Anzeige

Cloud Security

Für große Unternehmen ist das Cloud Computing einer der wesentlichen Treiber ihrer digitalen Transformation. Ein Aspekt, der dabei immer wieder kritisch beäugt wird, ist die Sicherheit.

Tatsächlich schreitet kaum eine andere Teildisziplin derzeit so schnell mit der Entwicklung neuer Konzepte voran, wie es bei der Cloud Security der Fall ist. Im Folgenden fünf innovative Ansätze, die die sichere Zukunft des Cloud Computings prägen werden. 

Jeder kennt das Shared-Responsibility-Modell der großen Cloud-Provider: Sie verantworten die Sicherheit der Cloud, während der Kunde für die Sicherheit in der Cloud verantwortlich ist. 

Es stellt sich aber die Frage, wie diese Verantwortung in großen Organisationen mit vielen IT-Stakeholdern intern verteilt wird. 

Wenn etwa jedes Entwicklungsteam für sich selbst entscheidet, wie Sicherheitsanforderungen umgesetzt werden, führt das zu vielen einzelnen heterogenen Ansätzen. Ein erfolgversprechender Lösungsansatz ist hier der Aufbau einer sogenannten Cloud Foundation: ein zentrales Team, das Entwicklungsteams Cloud-Umgebungen bereitstellt, für diese aber zentral Sicherheitsanforderungen automatisiert und einheitlich umsetzt. 

Wie ein Unternehmen die Organisationselemente der Cloud möglichst analog zur eigenen Struktur nutzen kann, ist eine der ersten Herausforderungen bei der Implementierung. Eine einheitliche Antwort gibt es nicht, ein Hauptrisiko, das es zu vermeiden gilt, allerdings schon: Die gesamte Infrastruktur innerhalb eines einzigen Cloud-Tenants abzubilden und so im Ernstfall Cyberkriminellen die Gesamtheit aller Daten auf dem Silbertablett zu servieren. 

Um dieses Risiko von vornherein einzudämmen, hat sich für die Entwicklung cloud-nativer Anwendungen das Konzept der Tenant-Isolierung durchgesetzt. Hierbei erhält jede Entwicklungsumgebung einen eigenen Tenant, sodass Aktionen innerhalb einer Umgebung andere Umgebungen nicht beeinträchtigen können. Zudem hat man die Möglichkeit, Sicherheitsanforderungen abhängig von der Art der Umgebung zu machen, z.B. Dev, Staging oder Prod. 

Um bei diesem Ansatz nicht an Geschwindigkeit zu verlieren, ist es für Organisationen essenziell, ein effizientes Tenant-Management zu etablieren, um die “time-to-cloud” so gering wie möglich zu halten. Die Königsdisziplin für Unternehmen: eine Tenant-Provisionierung on-demand und im Self-Service umzusetzen, wie bei AWS oder Azure - mit dem Unterschied, dass dieser auf die zentrale Cloud Foundation aufbaut, um den Sicherheitsstandard zu wahren. 

3. Cloud Tagging

Einer der größten Hemmer für einen zügigen Transformationsprozess ist der Anspruch, sämtliche Sicherheits-Szenarien von Anfang an bedienen zu wollen - was in der Praxis wiederum gar nicht immer nötig ist. Um das Tempo von Beginn an hochzuhalten, reicht es häufig, “einfache” Use Cases zu definieren und ihre Anforderungen zu erfüllen. Entwickler:innen können sich so mit den neuen Technologien vertraut machen und mit einem wachsenden Erfahrungsschatz dann auch komplexe Sicherheitsanforderungen abdecken.

Um langfristig nicht den Überblick zu verlieren, sollten jedoch alle Cloud Use Cases nach einem einheitlichen Schema beschrieben werden. Ein gängiger Weg dies umzusetzen ist das sogenannte Cloud-Tagging. Nach dem Motto “tag early, tag often” werden hier für jede Cloud-Umgebung bestimmte Metadaten festgehalten, die z.B. auf einen Blick sichtbar machen, wer für die Sicherheit der Umgebung verantwortlich ist oder Daten welcher Schutzklasse verarbeitet werden. 

Auf Basis eines einheitlichen Cloud-Tagging-Schemas können Projekte nicht nur richtig eingeordnet werden. Das strukturierte Datenformat ermöglicht darüber hinaus auch eine einfache Integration mit anderen IT-Systemen, z.B. für Vulnerability Scanning oder SIEM.

4. Landing Zones 

Mit einer Cloud Foundation und einer guten Tagging-Strategie schafft man die Rahmenbedingungen für eine sichere Cloud-Nutzung. Möchte man allerdings konkrete Sicherheitsanforderungen umsetzen, steigt der Grad der Komplexität. Ein Ansatz, der sich in diesem Zusammenhang als effektiv herausgestellt hat, ist das Konzept der Landing Zones. Über sie kann man beispielsweise die Nutzung einzelner Services ausschließen oder die Auswahl bestimmter Regionen einschränken.

Darüber hinaus ermöglichen Landing Zones, die Nutzung security-relevanter Services zu erzwingen. Darunter fallen cloud-native Services aus den Bereichen Logging und Monitoring, wie z.B. AWS Cloud Trail. Durch die zentrale Bereitstellung von Landing Zones, können Sicherheitsanforderungen automatisiert und über verschiedene Teams hinweg einheitlich umgesetzt werden. 

