Mit Best Practices die Cloud absichern

Die Cloud zu nutzen, kann vielerlei Vorteile für Unternehmen bringen: Sie beschleunigt das Bereitstellen von IT-Anwendungen, sie verbessert die Produktivität, bietet finanzielle Anreize und steigert insgesamt die Agilität des Unternehmens. Es entstehen jedoch auch neue Angriffsflächen, wodurch die gesamte Organisation Sicherheitsbedrohungen ausgesetzt ist.

Die Nutzung von Cloud-Services steigt und steigt. Im Jahr 2017 setzten bereits zwei Drittel der Unternehmen auf Cloud Computing (zum Vergleich: Im Jahr 2015 waren es 54 Prozent). Gleichzeitig werden Netzwerkumgebungen komplexer. Modernere IT-Infrastrukturen verwenden sowohl Private-Cloud- als auch Public-Cloud-Plattformen, um die Anforderungen an die IT umzusetzen.

Die Public-Cloud- und Private-Cloud-Services bergen besonders für den Chief Information Security Officer (CISO) Herausforderungen. Er muss stets mit neuer Technologie Schritt halten und verschiedene Anbieter miteinbeziehen, um die unterschiedlichen Bedürfnisse der einzelnen Abteilungen zu erfüllen – und das alles unter Berücksichtigung der damit verbundenen Sicherheitsrisiken für das Unternehmen. IT-Security-Manager sind sich dessen bewusst, dass das Erreichen der Unternehmensziele von der Einhaltung der Security-Richtlinien über alle Ebenen der IT hinweg – einschließlich der Cloud – abhängt. Hierfür gilt es, allgemeingültige Best Practices zu beachten.

Es ist problematisch, dass Cloud-Services oft ohne das Wissen der IT-Abteilung eingesetzt und so Sicherheitsrichtlinien umgangen werden, was die gesamte Unternehmenssicherheit gefährden kann. Aus einer Studie von Gartner geht hervor, dass bis zum Jahr 2021 27 Prozent des gesamten Datenverkehrs in Unternehmen die klassischen Security Controls umgehen und direkt von mobilen und tragbaren Geräten in die Cloud fließen werden. Dies bringt CISOs schlaflose Nächte und macht ihre Aufgabe, den Einsatz unterschiedlicher Clouds über das gesamte Unternehmen hinweg zu sichern und zu verwalten, komplex und zur Geduldsprobe; und um die Dinge aus Sicherheitsperspektive noch komplizierter zu machen, fehlt vielen CISOs der Einblick in Netzwerke und Clouds des Unternehmens, durch die sie Risiken erkennen und adressieren könnten.

Welchen Herausforderungen müssen sich CISOs stellen, um die Sicherheitsrisiken, die ein Wechsel in die Cloud mit sich bringt, zu bewerten und wenn nötig mit entsprechenden Controls zu versehen?

Die Sichtbarkeit erhöhen

Während die meisten Unternehmen bereits private, öffentliche Cloud- oder Hybrid-Netzwerktechnologien verwenden, ist eine der größten Herausforderungen für CISOs die Dynamik der Cloud-Umgebungen bei eingeschränkter Visibilität. Dieser Mangel an Transparenz und Übersichtlichkeit ist auch auf die oft unklaren Zuständigkeiten für die virtuelle Infrastruktur in Public-Cloud-Services in Unternehmen zurückzuführen, die oft von verschiedenen IT-Teams verwaltet werden. Durch den Einsatz von öffentlichen Clouds werden Netzwerke immer größer, komplexer und unterliegen einem permanenten Wandel. Daher sind Sicherheitsrichtlinien erforderlich, die vor Plattform- und Technologiegrenzen nicht Halt machen.

Für IT-Sicherheits-Experten ist Cloud-Sicherheit ein kontinuierlicher Prozess. Für viele Organisationen ist es eher schwierig, die gleiche Transparenz in Cloud-basierten Workloads zu bekommen, die sie von traditionellen Netzwerken gewöhnt sind. Eine gute Verwaltung der Daten ist der Schlüssel: CISOs sollten wissen, an welcher Stelle Informationen geteilt und gespeichert werden und welche Cloud-Services das Unternehmen nutzt. Denn während eine Abteilung beispielsweise Dropbox nutzt, könnte die andere Collaborative Tools wie Slack nutzen, um Dateien zu teilen. Unabhängig davon, wer die Daten sammelt oder wo sie abgelegt werden, müssen Services wie Dateiablage und File-Sharing mit Blick auf die Anforderungen und Strafen bei der Nichteinhaltung der EU-Datenschutzgrundverordnung (EU-DSGVO) gut dokumentiert und geschützt werden.

Unternehmen entscheiden sich oft, ihre On-Premise-Systeme im Laufe der Zeit in die Cloud zu migrieren – eine Art „Erstmal den Zeh eintauchen“ zur Einführung einer Public-Cloud-Plattform – oder aber sie migrieren in eine Private-Cloud (oder ein Hybrid-Netzwerk), um einen vermeintlich höheren Grad an Kontrolle zu behalten. Unabhängig von der Wahl des Cloud-Anbieters besteht ein Problem darin, dass Cloud-Migration die Komplexität von Unternehmensnetzwerken erhöht. Die Transparenz und Kontrolle der Netzwerke wird durch erhöhten Ost-West-Traffic weiter erschwert. Um die Verwaltung dieser Plattformen nahtlos abzubilden und zusammenzuführen sowie Unterbrechungen von Business-kritischen Anwendungen zu vermeiden und das Management unterschiedlicher Tools zu erleichtern, sollten Unternehmen ein einheitliches Security-Policy-Management für das gesamte Unternehmensnetzwerk verwenden.

