Shared Responsibility – Die Potenziale der Cloud voll ausschöpfen

Die zunehmende Cloud-Nutzung führt dazu, dass Unternehmen auch ihre Sicherheitslandschaft neu gestalten müssen. [...]

Foto: Ginocrescoly/Pixabay

Existieren On-Premises- und Cloud-Umgebungen nebeneinander, führt dies zu Herausforderungen, die nur eine identitätsbasierte Sicherheitsstrategie, ein konsolidiertes Sicherheitskonzept und Security- Tools aus der Cloud lösen können.

Cloud-first- oder Cloud-too-Strategien liegen im Trend. Immer mehr Unternehmen verlagern Geschäftsanwendungen zu Cloud-Plattformen und -Services, um ihre digitale Transformation zu beschleunigen. Doch dieser Schritt bedeutet nicht nur mehr Agilität und Effizienz, sondern verändert auch die Angriffsfläche für Cyberattacken. Sicherheitskonzepte mit bloßem Perimeterschutz auf Netzwerkebene und Firewall-Lösungen funktionieren nicht mehr.

Die Sicherheit in der Cloud ist allerdings nicht die alleinige Aufgabe des Providers. Vielmehr gilt das Prinzip der „Shared Responsibility“: Der Nutzer kümmert sich um Berechtigungs- und Zugriffsverwaltung und die Sicherung der Daten („Security in the Cloud“); der Provider sichert die Infrastruktur („Security of the Cloud“).

Eine Analyse der Ausgangssituation ist die Basis, um die Sicherheitsmaßnahmen an die neue IT-Struktur anzupassen. IT-Teams sollten bei diesem Check unbedingt prüfen, ob die existierenden Security- Prozesse zur hohen Geschwindigkeit in der Cloud passen. Die vorhandenen Security-Kontrollen müssen zudem die veränderte Angriffsfläche abdecken und auch Attacken auf die Cloud-Management-Konsolen abwehren.

Trotz aller Sicherheitsmaßnahmen muss immer mit erfolgreichen Angriffen gerechnet werden. Daher ist außerdem ein konsolidierter Überblick über die Security aller Umgebungen essentiell in Form eines Cyber Defense Center. Schließlich muss der CISO nicht nur – wie vorher –den abgeschotteten On-Premises-Bereich im Blick haben, sondern auch die neuen Netzwerkgrenzen in der Cloud.

Sicherheitsansatz für Identitäten-Vielfalt

Erst nach dieser Analyse wird sich herausstellen, welche Sicherheitsvorkehrungen am dringlichsten sind. Am wichtigsten für die Cloud-Nutzung ist normalerweise das Identitäts- und Rechtemanagement, denn die Vielzahl an menschlichen und maschinellen Identitäten mit den dazugehörigen Berechtigungen sind ein potenzielles Sicherheitsrisiko.

Die Cloud-Transformation ist für viele Unternehmen ein wichtiges Ziel. Allerdings ist das Thema Sicherheit oft nur zweitrangig.

Martin Stemplinger, CGI

Der neue Sicherheitsansatz sollte also auf Identitäten basieren und User, Systeme, Anwendungen und Prozesse gleichermaßen und vollumfänglich berücksichtigen. Die IT-Abteilung muss an zentraler Stelle alle Berechtigungen verwalten, steuern und überwachen können und die Zugriffe auf administrative Oberflächen wie Cloud-Managementkonsolen und -portale strengstens regeln.

Passende Sicherheitsmaßnahmen sind, neben der immer notwendigen Zweifaktor-Authentifizierung – zumindest für Rollen mit weitreichenden Rechten –, ein Rechte- und Rollenkonzept, und eine Access Governance, bei der die vergebenen Rechte regelmäßig überprüft werden.

Security-Teams müssen umdenken, wenn sie in der Cloud sicher sein wollen

Die Erfahrung hat gezeigt, dass eine reine Eins-zu-eins-Übertragung von Anwendungen in die Cloud – also ein Lift-and-Shift-Verfahren – nicht die erhofften Ergebnisse liefert. Die Migration sollte deswegen sehr gut geplant werden und nicht nur eine Umstellung auf moderne IT-Architekturen mit Containern, Serverless-Computing und Cloud-nativen Plattformen umfassen, sondern auch der Sicherheitsumgebung.

