Anzeige

Cloud Security

Für große Unternehmen ist das Cloud Computing einer der wesentlichen Treiber ihrer digitalen Transformation. Ein Aspekt, der dabei immer wieder kritisch beäugt wird, ist die Sicherheit.

Tatsächlich schreitet kaum eine andere Teildisziplin derzeit so schnell mit der Entwicklung neuer Konzepte voran, wie es bei der Cloud Security der Fall ist. Im Folgenden fünf innovative Ansätze, die die sichere Zukunft des Cloud Computings prägen werden. 

Jeder kennt das Shared-Responsibility-Modell der großen Cloud-Provider: Sie verantworten die Sicherheit der Cloud, während der Kunde für die Sicherheit in der Cloud verantwortlich ist. 

Es stellt sich aber die Frage, wie diese Verantwortung in großen Organisationen mit vielen IT-Stakeholdern intern verteilt wird. 

Wenn etwa jedes Entwicklungsteam für sich selbst entscheidet, wie Sicherheitsanforderungen umgesetzt werden, führt das zu vielen einzelnen heterogenen Ansätzen. Ein erfolgversprechender Lösungsansatz ist hier der Aufbau einer sogenannten Cloud Foundation: ein zentrales Team, das Entwicklungsteams Cloud-Umgebungen bereitstellt, für diese aber zentral Sicherheitsanforderungen automatisiert und einheitlich umsetzt. 

Wie ein Unternehmen die Organisationselemente der Cloud möglichst analog zur eigenen Struktur nutzen kann, ist eine der ersten Herausforderungen bei der Implementierung. Eine einheitliche Antwort gibt es nicht, ein Hauptrisiko, das es zu vermeiden gilt, allerdings schon: Die gesamte Infrastruktur innerhalb eines einzigen Cloud-Tenants abzubilden und so im Ernstfall Cyberkriminellen die Gesamtheit aller Daten auf dem Silbertablett zu servieren. 

Um dieses Risiko von vornherein einzudämmen, hat sich für die Entwicklung cloud-nativer Anwendungen das Konzept der Tenant-Isolierung durchgesetzt. Hierbei erhält jede Entwicklungsumgebung einen eigenen Tenant, sodass Aktionen innerhalb einer Umgebung andere Umgebungen nicht beeinträchtigen können. Zudem hat man die Möglichkeit, Sicherheitsanforderungen abhängig von der Art der Umgebung zu machen, z.B. Dev, Staging oder Prod. 

Um bei diesem Ansatz nicht an Geschwindigkeit zu verlieren, ist es für Organisationen essenziell, ein effizientes Tenant-Management zu etablieren, um die “time-to-cloud” so gering wie möglich zu halten. Die Königsdisziplin für Unternehmen: eine Tenant-Provisionierung on-demand und im Self-Service umzusetzen, wie bei AWS oder Azure - mit dem Unterschied, dass dieser auf die zentrale Cloud Foundation aufbaut, um den Sicherheitsstandard zu wahren. 

3. Cloud Tagging

Einer der größten Hemmer für einen zügigen Transformationsprozess ist der Anspruch, sämtliche Sicherheits-Szenarien von Anfang an bedienen zu wollen - was in der Praxis wiederum gar nicht immer nötig ist. Um das Tempo von Beginn an hochzuhalten, reicht es häufig, “einfache” Use Cases zu definieren und ihre Anforderungen zu erfüllen. Entwickler:innen können sich so mit den neuen Technologien vertraut machen und mit einem wachsenden Erfahrungsschatz dann auch komplexe Sicherheitsanforderungen abdecken.

Um langfristig nicht den Überblick zu verlieren, sollten jedoch alle Cloud Use Cases nach einem einheitlichen Schema beschrieben werden. Ein gängiger Weg dies umzusetzen ist das sogenannte Cloud-Tagging. Nach dem Motto “tag early, tag often” werden hier für jede Cloud-Umgebung bestimmte Metadaten festgehalten, die z.B. auf einen Blick sichtbar machen, wer für die Sicherheit der Umgebung verantwortlich ist oder Daten welcher Schutzklasse verarbeitet werden. 

Auf Basis eines einheitlichen Cloud-Tagging-Schemas können Projekte nicht nur richtig eingeordnet werden. Das strukturierte Datenformat ermöglicht darüber hinaus auch eine einfache Integration mit anderen IT-Systemen, z.B. für Vulnerability Scanning oder SIEM.

4. Landing Zones 

Mit einer Cloud Foundation und einer guten Tagging-Strategie schafft man die Rahmenbedingungen für eine sichere Cloud-Nutzung. Möchte man allerdings konkrete Sicherheitsanforderungen umsetzen, steigt der Grad der Komplexität. Ein Ansatz, der sich in diesem Zusammenhang als effektiv herausgestellt hat, ist das Konzept der Landing Zones. Über sie kann man beispielsweise die Nutzung einzelner Services ausschließen oder die Auswahl bestimmter Regionen einschränken.

Darüber hinaus ermöglichen Landing Zones, die Nutzung security-relevanter Services zu erzwingen. Darunter fallen cloud-native Services aus den Bereichen Logging und Monitoring, wie z.B. AWS Cloud Trail. Durch die zentrale Bereitstellung von Landing Zones, können Sicherheitsanforderungen automatisiert und über verschiedene Teams hinweg einheitlich umgesetzt werden. 

