Sicherheit

Was ist das Besondere an der Cloud-Sicherheit?

Cloud-Sicherheit ist der Schutz von Daten, Anwendungen und Infrastrukturen im Rahmen des Cloud Computing. Viele Aspekte der Sicherheit für Cloud-Umgebungen (egal ob Public, Private oder Hybrid Cloud) sind mit denen der On-Premise-IT-Architektur identisch.

Die wichtigsten Sicherheitslücken wie unbefugte Datenoffenlegungen und -lecks, schwache Zugangskontrollen, Anfälligkeit für Attacken sowie Verfügbarkeitsunterbrechungen betreffen sowohl traditionelle IT- als auch Cloud-Systeme. Wie bei jeder anderen Computing-Umgebung geht es auch bei der Cloud-Sicherheit darum, einen effizienten Präventivschutz zu gewährleisten, damit Sie:

  • sicher sein können, dass Ihre Daten und Systeme geschützt sind,
  • den aktuellen Sicherheitsstatus überwachen können,
  • sofort wissen, wenn etwas Ungewöhnliches passiert,
  • und unerwartete Ereignisse überwachen und auf diese reagieren können.

Die wichtigsten Merkmale der Cloud-Sicherheit

Viele Menschen kennen die Vorteile des Cloud Computing, lassen sich aber durch Sicherheitsbedrohungen abschrecken. Das ist verständlich. Es ist schwer, sich etwas vorzustellen, das sich irgendwo zwischen ungreifbaren, per Internet übertragenen Ressourcen und einem physischen Server befindet. Wir haben es hier mit einer dynamischen Umgebung zu tun, in der sich Dinge − wie auch Sicherheitsbedrohungen − ständig ändern. Es ist aber so, dass Cloud-Sicherheit größtenteils mit IT-Sicherheit identisch ist. Und sobald Sie die spezifischen Unterschiede erst einmal verstanden haben, werden Sie die „Cloud“ nicht mehr so schnell mit dem Konzept des Sicherheitsrisikos verbinden.

Die Auflösung des Netzwerkrands

Sicherheit hat in erster Linie mit Zugriff zu tun. Bei traditionellen Umgebungen erfolgt die Zugangskontrolle üblicherweise über ein Sicherheitssystem für den Netzwerkrand. Cloud-Umgebungen sind extrem vernetzt und erleichtern so dem Datenverkehr, die traditionellen Verteidigungsmaßnahmen zu umgehen. Unsichere APIs (Application Programming Interfaces), ein schwaches Identitäts- und Berechtigungsmanagement, Konto-Hijacking sowie bösartige Insider können Bedrohungen für System und Daten darstellen. Zur Verhinderung eines unbefugten Zugriffs auf die Cloud bedarf es eines datenzentrierten Ansatzes. Verschlüsseln Sie Ihre Daten. Verstärken Sie den Autorisierungsprozess. Machen Sie starke Passwörter und die Zwei-Faktor-Authentifizierung obligatorisch. Integrieren Sie Sicherheit in jede Ebene.

Software-Defined Everything

Unter dem Begriff „Cloud“ versteht man gehostete Ressourcen, die dem Benutzer über Software bereitgestellt werden. Cloud Computing-Infrastrukturen sowie alle verarbeiteten Daten sind dynamisch, skalierbar und portierbar. Cloud-Sicherheitskontrollen müssen sich an Umgebungsvariablen anpassen lassen und Workloads und Daten bei der Speicherung und Übertragung begleiten, entweder als inhärenter Bestandteil der Workloads (z. B. Verschlüsselung) oder dynamisch über ein Cloud-Management-System und APIs. Auf diese Weise lassen sich Cloud-Umgebungen vor Systembeschädigungen und Datenverlust schützen.

Ausgefeilte Bedrohungslandschaft

Unter ausgefeilten Bedrohungen versteht man all das, was das moderne Computing und mit ihm die Cloud beeinträchtigt. Immer hochentwickeltere Malware und andere Attacken wie APTs (Advanced Persistent Threats) sind darauf ausgelegt, die Netzwerkverteidigung über Schwachstellen im Computing-Stack zu umgehen. Datenverletzungen können in einer unbefugten Offenlegung und Verfälschung von Daten resultieren. Für diese Bedrohungen gibt es keine Standardlösung. Alles, was Sie tun können, ist, die aktuellen Cloud-Sicherheitspraktiken zu implementieren, die sich mit immer neuen Bedrohungen weiterentwickeln.


