Microsoft CNAPP verstehen: Wie Defender for Cloud Ihre Multicloud-Workloads absichert

Über traditionelle Sicherheitsansätze hinausgehen

«In der Cloud sind die Angriffsmuster anders: weniger traditionelle, endpunktfokussierte Angriffe und viel mehr Angriffe, die auf die Vernetzung software-basierter Infrastruktur abzielen.»

Traditionelle Sicherheitstools decken nur Teilaspekte der Cloud Security ab und sind für Cloud-basierte Workloads und Services nicht gut geeignet. Viele setzen auf Netzwerk-Scanning, das in einer dynamischen, kurzlebigen Umgebung wie der Cloud nur minimal wirksam ist, oder auf Agents, die die Performance beeinträchtigen und die Kosten inakzeptabel erhöhen. Viele traditionelle Tools senden zudem zahlreiche einzelne Alerts und Signale, ohne den Kontext (wer, was, wann, wo und warum) für eine schnelle Reaktion in Cloud-basierten Anwendungen und Workloads zu liefern². Während einige traditionelle Angriffe konzeptionell auch die Cloud betreffen können, müssen sich die Erkennungsmechanismen verschieben. Ein Angreifer kann über die Azure-Management-Ebene einen schädlichen Befehl ausführen, der Azure Blob Storage verändert, oder Berechtigungen eskalieren und auf Credentials für Services zugreifen, die von einem Azure-Kubernetes-Services-Cluster genutzt werden³. Keine traditionelle EDR- oder Security-Monitoring-Lösung würde dies in Echtzeit erkennen oder blockieren. Die MITRE ATT&CK Cloud Matrix bietet einen Überblick über alle Cloud-basierten Angriffstechniken, die Ihre Sicherheitstools erkennen und auf die sie reagieren sollten.

Der Aufstieg von CNAPP

Aus dem Bedürfnis, die einzigartige Risikofläche Cloud-basierter Workloads und Services zu adressieren, entstand eine grosse Zahl isolierter Sicherheitstools:

• Cloud Security Posture Management (CSPM) ermöglicht ein kontextbezogenes Security-Posture-Management über Clouds hinweg. Diese Art des Managements erlaubt die kontinuierliche Erkennung und Behebung von Fehlkonfigurationen.
• Cloud Workload Protection (CWP) und Cloud Detection and Response (CDR) konzentrieren sich darauf, Bedrohungen in Cloud-Umgebungen durch kontinuierliches Monitoring, fortschrittliche Analytik und Incident-Response-Fähigkeiten zu identifizieren und zu mindern.
• Cloud Infrastructure Entitlement Management (CIEM) konzentriert sich auf die Verwaltung und Absicherung von Identitäten und ihren Berechtigungen in Cloud-Umgebungen. Es stellt sicher, dass Nutzer und Services das angemessene Zugriffsniveau haben, und reduziert so das Risiko überprivilegierter Zugriffe und möglicher Sicherheitsverletzungen.
• Da Entwickler zunehmend für den Aufbau von Cloud-Infrastruktur und Containern verantwortlich sind, ist das Security-Tooling in den Software-Development-Lifecycle „nach links verschoben“ („shifted left“). Methoden wie Software Composition Analysis, Exposure Scanning (CVEs, Secrets), Infrastructure-as-Code-(IaC-)Scanning sowie statische oder dynamische Quellcode-Analyse werden in gängige Entwicklungs-Toolsets wie Code-Repositories, Build-Server und Container-Registries integriert, um Schwachstellen in Software-Artefakten und Infrastruktur früh im Software-Development-Lifecycle zu identifizieren.

Ein isoliertes Toolset zwingt Security-Teams dazu, Events, Alerts, Empfehlungen und andere Signale manuell zusammenzusetzen, um Korrelationen zu erkennen und den nötigen Überblick zu gewinnen. Ein einheitlicherer Ansatz ist erforderlich. Dies führte zum Aufstieg der Cloud-Native Application Protection Platforms (CNAPP). CNAPPs konsolidieren die genannten Funktionen in einer Plattform und bieten so eine einheitlichere und umfassendere Sicherheitslösung.

Platform Native Security

Security sollte eingebaut sein, nicht nachträglich aufgesetzt – „built-in, not bolted-on“. Dieses Prinzip gilt nicht nur für die Workloads und Anwendungen in der Cloud, sondern auch für die zugrunde liegende Cloud-Plattform selbst. Microsoft Azure ist seit Langem führend bei der Integration einer breiten Palette von Sicherheitsfunktionen. Die Entwicklung des Azure Security Center, heute bekannt als Microsoft Defender for Cloud, unterstreicht dieses Engagement. Wenig überraschend wurde Microsoft im Gartner 2023 Market Guide⁴ als repräsentativer CNAPP-Anbieter und im Forrester Infrastructure-as-a-Service Platform Native Security Report⁵ als Leader genannt.

