Welche Lösung bietet das beste Multi-Cloud CSPM?

Microsoft Defender for Cloud wird aufgrund seiner nativen Unterstützung und integrierten Findings-Normalisierung über Azure, AWS und GCP im Allgemeinen als überlegen für Multi-Cloud CSPM angesehen. Während SCC Enterprise seine Multi-Cloud-Funktionen verbessert hat, bietet MDC eine ausgereiftere und einheitlichere Management Experience für Policy Enforcement und Compliance Reporting über heterogene Umgebungen hinweg.

Ist agentless oder agent-based CWPP für die Laufzeitsicherheit effektiver?

Agent-based CWPP bietet eine tiefere, Echtzeit-Sichtbarkeit in Workload-Prozesse, Dateisystemaktivitäten und Netzwerkverbindungen, was es für die Laufzeitsicherheit effektiver macht. Agentless Scanning eignet sich hervorragend für die Schwachstellenanalyse und Konfigurations-Compliance im Ruhezustand, verfügt jedoch nicht über die dynamische Bedrohungsdetektion eines installierten Agenten. Lösungen wie Microsoft Defender for Cloud nutzen einen starken agentenbasierten Schutz (Defender for Endpoint) über Clouds hinweg und bieten überlegenen Laufzeitschutz.

Wie profitiert GCP Security Command Center von Mandiant Threat Intelligence?

Mandiant Threat Intelligence versorgt SCC Enterprise mit hochzuverlässigen, von Menschen kuratierten Erkenntnissen über fortgeschrittene Bedrohungen, die aus der realen Incident Response gewonnen wurden. Dies reichert SCC-Findings mit kontextualisierter Intelligenz an und hilft Organisationen, kritische Bedrohungen zu erkennen und zu priorisieren, die sonst möglicherweise übersehen würden oder hohe False Positives generieren. Dies ist besonders wertvoll für Organisationen, die hochkomplexen Gegnern auf Nation-State-Ebene gegenüberstehen.

Welches SIEM lässt sich am besten in jede Lösung integrieren?

AWS Security Lake integriert sich mit AWS GuardDuty/Security Hub zur Datenzentralisierung, aber Kunden bringen typischerweise ihr eigenes SIEM (z.B. Splunk, Drittanbieterlösungen) für die Analyse mit. Microsoft Defender for Cloud integriert sich nahtlos und tief mit Azure Sentinel. GCP Security Command Center integriert sich nativ und leistungsstark mit Chronicle Security Operations. Jedes ist auf die SIEM-Strategie des jeweiligen Hyperscalers abgestimmt.

Was ist die typische TCO-Auswirkung für ein Unternehmen, das von 500 auf 5.000 Cloud-Assets skaliert?

Die TCO-Auswirkung skaliert erheblich. Obwohl einige Dienste gestaffelte Preise anbieten, steigen die allgemeinen Kosten für alle drei Lösungen proportional zur Anzahl der geschützten Assets und der aufgenommenen Daten. Für 5.000 Assets können die monatlichen Kosten leicht zwischen 50.000 und über 300.000 US-Dollar liegen, ohne die Personalkosten für Security Operations, die ebenfalls skalieren. Multi-Cloud-Lösungen wie Microsoft Defender for Cloud bieten oft einen besseren TCO im großen Maßstab aufgrund der einheitlichen Verwaltung und weniger unterschiedlicher Tools, die integriert und gewartet werden müssen, trotz potenziell höherer Einzelkosten.

Können diese Lösungen serverless und containerisierte Workloads effektiv schützen?

Ja, alle drei Lösungen bieten einen starken Schutz für serverless und containerisierte Workloads. AWS GuardDuty umfasst EKS Runtime Monitoring und Inspector verwaltet ECR-Image-Scans. Microsoft Defender for Containers bietet umfassende Schwachstellenbewertung und Laufzeitschutz für AKS, GKE und EKS. GCPs Container Threat Detection konzentriert sich auf GKE. Die Tiefe des Schutzes, insbesondere die Laufzeitanalyse mithilfe von Technologien wie eBPF, entwickelt sich auf allen Plattformen weiter.

