Was ist Cloud-Sicherheit?

Cloud-Sicherheit umfasst eine Reihe von Verfahren, Richtlinien und Technologien zur Absicherung von Cloud-basierten Computing-Umgebungen gegen potenzielle Bedrohungen der Cybersicherheit. In der Praxis gewährleistet dies die Integrität und Sicherheit von Cloud-Computing-Modellen bei Angriffen oder Sicherheitsverletzungen. Cloud Service Provider sorgen für eine sichere Cloud-Infrastruktur.

Cloud-Sicherheit

Die Cloud abzusichern, ist nicht annähernd so kompliziert, wie es klingt. Sie können Ihre Geschäfte auf viele Arten schützen, die Sicherheit der Cloud gewährleisten und gleichzeitig ihre Vorteile voll ausschöpfen.

Cloud-Sicherheit beginnt bei der Auswahl des richtigen Service-Modells, das den Ansprüchen Ihres Unternehmens entspricht. Es gibt bei Cloud-Sicherheitsangeboten drei spezifische Service-Modelle und vier Bereitstellungsoptionen. Zu den Service-Modellen gehören folgende:

  • Infrastructure as a Service (IaaS): Das IaaS-Modell ermöglicht es einem Unternehmen, ein eigenes virtuelles Rechenzentrum (virtual Data Center, vDC) aufzubauen. Ein virtuelles Rechenzentrum liefert Cloud-basierte Ressourcen statt der physischen Vorteile, die herkömmliche Rechenzentren bieten. Die regelmäßige Wartung, Aktualisierung oder Instandhaltung physischer Geräte entfällt bei einem virtuellen Rechenzentrum.
  • Platform as a Service (PaaS): Das PaaS-Modell bietet eine Vielzahl an Optionen, über die Kunden Software bereitstellen, implementieren und erstellen können.

 

Software as a Service (SaaS):  Das SaaS-Modell ermöglicht Kunden den Zugriff auf Software, ohne dass ein Computer oder Server für ihre Erstellung erforderlich wäre. Dazu gehören beispielsweise Microsoft 365 (früher Office 365) und Gmail. Bei diesen Optionen benötigen Kunden nur einen Computer, ein Tablet oder ein Smartphone, um auf die Anwendungen zuzugreifen. Unternehmen verwenden eine Vielzahl von Begriffen, um ihre spezifischen Produkte zu bewerben. Beispele sind: DRaaS (Disaster Recovery), HSMaaS (Hardware Security Module), DBaaS (Database) und XaaS (Diverses). Abhängig von den Lösungen, die ein Unternehmen vermarktet, kann schwierig festzustellen sein, ob es sich um eine SaaS- oder eine PaaS-Lösung handelt. Letztendlich ist es jedoch wichtiger, die vertraglichen Verpflichtungen des Cloud-Anbieters zu verstehen. Cloud-Anbieter erweitern ihre Verträge häufig um Sicherheitsfunktionen für die Cloud, die über Services wie HSMaaS (Hardware Security Module) oder DRMaaS (Digital Rights Management) bereitgestellt werden.

Die vier Bereitstellungsmodelle:

  • Öffentlich:  für jeden zum Kauf verfügbar. Die besten Beispiele hierfür sind Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP).
  • Privat: speziell für ein Unternehmen geschaffen, die Hardware wird mit niemandem sonst geteilt. Eine Private Cloud kann in einer Public Cloud, im eigenen Rechenzentrum oder bei einem Unternehmen erstellt werden, das sich auf den Aufbau von Private Clouds spezialisiert hat, also bei einem Managed Service Provider.
  • Community: von verschiedenen Unternehmen geteilt. Es ist möglich, einen Service oder Daten in diesem Service gemeinsam zu nutzen. Ein Beispiel hierfür sind Clouds, die von der Regierung erstellt und von mehreren Behörden gemeinsam genutzt werden.
  • Hybrid: verwendet mindestens zwei der oben genannten Bereitstellungsmodelle. Auch alle drei Modelle können genutzt werden.

Welcher Aspekt der Cloud-Sicherheit ist am wichtigsten?