Die Entwicklung von Microsoft CNAPP

Seit dem Launch 2016 hat sich Microsoft Defender for Cloud von einer Azure-zentrierten Lösung zu einer vollwertigen CNAPP entwickelt. Heute bietet die Lösung Fähigkeiten über Azure, AWS und Google Cloud Platform hinweg. Azure Arc erweitert diese Unterstützung auf Kubernetes-Cluster, Microsoft-SQL-Server sowie Windows- und Linux-Server – unabhängig von ihrem Standort.
Ja, eine CNAPP ist per Definition bereits eine hochintegrierte Sammlung von Cloud-Security-Fähigkeiten. Doch Microsoft Defender for Cloud geht beim Integrationsgrad noch einen Schritt weiter. Es ist in das Microsoft-Security-Ökosystem eingebettet und mit Microsoft Sentinel, Defender External Attack Surface Management, Microsoft Entra Permissions Management, GitHub Advanced Security und vielen weiteren verbunden. Microsoft Defender for Cloud ist nun auch Teil von Microsoft Defender XDR, und Security-Teams können Alerts und Incidents direkt im Microsoft Defender XDR Portal einsehen. Das liefert noch reichhaltigeren Kontext für Untersuchungen, die sich über Cloud-Ressourcen, Geräte und Identitäten im gesamten IT-Bestand erstrecken⁶.

Wie baseVISION Sie auf Ihrer Cloud-Security-Journey unterstützt

Die Einführung von Microsoft CNAPP ist keine einmalige Aufgabe, sondern eine Journey, die sich an Ihrer gesamten Cloud-Adoption-Strategie ausrichten sollte. Deshalb bieten wir eine Reihe von Services rund um Defender for Cloud an, die auf unterschiedliche Phasen einer Cloud-Journey zugeschnitten sind.

• Microsoft Defender for Cloud Workshop: Wir stellen die Plattform vor, tauchen in ihre Komponenten ein und geben einen Überblick über Microsoft Defender for Cloud. Gewinnen Sie wertvolle Einblicke in die Funktionen und realen Anwendungsfälle, um Ihr Verständnis zu vertiefen und sich auf eine erfolgreiche Implementierung vorzubereiten.
• CSPM Enablement: Dies ist der Grundstein für die Einführung von CNAPP. Es umfasst das Aufsetzen von Defender for Cloud und Defender CSPM, das grossflächige Onboarding der Umgebung sowie eine erste Bewertung der Security-Posture. Aus den gewonnenen Erkenntnissen können wir nächste Schritte und Prioritäten empfehlen.
• Cloud Native Workload Protection Enablement: Services wie Azure Storage, Key Vault und App Services abstrahieren viele Verantwortlichkeiten und Komplexitäten. Security in der Cloud bleibt jedoch eine geteilte Verantwortung. Wir begleiten Sie bei der Nutzung der Cloud-nativen Schutzfunktionen von Defender for Cloud und befähigen Sie, Bedrohungen wirksam zu jagen, zu erkennen, zu untersuchen und darauf zu reagieren.
• Defender for Servers Implementation: Erweitern Sie die Endpoint-Detection-and-Response-Fähigkeiten von Defender for Endpoint auf Ihre Windows- und Linux-Server.
• DevOps Security: Heute produziert nahezu jede Organisation Software – ob durch eigene Entwicklung, Low-Code-Plattformen oder interne Tools und Skripte. Defender for Cloud bietet die nötigen Tools, um Security früher in den Entwicklungsprozess zu integrieren, und kombiniert Daten aus Build- und Runtime-Phasen. Diese Integration ermöglicht es Ihnen, Anwendungen und Ressourcen „from code to cloud“ über verschiedene Pipeline-Umgebungen hinweg zu schützen, darunter Azure DevOps, GitHub und GitLab.

Technologie allein kann Cybersecurity-Probleme nicht lösen. Das gilt gleichermassen für Cloud Security. Mit unserer umfangreichen Erfahrung über verschiedene Branchen hinweg und bewährten Methoden aus unserem Security Operations Center helfen wir Ihnen, auch die menschlichen und prozessualen Aspekte anzugehen.
Weitere Details finden Sie in unserem Service-Katalog: https://www.basevision.ch/product/microsoft-defender-for-cloud/