AWS GuardDuty vs. Defender for Cloud vs. GCP Security Command Center 2026

Die Bewertung von Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP) im Jahr 2026 erfordert ein Verständnis der nuancierten Stärken und Einschränkungen nativer Hyperscaler-Angebote gegenüber Multi-Cloud-Suiten. Dieser Beitrag vergleicht AWS GuardDuty (ergänzt durch Security Hub und Detective), Microsoft Defender for Cloud (MDC) und Google Security Command Center (SCC) Premium/Enterprise. Wir sezieren ihre Fähigkeiten für große Unternehmen, die jährliche Cloud-Sicherheitsausgaben im siebenstelligen Bereich in Betracht ziehen, wobei der Fokus auf CSPM, Bedrohungsdetektion, Workload Protection und Total Cost of Ownership (TCO) über hybride und Multi-Cloud-Umgebungen liegt.

CSPM: Benchmarks, Drift und Compliance Reporting

Native CSPM-Funktionen variieren erheblich. AWS Security Hub aggregiert Findings von GuardDuty, Config, Inspector und benutzerdefinierten Prüfungen und bietet eine konsolidierte Ansicht anhand von CIS Benchmarks, PCI DSS und NIST CSF. Seine Stärke liegt in der tiefen Integration mit AWS Config-Regeln, die eine präzise Drift-Erkennung und automatisierte Remediation über Systems Manager Automation ermöglichen. Zum Beispiel ist die Sicherstellung, dass S3-Buckets über AWS Firewall Manager keinen Public Read zulassen, effektiv. Das Reporting von Security Hub für komplexe, Konto-übergreifende, Multi-Region-Compliance-Frameworks erfordert jedoch oft benutzerdefinierte QuickSight-Dashboards oder die Integration in externe GRC-Plattformen. Große Unternehmen, die AWS Control Tower verwenden, werden Security Hub-Richtlinien direkt konsumierbar finden, was die Durchsetzung von Baselines über OUs hinweg vereinfacht.

Microsoft Defender for Cloud (MDC), ehemals Azure Security Center, bietet robuste CSPM für Azure-, AWS- und GCP-Umgebungen. Sein integriertes Regulatory Compliance Dashboard unterstützt zahlreiche Standards, darunter ISO 27001, SOC 2, HIPAA und branchenspezifische Benchmarks. Die Fähigkeit von MDC, Konfigurationen von AWS Config und GCP Security Command Center Premium zu erfassen, ist ein wichtiges Unterscheidungsmerkmal für Multi-Cloud-CSPM. Es normalisiert Findings über Clouds hinweg und bietet eine einheitliche Management Plane. Die Policy Enforcement in Azure ist nativ leistungsstark und erstreckt sich über Defender for Cloud's Lightweight Agents und API-Integrationen auf AWS und GCP. Automatisierte Remediation Templates sind ein erheblicher Zeitersparnis, insbesondere bei Problemen wie falsch konfigurierten Security Groups oder IAM Roles. Zum Beispiel kann eine einzige MDC Policy den öffentlichen RDP-Zugriff auf Azure-VMs, AWS EC2-Instanzen und GCP Compute Engine-VMs verhindern.

GCP Security Command Center (SCC) Premium integriert sich mit GCP Security Health Analytics, Policy Intelligence und DLP. SCC unterstützt CIS Benchmarks für GCP, PCI DSS und HIPAA. Seine Stärke liegt in der kontinuierlichen Bewertung von GCP-Ressourcen, der Erkennung von Richtlinienverstößen und Konfigurationsdrift nahezu in Echtzeit. Für Multi-Cloud bietet SCC Enterprise (ehemals Teil von Mandiant) eine tiefere Integration für AWS- und Azure-CSPM, indem es Findings erfasst und diese in der SCC-Konsole normalisiert. Während die nativen Remediationen von SCC innerhalb von GCP stark sind, sind seine Multi-Cloud-Remediation-Aktionen stärker von API-Aufrufen an den jeweiligen Cloud-Provider abhängig und erfordern oft zusätzliche Skripterstellung oder Integration mit einer SOAR-Plattform. SCC's Policy Intelligence hilft, übermäßig freizügige IAM-Richtlinien zu identifizieren und berät über Least-Privilege-Konfigurationen basierend auf tatsächlicher Nutzungs-Telemetrie.