Alle Aspekte einer individuellen Cloud-Sicherheitsrichtlinie sind von Bedeutung, aber jeder Anbieter sollte bestimmte Grundpfeiler bieten. Diese gelten als unverzichtbar und sind einige der wichtigsten Aspekte der Cloud-Sicherheitsinfrastruktur. Sicherzustellen, dass der Anbieter Ihrer Wahl alle dieser Grundpfeiler absichert, ist für Ihre Cloud-Sicherheitsstrategie entscheidend, unabhängig von deren Umfang.

Always-on-Überwachung: Cloud-Sicherheitsanbieter erstellen Protokolle (Logs) und haben dadurch zu jeder Zeit Einblick, was auf Ihren Cloud-Plattformen vor sich geht. Bei einem Zwischenfall kann Ihr Sicherheitsteam interne Protokolle mit denen Ihres Anbieters vergleichen und so Erkenntnisse zu potenziellen Angriffen und Veränderungen gewinnen. Dies beschleunigt die Erkennung und Reaktion auf Zwischenfälle.

Änderungsverwaltung: Ihr Cloud-Sicherheitsanbieter sollte Protokolle zur Änderungsverwaltung (Change Management) bieten. Diese dienen dazu, Compliance-Kontrollen zu überwachen, wenn Änderungen angefordert, Ressourcen geändert bzw. verschoben oder neue Server bereit- oder außer Dienst gestellt werden. Dedizierte Change-Management-Anwendungen können eingesetzt werden, um ungewöhnliches Verhalten automatisch zu überwachen, damit Sie und Ihr Team schnell eingreifen und Korrekturen vornehmen können.

Zero-trust-Sicherheitskontrollen: Isolieren Sie kritische Ressourcen und Anwendungen abseits Ihres Cloud-Netzwerks. Sichere Workloads privat und unzugänglich zu halten, vereinfacht die Durchsetzung von Sicherheitsrichtlinien zum Schutz Ihrer Cloud-basierten Umgebung.

Allumfassende Datensicherheit: Ihr Anbieter sollte erweiterte Datensicherheit bieten, außerdem Verschlüsselung auf allen Transportebenen, gute Datenhygiene, kontinuierliche Überwachung des Risikomanagements, sicheres Filesharing und undurchlässige Kommunikation. Kurz gesagt sollte Ihr Anbieter beim Schutz Ihrer Unternehmensdaten in keinem Belang irgendwelche Schwächen aufweisen.

Fragen Sie sich: Was sind meine Bedenken? So können Sie selbst entscheiden, welche Fragen Sie Ihrem Cloud-Anbieter stellen sollten, um die wichtigsten Aspekte im Blick zu behalten.

Cloud-Architektur

Die Cloud-Architektur besteht, vereinfacht gesagt, aus mehreren verbundenen Umgebungen, die skalierbare Ressourcen über Softwareanwendungen, Datenbanken und andere Dienste hinweg bündeln und teilen. Der Begriff bezeichnet letztendlich die Infrastrukturen und Komponenten, die durch ihr Zusammenwirken das ausmachen, was wir als „Cloud“ kennen.

Zu den Grundkomponenten, die zur Erstellung einer Cloud benötigt werden, gehören Netzwerke, Router, Switches, Server, Firewalls und Systeme zur Angriffserkennung (Intrusion Detection Systems). Die Cloud enthält auch alle Elemente innerhalb der Server, wie den Hypervisor, virtuelle Computer und natürlich die Software. Die Cloud-Architektur benötigt außerdem einen Cloud-Anbieter, einen Cloud-Architekten und einen Cloud-Broker, die Cloud-Services erstellen, verwalten, verkaufen und kaufen. Es geht also um ein gesamtes Ökosystem. Wer über „die Cloud“ spricht, meint damit eigentlich die Cloud-Architektur.

Viele Begriffe, die sich auf die Cloud-Architektur beziehen, fügen das Wort „Cloud“ einfach zu alten und vertrauten Begriffen hinzu. Ein Beispiel hierfür ist der Begriff „Cloud-Nutzer“. Wenn Sie die Definition von „Nutzer“ verstehen, ist Ihnen der neue Begriff klar. Er bezeichnet Nutzer von Cloud-Services im Gegensatz zu beispielsweise Nutzern von Telefonservices.