Ohne genauen Einblick ist es für CISOs nicht möglich, konsistente Maßnahmen durchzusetzen, um Risiken zu mindern. Traditionelle Security Controls wie Firewalls und Intrusion-Detection-Systeme arbeiten effektiv in den eigenen vier Wänden einer Organisation, eine kontinuierliche Verwaltung wird jedoch schwierig, wenn zusätzliche Tools hinzukommen, die für die Cloud-Nutzung notwendig sind. Wichtig sind ein Überblick und das Management über das gesamte Netzwerk hinweg mittels einer Konsole, so können Organisationen den Mangel an Transparenz und Visibilität überwinden, der oft mit der Cloud-Nutzung verbunden ist. Darüber hinaus können sie die Verwaltung von Sicherheitsrichtlinien über mehrere Tools hinweg vereinfachen, um so Risiken zu verringern und die Einhaltung der Unternehmenspolicies zu gewährleisten.

Die Sichtbarkeit kann zudem verbessert werden, indem eine Risiko-Bewertung der verwendeten Cloud-Services vorgenommen wird. Diese sollte eine Einschätzung beinhalten, ob ein bestimmter Dienst vor kurzem von einem Datensicherheitsvorfall betroffen war, ob Daten verschlüsselt übertragen werden und ob das System gepatcht oder konfiguriert wird, um komplexen Bedrohungen entgegenzutreten.

Compliance sicherstellen

Im Rahmen des Prozesses, Daten aus den internen Systemen eines Unternehmens in die Cloud zu verschieben, müssen Unternehmen genau prüfen, wie die Daten aufbewahrt werden, damit sie Gesetze und Branchenvorschriften erfüllen. Dies wirft eine ganze Reihe von Fragen für Sicherheitsexperten auf: Wo werden die Daten gespeichert? Wer ist dafür verantwortlich? Wer hat darauf Zugriff und kann dieser kontrolliert werden? Wie sicher ist die Cloud-Plattform? Wurde diese effektiv und sicher konfiguriert?

Die Art der Daten, die Organisationen nutzen, ist unterschiedlich – geistiges Eigentum, Zahlungsinformationen, persönliche Daten – und jeder Datentyp muss bestimmte regulatorische Anforderungen erfüllen. Zum Beispiel ist der Payment Card Industry Data Security Standard (PCI-DSS) ein proprietärer Informationssicherheitsstandard für Unternehmen, die Kartendaten behandeln. Gerade in Blick auf die EU-Datenschutzgrundverordnung müssen Daten klassifiziert werden und Organisationen verstehen, welche Daten sich in der Cloud befinden und welche Anforderungen an die Aufbewahrung bestehen. Organisationen müssen auch wissen, wie und wo Daten geschützt und gesichert werden und wer auf diese zugreifen kann.

Die Kontrolle (zurück)gewinnen

Die komplexen IT-Umgebungen, mit denen es CISOs heute zu tun haben, umfassen viele verschiedene Endpoints, also mobile Geräte, Smartphones, Tablets aber auch Desktops. Die Endnutzer wählen unterschiedliche Cloud-Anbieter, aber viele der Features, die Cloud-basierte Anwendungen so attraktiv machen, wie Synchronisierung, Teilen und Einfachheit der Zusammenarbeit, bringen Unternehmen zeitgleich bei der Cloud-Nutzung auch in Gefahr.

Um diese Hybrid-Umgebungen zu sichern, sollten CISOs die Kontrolle über die Sicherheitskonfigurationen der Cloud erlangen. Die Best Practice dreht sich um die Entwicklung einer einheitlichen Sicherheitspolitik mit einer detaillierten Momentaufnahme des gesamten Netzwerks, die Definition des Datentyps sowie die Vorgabe der jeweils geeigneten Maßnahmen. Denn wenn Unternehmen schnell und adäquat Richtlinien umsetzen können – unabhängig von der Umgebung – gewinnen sie Kontrolle und Agilität.

Organisationen und Unternehmen sollten kontrollieren, wer Zugriff auf bestimmte Datensätze hat. Verlässt ein Mitarbeiter das Unternehmen, muss sichergestellt werden, dass dessen Zugangsberechtigungen widerrufen werden. Denn es besteht die Gefahr, dass ehemalige Mitarbeiter noch immer Zugang zu Informationen haben, die sich in der Cloud befinden.

Organisationen benötigen einen unkomplizierten Weg, um Infrastruktur, Menschen und Prozesse zusammenzubringen. Eine einzige Oberfläche, die Sicherheitsrichtlinien und Konfigurationen über das gesamte Netzwerk hinweg verwalten kann, ist hier die Lösung. Mit dem zunehmenden Einsatz der Cloud ist es wichtig, dass Organisationen der Best Practice folgen, um die Erfahrung mit der Cloud so sicher und angenehm wie möglich zu machen. Denn die unangenehme Alternative besteht darin, Infrastrukturen gegenüber Sicherheitsbedrohungen ungeschützt zu lassen.

Über den Autor: Pierre Visel ist Regional Director DACH bei Tufin, einem Unternehmen, das sich auf die Verwaltung von Sicherheitsrichtlinien spezialisiert hat.

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

CAPTCHA
Diese Frage stellt fest, ob du ein Mensch bist.
14 + 1 =
Das einfache mathematische Problem ist zu lösen und das Ergebnis einzugeben. Z.B. muss für 1+3 der Wert 4 eingegebene werden.

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags