Cloud-Sicherheit umfasst eine Reihe von Verfahren, Richtlinien und Technologien zur Absicherung von Cloud-basierten Computing-Umgebungen gegen potenzielle Bedrohungen der Cybersicherheit. In der Praxis gewährleistet dies die Integrität und Sicherheit von Cloud-Computing-Modellen bei Angriffen oder Sicherheitsverletzungen. Cloud Service Provider sorgen für eine sichere Cloud-Infrastruktur.
Die Cloud abzusichern, ist nicht annähernd so kompliziert, wie es klingt. Sie können Ihre Geschäfte auf viele Arten schützen, die Sicherheit der Cloud gewährleisten und gleichzeitig ihre Vorteile voll ausschöpfen.
Cloud-Sicherheit beginnt bei der Auswahl des richtigen Service-Modells, das den Ansprüchen Ihres Unternehmens entspricht. Es gibt bei Cloud-Sicherheitsangeboten drei spezifische Service-Modelle und vier Bereitstellungsoptionen. Zu den Service-Modellen gehören folgende:
Software as a Service (SaaS): Das SaaS-Modell ermöglicht Kunden den Zugriff auf Software, ohne dass ein Computer oder Server für ihre Erstellung erforderlich wäre. Dazu gehören beispielsweise Microsoft 365 (früher Office 365) und Gmail. Bei diesen Optionen benötigen Kunden nur einen Computer, ein Tablet oder ein Smartphone, um auf die Anwendungen zuzugreifen. Unternehmen verwenden eine Vielzahl von Begriffen, um ihre spezifischen Produkte zu bewerben. Beispiele sind: DRaaS (Disaster Recovery), HSMaaS (Hardware Security Module), DBaaS (Database) und XaaS (Diverses). Abhängig von den Lösungen, die ein Unternehmen vermarktet, kann schwierig festzustellen sein, ob es sich um eine SaaS- oder eine PaaS-Lösung handelt. Letztendlich ist es jedoch wichtiger, die vertraglichen Verpflichtungen des Cloud-Anbieters zu verstehen. Cloud-Anbieter erweitern ihre Verträge häufig um Sicherheitsfunktionen für die Cloud, die über Services wie HSMaaS (Hardware Security Module) oder DRMaaS (Digital Rights Management) bereitgestellt werden.
Die vier Bereitstellungsmodelle:
Alle Aspekte einer individuellen Cloud-Sicherheitsrichtlinie sind von Bedeutung, aber jeder Anbieter sollte bestimmte Grundpfeiler bieten. Diese gelten als unverzichtbar und sind einige der wichtigsten Aspekte der Cloud-Sicherheitsinfrastruktur. Sicherzustellen, dass der Anbieter Ihrer Wahl alle dieser Grundpfeiler absichert, ist für Ihre Cloud-Sicherheitsstrategie entscheidend, unabhängig von deren Umfang.
Always-on-Überwachung: Cloud-Sicherheitsanbieter erstellen Protokolle (Logs) und haben dadurch zu jeder Zeit Einblick, was auf Ihren Cloud-Plattformen vor sich geht. Bei einem Zwischenfall kann Ihr Sicherheitsteam interne Protokolle mit denen Ihres Anbieters vergleichen und so Erkenntnisse zu potenziellen Angriffen und Veränderungen gewinnen. Dies beschleunigt die Erkennung und Reaktion auf Zwischenfälle.
Änderungsverwaltung: Ihr Cloud-Sicherheitsanbieter sollte Protokolle zur Änderungsverwaltung (Change Management) bieten. Diese dienen dazu, Compliance-Kontrollen zu überwachen, wenn Änderungen angefordert, Ressourcen geändert bzw. verschoben oder neue Server bereit- oder außer Dienst gestellt werden. Dedizierte Change-Management-Anwendungen können eingesetzt werden, um ungewöhnliches Verhalten automatisch zu überwachen, damit Sie und Ihr Team schnell eingreifen und Korrekturen vornehmen können.
Zero-trust-Sicherheitskontrollen: Isolieren Sie kritische Ressourcen und Anwendungen abseits Ihres Cloud-Netzwerks. Sichere Workloads privat und unzugänglich zu halten, vereinfacht die Durchsetzung von Sicherheitsrichtlinien zum Schutz Ihrer Cloud-basierten Umgebung.