5. Desired State

In vielen Organisationen wird der Onboarding-Prozess in die Cloud über ein Workflow-Tool umgesetzt. Das löst den ersten Schmerz, denn Entwicklungsteams kommen schnell und im Self-Service in die Cloud und können mit der Applikationsentwicklung voranschreiten. Cloud-Umgebungen sind jedoch dynamisch und langlebig. Anforderungen können sich im Entwicklungsprozess ändern, organisatorische Umstrukturierungen beispielsweise Einfluss auf die Berechtigungsstruktur der Umgebung haben. 

Offen bleibt nicht selten, wie die initial aufgesetzte Cloud Governance auf Dauer nachgehalten werden soll. Wer stellt sicher, dass Berechtigungen in den Cloud-Umgebungen eingehalten werden? Wer trägt Sorge dafür, dass Landing Zones aktiv sind und Tags nicht an Aktualität verlieren? Gefordert ist also ein nachhaltiges Governance-Konzept, welches über den Onboarding-Prozess hinaus Gültigkeit hat.

Ein möglicher Lösungsansatz lautet “Desired State”. Das Konzept stellt sicher, dass beim Cloud-Onboarding nicht nur ein Workflow getriggert, sondern ein definierter Soll-Zustand der Cloud-Umgebung - der Desired State - beschrieben wird. Der Schlüssel zu mehr Sicherheit liegt im kontinuierlichen Abgleich mit dem Ist-Zustand. Gibt es Abweichungen, wird automatisch der Soll-Zustand wiederhergestellt und so eine nachhaltige Governance etabliert und durchgesetzt.  

Fazit: Neuer Rahmen für nachhaltige Digitalisierung

Für eine erfolgreiche Cloud Transformation gibt es keine Blaupause. Wie in anderen strategischen Bereichen erfordert die IT-Struktur des jeweiligen Unternehmens individuelle und maßgeschneiderte Lösungsansätze. 

Für eine erfolgreiche Cloud Journey ist es allerdings wichtig, eine Balance zwischen der gewünschten Agilität in der Entwicklung sowie der nötigen zentralen Kontrolle zu finden. Die aufgeführten Trends bilden dafür einen idealen Rahmen, der als Basis dienen kann, um die digitale Zukunft eines Unternehmens nachhaltig aufzubauen.

Christina Kraus, Mitgründerin
Christina Kraus
Mitgründerin, meshcloud
Christina Kraus (Bildquelle CLDES) ist Mitgründerin von meshcloud. Nach ihrem Studium der Wirtschaftsinformatik (TU Darmstadt), dem Abschluss des Masterstudiengangs Datenbanksysteme und Informationsmanagement (TU Berlin) sowie Studienerfahrungen in Frankreich und Belgien, war sie zunächst für das Smart Data Forum und das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) tätig. Die 30-Jährige, die fünf Sprachen spricht, ist Expertin für Multi-Cloud-Governance und cloudbasierte Geschäftsmodelle. Bei meshcloud verantwortet sie die Bereiche Vertrieb und Kommunikation. Christina Kraus ist Vorstandsmitglied des BITKOM-Arbeitskreises Cloud Services & Digital Ecosystems sowie Mitglied des Rats für Digitalethik der hessischen Landesregierung.

Artikel zu diesem Thema

Gesundheitswesen
Apr 20, 2021

Zielscheibe Gesundheitswesen: Cloud-Services sind das Einfallstor für Hacker

Cloud-Dienste sind der beliebteste Angriffsvektor für Cyberkriminelle im…
Cloud Security
Apr 05, 2021

Cloud Security: Experten verlassen sich auf kommerzielle Sicherheitslösungen

SANS Institute, Anbieter von Cybersicherheitsschulungen und -zertifizierungen,…
Businesswoman
Mär 18, 2021

Remote-Onboarding: Wie Sie neue Mitarbeiter garantiert vergraulen

In der Pandemie kann beim Remote-Onboarding viel schiefgehen. Wenn das noch nicht reicht,…

Weitere Artikel

Cybersecurity

Nahezu alle Unternehmen sind IT-Risiken ausgesetzt

SolarWinds, Anbieter von IT-Management-Software, präsentiert die Ergebnisse seines achten jährlichen IT-Trends-Reports. Der Report untersucht, wie Technikexperten das Risikomanagement und den Stand der Vorbereitungen zur Risikominderung in ihrem Unternehmen…
Schwachstelle

14 neue Sicherheitsschwachstellen in NicheStack gefunden

JFrog Security Research (ehemals Vdoo) und Forescout Research Labs haben im NicheStack insgesamt 14 Schwachstellen gefunden und offengelegt.

Cyberkriminalität nimmt zu – das Angebot und die Komplexität der Sicherheitsprodukte auch

Bei dem derzeitigen Boom von eHealth-Apps werden Bedenken rund um die Themen Sicherheit und Datenschutz immer lauter. Gerade bei Gesundheits-Apps, die über bestimmte Krankheiten informieren, Unterstützung bieten oder die Kommunikationsschnittstelle zwischen…
Cyberversicherung

Cyberangriffe mittels DDoS-Attacken gefährden Unternehmen

In Zeiten vor Corona waren die Schlagzeilen über Hackerangriffe in der Regel von Ransomware-Attacken gefüllt. In der öffentlichen Wahrnehmung galt die Verschlüsselung von Daten lange als die zentrale Waffe von Cyberkriminellen. In jüngster Vergangenheit…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.