VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Cognitive System 605646467 700

Prozesse sowohl im eigenen Rechenzentrum als auch in der Cloud zu betreiben, kann gefährlich sein – wenn zentrale Policies fehlen oder nicht durchgesetzt werden. Selbst wenn auf lokalen Rechenzentren optimale Sicherheit herrscht, können mangelhaft geschützte Cloud-Anbieter das System als Ganzes gefährden. 

Travis Greene, Director of Strategy, IT Operations bei Micro Focus, hat fünf Punkte zusammengestellt, die Unternehmen mit hybrider IT beachten sollten.

Code-Testing nicht vernachlässigen

Im traditionellen Wasserfallmodell erfolgt das Security Testing häufig am Ende des Entwicklungszyklus – nach den unvermeidlichen Verzögerungen im Entwicklungsprozess oft unter Zeitdruck. Die Testingphase wird dennoch meist abgeschlossen. Ein verspätetes Deployment nimmt man in Kauf, wenn von der Stabilität der Anwendung der Umsatz abhängt.

Mit den agilen Methoden wie Deployment über DevOps-Pipelines direkt in eine Public Cloud steigt auch der Druck, Releases immer schneller zu veröffentlichen. Dabei kann ausgiebiges Testing schon einmal auf der Strecke bleiben. Um dem vorzubeugen, sollte der Code unbedingt während der Entwicklung getestet werden. Unsichere Bibliotheken und andere potentielle Sicherheitslücken können so frühzeitig entdeckt werden, eine kostenintensive Neuprogrammierung entfällt.

Access Management und Governance zentralisieren

Unternehmen haben zwar stark in Access Management und Governance investiert, aber mit einem Fokus auf bestehenden Systemen. Public-Cloud-Umgebungen gleichen oft einem Flickenteppich, die von verschiedenen Abteilungen dezentral verwaltet werden. Es wäre gefährlich zu glauben, dass Apps in der Cloud auch ausschließlich Access-Management in der Cloud benötigen. In hybriden Umgebungen ist alles miteinander verzahnt. Zugangsberechtigungen werden für Hacker umso attraktiver, wenn sie Zugriff auf Cloud- und On-Premise-Ressourcen ermöglichen.

Cloud-Provider im Ernstfall einbeziehen

Incident Monitoring and Response ist ebenfalls ein Bereich, den Unternehmen in letzter Zeit stark ausgebaut haben. Dabei ist zu beachten, dass in hybriden Umgebungen Service-Anbieter in die Überwachungs- und Reaktionsprozesse einbezogen werden müssen. Natürlich haben Cloud-Provider ihre eigenen Sicherheitssysteme, oftmals wesentlich umfangreichere als ihre Kunden, dennoch hat die Verantwortlichkeit der Anbieter klare Grenzen. Unternehmen müssen sich dieser Lücken bewusst sein und Prozesse einführen, um sie zu überbrücken.

Verschlüsselung konsequent anwenden

Wenn Daten zwischen Unternehmens-Servern und der Cloud ausgetauscht werden (wie etwa beim File Sharing), sollte das nur in verschlüsselter Form geschehen. Die Herausforderung besteht nun darin, über die gesamte hybride Infrastruktur hinweg eine integrierte Verschlüsselungs-Policy zu etablieren. File Sharing ist heute so weit verbreitet, dass Angestellte auf Lösungen zurückgreifen, die sie aus dem Privatbereich kennen, wenn Unternehmen keine passenden Angebote bereitstellen. IT-Verantwortliche sollten sich der Gefahr bewusst sein – und Alternativen bieten.

Konfigurationen schnell anpassen

Jede Konfigurationsänderung, jeder Patch muss für Audits dokumentiert werden. Unternehmen, die gerade verschiedene Cloud-Anwendungen einführen und unter verschiedene Regulierungsbestimmungen fallen, haben mit der Dokumentation jedoch oft Probleme. Operations-Teams müssen daher eng mit den Verantwortlichen für die Sicherheits-Policies zusammenarbeiten, damit in der hybriden Umgebung nichts übersehen wird.

Fazit

Mitten in der Cloud-Transformation müssen Unternehmen sich die Schwachpunkte an der Schnittstelle zwischen traditionellen Systemen und der Cloud bewusstmachen und gegensteuern: Durch Echtzeit-Testing, zentrales Access Management, durchgehende Verschlüsselung und eine enge Zusammenarbeit zwischen Betriebs- und Sicherheits-Teams.   

microfocus.de

GRID LIST
Cloud Data Security

Unternehmen in der Cloud – und wo bleibt der Know-how-Schutz?

Sobald die EU-Mitgliedsstaaten die Know-how-Schutz-Richtlinie umgesetzt haben, müssen…
Dr. Chris Brennan

In die Cloud – aber sicher

Dr. Chris Brennan, Regional Director DACH, Eastern Europe, Russia and Israel von Skybox…
Tb W190 H80 Crop Int E9da0303902a814cc9295ed544bbcbb6

Tenable erweitert Sicherheitsportfolio für Cloud und Applikationen

Tenable kündigt neue Produkte und Erweiterungen seines Ökosystems rund um Tenable.io an,…
Tb W190 H80 Crop Int 454d4f23d0f7f0f72b8d99c289393a0b

Malware in der Cloud - Best Practices

Das enorme Wachstum von Cloud Services in der Geschäftswelt hat einen leidigen, aber…
Tb W190 H80 Crop Int 1cc249adc87dd12d5b12b915fca30bb3

Der Mittelstand im Cloud-Zeitalter: Toshiba gibt Tipps zur IT-Security

Cloud-Computing, Cloud-Services, Cloud-Speicher – der Begriff ist in aller Munde. Doch…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Cloud, Compliance und OT: Das wird wichtig bei der Cybersecurity

Die Bedrohung durch Cyberkriminalität hat im vergangenen Jahr neue Ausmaße erreicht.…
Smarte News aus der IT-Welt