Erweiterte Bedrohungsdetektion und Intelligence

AWS GuardDuty ist ein intelligenter Bedrohungsdetektionsdienst, der kontinuierlich bösartige Aktivitäten und unautorisiertes Verhalten überwacht, um AWS-Konten und Workloads zu schützen. Er analysiert VPC Flow Logs, CloudTrail Management Event Logs, DNS Logs und S3 Data Events. GuardDuty integriert sich mit Amazon Detective zur Untersuchung und visualisiert Findings in Security Hub. Seine ML-Modelle eignen sich hervorragend zum Erkennen von Anomalien wie Cryptomining, Netzwerk-Port-Scanning von verdächtigen IP-Adressen und ungewöhnlichen API-Aufrufen. Im Jahr 2026 umfasst GuardDuty Runtime Monitoring für EKS-Workloads, wobei eBPF für tiefe Sichtbarkeit in Containerprozesse und Netzwerkaktivitäten genutzt wird. Die Preisgestaltung basiert auf dem Volumen der verarbeiteten Logs, was für große Umgebungen beträchtlich werden kann. Zum Beispiel könnte die Überwachung von 500 AWS-Konten, die jeweils 1 TB VPC Flow Logs und 500 GB CloudTrail Logs pro Monat generieren, bei typischen Raten leicht Kosten von über 50.000 US-Dollar jährlich allein für GuardDuty verursachen.

Microsoft Defender for Cloud bietet umfassende Bedrohungsdetektion für Azure-, AWS- und GCP-Workloads. Sein Defender for Servers-Plan umfasst agentenbasierte Bedrohungsdetektion für VMs (integriert in Defender for Endpoint), File Integrity Monitoring und Adaptive Application Controls. Für Container bietet Defender for Containers Laufzeitschutz, Schwachstellenanalyse für Images und Hardening-Empfehlungen für Kubernetes-Cluster in allen drei Clouds. MDC nutzt Microsofts umfassende Bedrohungsintelligenz aus täglich Billionen von Signalen und erkennt Advanced Persistent Threats (APTs), Zero-Days und bekannte Malware. Die Integration mit Azure Sentinel für SIEM/SOAR ist nahtlos und bietet automatisierte Playbooks für die Incident Response. Für Multi-Cloud-Kunden reduziert die einheitliche Konsole von MDC für Bedrohungsalarme den operativen Overhead erheblich, verglichen mit der Korrelation von Findings aus unterschiedlichen nativen Tools. Eine einzelne bösartige IP, die von Defender for Endpoint auf einer AWS EC2-Instanz erkannt wird, kann Alarme und automatische Blockierungen über Azure- und GCP-Ressourcen hinweg auslösen.

Die Bedrohungsdetektion von GCP Security Command Center Premium wird durch Mandiant Threat Intelligence gestärkt, die hochzuverlässige Alarme für kritische Bedrohungen liefert, die für GCP-Umgebungen kontextualisiert sind. Diese Mandiant-Integration ist ein wichtiges Unterscheidungsmerkmal, das Einblicke aus der Incident Response an vorderster Front bietet. SCC Premium umfasst Event Threat Detection (ETD) für die Echtzeitanalyse von Cloud Audit Logs und anderen Quellen, die Bedrohungen wie kompromittierte Service Accounts oder Exfiltrationsversuche erkennen. Für containerisierte Umgebungen identifiziert GCP Container Threat Detection bekannte Angriffsmuster innerhalb von GKE. SCC Enterprise erweitert diese Funktionen auf AWS und Azure, reichert Findings mit Mandiants Threat Intelligence an und bietet eine zentrale Ansicht von hochpriorisierten Bedrohungen. Während GuardDuty und MDC auf proprietäre ML-Modelle und umfangreiche Telemetrie setzen, bietet SCC's Mandiant-gestützte Intelligence eine menschlich kuratierte und aktiv gepflegte Bedrohungslandschaftsansicht, die bei gezielten Angriffen von Vorteil ist. Betrachten Sie ein Beispiel, bei dem Mandiant einen bestimmten Supply Chain Attack identifiziert, der eine in Ihrer CI/CD-Pipeline verwendete Bibliothek betrifft; SCC Premium kann dies mit hoher Zuverlässigkeit aufdecken.

