Überblick
Cloud-Sicherheit bezieht sich auf den Schutz von Daten, Anwendungen und Infrastrukturen im Rahmen von Cloud-Services und Cloud Computing. Viele Aspekte der Sicherheit für Cloud-Umgebungen (egal ob Public, Private oder Hybrid Cloud) sind mit denen der lokalen IT-Architektur identisch.
Cloud-Sicherheit geht uns alle an
Sie sind für den Schutz Ihrer Instanz in der Cloud verantwortlich – unabhängig davon, welche Art der Cloud Sie verwenden. Nur weil Sie eine Cloud eines speziellen Anbieters nutzen, heißt das nicht, dass Sie sich zurücklehnen und entspannen könnten oder sollten. Ein Mangel an gebührender Sorgfalt ist einer der häufigsten Gründe für Sicherheitslücken. Cloud-Sicherheit geht jeden an und dazu gehört:
Zuverlässige Software
Die Komponenten Ihrer Cloud spielen eine wichtige Rolle. Wie bei jedem anderen Code, den Sie von einer externen Quelle herunterladen, müssen Sie wissen, woher die Pakete ursprünglich stammen, wer sie entwickelt hat und ob sie bösartigen Code enthalten. Beziehen Sie Software nur von bekannten und vertrauenswürdigen Quellen und implementieren Sie Maßnahmen, die eine zeitnahe Bereitstellung und Installation von Updates gewährleisten.
Compliance
Persönliche, finanzielle und andere sensible Cloud-Daten können strikten Compliance-Richtlinien unterliegen. Je nachdem, wo (und mit wem) Sie Geschäfte machen, gelten dabei unterschiedliche Vorschriften und Gesetze wie etwa die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Prüfen Sie Ihre Compliance-Anforderungen, bevor Sie sich für ein Cloud-Deployment entscheiden.
Lifecycle-Management
Mithilfe cloudnativer Umgebungen kann man im Handumdrehen neue Instanzen implementieren, aber auch schnell die alten vergessen. Vernachlässigte Instanzen können so zu Cloud-Zombies werden, die zwar aktiv sind, aber nicht überwacht werden. Dazu veralten diese vergessenen Instanzen recht schnell und weisen auch keine aktuellen Sicherheits-Patches auf. Hier können Lifecycle-Management und Governance-Richtlinien helfen.
Portierbarkeit
Lassen sich Ihre Workloads auf einfache Weise zu einer anderen Cloud verschieben? SLAs (Service Level Agreements) sollten eindeutig definieren, wann und wie der Cloud-Anbieter Kundendaten oder -anwendungen zurückgibt. Auch wenn Sie kurzfristig keine Migration planen, sollten Sie diese trotzdem als mögliches Zukunftsszenario ansehen. Denken Sie jetzt schon an den Aspekt der Portierbarkeit, um eine Anbieterbindung dauerhaft zu vermeiden.
Kontinuierliche Überwachung
Durch eine Überwachung der Ressourcen in Ihren Arbeitsumgebungen können Sie Sicherheitsverletzungen entweder ganz vermeiden oder zumindest ihre Auswirkungen minimieren.
Auswahl des richtigen Cloud-Anbieters
Wählen Sie qualifizierte und zuverlässige Beschäftige und Partner, die die Komplexität von Cloud-Services und Cloud-Sicherheit verstehen. Manchmal kann die Infrastruktur eines Public Cloud-Anbieters sicherer sein als die Private Cloud eines bestimmten Unternehmens, weil ersterer ein besser informiertes und ausgerüstetes Sicherheitsteam besitzt.
Sind Public Clouds sicher?
Eine gute Frage. Lassen Sie uns dieses Thema genauer betrachten. Wir könnten Ihnen jetzt die sicherheitstechnischen Unterschiede der drei Cloud-Deployments (Public Cloud, Private Cloud und Hybrid Cloud) erklären, aber wir wissen ja, welche Frage Sie eigentlich interessiert: „Sind Public Clouds sicher?" Nun, das kommt darauf an.