Security-Teams müssen also umdenken. Sie sind nicht mehr nur für das Netzwerk verantwortlich, sondern sollten auch Kompetenzen in der Anwendungsentwicklung haben und Security bereits in die Entwicklung integrieren. Solche möglichst automatisierten Security-Tests sind ein großer Vorteil für Softwareentwicklungsprozesse, weil Fehler früher entdeckt werden und sich so die Produktqualität erhöht ohne Entwicklungsgeschwindigkeit einzubüßen.

Wildwuchs in Sicherheitsinfrastruktur vermeiden

Die Cloud-Transformation ist für viele Unternehmen ein wichtiges Ziel. Allerdings ist das Thema Sicherheit nach Erfahrung von CGI meistens nur zweitrangig. Resultat ist daher häufig eine heterogene Sicherheitsinfrastruktur aus Lösungen, die entweder die On-Premises-Umgebung oder die Cloud-Infrastruktur abdecken.

Doch solch ein Wildwuchs ist schwer zu verwalten und zudem teuer. Außerdem laufen Unternehmen Gefahr, dass die Security-Verantwortlichen bei der komplexen Struktur Sicherheitslücken übersehen. Ziel muss deswegen eine Konsolidierung der Sicherheitsmaßnahmen sein, die Berechtigungen, Firewall-Regeln, Virenscanner, Security-Monitoring oder SIEM-Systeme für die komplette Cloud- und On-Premises-Landschaft vereinheitlicht.

Bevor Unternehmen nun in neue Sicherheitslösungen investieren, sollten sie zuerst das Potenzial nutzen, das in der Cloud selbst liegt. Schließlich bieten viele Cloud-Provider auch gleich die passenden Security-Tools, die sich zudem deutlich einfacher konfigurieren lassen als in einer On-Premises-Umgebung.

Ein Beispiel ist das Identity Management; ein wichtiges Element für die Cloud-Security. Cloud-Provider stellen als Service in der Regel eine Rollenbasierte Zugriffskontrolle (Role Based Access Control – RBAC) zur Verfügung. Hier können IT-Verantwortliche sehr leicht definieren, welche User, Maschinen und Services Berechtigungen erhalten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Falls Sie etwas mehr über RBAC erfahren wollen ist dieses Video nur zu empfehlen.

Gleiches gilt für die Umsetzung von Least-Privilege-Prinzipien mit Just-in-Time-Zugriffsmethoden. Sie ist zwar prinzipiell auch on-premises möglich, aber aufwändig und mit teilweise hohen Kosten für die erforderlichen Tools verbunden.

Auch das Unterteilen des Netzwerkes in kleinere Subnetzwerke – also die Netzwerksegmentierung – ist ein effektives Sicherheitstool, das Unternehmen in der Cloud deutlich leichter umsetzen können als On-Premises. Die Cloud erlaubt sogar eine Microsegmentierung, bei der zum Beispiel festgelegt wird, welche Server miteinander über welches Protokoll kommunizieren dürfen.

Automatisierung entlastet Security-Teams

Die Nutzung von Security-Tools aus der Cloud hat aber nicht nur technologische Vorteile. Die Automatisierung entlastet zudem Security-Teams und ist daher ein wichtiges Mittel gegen den Fachkräftemangel. Anstatt Zeit mit manuellen Aufgaben zu verlieren, können sich IT-Experten auf andere Themen konzentrieren und haben mehr Kapazitäten frei.

Die Verlagerung von Anwendungen in die Cloud führt zu einer deutlich höheren Agilität und Flexibilität, mit der Unternehmen schnell auf neue Situationen reagieren und neue Geschäftschancen ergreifen können. Aber die Migration sollte Hand in Hand mit einer Neukonzeption der Security gehen. Die Cloud bietet dafür eigene Sicherheitstools, die ergänzend zur vorhandenen On-Premises-Sicherheit eine konsolidierte und stabile Umgebung schaffen. Die neue IT-Infrastruktur. ist so nicht nur die optimale Basis für ein geschäftliches Wachstum, sondern stärkt auch die Abwehr von Bedrohungen.

powered by www.it-daily.net


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*