Workload Protection: Agentless vs. Agent-based, Container und Runtimes

AWS bietet gezielte Dienste zum Schutz von Workloads. Amazon Inspector bietet automatisiertes Vulnerability Management für EC2-Instanzen und ECR-Container-Images (Agentless für EC2, Agent-based für Runtime Monitoring mit tiefer Sichtbarkeit unter Verwendung des SSM Agent). Für Serverless erhält Lambda gezielten Schutz über Lambda Extensions und GuardDuty Runtime Monitoring. Der EKS-Laufzeitschutz basiert auf dem GuardDuty EKS-Agenten, der eBPF für die Prozess- und Netzwerkaktivitätsüberwachung innerhalb von Kubernetes-Clustern nutzt. Dieses disaggregierte Modell erfordert eine sorgfältige Integration über Security Hub und Detective. Obwohl effektiv, kann die Verwaltung mehrerer Agenten (SSM, GuardDuty EKS, Drittanbieter) in einer großen AWS-Umgebung zu operativer Komplexität führen. Agentless Scanning über Inspector bietet eine exzellente Baseline-Schwachstellenbewertung, aber echter Laufzeitschutz erfordert oft einen Agenten für tiefe Prozess-Level-Sichtbarkeit.

Die CWPP-Funktionen von Microsoft Defender for Cloud sind robust und hochintegriert. Defender for Servers umfasst agentenbasierte Schutzmechanismen (über den Defender for Endpoint Agent) für VMs in Azure, AWS und GCP, die Antimalware-, EDR-Funktionen und Netzwerkschutz bieten. Defender for Containers deckt die Schwachstellenanalyse und den Laufzeitschutz für AKS, GKE und EKS ab und bietet eine einheitliche Control Plane für die Multi-Cloud-Kubernetes-Sicherheit. Diese Konsistenz über heterogene Umgebungen hinweg vereinfacht die Bereitstellung und Verwaltung. Agentenbasierter Laufzeitschutz ermöglicht eine granulare Kontrolle über Prozesse, Dateizugriffe und Netzwerkverbindungen, was für Produktions-Workloads entscheidend ist. Zum Beispiel kann Defender for Endpoint einen Privileg Escalation-Versuch auf einer AWS EC2-Instanz, die Windows Server 2022 ausführt, erkennen und blockieren und dies direkt an MDC und Sentinel melden.

Die nativen CWPP-Stärken des GCP Security Command Center liegen innerhalb von GCP. Container Threat Detection analysiert GKE-Logs auf verdächtige Aktivitäten. Für den VM-Schutz nutzt SCC Cloud Logging und die Integration mit externen VM-Level-Sicherheitstools. Mit SCC Enterprise erstreckt sich die Mandiant-gesteuerte Bedrohungsjagd auf AWS- und Azure-Workloads und liefert hochkontextualisierte Warnmeldungen über potenzielle Kompromittierungen. Der direkte agentenbasierte Laufzeitschutz von SCC für VMs über Clouds hinweg ist jedoch weniger entwickelt als die umfassende Defender for Endpoint-Integration von MDC. SCC verlässt sich typischerweise auf API-Integrationen mit externen CWPPs oder nativen Cloud-Provider-Tools für eine vollständige agentenbasierte CWPP-Bereitstellung auf AWS EC2- oder Azure-VMs. Dies könnte bedeuten, einen anderen Agenten, wie z.B. CrowdStrike Falcon, bereitzustellen und dessen Erkenntnisse über Konnektoren in SCC einzuspeisen. SCC's Cloud Vulnerability Scanning (CVS) erkennt Schwachstellen auf OS-Ebene auf Compute Engine- und GKE-Knoten, ist aber ein agentless Scan und kein Laufzeit-Agent.

Multi-Cloud-Reichweite und Integration mit SIEM/SOAR

Die Multi-Cloud-Strategie von AWS entwickelt sich, bleibt aber primär AWS-zentriert. Obwohl Security Hub Findings von Drittanbieter-CSPM-Tools über ASFF (AWS Security Finding Format) aufnehmen kann, bietet es keine native, vereinheitlichte Management Plane für AWS-, Azure- und GCP-Sicherheitspositionen wie MDC. Für SIEM zentralisiert AWS Security Lake Sicherheitsdaten von AWS-Diensten, SaaS-Anbietern und On-Premises-Quellen in einem S3 Data Lake und normalisiert sie in das Open Cybersecurity Schema Framework (OCSF). Dies ist für Kunden konzipiert, die ihre benutzerdefinierten SIEM/SOAR-Lösungen auf AWS aufbauen möchten. Die Integration von Security Lake mit Splunk, Sumo Logic oder benutzerdefinierten Datenanalyseplattformen ist unkompliziert und ermöglicht maßgeschneiderte Bedrohungsjagd und Compliance-Reporting über Multi-Cloud hinweg, wenn Daten aus anderen Clouds ebenfalls aufgenommen werden. Für Multi-Cloud-Operationen erfordert dies zusätzlichen Engineering-Aufwand zur Normalisierung von Nicht-AWS-Daten.

