Cloud Security: Cloud-Sicherheit auf dem Prüfstand
Die Cloud-Nutzung ist mittlerweile nahezu Standard: Dienste werden ganz selbstverständlich migriert, auch IT-Sicherheitstools. Ansätze wie beispielsweise „Security-as-a-Service“ sind der Cloud Security zweifelsfrei dienlich. Eine moderne Cloud-Strategie zu implementieren, setzt Wissen um diese Ansätze und die Cloud Security im Allgemeinen voraus. Und das liefern wir Ihnen: Wir blicken auf die Sicherheit in der Cloud und über diesen Tellerrand hinaus.
Wie steht es um die Cloud Security?
Schon vor einem guten Jahr gaben wir eine Einschätzung zur Cloud-Sicherheit ab. Die Vorteile, die die Cloud mit sich bringt, haben sich seither nicht großartig verändert: Zahlreiche Unternehmen erkennen auch bezüglich der IT-Sicherheit Vorteile des Cloud-Computings. So lässt sich das Überwachen und Verfolgen von Angriffen beispielsweise optimieren. Die Verwaltung der Cloud macht geringen Aufwand, aber auch die Reduktion von Investitionsausgaben, zügigere Time-to-Value oder auch der Zugang zu aktuellen technischen Entwicklungen werden als Vorteile empfunden.
Selbstverständlich stehen diesen Vorteilen durchaus auch Bedenken gegenüber: Da wäre etwa der Datenschutz – gerade in Hinblick auf die DSGVO. Auch der unbefugte Zugriff durch Dritte, Ausfälle von Servern, das Integrieren anderer Sicherheitswerkzeuge oder das Behalten der Datenhoheit werden oft als Herausforderung empfunden.
Offene Lösungen für mehr Cloud Security
Diese Vorteile und Herausforderungen zeigen: Cloud-Sicherheit ist ein komplexes Feld, es ändert sich, ist als Prozess zu verstehen. Zum Absichern der Cloud-Dienste lohnt es, auf die Offenheit der jeweiligen Lösung zu achten: So lassen sich Drittanbieter integrieren, die sich zur Bedrohungslage austauschen. Sie verhindern Anbieterabhängigkeiten und schaffen die Basis für eine ganzheitliche Cloud-Sicherheit.
Insellösungen können nicht das Ziel sein: Sie können einen unnötigen Anstieg von Sicherheitswarnungen zur Folge haben, denn dieselbe Bedrohung kann mehrfach und auf verschiedene Art gemeldet werden. Der Best-of-Breed-Ansatz hat sich in der Praxis bewährt: Ihr unternehmensinternes IT-Sicherheitskonzept wird mit den für die Aufgabe jeweilig besten Lösungen umgesetzt. So lässt es sich bedarfsgerecht agieren: Auf neue Bedrohungen kann mit zusätzlichen Lösungen reagiert werden, oder auch mit dem Anpassen bestehender Sicherheitsmodule. Kurzum: Ein flexibles Reagieren wird ermöglicht.
BSI aktualisiert C5 Kriterienkatalog
Im Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindestanforderungen an das sichere Cloud-Computing. Angesprochen fühlen sollen sich neben Cloud-Anbietern auch deren Prüfer sowie Kunden. Im Jahr 2019 konnte der C5-Kriterienkatalog in Zusammenarbeit mit Cloud-Anbietern, Nutzern, Regulatoren sowie Prüfern grundlegend überarbeitet werden. Seit 2020 steht die finale Version (C5:2020) bereit. Mit dieser aktualisierten Fassung halten Sie eine Grundlage in der Hand, mit der Sie die Cloud-Sicherheit in Ihrer Organisation weiter optimieren und aktuellen Anforderungen anpassen können.
Tipps für mehr Sicherheit in der Cloud
In unserem Beitrag „Cloud-Sicherheit: Eine Einschätzung“ haben wir Ihnen unter „Empfehlungen für besseren Cloud-Datenschutz und –Datensicherheit“ Tipps gegeben, die Ihre Cloud-Nutzung sicherer machen. Auch die folgenden Tipps unterstützen Sie dabei, die Cloud Security zu erhöhen:
- Automatisieren: Die Automatisierung beim Erstellen und Pflegen von Security Policies sowie Konfigurationen ist lohnenswert. Relevant dafür sind Telemetriedaten sowie das maschinelle Lernen zum Auswerten. Das Ergebnis: Binnen kürzester Zeit werden präzise Policies erstellt. Wir erleben aktuell lediglich den Anfang der Automatisierung. Sie unterstützt dabei, Fehlerquoten deutlich zu verringern und Best Practices etablieren zu können.
- Transparenz: Setzen Sie auf Technologien, die zur Transparenz, zur Visibilität verhelfen. Entsprechende Tools machen Konfigurationen, aber auch Aktivitäten sichtbar, was dabei hilft, die Sicherheit zu optimieren. Auch muss jederzeit ersichtlich sowie nachvollziehbar sein, wo sich genau die Daten sowie die Applikationen befinden, die das Unternehmen nutzt.