Allumfassende Datensicherheit: Ihr Anbieter sollte erweiterte Datensicherheit bieten, außerdem Verschlüsselung auf allen Transportebenen, gute Datenhygiene, kontinuierliche Überwachung des Risikomanagements, sicheres Filesharing und undurchlässige Kommunikation. Kurz gesagt sollte Ihr Anbieter beim Schutz Ihrer Unternehmensdaten in keinem Belang irgendwelche Schwächen aufweisen.
Fragen Sie sich: Was sind meine Bedenken? So können Sie selbst entscheiden, welche Fragen Sie Ihrem Cloud-Anbieter stellen sollten, um die wichtigsten Aspekte im Blick zu behalten.
Die Cloud-Architektur besteht, vereinfacht gesagt, aus mehreren verbundenen Umgebungen, die skalierbare Ressourcen über Softwareanwendungen, Datenbanken und andere Dienste hinweg bündeln und teilen. Der Begriff bezeichnet letztendlich die Infrastrukturen und Komponenten, die durch ihr Zusammenwirken das ausmachen, was wir als „Cloud“ kennen.
Zu den Grundkomponenten, die zur Erstellung einer Cloud benötigt werden, gehören Netzwerke, Router, Switches, Server, Firewalls und Systeme zur Angriffserkennung (Intrusion Detection Systems). Die Cloud enthält auch alle Elemente innerhalb der Server, wie den Hypervisor, virtuelle Computer und natürlich die Software. Die Cloud-Architektur benötigt außerdem einen Cloud-Anbieter, einen Cloud-Architekten und einen Cloud-Broker, die Cloud-Services erstellen, verwalten, verkaufen und kaufen. Es geht also um ein gesamtes Ökosystem. Wer über „die Cloud“ spricht, meint damit eigentlich die Cloud-Architektur.
Viele Begriffe, die sich auf die Cloud-Architektur beziehen, fügen das Wort „Cloud“ einfach zu alten und vertrauten Begriffen hinzu. Ein Beispiel hierfür ist der Begriff „Cloud-Nutzer“. Wenn Sie die Definition von „Nutzer“ verstehen, ist Ihnen der neue Begriff klar. Er bezeichnet Nutzer von Cloud-Services im Gegensatz zu beispielsweise Nutzern von Telefonservices.
Hier sehen Sie einige grundlegende Beispiele:
Die Sicherheit in der Cloud beginnt mit der Cloud-Sicherheitsarchitektur. Diese fügt der Basisarchitektur Sicherheitselemente hinzu. Zu den traditionellen Sicherheitselementen gehören Firewall (FW), Anti-Malware-Lösungen und Systeme zur Angriffserkennung (Intrusion Detection Systems, IDS). Außerdem sind Personen nötig, die die Sicherheitsstruktur innerhalb der Cloud entwickeln, darunter Cloud-Auditoren, Sicherheitsarchitekten und Sicherheitsingenieure.
Mit anderen Worten: Die Cloud-Sicherheitsarchitektur ist nicht auf Hardware und Software beschränkt.
Die Cloud-Sicherheitsarchitektur beginnt beim Risikomanagement. Wenn Unternehmen wissen, was schiefgehen und wie dies ihr Geschäft negativ beeinflussen könnte, können sie verantwortungsbewusste Entscheidungen treffen. In dieser Hinsicht sind drei Themen wichtig: Geschäftskontinuität, Lieferkette und physische Sicherheit.
Was passiert beispielsweise mit Ihrem Geschäft, wenn es beim Cloud-Anbieter einen Ausfall gibt? Die Verlagerung von Servern, Services und Daten in die Cloud befreit Sie nicht von der Notwendigkeit, Pläne für Business Continuity und/oder die Wiederherstellung im Notfall zu entwickeln.
Was würde passieren, wenn jeder einfach in das Rechenzentrum des Cloud-Anbieters spazieren könnte? Bei den drei großen Anbietern – AWS, GCP und Azure – wäre das schwierig, aber genau darum geht es. Diese Anbieter haben erheblich in die Sicherheit der Rechenzentren investiert.
