Konto Anmelden
Jump to section

Was ist das Besondere an der Cloud-Sicherheit?

URL kopieren

Cloud-Sicherheit ist der Schutz von Daten, Anwendungen und Infrastrukturen im Rahmen des Cloud Computing. Viele Aspekte der Sicherheit für Cloud-Umgebungen (egal ob Public, Private oder Hybrid Cloud) sind mit denen der lokalen IT-Architektur identisch.

Die wichtigsten Sicherheitslücken (wie unbefugte Datenoffenlegungen und -lecks, schwache Zugangskontrollen, Anfälligkeit für Attacken sowie Verfügbarkeitsunterbrechungen) betreffen sowohl traditionelle IT- als auch Cloud-Systeme. Wie bei jeder anderen Computing-Umgebung geht es auch bei der Cloud-Sicherheit darum, einen effizienten Präventivschutz zu gewährleisten, damit Sie:

  • sicher sein können, dass Ihre Daten und Systeme geschützt sind,
  • den aktuellen Sicherheitsstatus überwachen können
  • sofort wissen, wenn etwas Ungewöhnliches passiert
  • unerwartete Ereignisse überwachen und auf diese reagieren können

Viele Menschen kennen die Vorteile von Cloud Computing, lassen sich aber durch Sicherheitsbedrohungen abschrecken. Das ist verständlich. Es ist schwer, sich etwas vorzustellen, das sich irgendwo zwischen amorphen Ressourcen im Internet und einem physischen Server befindet. Wir haben es hier mit einer dynamischen Umgebung zu tun, in der sich Dinge − wie auch Sicherheitsbedrohungen − ständig ändern. Dennoch ist es so, dass Cloud-Sicherheit größtenteils mit IT-Sicherheit identisch ist. Und sobald Sie die spezifischen Unterschiede erst einmal verstanden haben, werden Sie die „Cloud" nicht mehr so schnell mit dem Konzept des Sicherheitsrisikos verbinden.

Die Auflösung des Netzwerkrands

Sicherheit hat in erster Linie mit Zugriff zu tun. Bei traditionellen Umgebungen erfolgt die Zugangskontrolle üblicherweise über ein Sicherheitssystem für den Netzwerkrand. Cloud-Umgebungen sind extrem vernetzt und erleichtern so dem Datenverkehr, die traditionellen Verteidigungsmaßnahmen zu umgehen. Unsichere APIs, ein schwaches Identitäts- und Berechtigungsmanagement, Konto-Hijacking sowie bösartige Insider können Bedrohungen für System und Daten darstellen. Zur Verhinderung eines unbefugten Zugriffs auf die Cloud bedarf es eines datenzentrierten Ansatzes. Verschlüsseln Sie Ihre Daten. Verstärken Sie den Autorisierungsprozess. Machen Sie starke Passwörter und die Zwei-Faktor-Authentifizierung obligatorisch. Integrieren Sie Sicherheit in jede Ebene.

Software-Defined Everything

Unter dem Begriff „Cloud" versteht man gehostete Ressourcen, die Nutzerinnen und Nutzern über Software bereitgestellt werden. Cloud Computing-Infrastrukturen sowie alle verarbeiteten Daten sind dynamisch, skalierbar und portierbar. Cloud-Sicherheitskontrollen müssen sich an Umgebungsvariablen anpassen lassen und Workloads und Daten bei der Speicherung und Übertragung begleiten, entweder als inhärenter Bestandteil der Workloads (z. B. Verschlüsselung) oder dynamisch über ein Cloud-Management-System und APIs. Auf diese Weise lassen sich Cloud-Umgebungen vor Systembeschädigungen und Datenverlust schützen.

Ausgefeilte Bedrohungslandschaft

Unter ausgefeilten Bedrohungen versteht man all das, was das moderne Computing und mit ihm die Cloud beeinträchtigt. Immer ausgeklügeltere Malware und andere Attacken wie APTs (Advanced Persistent Threats) sind darauf ausgelegt, die Netzwerkverteidigung über Schwachstellen im Computing-Stack zu umgehen. Datenverletzungen können in einer unbefugten Offenlegung und Verfälschung von Daten resultieren. Für diese Bedrohungen gibt es keine Standardlösung. Alles, was Sie tun können, ist, die aktuellen Cloud-Sicherheitspraktiken zu implementieren, die sich mit immer neuen Bedrohungen weiterentwickeln.