- Verantwortlichkeiten: Eindeutig geklärt und idealerweise in die Policies mit aufgenommen müssen auch die Verantwortlichkeiten für diesen Bereich sein. In aller Regel ist irgendwie die IT-Abteilung, irgendwie aber auch der Cloud-Anbieter mitverantwortlich. Dieses „Irgendwie“ reicht aber nicht: Setzen Sie ganz präzise fest, welchen Teil der Verantwortung der Anbieter zu übernehmen hat, welchen das anwendende Unternehmen, welchen einzelne Personen im Unternehmen. Legen Sie auch fest, wo es Überschneidungen gibt und welche Grauzonen sich auftun. Verbreitet ist mittlerweile das „Shared Responsibility“-Modell: Der Provider ist zuständig für die Sicherheit der Cloud als solche. Das Anwenderunternehmen zeichnet für die Sicherheit in der Cloud verantwortlich. Heißt: Der Anwender ist selbst verantwortlich für jene Daten, die in der Cloud gelagert und verarbeitet werden. Achten Sie auch auf die Vorgaben, die sich aus der DSGVO ergeben (Stichwort: Auftragsdatenverarbeitungsvertrag). Je nach Modell können die Verantwortlichkeiten auch variieren: Der Provider übernimmt beim SECaaS-Modell, auf das wir später noch ausführlicher eingehen, fast komplett die Verantwortung. Beim IaaS-Modell hingegen ist der Anwender nicht nur für die Daten verantwortlich, sondern auch für Applikationen sowie virtuelle Umgebungen.
Verschiedene Security-Ansätze für die Cloud
Die Cloud entwickelt sich rasend schnell – genauso wie entsprechende Sicherheitslösungen. Es lohnt sich, hier am Ball zu bleiben und die unterschiedlichen Ansätze zu kennen, mit denen verschiedene Vor- und Nachteile einhergehen. Nur so gelingt es, bedarfsgerecht zu agieren. Im Folgenden stellen wir Ihnen einige dieser Ansätze vor.
Das Zero Trust-Prinzip
Dem Zero Trust-Prinzip folgend, wird keinem – nicht innerhalb, nicht außerhalb des Unternehmens – vertraut. Möchte sich also ein Anwender mit der Cloud verbinden, wird vorher sehr umfassend geprüft, inwieweit ein Zugang berechtigt ist. Stellen Sie sich eine große Burg mit tausenden von Räumen vor. Haben Sie es in die Burg geschafft, weil Sie die Zugbrücke überwinden konnten, so steht nun vor jedem Raum ein neuer Wächter mit ganz eigenen Sicherheitskontrollen. Nur, wenn Sie befugt sind, einen Raum zu betreten, dürfen Sie durch. Heißt übertragen auf die Cloud: Jeder Mitarbeiter in Ihrer Organisation erhält lediglich ausschließlich Zugriff auf jene Ressourcen, die für seine Arbeit wirklich notwendig sind.
Die Vorteile sind klar: Der Zero Trust-Ansatz reduziert das Risiko des Datendiebstahls (etwa durch Social Engineering bei internen Mitarbeitern oder durch Industriespionage und externe unbefugte Dritte).
Kombination aus Sicherheits- und Netzwerkfunktionen mit SASE
Im Zuge der digitalen Transformation, die nicht zuletzt aus der Corona-Pandemie resultiert, greifen Nutzer immer häufiger remote oder mobil auf die Cloud zu, also von außerhalb des Firmennetzwerks. Eine geschwächte Performance sowie hohe Latenzen sind meist Folge dieser Entwicklung. Das Marktforschungsinstitut Gartner formulierte 2019 erstmals das Architekturmodell für Security und Networking: SASE, was für Secure Access Service Edge steht. Dieses Modell zeigt, dass sich Sicherheits- sowie Netzwerkfunktionen in einem ganzheitlichen Cloud-Ansatz zusammenführen lassen.
Der SASE-Markt befindet sich noch in den Kinderschuhen; das Modell lernt quasi erst laufen. Deshalb gibt es erst wenige komplette Lösungsportfolios. Einige Bausteine, die Unternehmen bereits nutzen können, gehen jedoch in Richtung SASE-Architektur:
- Mittels SD-WAN-Technologien mit integrierten Security-Services für die Cloud lassen sich Performance im Netzwerk sowie Kosten gut im Blick behalten.
- Neben weiteren Unternehmensstandorten sollten auch Remote- bzw. mobile Mitarbeiter mit Cloud Web Security abgesichert werden.
- Zugriffe auf unternehmenskritische Anwendungen lassen sich mittels Cloud Application Security Brokers steuern, weiter lassen sich hier auch Datensicherheitsrichtlinien durchsetzen.