Hier sehen Sie einige grundlegende Beispiele:

  • Cloud-Nutzer: Die Person oder das Unternehmen, die oder das den Cloud-Dienst eines Cloud-Anbieters nutzt.
  • Cloud-Anbieter: Die Person oder das Unternehmen, die oder das die nötigen Ressourcen besitzt, um die von den Nutzern benötigten Services bereitzustellen. Dies schließt die Technologie zur Erstellung von Servern, virtuellen Computern, Datenspeichern und allen Ressourcen ein, die ein Kunde benötigt.
  • Cloud-Broker: Die Person oder das Unternehmen, die oder das die Bereitstellung, Nutzung und Leistung der Cloud für den Nutzer verwaltet und im Auftrag des Nutzers die Beziehung zum Anbieter aushandelt.
  • Cloud-Betreiber: Der Serviceanbieter, der ein Unternehmen mit der Cloud verbindet, z. B. Ihr Internet Service Provider (ISP). Im Fall eines Unternehmens ist dies in der Regel eine Verbindung über Multiprotocol Label Switching (MPLS).
  • Cloud-Auditor: Die Person oder das Unternehmen, die oder das Audits in der Umgebung eines Cloud-Anbieters durchführt. Diese Audits umfassen Prüfungen der Datenschutz- und Sicherheitsmaßnahmen.

Cloud-Sicherheitsarchitektur

Die Sicherheit in der Cloud beginnt mit der Cloud-Sicherheitsarchitektur. Diese fügt der Basisarchitektur Sicherheitselemente hinzu. Zu den traditionellen Sicherheitselementen gehören Firewall (FW), Anti-Malware-Lösungen und Systeme zur Angriffserkennung (Intrusion Detection Systems, IDS). Außerdem sind Personen nötig, die die Sicherheitsstruktur innerhalb der Cloud entwickeln, darunter Cloud-Auditoren, Sicherheitsarchitekten und Sicherheitsingenieure.

Mit anderen Worten: Die Cloud-Sicherheitsarchitektur ist nicht auf Hardware und Software beschränkt.

Die Cloud-Sicherheitsarchitektur beginnt beim Risikomanagement. Wenn Unternehmen wissen, was schiefgehen und wie dies ihr Geschäft negativ beeinflussen könnte, können sie verantwortungsbewusste Entscheidungen treffen. In dieser Hinsicht sind drei Themen wichtig: Geschäftskontinuität, Lieferkette und physische Sicherheit.

Was passiert beispielsweise mit Ihrem Geschäft, wenn es beim Cloud-Anbieter einen Ausfall gibt? Die Verlagerung von Servern, Services und Daten in die Cloud befreit Sie nicht von der Notwendigkeit, Pläne für Business Continuity und/oder die Wiederherstellung im Notfall zu entwickeln.

Was würde passieren, wenn jeder einfach in das Rechenzentrum des Cloud-Anbieters spazieren könnte? Bei den drei großen Anbietern – AWS, GCP und Azure – wäre das schwierig, aber genau darum geht es. Diese Anbieter haben erheblich in die Sicherheit der Rechenzentren investiert.

Doch wie sieht es bei anderen Cloud-Anbietern aus? Fordern Sie von jedem Cloud-Anbieter einen Gang durch das Rechenzentrum und die Teilnahme an einem Audit ein. Achten Sie darauf, welche Antwort Sie erhalten. Können Sie sich das Rechenzentrum gleich am nächsten Tag ansehen? Wenn es so einfach ist, Zugang zum Rechenzentrum zu erhalten, ist dieser Anbieter vielleicht eine zweite Überlegung wert.

Kleinere Cloud-Anbieter verfügen möglicherweise gar nicht über ein eigenes physisches Rechenzentrum. Aller Wahrscheinlichkeit nach nutzen sie Kapazitäten der großen Cloud-Anbieter und verkaufen diese Kapazitäten weiter. Das ist ein Vorteil und einer der Gründe, warum die Nutzung der Cloud so attraktiv ist. Wenn die Beziehung zwischen den Cloud-Anbietern unbekannt ist, könnte dies zu zusätzlichen Problemen mit Gesetzen, Vorschriften und Verträgen führen. Stellen Sie die einfache Frage: Wo werden meine Daten gespeichert? Wenn es mehrere Ebenen bis zum Cloud-Anbieter gibt, lässt sich diese Frage eventuell nur schwer beantworten. Es könnte auch rechtliche Konsequenzen geben, zum Beispiel ein Problem mit der europäischen Datenschutzgrundverordnung (DSGVO).