Microsoft Defender for Cloud ist explizit für Multi-Cloud-Umgebungen (Azure, AWS, GCP) konzipiert. Sein Unified Portal bietet ein Single Pane of Glass für CSPM, CWPP-Findings und Regulatory Compliance über alle drei großen Clouds hinweg. Dies reduziert die kognitive Belastung und die betriebliche Komplexität für Sicherheitsteams erheblich. MDC integriert sich nativ und tief mit Azure Sentinel, Microsofts Cloud-nativem SIEM- und SOAR-Plattform. Findings von Defender for Cloud über alle verknüpften Clouds fließen direkt in Sentinel, was automatisierte Playbooks, benutzerdefinierte Analyseregeln und zentralisiertes Incident Management ermöglicht. Für große Unternehmen mit einer signifikanten Azure-Präsenz und wachsenden AWS/GCP-Workloads bietet MDC plus Sentinel einen äußerst überzeugenden, integrierten Security Operations Stack. Zum Beispiel kann ein hochschwerwiegender Alarm auf einem AWS S3-Bucket von Defender for Cloud ein Sentinel-Playbook auslösen, um das AWS-Konto zu isolieren und Incident Response Teams zu benachrichtigen, alles von einer einzigen Konsole aus verwaltet.

GCP Security Command Center Premium/Enterprise hat seine Multi-Cloud-Reichweite erheblich erweitert, insbesondere mit der Mandiant-Akquisition. SCC Enterprise bietet eine einheitliche Ansicht der Sicherheitslage und Bedrohungen über GCP, AWS und Azure hinweg. Für Multi-Cloud-SIEM integriert sich SCC mit Chronicle Security Operations (ehemals Chronicle SIEM), GCPs Cloud-nativem SIEM. Chronicle zeichnet sich durch die Erfassung massiver Mengen an Sicherheitstelemetrie und die Nutzung von Googles globaler Bedrohungsintelligenz aus. SCC-Findings, angereichert durch Mandiant, fließen direkt in Chronicle für erweiterte Analysen, Bedrohungsjagd und automatisierte Reaktion. Die Mandiant-Integration verschafft SCC Enterprise einen einzigartigen Vorteil beim Verständnis der breiteren Bedrohungslandschaft, die Multi-Cloud-Umgebungen betrifft. SCC mit Chronicle ist ein starker Kandidat für Organisationen, die menschlich kuratierte Bedrohungsintelligenz und ultraschnelle Suchfunktionen über Petabytes von Sicherheitsdaten priorisieren. Ein häufiger Anwendungsfall wäre die Erkennung eines Lateral Movement Attacks über eine Multi-Cloud-Grenze hinweg, bei dem eine anfängliche Kompromittierung in AWS von Mandiant-angereichertem SCC erkannt wird und ein Playbook in Chronicle ausgelöst wird, um Assets über alle drei Clouds hinweg zu isolieren.

Kosten- und Größenüberlegungen: 500 vs. 5.000 Assets

Preismodelle sind komplex und basieren oft auf Datenaufnahme, Ressourcenanzahl oder einer Kombination. Die folgenden Schätzungen sind illustrativ für 2026, wobei typische Unternehmensrabatte nicht berücksichtigt werden, und stellen Listenpreise dar.

AWS GuardDuty + Security Hub + Inspector + Detective: Für 500 EC2-Instanzen, 200 EKS-Cluster (mittel) und 1.000 S3-Buckets könnten die GuardDuty-Kosten ~2.000-5.000 US-Dollar/Monat betragen (basierend auf dem Log-Volumen). Inspector für EC2 und ECR könnte ~1.000-3.000 US-Dollar/Monat hinzufügen. Security Hub hat ein flexibles Preismodell, das pro Check pro Steuerung berechnet wird – für 500 Konten/Ressourcen könnten dies ~500-2.000 US-Dollar/Monat sein. Detective wird pro GB der von VPC Flow Logs, CloudTrail usw. aufgenommenen Daten berechnet, was für 500 Konten leicht 3.000-8.000 US-Dollar/Monat kosten könnte. Gesamt für 500 Assets: ~$6.500 - $18.000/Monat. Für 5.000 Assets, linear skaliert, könnten dies ~65.000 - 180.000 US-Dollar/Monat sein. Dies beinhaltet keine Kosten für Security Lake oder ein Drittanbieter-SIEM.

