Eine schrittweise Anleitung zu bewährten Praktiken für die Cloud-Sicherheit

Phase 1: Verstehen von Cloud-Nutzung und Risiko

In der ersten Phase der Cloud Computing-Sicherheit geht es darum, Ihren aktuellen Zustand zu verstehen und das Risiko zu bewerten. Mit Cloud-Sicherheitslösungen, die eine Cloud-Überwachung ermöglichen, können Sie die folgenden Schritte durchführen:

1. Schritt 1: Identifizieren Sie sensible oder regulierte Daten.
   Ihr größtes Risiko ist der Verlust oder Diebstahl von Daten, die zu Strafen oder dem Verlust von geistigem Eigentum führen. Datenklassifizierungsprogramme können Ihre Daten kategorisieren, so dass Sie dieses Risiko vollständig einschätzen können.
2. Schritt 2: Verstehen Sie, wie auf sensible Daten zugegriffen wird und wie sie weitergegeben werden. Sensible Daten können sicher in der Cloud gespeichert werden, aber Sie müssen überwachen, wer darauf zugreift und wohin sie gehen. Prüfen Sie die Berechtigungen für Dateien und Ordner in Ihrer Cloud-Umgebung sowie den Zugriffskontext wie Benutzerrollen, Benutzerstandort und Gerätetyp.
3. Schritt 3: Entdecken Sie die Schatten-IT (unbekannte Cloud-Nutzung).
   Die meisten Menschen fragen ihr IT-Team nicht, bevor sie sich für ein Cloud-Speicher-Konto anmelden oder ein PDF online konvertieren. Nutzen Sie Ihren Web-Proxy, Ihre Firewall oder SIEM-Protokolle, um herauszufinden, welche Cloud-Dienste genutzt werden, von denen Sie nichts wissen, und führen Sie dann eine Bewertung ihres Risikoprofils durch.
4. Schritt 4: Überprüfen Sie die Konfigurationen für Infrastructure-as-a-Service (IaaS) wie AWS oder Azure.
   Ihre IaaS-Umgebungen enthalten Dutzende von kritischen Einstellungen, von denen viele eine ausnutzbare Schwachstelle darstellen können, wenn sie falsch konfiguriert sind. Beginnen Sie damit, Ihre Konfigurationen für die Identitäts- und Zugriffsverwaltung, die Netzwerkkonfiguration und die Verschlüsselung zu überprüfen.
5. Schritt 5: Aufdecken von bösartigem Benutzerverhalten.
   Sowohl unvorsichtige Mitarbeiter als auch Angreifer von außen können ein Verhalten an den Tag legen, das auf eine böswillige Nutzung von Cloud-Daten hindeutet. Die Analyse des Benutzerverhaltens (UBA) kann Anomalien aufspüren und sowohl interne als auch externe Datenverluste eindämmen.

Phase 2: Schützen Sie Ihre Cloud

Sobald Sie Ihr Cloud-Sicherheitsrisiko kennen, können Sie Ihre Cloud-Services strategisch entsprechend ihrem Risikoniveau schützen. Es gibt mehrere Cloud-Sicherheitstechnologien, die Ihnen helfen können, die folgenden Best Practices zu erfüllen:

1. Schritt 1: Wenden Sie Datenschutzrichtlinien an.
   Da Ihre Daten nun als sensibel oder reguliert eingestuft sind, können Sie Richtlinien zuweisen, die regeln, welche Daten in der Cloud gespeichert werden dürfen, sensible Daten, die in der Cloud gefunden werden, unter Quarantäne stellen oder entfernen und Benutzer schulen, wenn sie einen Fehler machen und gegen eine Ihrer Richtlinien verstoßen.
2. Schritt 2: Verschlüsseln Sie sensible Daten mit Ihren eigenen Schlüsseln.
   Die in einem Cloud-Service verfügbare Verschlüsselung schützt Ihre Daten zwar vor Außenstehenden, aber der Cloud-Service-Anbieter hat dennoch Zugriff auf Ihre Verschlüsselungsschlüssel. Verschlüsseln Sie Ihre Daten stattdessen mit Ihren eigenen Schlüsseln, so dass Sie den Zugriff vollständig kontrollieren können. Die Benutzer können weiterhin ohne Unterbrechung mit den Daten arbeiten.
3. Schritt 3: Legen Sie Einschränkungen für die gemeinsame Nutzung von Daten fest.
   Von dem Moment an, in dem die Daten in die Cloud gelangen, setzen Sie Ihre Zugriffskontrollrichtlinien für einen oder mehrere Dienste durch. Beginnen Sie mit Maßnahmen wie dem Einstellen von Benutzern oder Gruppen auf Betrachter oder Bearbeiter und der Kontrolle darüber, welche Informationen extern über freigegebene Links geteilt werden können.
4. Schritt 4: Verhindern Sie, dass Daten auf nicht verwaltete Geräte gelangen, von denen Sie nichts wissen.
   Cloud-Dienste ermöglichen den Zugriff von jedem Ort aus, an dem eine Internetverbindung besteht. Der Zugriff von nicht verwalteten Geräten, wie z.B. einem privaten Telefon, stellt jedoch einen blinden Fleck für Ihre Sicherheitsvorkehrungen dar. Blockieren Sie Downloads auf nicht verwaltete Geräte, indem Sie vor dem Herunterladen eine Sicherheitsüberprüfung des Geräts verlangen.
5. Schritt 5: Wenden Sie erweiterten Malware-Schutz auf Infrastructure-as-a-Service (IaaS) wie AWS oder Azure an.
   In IaaS-Umgebungen sind Sie für die Sicherheit Ihrer Betriebssysteme, Anwendungen und Ihres Netzwerkverkehrs verantwortlich. Die Antimalware-Technologie kann auf das Betriebssystem und das virtuelle Netzwerk angewendet werden, um Ihre Infrastruktur zu schützen. Setzen Sie Anwendungs-Whitelisting und Memory Exploit Prevention für Einzweck-Workloads und auf maschinellem Lernen basierenden Schutz für Allzweck-Workloads und Dateispeicher ein.