Public Clouds wie Amazon Web Services (AWS), Microsoft Azure und Google bieten ausreichende Sicherheit für viele Typen von Workloads, sind aber nicht für alles die ideale Lösung. Das liegt in der Hauptsache daran, dass sie nicht so isoliert sind wie Private Clouds. Public Clouds sind mandantenfähig, d. h. Sie und andere „Mandanten" mieten Computing-Leistung oder Speicherplatz im Rechenzentrum des Cloud-Serviceanbieters. Dazu unterzeichnen Sie ein SLA (Service Level Agreement) mit dem Cloud-Anbieter, also einen Vertrag, der dokumentiert, wer für was verantwortlich und haftbar ist. Das ist ungefähr so wie beim Mieten einer Immobilie. Die oder der Vermietende (Cloud-Anbieter) verspricht, das Gebäude (Cloud-Infrastruktur) in gutem Zustand zu halten, die Schlüssel (Zugang) zu verwalten und die Mietenden (Mandanten) im Allgemeinen in Ruhe zu lassen (Datenschutz). Als Gegenleistung versprechen die Mietenden (Mandanten), nichts zu unternehmen (z. B. die Ausführung unsicherer Anwendungen), was die Integrität des Gebäudes oder andere Mietende (Mandanten) beeinträchtigten könnte. Leider können Sie sich wie im richtigen Leben Ihre Nachbarinnen und Nachbarn nicht aussuchen, und es besteht die Möglichkeit, dass diese die falschen Personen ins Haus lassen. Während sich das für die Infrastruktursicherheit zuständige Team des Cloud-Anbieters auf unerwartete Ereignisse konzentriert, können andere Mandanten trotzdem durch heimliche oder aggressive Bedrohungen wie bösartige DDoS-Attacken (Distributed Denial-of-Service) geschädigt werden.
Glücklicherweise gibt es einige branchenweit anerkannte Sicherheitsstandards, -richtlinien und -kontrollmechanismen wie die Cloud Controls Matrix der Cloud Security Alliance. Oder Sie grenzen sich in einer Umgebung mit mehreren Mandanten mit zusätzlichen Sicherheitstools ein (wie Verschlüsselung und DDoS-Risikominderungsstrategien), die Ihre Workloads vor einer infizierten Infrastruktur schützen. Und wenn das auch nicht ausreicht, können Sie CASBs (Cloud Access Security Broker) einsetzen, um Aktivitäten zu überwachen und Sicherheitsrichtlinien für Unternehmensfunktionen mit geringem Risikofaktor durchzusetzen. Allerdings kann es sein, dass dies für Branchen mit strikten Datenschutz-, Sicherheits- und Compliance-Anforderungen immer noch zu wenig ist.
Cloudnative Sicherheit mit DevSecOps
DevSecOps bezieht sich auf die Kombination von DevOps-Praktiken und Sicherheitsstrategien als Mittel für Unternehmen, die IT-Sicherheit zu erhöhen und das Risiko für ihre Softwareumgebungen zu verringern. Cloudnative Technologien wie Kubernetes, Container, Microservices und Service Meshes werden immer beliebter. Sie bieten die erforderlichen Bausteine, mit denen Unternehmen Cloud-Anwendungen dynamischer, zuverlässiger und in größerem Umfang erstellen, bereitstellen und ausführen können, als dies bisher möglich war.
Die durch cloudnative Technologien eingeführten Änderungen erfordern, dass Unternehmen sich beim Thema Sicherheit in Richtung eines DevSecOps-Modells weiterentwickeln. Sicherheits- und Engineering-Teams müssen zusammen Strategien ausarbeiten, die Unternehmen bei der Entwicklung und Ausführung moderner, skalierbarer Anwendungen unterstützen – und zwar mithilfe von Praktiken, die Sicherheit in die frühen Phasen des Softwareentwicklungs-Lifecycles vorverlagern, und Workflows, die Sicherheit als Code implementieren.
Risikominderung mit der Hybrid Cloud
Bei sicherheitstechnischen Entscheidungen geht es in erster Linie um Risikotoleranz und die Kosten-Nutzen-Analyse. Wie wirken sich potenzielle Risiken und Vorteile auf die Gesamtgesundheit Ihrer Organisation aus? Welche Aspekte sind hier wichtig? Nicht alle Workloads erfordern die höchste Verschlüsselung und Cybersicherheit. Sie können sich das so vorstellen: Sie verriegeln Tür und Tor, um Ihren Besitz zu schützen, aber sichern Ihre Wertsachen dennoch separat in einem Tresor. Es hat Vorteile, über mehrere Optionen zu verfügen.
Darum nutzen Unternehmen vermehrt Hybrid Clouds, da diese die Vorteile der einzelnen Cloud-Optionen kombinieren. Eine Hybrid Cloud ist eine Kombination aus zwei oder mehr verbundenen Public oder Private Cloud-Umgebungen.
Bei einer Hybrid Cloud können Sie entscheiden, wo Workloads und Daten je nach Richtlinien, Compliance-, Audit- oder Sicherheitsanforderungen platziert werden sollen. So lassen sich besonders sensible Workloads in einer Private Cloud schützen, während weniger kritische Workloads in der Public Cloud verbleiben können. Auch wenn die Hybrid Cloud einige besondere sicherheitstechnische Herausforderungen (wie Datenmigration, höhere Komplexität und eine größere Angriffsfläche) bietet, sorgt allein das Vorhandensein mehrerer Umgebungen schon für einen besseren Schutz vor Sicherheitsrisiken.