5. Desired State

In vielen Organisationen wird der Onboarding-Prozess in die Cloud über ein Workflow-Tool umgesetzt. Das löst den ersten Schmerz, denn Entwicklungsteams kommen schnell und im Self-Service in die Cloud und können mit der Applikationsentwicklung voranschreiten. Cloud-Umgebungen sind jedoch dynamisch und langlebig. Anforderungen können sich im Entwicklungsprozess ändern, organisatorische Umstrukturierungen beispielsweise Einfluss auf die Berechtigungsstruktur der Umgebung haben. 

Offen bleibt nicht selten, wie die initial aufgesetzte Cloud Governance auf Dauer nachgehalten werden soll. Wer stellt sicher, dass Berechtigungen in den Cloud-Umgebungen eingehalten werden? Wer trägt Sorge dafür, dass Landing Zones aktiv sind und Tags nicht an Aktualität verlieren? Gefordert ist also ein nachhaltiges Governance-Konzept, welches über den Onboarding-Prozess hinaus Gültigkeit hat.

Ein möglicher Lösungsansatz lautet “Desired State”. Das Konzept stellt sicher, dass beim Cloud-Onboarding nicht nur ein Workflow getriggert, sondern ein definierter Soll-Zustand der Cloud-Umgebung - der Desired State - beschrieben wird. Der Schlüssel zu mehr Sicherheit liegt im kontinuierlichen Abgleich mit dem Ist-Zustand. Gibt es Abweichungen, wird automatisch der Soll-Zustand wiederhergestellt und so eine nachhaltige Governance etabliert und durchgesetzt.  

Fazit: Neuer Rahmen für nachhaltige Digitalisierung

Für eine erfolgreiche Cloud Transformation gibt es keine Blaupause. Wie in anderen strategischen Bereichen erfordert die IT-Struktur des jeweiligen Unternehmens individuelle und maßgeschneiderte Lösungsansätze. 

Für eine erfolgreiche Cloud Journey ist es allerdings wichtig, eine Balance zwischen der gewünschten Agilität in der Entwicklung sowie der nötigen zentralen Kontrolle zu finden. Die aufgeführten Trends bilden dafür einen idealen Rahmen, der als Basis dienen kann, um die digitale Zukunft eines Unternehmens nachhaltig aufzubauen.

Christina Kraus, Mitgründerin
Christina Kraus
Mitgründerin, meshcloud
Christina Kraus (Bildquelle CLDES) ist Mitgründerin von meshcloud. Nach ihrem Studium der Wirtschaftsinformatik (TU Darmstadt), dem Abschluss des Masterstudiengangs Datenbanksysteme und Informationsmanagement (TU Berlin) sowie Studienerfahrungen in Frankreich und Belgien, war sie zunächst für das Smart Data Forum und das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) tätig. Die 30-Jährige, die fünf Sprachen spricht, ist Expertin für Multi-Cloud-Governance und cloudbasierte Geschäftsmodelle. Bei meshcloud verantwortet sie die Bereiche Vertrieb und Kommunikation. Christina Kraus ist Vorstandsmitglied des BITKOM-Arbeitskreises Cloud Services & Digital Ecosystems sowie Mitglied des Rats für Digitalethik der hessischen Landesregierung.

Artikel zu diesem Thema

Gesundheitswesen
Apr 20, 2021

Zielscheibe Gesundheitswesen: Cloud-Services sind das Einfallstor für Hacker

Cloud-Dienste sind der beliebteste Angriffsvektor für Cyberkriminelle im…
Cloud Security
Apr 05, 2021

Cloud Security: Experten verlassen sich auf kommerzielle Sicherheitslösungen

SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen,…
Businesswoman
Mär 18, 2021

Remote-Onboarding: Wie Sie neue Mitarbeiter garantiert vergraulen

In der Pandemie kann beim Remote-Onboarding viel schiefgehen. Wenn das noch nicht reicht,…

Weitere Artikel

Cyber Security

Cybersecurity muss Prävention und Detektion ausbalancieren

In ihrer bisherigen Historie konzentrierten sich Cybersicherheitsprodukte hauptsächlich darauf, bösartigen Code daran zu hindern, auf Computer zu gelangen und diesen auszuführen. Joe Levy, CTO bei Sophos erjklärt, warum wir Unvollkommenheit nicht mit…
Cyber-Versicherung

Cyber-Versicherungen erleben einen Aufschwung - die Prämien auch

Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik – und diese sind nur die Spitze des Eisbergs.
Cyber Security

Microsoft native Security Lösungen optimal nutzen

Mit der Zunahme an Security Tools steigt die Komplexität für Administratoren und Sicherheitsverantwortliche. Sicherheitsrichtlinien, Profile und Berechtigungen müssen verwaltet werden. Anders gesagt: Je mehr Tools, Endgeräte und User desto komplexer wird…
2022 Security

Cybersicherheit 2022: Worauf sich Unternehmen einstellen müssen

Das Jahr 2021 war gespickt mit vielen öffentlich wirksamen Cyberangriffen auf Unternehmen und Behörden. Es hat sich gezeigt, dass die Zielgerichtetheit und Rafinesse der Attacken deutlich zugenommen hat. Besonders prominent waren dabei vor allem zahlreiche…
Social Engineering

Social Engineering-Attacken stoppen mit Verhaltensbiometrie

Kein Sicherheitsfaktor ist so kritisch, wie der Mensch selbst. Das BSI stellt in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2021 zu Recht fest, dass der Mensch ein oft unterschätztes Sicherheitsrisiko als Einfallstor für Cyberangriffe…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.