Doch wie sieht es bei anderen Cloud-Anbietern aus? Fordern Sie von jedem Cloud-Anbieter einen Gang durch das Rechenzentrum und die Teilnahme an einem Audit ein. Achten Sie darauf, welche Antwort Sie erhalten. Können Sie sich das Rechenzentrum gleich am nächsten Tag ansehen? Wenn es so einfach ist, Zugang zum Rechenzentrum zu erhalten, verdient dieser Anbieter vielleicht einen kritischeren Blick.
Kleinere Cloud-Anbieter verfügen möglicherweise gar nicht über ein eigenes physisches Rechenzentrum. Aller Wahrscheinlichkeit nach nutzen sie Kapazitäten der großen Cloud-Anbieter und verkaufen diese Kapazitäten weiter. Das ist ein Vorteil und einer der Gründe, warum die Nutzung der Cloud so attraktiv ist. Wenn die Beziehung zwischen den Cloud-Anbietern unbekannt ist, könnte dies zu zusätzlichen Problemen mit Gesetzen, Vorschriften und Verträgen führen. Stellen Sie die einfache Frage: Wo werden meine Daten gespeichert? Wenn es mehrere Ebenen bis zum Cloud-Anbieter gibt, lässt sich diese Frage eventuell nur schwer beantworten. Es könnte auch rechtliche Konsequenzen geben, zum Beispiel ein Problem mit der europäischen Datenschutzgrundverordnung (DSGVO).
Die Cloud-Sicherheitsarchitektur eines Unternehmens könnte auch Cloud-Sicherheitsservices umfassen. Es ist möglich, Dienste wie Data Leak Prevention (DLPaaS) zu erwerben. Andere Tools helfen bei der Sicherheit, etwa ein Scan-Tool, das nach persönlich identifizierbaren Informationen sucht, damit diese richtig gesichert werden können. Cloud-Sicherheit muss gemanagt werden, damit sichergestellt ist, dass diese Services funktionieren wie vorgesehen.
CNAPP bezeichnet Sicherheitslösungen, die dabei helfen, Risiken für verschiedene Cloud-native Anwendungen zu erkennen, zu beurteilen, zu priorisieren und Anpassungen vorzunehmen.
Dementsprechend umfassen CNAPP mehrere der wichtigsten Funktionen üblicherweise abgeschotteter Produkte und Plattformen: Artefakt-Scanning, Laufzeitschutz und Cloud-Konfiguration. Dies kann Folgendes beinhalten:
Trend Micro ist ebenfalls ein CNAPP-Anbieter; Produkte wie Trend Micro Cloud One™, die Sicherheitsplattform für Cloud-Entwickler, lassen sich nahtlos in CNAPP-Architekturen einfügen.
Unternehmen müssen fortwährend zahlreiche geltende Gesetze, Vorschriften und Verträge einhalten. Wenn Sie Ihre Daten und Dienste in die Hände Dritter geben, müssen Sie weitere komplizierte Anforderungen beachten, um Compliance zu gewährleisten.
Organisationen müssen Gesetze und Vorschriften einhalten, etwa die DSGVO (Datenschutzgrundverordnung der EU), SOX (Sarbanes-Oxley – US-Gesetz zum Schutz von Finanzdaten) und HIPAA (Health Information Portability and Accountability Act – US-Gesetz für das Gesundheitswesen). Auch der Kreditkartenschutz mit dem PCI-DSS (Payment Card Industry – Data Security Standard) fällt unter das Vertragsrecht.
Wenn das Compliance-Thema identifiziert ist, können zahlreiche Maßnahmen ergriffen werden. Zu diesen Maßnahmen gehören Audits. Ein Audit sollte einem standardisierten Ansatz und einer bewährten Methodologie folgen, etwa SSAE 18 (Statement of Standards on Attestation Agreements, Nr. 18) des American Institute of Certified Public Accountants. Die Ergebnisse des Audits zeigen, welche Bereiche möglicherweise die Compliance-Anforderungen nicht erfüllen. Bevor Sie sich für einen Cloud-Anbieter entscheiden, sollten Sie diese Berichte lesen, um das Sicherheitsniveau des Rechenzentrums zu kennen und zu wissen, was Sie erwarten können.
Weiterführende Artikel
Weiterführende Forschung