Sie sind für den Schutz Ihrer Instanz in der Cloud verantwortlich – unabhängig davon, welche Art der Cloud Sie verwenden. Nur weil Sie eine Cloud eines speziellen Anbieters nutzen, heißt das nicht, dass Sie sich zurücklehnen und entspannen könnten oder sollten. Ein Mangel an gebührender Sorgfalt ist einer der häufigsten Gründe für Sicherheitslücken. Cloud-Sicherheit geht jeden an und dazu gehört:

Zuverlässige Software

Die Komponenten Ihrer Cloud spielen eine wichtige Rolle. Wie bei jedem anderen Code, den Sie von einer externen Quelle herunterladen, müssen Sie wissen, woher die Pakete ursprünglich stammen, wer sie entwickelt hat und ob sie bösartigen Code enthalten. Beziehen Sie Software nur von bekannten und vertrauenswürdigen Quellen und implementieren Sie Maßnahmen, die eine zeitnahe Bereitstellung und Installation von Updates gewährleisten.

Compliance

Persönliche, finanzielle und andere sensible Daten können strikten Compliance-Richtlinien unterliegen. Solche Vorschriften variieren je nachdem, wo (und mit wem) Sie Geschäfte machen. Siehe dazu z. B. die EU-Datenschutzgrundverordnung (DSGVO). Prüfen Sie Ihre Compliance-Anforderungen, bevor Sie eine Cloud-Implementierung wählen.

Lifecycle-Verwaltung

Mithilfe cloudnativer Umgebungen kann man im Handumdrehen neue Instanzen implementieren, aber auch schnell die alten vergessen. Vernachlässigte Instanzen können so zu Cloud-Zombies werden, die zwar aktiv sind, aber nicht überwacht werden. Dazu veralten diese vergessenen Instanzen recht schnell und weisen auch keine aktuellen Sicherheits-Patches auf. Hier können Lifecycle-Management und Governance-Richtlinien helfen.

Portierbarkeit

Lassen sich Ihre Workloads auf einfache Weise zu einer anderen Cloud verschieben? SLAs (Service Level Agreements) sollten eindeutig definieren, wann und wie der Cloud-Anbieter Kundendaten oder -anwendungen zurückgibt. Auch wenn Sie kurzfristig keine Migration planen, sollten Sie diese trotzdem als mögliches Zukunftsszenario ansehen. Denken Sie jetzt schon an den Aspekt der Portierbarkeit, um eine Anbieterbindung dauerhaft zu vermeiden.

Kontinuierliche Überwachung

Durch eine Überwachung der Ressourcen in Ihren Arbeitsumgebungen können Sie Sicherheitsverletzungen entweder ganz vermeiden oder zumindest ihre Auswirkungen minimieren. Eine einheitliche Cloud-Management-Plattform (wie Red Hat CloudForms) kann Ihnen dabei helfen, ein umfassendes Monitoring jeder Ressource in jeder Umgebung zu realisieren.

Die richtigen Mitarbeiter und Partner

Wählen Sie qualifizierte und zuverlässige Beschäftige und Partner, die die Komplexität der Cloud-Sicherheit verstehen. Manchmal kann die Infrastruktur eines Public Cloud-Anbieters sicherer sein als die Private Cloud eines bestimmten Unternehmens, weil ersterer ein besser informiertes und ausgerüstetes Sicherheitsteam besitzt.

Lassen Sie uns dieses Thema genauer betrachten. Wir könnten Ihnen jetzt die sicherheitstechnischen Unterschiede der drei Cloud-Deployments (Public Cloud, Private Cloud und Hybrid Cloud) erklären, aber wir wissen ja, welche Frage Sie eigentlich interessiert: „Sind Public Clouds sicher?" Nun, das kommt darauf an.

Public Clouds bieten ausreichende Sicherheit für viele Typen von Workloads, sind aber nicht für alles die ideale Lösung. Das liegt in der Hauptsache daran, dass sie nicht so isoliert sind wie Private Clouds. Public Clouds sind mandantenfähig, d. h. Sie und andere „Mandanten" (= Mieter) mieten Computing-Leistung (oder Speicherplatz) vom Cloud-Anbieter. Als solcher unterzeichnen Sie ein SLA mit dem Anbieter, einen Vertrag, der dokumentiert, wer für was verantwortlich und haftbar ist. Das ist ungefähr so wie beim Mieten einer Immobilie von einem Vermieter. Der Vermieter (Cloud-Anbieter) verspricht, das Gebäude (Cloud-Infrastruktur) in gutem Zustand zu halten, die Schlüssel (Zugang) zu verwalten und den Mieter (Mandanten) im Allgemeinen in Ruhe zu lassen (Datenschutz). Als Gegenleistung verspricht der Mieter (Mandant), nichts zu unternehmen (z. B. die Ausführung unsicherer Anwendungen), was die Integrität des Gebäudes oder andere Mieter (Mandanten) beeinträchtigten könnte. Leider können Sie sich wie im richtigen Leben Ihre Nachbarinnen und Nachbarn nicht aussuchen, und es besteht die Möglichkeit, dass diese die falschen Personen ins Haus lassen. Während sich das für die Infrastruktursicherheit zuständige Team des Cloud-Anbieters auf unerwartete Ereignisse konzentriert, können andere Mandanten trotzdem durch heimliche oder aggressive Bedrohungen wie bösartige DDoS-Attacken (Distributed Denial-of-Service) geschädigt werden.

Glücklicherweise gibt es einige branchenweit anerkannte Sicherheitsstandards, -richtlinien und -kontrollmechanismen wie die Cloud Controls Matrix der Cloud Security Alliance. Oder Sie grenzen sich in einer Umgebung mit mehreren Mandanten (Mietern) mit zusätzlichen Sicherheitsmaßnahmen ein (wie Verschlüsselung und DDoS-Risikominderungsstrategien), die Ihre Workloads vor einer infizierten Infrastruktur schützen. Und wenn das auch nicht ausreicht, können Sie CASBs (Cloud Access Security Broker) einsetzen, um alle Aktivitäten zu überwachen und Sicherheitsrichtlinien für Unternehmensfunktionen mit geringem Risikofaktor durchzusetzen. Allerdings kann es sein, dass dies für Branchen mit strikten Datenschutz-, Sicherheits- und Compliance-Anforderungen immer noch zu wenig ist.

Bei sicherheitstechnischen Entscheidungen geht es in erster Linie um Risikotoleranz und die Kosten-Nutzen-Analyse. Wie wirken sich potenzielle Risiken und Vorteile auf die Gesamtgesundheit Ihrer Organisation aus? Welche Aspekte sind hier wichtig? Nicht alle Workloads erfordern die höchste Verschlüsselung und Sicherheit. Sie können sich das so vorstellen: Sie verriegeln Tür und Tor, um Ihren Besitz zu schützen, aber sichern Ihre Wertsachen dennoch separat in einem Tresor. Es hat Vorteile, über mehrere Optionen zu verfügen.

Und darum nutzen Unternehmen vermehrt Hybrid Clouds, die eine Kombination aller Vorteile der verfügbaren Cloud-Optionen bieten. Eine Hybrid Cloud ist eine Kombination aus zwei oder mehr verbundenen Public oder Private Cloud-Umgebungen.

Bei einer Hybrid Cloud können Sie entscheiden, wo Workloads und Daten je nach Richtlinien, Compliance-, Audit- oder Sicherheitsanforderungen platziert werden sollen. So lassen sich besonders sensible Workloads in einer Private Cloud schützen, während weniger kritische Workloads in der Public Cloud verbleiben können. Auch wenn die Hybrid Cloud einige besondere sicherheitstechnische Herausforderungen (wie Datenmigration, höhere Komplexität und eine größere Angriffsfläche) bietet, sorgt alleine das Vorhandensein mehrerer Umgebungen schon für einen besseren Schutz vor Sicherheitsrisiken.

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Ressourcen

Illustration - mail

Möchten Sie mehr zu diesen Themen erfahren?

Abonnieren Sie unseren kostenlosen Newsletter, Red Hat Shares.