Cloud Security

Welche Bausteine eine sichere Cloud benötigt

11.07.2019
Anzeige  Cloud-Umgebungen erfordern spezielle IT-Security-Ansätze. Diese sollten sich nicht alleine auf die Implementierung von "Cloud-native"-Sicherheitslösungen beschränken. Ebenso wichtig sind Faktoren wie eine Risikoabschätzung und Hilfestellung bei der Migration in eine Cloud.

Die Cloud ist für Unternehmen in Deutschland unverzichtbar. Das belegt eine aktuelle Studie, die das Beratungshaus KPMG im Auftrag von Bitkom Research erstellte. Demnach nutzten 2018 fast drei Viertel der deutschen Firmen Cloud-Computing-Dienste - acht Prozent mehr als zwei Jahre zuvor.

Wie setzt sich eine sichere Cloud zusammen? Wir verraten Ihnen, was Sie wissen müssen.
Wie setzt sich eine sichere Cloud zusammen? Wir verraten Ihnen, was Sie wissen müssen.
Foto: PRESNIAKOV OLEKSANDR - shutterstock.com

Mittlerweile gehen Unternehmen verstärkt dazu über, auch sensible Daten in Public-Cloud-Umgebungen zu speichern. Fast die Hälfte der Firmen tat dies laut der Studie von KPMG 2018 beispielsweise mit personenbezogenen Informationen, ein Drittel mit geschäftskritischen Daten. Hinzu kommt ein weiterer Trend: das Cloud-Hosting. Unternehmen übertragen die Implementierung und den Betrieb ihrer Cloud-Ressourcen einem externen Service-Provider. Auf die Hilfe solcher Partner greift etwa ein Drittel der deutschen Unternehmen zurück.

Unter dem Aspekt IT-Sicherheit bedeutet dies: Unternehmen müssen ihre IT-Security-Konzepte überdenken. Es reicht nicht mehr aus, das hauseigene Rechenzentrum und die darüber bereitgestellten Anwendungen und Daten zu schützen. Der Schutzschirm muss auf Cloud-Services ausgedehnt werden.

Etwa ein Drittel der deutschen Unternehmen hat seine Cloud Services in ein Datacenter verlagert, das über Sicherheitszertifizierungen verfügt.
Etwa ein Drittel der deutschen Unternehmen hat seine Cloud Services in ein Datacenter verlagert, das über Sicherheitszertifizierungen verfügt.
Foto: Bitkom

Cloud-Security-Maßnahmen nicht im Fokus

Dass auch Cloud-Ressourcen geschützt werden müssen, haben jedoch etliche Unternehmen noch nicht "auf dem Radar". Dabei haben Hacker schon längst Cloud-Dienste als lohnendes Ziel identifiziert. Das zeigt die Studie "Cloud Security 2019" von IDG Research Services. Demnach hat fast die Hälfte der Unternehmen (47 Prozent) bereits Attacken auf Cloud-Services registriert. Vor allem Distributed-Denial-of-Service-Attacken (DDoS) erfreuen sich großer Beliebtheit.

NTT Security, das Security Center of Excellence von NTT, hat in einem Whitepaper die möglichen Folgen solcher Attacken aufgeführt. Stehen Daten oder Cloud-Anwendungen nicht zur Verfügung, kann dies Geschäftsprozesse massiv beeinträchtigen. Das gilt nicht nur für Online-Marktplätze, sondern auch für "normale" Firmen, etwa dann, wenn ein Hacker die ERP-Lösung (Enterprise Resource Planning) lahmlegt.

Wenn Cloud-Dienste wegen Attacken nicht zur Verfügung stehen, kann dies für Unternehmen weitreichende Folgen haben.
Wenn Cloud-Dienste wegen Attacken nicht zur Verfügung stehen, kann dies für Unternehmen weitreichende Folgen haben.
Foto: NTT Security

Service-Architektur prüfen

Eine wichtige Funktion von Security-Ansätzen für Cloud-Umgebungen ist der Schutz aller relevanten Prozesse und der "Identities" der Nutzer (User-Konten). Doch nach Einschätzung von NTT Security kann ein erheblicher Teil der Attacken bereits im Vorfeld durch eine innovative Service-Architektur vermieden werden. Unternehmen sollten daher nötigenfalls ihre Standardarchitekturen modernisieren.

Hilfestellung geben dabei Cloud-Security-Experten, etwa von NTT Security. Sie können Unternehmen dabei unterstützen, ein ganzheitliches Sicherheitskonzept zu erstellen - für die hausinterne IT-Umgebung und die Cloud-Ressourcen. Außerdem verfügen solche Spezialisten über ein großes Portfolio von Security-Lösungen, bis hin zu gemanagten Services.