Microsoft Defender for Cloud: Die Preisgestaltung erfolgt pro geschützter Ressource (VM, SQL, Storage, Kubernetes usw.). Eine grobe Schätzung für 500 Assets (Mix aus VMs, Speicherkonten, K8s-Knoten), die durch Defender for Servers P2, Defender for Storage und Defender for Kubernetes geschützt sind, könnte bei Listenpreis ~5.000-15.000 US-Dollar/Monat für Multi-Cloud-Abdeckung liegen (z.B. 15 US-Dollar/VM/Monat, 10 US-Dollar/Speicherkonto/Monat, 20 US-Dollar/K8s-Knoten/Monat). Für 5.000 Assets skaliert dies auf ~50.000 - 150.000 US-Dollar/Monat. Dies umfasst umfassendes CSPM und CWPP über AWS, Azure, GCP und integriert sich mit Sentinel. Die Ingestionskosten von Sentinel sind separat, aber oft mit Rabatten beim Bündel mit MDC verbunden.

GCP Security Command Center Premium/Enterprise: SCC Premium wird auf der Grundlage des Datenvolumens berechnet, das aus Logs und Sicherheitstelemetrie aufgenommen wird (0,50-1,00 US-Dollar/GB, gestaffelt). Für 500 GCP-Assets und die Integration von AWS/Azure-Findings könnte eine vernünftige Schätzung für SCC Premium ~3.000-10.000 US-Dollar/Monat betragen, stark abhängig vom Log-Volumen. SCC Enterprise fügt Mandiant-Integration und vereinheitlichte Multi-Cloud-Abdeckung hinzu, mit benutzerdefinierten Unternehmenspreisen, die typischerweise höher beginnen und potenziell 10.000-30.000 US-Dollar/Monat für eine grundlegende Bereitstellung betragen können. Für 5.000 Assets skaliert dies auf ~30.000-300.000 US-Dollar/Monat, möglicherweise höher mit umfangreichen Mandiant-Services. Dies beinhaltet Mandiant Threat Intelligence, aber nicht die Chronicle Security Operations-Ingestion, die separat nach Ingestionsvolumen (0,50-1,50 US-Dollar/GB) berechnet wird.

Betriebliche Komplexität und Management-Overhead

Das Management von Cloud-Sicherheit beinhaltet mehr als nur die Tools; es umfasst die operative Belastung für Sicherheitsteams. Der Ansatz von AWS erfordert oft das Zusammenfügen mehrerer Dienste, jeder mit seiner eigenen Konsole und Konfigurationsnuancen. Obwohl leistungsstark, kann dies zu einer steileren Lernkurve und erhöhten Management-Overhead für neue Teams führen. Automatisierung über Terraform oder CloudFormation ist entscheidend, um die Konsistenz in großen AWS-Umgebungen aufrechtzuerhalten. Die disaggregierte Natur bedeutet eine modularere Sicherheitsarchitektur, die eine tiefe Anpassung ermöglicht, aber größeren architektonischen Aufwand erfordert. Ein Security Operations Center (SOC) benötigt Personal, das hochentwickelt in spezifischen AWS-Sicherheitsdiensten ist, nicht nur in allgemeinen Cloud-Konzepten.

# Beispiel AWS Security Hub Custom Action zum Auslösen einer Lambda-Remedierung
Resources:
  SecurityHubCustomAction:
    Type: AWS::SecurityHub::ActionTarget
    Properties:
      Name: 'Remediate S3 Public Access'
      Description: 'Löst eine Lambda-Funktion zur Behebung des öffentlichen S3-Bucket-Zugriffs aus'
      Identifier: 'S3_PUBLIC_ACCESS_REMEDIATION'

  RemediationLambdaPermission:
    Type: AWS::Lambda::Permission
    Properties:
      Action: 'lambda:InvokeFunction'
      FunctionName: !GetAtt RemediationLambda.Arn
      Principal: 'securityhub.amazonaws.com'
      SourceArn: !Sub 'arn:${AWS::Partition}:securityhub:${AWS::Region}:${AWS::AccountId}:action/actions/*'