Phase 3: Reagieren Sie auf Cloud-Sicherheitsprobleme

Wenn Sie auf Ihre Cloud-Dienste zugreifen und sie nutzen, wird es wie in jeder anderen IT-Umgebung regelmäßig zu Vorfällen kommen, auf die entweder automatisch oder unter Anleitung reagiert werden muss. Befolgen Sie diese Best Practices, um mit der Reaktion auf Sicherheitsvorfälle in der Cloud zu beginnen:

1. Schritt 1: Verlangen Sie eine zusätzliche Überprüfung für risikoreiche Zugriffsszenarien.
   Wenn ein Benutzer zum Beispiel von einem neuen Gerät aus auf sensible Daten in einem Cloud-Dienst zugreift, verlangen Sie automatisch eine Zwei-Faktor-Authentifizierung, um seine Identität nachzuweisen.
2. Schritt 2: Passen Sie die Richtlinien für den Cloud-Zugriff an, wenn neue Dienste auftauchen.
   Sie können nicht jeden Cloud-Dienst vorhersagen, auf den zugegriffen wird, aber Sie können Web-Zugriffsrichtlinien, wie sie beispielsweise von secure web gateway durchgesetzt werden, automatisch mit Informationen über das Risikoprofil eines Cloud-Dienstes aktualisieren, um den Zugriff zu blockieren oder eine Warnmeldung anzuzeigen. Erreichen Sie dies durch die Integration einer Cloud-Risiko-Datenbank mit Ihrer secure web gateway oder Firewall.
3. Schritt 3: Entfernen Sie Malware aus einem Cloud-Dienst.
   Es ist möglich, dass Malware einen freigegebenen Ordner kompromittiert, der automatisch mit einem Cloud-Speicherdienst synchronisiert wird, und die Malware ohne Zutun des Benutzers in der Cloud repliziert. Scannen Sie Ihre Dateien im Cloud-Speicher mit Anti-Malware, um Angriffe durch Ransomware oder Datendiebstahl zu vermeiden.

Mit der Weiterentwicklung von Cloud-Diensten ändern sich auch die Herausforderungen und Bedrohungen, denen Sie bei deren Nutzung ausgesetzt sind. Bleiben Sie immer auf dem Laufenden, was die Aktualisierungen der Funktionen von Cloud-Anbietern betrifft, die die Sicherheit betreffen, damit Sie Ihre Richtlinien entsprechend anpassen können. Auch die Sicherheitsanbieter werden ihre Modelle für Bedrohungsanalysen und maschinelles Lernen anpassen, um Schritt zu halten. In den oben genannten Phasen und Best Practices können mehrere Schlüsseltechnologien eingesetzt werden, um jeden Schritt zu erreichen, oft in Verbindung mit den nativen Sicherheitsfunktionen der Cloud-Anbieter.

1. Cloud Access Security Broker (CASB):
   Schützt Daten in der Cloud durch data loss prevention, Zugriffskontrolle und Analyse des Benutzerverhaltens. CASB wird außerdem verwendet, um IaaS-Konfigurationen zu überwachen und Schatten-IT zu entdecken.
2. Cloud Workload-Schutz:
   Entdeckt Workloads und Container, wendet Malware-Schutz an und vereinfacht die Sicherheitsverwaltung in IaaS-Umgebungen.
3. Virtuelle Netzwerksicherheit:
   Scannt den Netzwerkverkehr, der sich zwischen den virtuellen Instanzen in IaaS-Umgebungen bewegt, sowie deren Eingangs- und Ausgangspunkte.