gartner-Analyst mahnt generell an, dass die großen Cloud Provider ihre Kunden stärker beim Security Monitoring unterstützen sollten. Am Bedarf könne es nämlich keinen Zweifel geben.

Nicht nur Gartner weist auf die Notwendigkeit von Security Monitoring in der Cloud hin. Kürzlich taten das in einem gemeinsamen Gastbeitrag auf Computerwoche.de auch Martin Schweinoch, Fachanwalt für IT-Recht und Partner in der Kanzlei SKW Schwarz, und Thomas Störtkuhl, IT-Sicherheits-Experte beim der TÜV Süd AGTÜV Süd AG. Während der Betriebsphase würden die ausgelagerten Funktionen gemäß Vertrag und Sicherheitskonzepten durch den Provider betrieben, so die Autoren. „Wichtig ist jetzt ein funktionierendes Security Monitoring, um Abweichungen vom erforderlichen Sicherheitsniveau schnell erkennen zu können", erläutern Schweinoch und Störtkuhl. „Das Security Monitoring dient auch dazu, die Erfüllung der vertraglich vereinbarten Leistungen nachweisen, kontinuierlich verbessern und überprüfen zu können." Top-500-Firmenprofil für TÜV Süd AG

Phil Cox vom Cloud Management-Anbieter RightScale rät den Anwender, vor einer Security Monitoring-Initiative für die Cloud erst einmal die konkreten Ziele zu definieren. Sein eigenes Unternehmen etwa habe damit begonnen, um Compliance-Anforderungen zu erfüllen, ein Alarmsystem zu haben und auffällige Vorkommnisse auch mit zeitlichem Verzug untersuchen zu können. Wichtigstes Auswahlkriterium bei RightScale sei die einfache Administrierbarkeit gewesen. Gleichwohl sei Security Monitoring für die Public Cloud immer noch ein junger Ansatz. „Jeder Anwender muss momentan noch Lernerfahrungen machen", so Cox.

Zur Startseite