Microsoft Defender for Cloud vereinfacht das Management durch sein Unified Portal, das ein Single Pane of Glass für die Sicherheitslage und Bedrohungsdetektion über Azure, AWS und GCP hinweg bietet. Dies reduziert die operative Komplexität für Multi-Cloud-Organisationen erheblich. Die konsistente Agentenbereitstellung (Defender for Endpoint) über VMs in verschiedenen Clouds hinweg optimiert auch das Patching, die Konfiguration und die Überwachung. SOC-Analysten, die MDC und Sentinel verwenden, können Vorfälle unabhängig von der zugrunde liegenden Cloud-Plattform verwalten, was zu schnelleren Incident Response-Zeiten und niedrigeren Schulungskosten führt. Die Integration mit anderen Microsoft Security Services (Entra ID, Purview, Intune) bietet einen umfassenden Sicherheitsstack, insbesondere für Organisationen, die stark in Microsofts Ökosystem investiert sind.

GCP Security Command Center Premium/Enterprise bietet, insbesondere mit Chronicle, ein anspruchsvolles, aber potenziell komplexes Betriebsmodell. Während die SCC-Konsole Findings konsolidiert, führen tiefere Einblicke oft zu produktspezifischen Konsolen oder Mandiant-Portaldarstellungen. Chronicle Security Operations ist ein leistungsstarkes SIEM, aber sein volles Potenzial erfordert qualifizierte Sicherheitsingenieure und Threat Hunter, um Erkennungsregeln zu erstellen und Untersuchungen durchzuführen. Die Mandiant-Integration bietet beispiellose Bedrohungsintelligenz, kann aber eine Änderung der Betriebsprozesse erfordern, um ihre Erkenntnisse voll auszuschöpfen. Organisationen mit dedizierten Threat Hunting Teams werden dies als eine ausgezeichnete Lösung empfinden. Zum Beispiel könnte ein Senior Analyst die neuesten Bedrohungsberichte von Mandiant über SCC nutzen, um proaktiv nach Indicators of Compromise (IOCs) über seine GCP-, AWS- und Azure-Assets mithilfe der YARA-L-Regeln von Chronicle zu suchen.

Wann jede Lösung gewinnt

AWS-Native Workloads

Gewinner: AWS GuardDuty (mit Security Hub, Inspector, Detective)

Wann: Ihre primäre Cloud-Präsenz ist überwältigend AWS, und Ihr Sicherheitsteam verfügt über fundierte AWS-Expertise. Sie priorisieren native Service-Integration und sind bereit, benutzerdefinierte Automatisierungen zu entwickeln. Die Kosten sind vorhersehbar, wenn Ihre Log-Volumen überschaubar sind. Zum Beispiel profitiert ein reines SaaS-Unternehmen, das hauptsächlich auf AWS Serverless und Containern läuft, vom Laufzeit-Monitoring von GuardDuty, der Schwachstellenanalyse von Inspector und der Aggregation von Security Hub für eine maßgeschneiderte AWS-Sicherheitslage.

Multi-Cloud (Azure-zentriert)

Gewinner: Microsoft Defender for Cloud + Azure Sentinel

Wann: Sie haben eine erhebliche Azure-Präsenz und signifikante Workloads auf AWS und/oder GCP. Sie suchen eine einheitliche Sicherheitsmanagement-Ebene für CSPM und CWPP über alle drei Clouds, konsistente Agentenbereitstellung und integriertes SIEM/SOAR. Unternehmen, die bereits Microsoft 365 E5 Security-Komponenten nutzen, werden MDC als natürliche, kostengünstige Erweiterung empfinden. Es vereinfacht Operationen für Hybrid-/Multi-Cloud-Umgebungen mit einem Single-Vendor-Sicherheitsstack.

Multi-Cloud (GCP-zentriert, Fokus auf fortgeschrittene Bedrohungsjagd)

Gewinner: GCP Security Command Center Enterprise + Chronicle (mit Mandiant Threat Intelligence)

Wann: Ihre Organisation hat eine signifikante GCP-Präsenz, aber auch wichtige Workloads auf AWS/Azure, und priorisiert modernste Bedrohungsintelligenz und fortschrittliche Bedrohungsjagd-Fähigkeiten. Sie verfügen über dedizierte Threat Hunter und Sicherheitsingenieure, die Mandiant-Einblicke innerhalb von SCC nutzen und tiefe Untersuchungen in Chronicle durchführen können. Hochwertige Ziele oder geistiges Eigentum erfordern das stärkste Signal-Rausch-Verhältnis bei der Bedrohungsdetektion. Dies ist ideal für Organisationen, die hochkomplexen Gegnern gegenüberstehen.