Cloud-Sicherheit geht uns alle an

Sie sind für den Schutz Ihrer Instanz in der Cloud verantwortlich – unabhängig davon, welche Art der Cloud Sie verwenden. Nur weil Sie eine Cloud eines speziellen Anbieters nutzen, heißt das nicht, dass Sie sich zurücklehnen und entspannen könnten oder sollten. Ein Mangel an gebührender Sorgfalt ist einer der häufigsten Gründe für Sicherheitslücken. Cloud-Sicherheit geht jeden an und dazu gehört:

Zuverlässige Software

Die Komponenten Ihrer Cloud spielen eine wichtige Rolle. Wie bei jedem anderen Code, den Sie von einer externen Quelle herunterladen, müssen Sie wissen, woher die Pakete ursprünglich stammen, wer sie entwickelt hat und ob sie bösartigen Code enthalten. Beziehen Sie Software nur von bekannten und vertrauenswürdigen Quellen und implementieren Sie Maßnahmen, die eine zeitnahe Bereitstellung und Installation von Updates gewährleisten.

Compliance

Persönliche, finanzielle und andere sensible Daten können strikten Compliance-Richtlinien unterliegen. Solche Vorschriften variieren je nachdem, wo (und mit wem) Sie Geschäfte machen. Siehe dazu z. B. die EU-Datenschutzgrundverordnung (DSGVO). Prüfen Sie Ihre Compliance-Anforderungen, bevor Sie eine Cloud-Implementierung wählen.

Lifecycle-Verwaltung

Mithilfe Cloud-nativer Umgebungen kann man im Handumdrehen neue Instanzen implementieren, aber auch schnell die alten vergessen. Vernachlässigte Instanzen können so zu Cloud-Zombies werden, die zwar aktiv sind, aber nicht überwacht werden. Dazu veralten diese vergessenen Instanzen recht schnell und weisen auch keine aktuellen Sicherheits-Patches auf. Hier können Lifecycle-Management und Governance-Richtlinien helfen.

Portabilität

Lassen sich Ihre Workloads auf einfache Weise zu einer anderen Cloud migrieren? Service-Level Agreements (SLA) sollten eindeutig definieren, wann und wie der Cloud-Anbieter Kundendaten oder -anwendungen zurückgibt. Auch wenn Sie eine solche Migration nicht in allernächster Zukunft beabsichtigen, sollten Sie sich allzeitige Flexibilität in Form einer gesicherten Portabilität gewährleisten.

Kontinuierliche Überwachung

Durch die Überwachung der Ressourcen in Ihren Arbeitsumgebungen können Sie Sicherheitsverletzungen entweder ganz vermeiden oder zumindest ihre Auswirkungen minimieren. Eine einheitliche Cloud-Management-Plattform (wie Red Hat CloudForms) kann Ihnen dabei helfen, ein umfassendes Monitoring jeder Ressource in jeder Umgebung zu realisieren.

Die richtigen Humanressourcen

Wählen Sie qualifizierte und zuverlässige Mitarbeiter und Partner, die die Komplexität der Cloud-Sicherheit verstehen. Manchmal kann die Infrastruktur eines Public Cloud-Anbieters sicherer sein als die Private Cloud eines bestimmten Unternehmens, weil ersterer ein besser informiertes und ausgerüstetes Sicherheitsteam besitzt.


Sind Public Clouds sicher?

Lassen Sie uns dieses Thema genauer betrachten. Wir könnten Ihnen jetzt die sicherheitstechnischen Unterschiede der drei Cloud-Implementierungen (Public, Private und Hybrid) erklären, aber wir wissen ja, welche Frage Sie eigentlich interessiert: „Sind Public Clouds sicher?“ Nun, das hängt davon ab.