Die Cloud-Sicherheitsarchitektur eines Unternehmens könnte auch Cloud-Sicherheitsservices umfassen. Es ist möglich, Dienste wie Data Leak Prevention (DLPaaS) zu erwerben. Andere Tools helfen bei der Sicherheit, etwa ein Scan-Tool, das nach persönlich identifizierbaren Informationen sucht, damit diese richtig gesichert werden können. Cloud-Sicherheit muss gemanagt werden, damit sichergestellt ist, dass diese Services funktionieren wie vorgesehen.

Was ist CNAPP, ein Schutzprogramm für Cloud-native Anwendungen (Cloud-Native Application Protection Program)?

CNAPP bezeichnet Sicherheitslösungen, die dabei helfen, Risiken für verschiedene Cloud-native Anwendungen zu erkennen, zu beurteilen, zu priorisieren und Anpassungen vorzunehmen.

Dementsprechend umfassen CNAPP mehrere der wichtigsten Funktionen üblicherweise abgeschotteter Produkte und Plattformen: Artefakt-Scanning, Laufzeitschutz und Cloud-Konfiguration. Dies kann Folgendes beinhalten:

  • Überprüfung von Amazon S3-Buckets, Datenbanken und Netzwerkports auf Fehlkonfigurationen
  • Laufzeitüberwachung und Schutz für Ihre Cloud-Workloads
  • automatische Erkennung von Schwachstellen in Containern, virtuellen Computern (VMs) oder serverlosen Funktionen
  • Überprüfung auf verwundbare CVEs, geheime, sensible Daten und Malware
  • Überprüfung von Infrastructure-as-Code (IaC)

 

Trend Micro ist ebenfalls ein CNAPP-Anbieter; Produkte wie Trend Micro Cloud One™, die Sicherheitsplattform für Cloud-Entwickler, lassen sich nahtlos in CNAPP-Architekturen einfügen.

Cloud-Compliance

Unternehmen müssen fortwährend zahlreiche geltende Gesetze, Vorschriften und Verträge einhalten. Wenn Sie Ihre Daten und Dienste in die Hände Dritter geben, müssen Sie weitere komplizierte Anforderungen beachten, um Compliance zu gewährleisten.

Organisationen müssen Gesetze und Vorschriften einhalten, etwa die DSGVO (Datenschutzgrundverordnung der EU), SOX (Sarbanes-Oxley – US-Gesetz zum Schutz von Finanzdaten) und HIPAA (Health Information Portability and Accountability Act – US-Gesetz für das Gesundheitswesen). Auch der Kreditkartenschutz mit dem PCI-DSS (Payment Card Industry – Data Security Standard) fällt unter das Vertragsrecht.

Wenn das Compliance-Thema identifiziert ist, können zahlreiche Maßnahmen ergriffen werden. Zu diesen Maßnahmen gehören Audits. Ein Audit sollte einem standardisierten Ansatz und einer bewährten Methodologie folgen, etwa SSAE 18 (Statement of Standards on Attestation Agreements, Nr. 18) des American Institute of Certified Public Accountants. Die Ergebnisse des Audits zeigen, welche Bereiche möglicherweise die Compliance-Anforderungen nicht erfüllen. Bevor Sie sich für einen Cloud-Anbieter entscheiden, sollten Sie diese Berichte lesen, um das Sicherheitsniveau des Rechenzentrums zu kennen und zu wissen, was Sie erwarten können.

Cloud-Sicherheit

Zugehörige Artikel

Datenschutzverletzung und ungeschützter Cloud-Speicher bei Verizon

Gemeinsame Verantwortung für die Cloud-Sicherheit

Nur eine Fehlkonfiguration von einer Datenschutzverletzung in der Cloud entfernt

Microsoft Azure Well-Architected Framework

Weiterführende Forschung

Mit Shift-Left Schwachstellen vor der Implementierung finden

AWS Well-Architected

Sicher, geschützt und privat – für jede Art von Geschäft

National Institute of Standards and Technology (NIST)