Vergleichstabelle: Hauptmerkmale & Überlegungen (2026)

Feature	AWS GuardDuty + SH/Inspector/Detective	Microsoft Defender for Cloud	GCP Security Command Center Enterprise
Primäres Ziel	AWS-native security, tiefe Integration	Multi-cloud (Azure, AWS, GCP) unified security	Multi-cloud (GCP, AWS, Azure), Mandiant-driven
CSPM Coverage	AWS services, CIS, PCI, NIST via Security Hub	Azure, AWS, GCP config; ISO, SOC 2, HIPAA, CIS	GCP, AWS, Azure config; CIS, PCI, HIPAA; Policy Intelligence
CWPP (VM)	Inspector (agentless/SSM agent), GuardDuty EKS runtime	Defender for Servers (MDE agent) for Azure/AWS/GCP VMs	CVS (GCP); relies on external CWPP/API for AWS/Azure
CWPP (Containers)	EKS Runtime Monitoring (GuardDuty), ECR vuln scan (Inspector)	Defender for Containers (AKS/GKE/EKS) runtime & vuln scan	Container Threat Detection (GKE); External for EKS/AKS
Threat Intel Source	AWS proprietary ML/Global Threat Environment	Microsoft global threat intel, billions of signals daily	Mandiant Threat Intelligence, Google Threat Analysis Group (TAG)
Multi-Cloud UI/API	Limited unified UI; ASFF for findings ingestion	Unified portal for CSPM/CWPP across all 3 clouds	Unified portal for posture & threats (Mandiant-enriched)
Native SIEM Integration	AWS Security Lake (OCSF), Amazon Detective	Azure Sentinel (seamless)	Chronicle Security Operations (deep integration)
Key Differentiator	Deepest AWS integration, hyper-granular control	Unified multi-cloud management, consistent agent experience	Mandiant threat intel, advanced threat hunting
Geschätzte monatliche Kosten (500 Assets)	$6,500 - $18,000	$5,000 - $15,000	$10,000 - $30,000 (Enterprise)
Geschätzte monatliche Kosten (5.000 Assets)	$65,000 - $180,000	$50,000 - $150,000	$100,000 - $300,000+ (Enterprise)

Fazit

Für Organisationen, die eine tiefe Integration mit ihrem primären Hyperscaler priorisieren und bereit sind, eine disaggregierte Sicherheitsarchitektur zu verwalten, bleibt AWS GuardDuty + Security Hub + Inspector + Detective die leistungsfähigste und kosteneffizienteste Lösung für reine AWS-Umgebungen. Ihre Stärke liegt darin, Sicherheitsingenieuren die Möglichkeit zu geben, hochspezifische, automatisierte Antworten innerhalb des AWS-Ökosystems zu erstellen.

Für die Mehrheit der großen Unternehmen, die eine echte Multi-Cloud-Strategie verfolgen, bietet Microsoft Defender for Cloud das stärkste Nutzenversprechen. Seine Unified Management Plane, konsistente Multi-Cloud-CWPP und nahtlose Integration mit Azure Sentinel (das selbst für die Multi-Cloud-Datenaufnahme optimiert ist) reduzieren den operativen Overhead erheblich und vereinfachen die Incident Response über Azure, AWS und GCP hinweg. Die Kosteneffizienz für eine breite Abdeckung ist oft überlegen, wenn die vollständige Multi-Cloud-Verwaltung berücksichtigt wird.

Für hochgradig gezielte Organisationen oder solche mit einer signifikanten Google Cloud-Präsenz und einem kritischen Bedarf an externer, von Experten kuratierter Bedrohungsintelligenz bietet GCP Security Command Center Enterprise mit Chronicle Security Operations und Mandiant Threat Intelligence eine leistungsstarke, wenn auch potenziell teurere und spezialisiertere Lösung. Ihre von Mandiant ermöglichten Threat Hunting-Fähigkeiten sind unübertroffen, wenn es darum geht, ausgeklügelte, hartnäckige Bedrohungen über eine Multi-Cloud-Landschaft hinweg zu verstehen und darauf zu reagieren.