Public Clouds bieten ausreichende Sicherheit für viele Typen von Workloads, sind aber nicht für alles die ideale Lösung. Das liegt in der Hauptsache daran, dass sie nicht so isoliert sind wie Private Clouds. Public Clouds sind mandantenfähig, d. h. Sie und andere „Mandanten“ mieten Computing-Leistung (oder Speicherplatz) vom Cloud-Anbieter. Als solcher unterzeichnen Sie eine SLA mit dem Anbieter, einen Vertrag, der dokumentiert, wer für was verantwortlich und haftbar ist. Das ist ungefähr so wie beim Mieten einer Immobilie von einem Vermieter. Der Vermieter (Cloud-Anbieter) verspricht, das Gebäude (Cloud-Infrastruktur) in gutem Zustand zu halten, die Schlüssel (Zugang) zu verwalten und den Mandanten (Mieter) im Allgemeinen in Ruhe zu lassen (Datenschutz). Als Gegenleistung verspricht der Mandant, nichts zu unternehmen (z. B. die Ausführung unsicherer Anwendungen), was die Integrität des Gebäudes oder andere Mandanten beeinträchtigten könnte. Leider können Sie sich auch wie im richtigen Leben Ihre Nachbarn nicht aussuchen und es besteht die Möglichkeit, dass diese Ihre Umgebung durch potenzielle Sicherheitslücken gefährden können. Während das für die Infrastruktursicherheit zuständige Team des Cloud-Anbieters auf unerwartete Ereignisse fokussiert, können andere Mandanten trotzdem durch heimliche oder aggressive Bedrohungen wie bösartige DDoS-Attacken (Distributed Denial-of-Service) beeinträchtigt werden.

Glücklicherweise gibt es einige branchenweit anerkannte Sicherheitsstandards, -richtlinien und -kontrollmechanismen wie die Cloud Controls Matrix der Cloud Security Alliance. Oder Sie grenzen sich in einer mandantenfähigen Umgebung mit zusätzlichen Sicherheitsmaßnahmen ein (wie Verschlüsselung und DDoS-Risikominderungsstrategien), die Ihre Workloads vor einer infizierten Infrastruktur schützen. Und wenn das auch nicht ausreicht, können Sie CASBs (Cloud Access Security Broker) einsetzen, um alle Aktivitäten zu überwachen und Sicherheitsrichtlinien für Unternehmensfunktionen mit geringem Risikofaktor durchzusetzen. Allerdings kann es sein, dass dies für Branchen mit strikten Datenschutz-, Sicherheits- und Compliance-Anforderungen immer noch zu wenig ist.

Risikominderung mit der Hybrid Cloud

Bei sicherheitstechnischen Entscheidungen geht es in erster Linie um Risikotoleranz und die Kosten-Nutzen-Analyse. Wie wirken sich potenzielle Risiken und Vorteile auf die Gesamtgesundheit Ihrer Organisation aus? Welche Aspekte sind hier wichtig? Nicht alle Workloads erfordern die höchste Verschlüsselung und Sicherheit. Sie können sich das so vorstellen: Sie verriegeln Tür und Tor, um Ihren Besitz zu schützen, aber sichern Ihre Wertsachen dennoch separat in einem Tresor. Es hat Vorteile, über mehrere Optionen zu verfügen.

Und darum nutzen Unternehmen vermehrt Hybrid Clouds, die eine Kombination aller Vorteile der verfügbaren Cloud-Optionen bieten. Bei einer Hybrid Cloud können Sie entscheiden, wo Workloads und Daten je nach Richtlinien, Compliance-, Audit- oder Sicherheitsanforderungen platziert werden sollen. So lassen sich besonders sensible Workloads in einer Private Cloud schützen, während weniger kritische Workloads in der Public Cloud verbleiben können. Auch wenn die Hybrid Cloud einige spezielle sicherheitstechnische Herausforderungen (wie Datenmigration, gesteigerte Komplexität und eine größere Angriffsfläche) bietet, sorgt alleine das Vorhandensein mehrerer Umgebungen schon für einen besseren Schutz gegen Sicherheitsrisiken.


Wir unterstützen Sie gerne bei der Cloud-Sicherheit

Eine umfassende Private Cloud IaaS-Lösung mit nahtloser Verwaltung über Public und Private Cloud-Umgebungen hinweg.

Einheitliche, konsistente Verwaltungsfunktionen für Private Cloud, Public Cloud, Hybrid Cloud und Virtualisierungsplattformen.

Eine Unternehmenssoftware, die Ihnen ein skalierbares, sicheres Framework zur Erstellung und Pflege vertrauenswürdiger Identitäten zwecks Gewährleistung des Datenschutzes bei der Kommunikation bietet.

Eine vom Betriebssystem unabhängige und netzwerkbasierte Registry, in der Administratoren Benutzeridentitäten und Anwendungsdaten zentral speichern können.

Sicherheit bietet noch viele weitere Einsatzmöglichkeiten