- Es lohnt, auf eine Kombination aus integrierter Cloud Web Security, Cloud Application Security Brokers sowie cloudbasierten Data Loss Prevention/ Data Leakage Prevention zu setzen. So gelingt der Ansatz der Cloudmigration des Security-Stacks. Der integrierte Ansatz erlaubt das Kontrollieren unternehmenskritischer Daten.
Outsourcing dank Security-as-a-Service
Oben ist dieser Ansatz mit seiner Abkürzung SECaaS bereits angeklungen. Hier zeigt sich einer der Hauptgründe, Sicherheitslösungen in die Cloud zu verlagern: eine äußerst flexible Kostenstruktur. SECaaS ist ein Abomodell. Das bedeutet für nutzende Unternehmen, dass sämtliche Ressourcen lediglich gemietet sind. Die dadurch wegfallenden Kosten summieren sich: Hard- und Software, Installation, Wartung, Upgrade, Abschreibungen – alles fällt weg. Nicht nur die langfristigen Betriebs- und Wartungskosten, sondern auch Vorabinvestitionen lassen sich nachhaltig reduzieren.
Ein weiterer Vorteil dieses Ansatzes: Unternehmen erhöhen ihre Flexibilität. Je nach Bedarf lassen sich binnen Minuten neue Server bereitstellen, Applikationen on-demand skalieren, Kapazitäten begrenzen. So können Unternehmen extrem zügig und unkompliziert auf sich ändernde Marktbedingungen reagieren, aber auch auf verschärfte Bedrohungslandschaften oder neue gesetzliche Anforderungen.
Auch die hohe Verfügbarkeit und Ausfallsicherheit überzeugen. So müssen Updates nicht manuell eingespielt werden, sie werden automatisch ausgeführt. Neben dem schnellen Schließen möglicher Sicherheitslücken ergeben sich wegfallende Herausforderungen wie Unterbrechungen durch die Updates oder erhöhte Ressourcenbeanspruchungen. Unternehmen erhalten dadurch eine hohe Verfügbarkeit, ohne eigene Ressourcen nutzen zu müssen. Ausfälle, die durch Cyberkriminelle ausgenutzt werden können, lassen sich vermeiden. Mit Disaster Recovery-Funktionen ausgestattet, fällt bei einigen SECaaS-Diensten auch der Aufwand für Backup-Prozesse weg.
SECaaS-Lösungen bieten etliche Vorteile, nach wie vor existieren jedoch auch Bedenken darüber, Sicherheitssoftware in die Cloud auszulagern. Neben Compliance-Problemen wird oft auch der Verlust über die Kontrolle sensibler Daten gefürchtet.
Shift Left und Continuous Security Testing
Beim Shift Left-Ansatz sollen Security Testings bereits zum Start des Software Development Lifecycle (SDLC) integriert werden. So werden aus DevOps DevSecOps. Heißt: Schon in der Software-Entwicklung wird Security als Qualitätsmerkmal begriffen. Das führt im Idealfall zu weniger Sicherheitslücken, und damit zu einer verringerten Nacharbeit. So gelingt es, Innovationen schneller zu implementieren – Zeit- und Kostenersparnisse folgen.
Continuous Security Testing zielt ebenfalls auf den Entwicklungsprozess ab bzw. wird in ihn integriert: Systeme sowie Anwendungen werden in regelmäßigen Intervallen auf Schwachstellen untersucht. Eine hohe und kontinuierliche Testabdeckung schon im Entwicklungsprozess kann sicherstellen, dass Schwachstellen im Code frühzeitig erkannt und behoben werden können. Die kontinuierliche Überprüfung steigert das Sicherheitsniveau fortlaufend.
Cloud Security – Wie gut passen Cloud und Sicherheit zusammen?
Cloud Security selbst, für alle Wege aus der Cloud und für alle Wege in die Cloud: All das muss neu gedacht werden. Dafür existieren bereits verschiedene Ansätze. Einige, die Sie als Unternehmen direkt umsetzen können, andere, die von Entwicklern umgesetzt gehören. Fest steht: Sie können viel für die Cloud Security unternehmen, Sie sind weder abhängig von Monopolisten noch etwaigen Cyberkriminellen ausgeliefert. Gerade die Sicherheits- und Netzwerkfunktionen mit SASE zeigen sich hier überzeugend: Mit verschiedenen Bausteinen haben Sie die Möglichkeit, Sicherheit in die Cloud zu bringen.
Wie ist das bei Ihnen: Nutzt Ihre Organisation die Cloud? Wenn ja: Welche Maßnahmen für gesteigerte Cloud Security ergreifen Sie? Oder setzen Sie gleich auf SECaaS? Gab es bei Ihnen bereits Sicherheitsvorfälle? Oder schreckt Sie die Nutzung der Cloud (noch) eher ab? – Kommen Sie mit uns ins Gespräch, unsere Leserinnen, Leser und wir freuen uns auf Ihre Meinung!
Schreibe einen Kommentar