Anforderungen an Cloud-Security-Ansätze

Ein tragfähiges Sicherheitskonzept für Cloud-Umgebungen umfasst mehrere Punkte. Einer ist die "Compliance Automation". Sie gibt Aufschluss über den Status der eingesetzten Security Controls, etwa in welchem Maße Systeme und Anwendungen gegen Angriffe "gehärtet" sein müssen. Dadurch können Änderungen, die Compliance-Vorgaben zuwiderlaufen, sowie Sicherheitsrisiken frühzeitig erkannt werden.

Ein zweiter Eckpunkt ist "Continous Configuration Automation". Dieser Ansatz stellt sicher, dass die Infrastruktur auch tatsächlich so konzipiert und konfiguriert wurde, wie es der Nutzer möchte und regulatorische Vorgaben erfordern. Mit Continous Configuration Automation lassen sich Aufgaben wie das Konfigurationsmanagement automatisieren. Das schlägt sich in kürzeren Bereitstellungszeiten von Cloud- und konventionellen IT-Services nieder.

Datensicherheit in der Cloud gewährleisten

Ein wichtiger Aspekt im Rahmen einer Cloud-Security-Strategie ist die Sicherheit der Daten, vor allem dann, wenn sensible Informationen in eine Public oder Hybrid Cloud "geschoben" werden. Nach Erfahrungswerten von NTT Security empfiehlt sich eine mehrstufige Vorgehensweise:

  • die Identifizierung und Klassifizierung der Daten, die in die Cloud migriert werden sollen: Das Security-Modell muss beispielsweise berücksichtigen, ob Daten der Datenschutz-Grundverordnung (DSGVO) unterliegen.

  • das Schutzniveau aller Arbeitsschritte eines Workflows definieren: Zu prüfen ist beispielsweise, ob und in welchem Stadium eine Verschlüsselung erforderlich ist und wo die Schlüssel aufbewahrt werden.

  • Regeln für den Zugriff auf Daten und Applikationen festlegen.

  • Log-Files erstellen: Sie dokumentieren, wer wann auf welche Daten und Anwendungen zugegriffen hat. Außerdem sollten mithilfe eines Security-Monitorings sicherheitsrelevante Vorkommnisse protokolliert werden.

  • den Lebenszyklus von Daten beachten: Auch dann, wenn Daten in einer Cloud gespeichert werden, muss ein Unternehmen jederzeit die volle Kontrolle darüber haben.

"Cloud-native"-Sicherheitslösungen nutzen

Um die Anforderungen in puncto Cloud-Security zu erfüllen, bietet es sich für Unternehmen an, auf "Cloud-native"-Sicherheitslösungen zurückzugreifen - beispielsweise die Lösung CloudGuard Dome9 von Check Point Software. Die Cloud-Security-Plattform steht via Cloud als "Software-as-a-Service"-Angebot zur Verfügung. Unternehmen können mit CloudGuard die Sicherheitseinstellungen ihrer Umgebungen auf den Public Clouds von AWS, Google und Microsoft prüfen und verwalten.

Eine solche Lösung sollte nicht nur vor Cyber-Angriffen schützen, sondern auch fehlerhafte Konfigurationen und Compliance-Probleme erkennen und beseitigen. Dies erfolgt idealerweise automatisch, etwa mithilfe von Cloud-Bots. Eine wichtige Komponente ist zudem ein Schutz der User-Accounts mit privilegierten Zugriffsrechten, etwa von Administratoren und Managern. Zudem sollten Funktionen bereitstehen wie eine Intrusion Detection und ein Monitoring des Netzwerkverkehrs.

Das komplette Paket macht den Unterschied

Das Cloud-Zeitalter bringt Nutzern viele Vorteile, stellt aber auch höhere Anforderungen in Bezug auf den Schutz von Daten und Applikationen. Alleine auf die Sicherheitsmaßnahmen von Cloud-Service-Providern zu vertrauen, reicht nicht aus. Die bessere Wahl ist ein Komplettpaket aus Cloud-Security-Lösungen, Beratungsleistungen und Unterstützung bei der Umsetzung der Sicherheitsmaßnahmen.

Und sollte es einem Unternehmen an IT-Fachpersonal oder Know-how im Bereich Cloud-Security fehlen, bleibt eine weitere Option: Anbieter wie NTT Security stellen auf Wunsch Managed Security Services zur Verfügung, übernehmen also die Verwaltung der IT-Sicherheitsarchitektur eines Unternehmens.