Was ist Cloud-Sicherheit?

Cloud Computing Kategorien

Die Sicherheit der Cloud unterscheidet sich je nach der Kategorie des Cloud Computing. Es gibt vier Hauptkategorien von Cloud Computing:

• Öffentliche Cloud-Dienste, die von einem öffentlichen Cloud-Anbieter betrieben werden - Dazu gehören Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS).
• Private Cloud-Services, die von einem Public Cloud-Anbieter betrieben werden - Diese Services bieten eine für einen Kunden bestimmte Computerumgebung, die von einem Dritten betrieben wird.
• Private Cloud-Services, die von internen Mitarbeitern betrieben werden - Diese Services sind eine Weiterentwicklung des traditionellen Rechenzentrums, bei dem interne Mitarbeiter eine virtuelle Umgebung betreiben, die sie kontrollieren.
• Hybride Cloud-Services - Private und öffentliche Cloud-Computing-Konfigurationen können kombiniert werden, um Arbeitslasten und Daten zu hosten, wobei Faktoren wie Kosten, Sicherheit, Betrieb und Zugriff optimiert werden. Der Betrieb erfolgt durch interne Mitarbeiter und optional durch den öffentlichen Cloud-Anbieter.

Bei der Nutzung eines Cloud Computing-Dienstes, der von einem öffentlichen Cloud-Anbieter bereitgestellt wird, werden Daten und Anwendungen bei einem Dritten gehostet. Dies stellt einen grundlegenden Unterschied zwischen Cloud Computing und der traditionellen IT dar, bei der die meisten Daten innerhalb eines selbst kontrollierten Netzwerks gehalten wurden. Der erste Schritt zum Aufbau einer Cloud-Sicherheitsstrategie ist das Verständnis Ihrer Sicherheitsverantwortung.

Segmentierung der Verantwortlichkeiten für die Cloud-Sicherheit

Die meisten Cloud-Anbieter versuchen, eine sichere Cloud für ihre Kunden zu schaffen. Ihr Geschäftsmodell hängt davon ab, Sicherheitsverletzungen zu verhindern und das Vertrauen der Öffentlichkeit und der Kunden zu erhalten. Cloud-Anbieter können versuchen, Sicherheitsprobleme in der Cloud mit dem von ihnen bereitgestellten Service zu vermeiden, aber sie können nicht kontrollieren, wie Kunden den Service nutzen, welche Daten sie hinzufügen und wer Zugriff darauf hat. Kunden können die Cybersicherheit in der Cloud durch ihre Konfiguration, sensible Daten und Zugriffsrichtlinien schwächen. Bei jeder Art von öffentlichem Cloud-Service sind der Cloud-Anbieter und der Cloud-Kunde in unterschiedlichem Maße für die Sicherheit verantwortlich. Nach Service-Typ sind dies:

• Software-as-a-Service (SaaS) - Kunden sind für die Sicherung ihrer Daten und den Benutzerzugriff verantwortlich.
• Platform-as-a-Service (PaaS) - Kunden sind für die Sicherung ihrer Daten, Benutzerzugriffe und Anwendungen verantwortlich.
• Infrastructure-as-a-Service (IaaS) - Kunden sind für die Sicherung ihrer Daten, Benutzerzugriffe, Anwendungen, Betriebssysteme und des virtuellen Netzwerkverkehrs verantwortlich.

Bei allen Arten von öffentlichen Cloud-Diensten sind die Kunden dafür verantwortlich, ihre Daten zu sichern und zu kontrollieren, wer auf diese Daten zugreifen kann. Die Datensicherheit beim Cloud Computing ist von grundlegender Bedeutung für die erfolgreiche Einführung und Nutzung der Vorteile der Cloud. Unternehmen, die beliebte SaaS-Angebote wie Microsoft Office 365 oder Salesforce in Erwägung ziehen, müssen planen, wie sie ihrer Mitverantwortung für den Schutz der Daten in der Cloud gerecht werden wollen. Diejenigen, die IaaS-Angebote wie Amazon Web Services (AWS) oder Microsoft Azure in Erwägung ziehen, benötigen einen umfassenderen Plan, der bei den Daten beginnt, aber auch die Sicherheit von Cloud-Anwendungen, Betriebssystemen und virtuellem Netzwerkverkehr abdeckt - die alle ebenfalls das Potenzial für Datensicherheitsprobleme mit sich bringen können.

Herausforderungen der Cloud-Sicherheit

Da die Daten in der öffentlichen Cloud von einer dritten Partei gespeichert werden und der Zugriff über das Internet erfolgt, ergeben sich mehrere Herausforderungen bei der Aufrechterhaltung einer sicheren Cloud. Diese sind:

• Einsicht in Cloud-Daten - In vielen Fällen wird auf Cloud-Dienste außerhalb des Unternehmensnetzwerks und von Geräten aus zugegriffen, die nicht von der IT-Abteilung verwaltet werden. Das bedeutet, dass das IT-Team die Möglichkeit haben muss, in den Cloud-Service selbst hineinzuschauen, um vollen Einblick in die Daten zu haben, im Gegensatz zu den herkömmlichen Mitteln zur Überwachung des Netzwerkverkehrs.
• Kontrolle über Cloud-Daten - In der Umgebung eines Drittanbieters von Cloud-Diensten haben IT-Teams weniger Zugriff auf Daten, als wenn sie Server und Anwendungen in ihren eigenen Räumlichkeiten kontrollieren. Cloud-Kunden erhalten standardmäßig nur eine begrenzte Kontrolle, und der Zugriff auf die zugrunde liegende physische Infrastruktur ist nicht möglich.
• Zugriff auf Cloud-Daten und -Anwendungen - Benutzer können über das Internet auf Cloud-Anwendungen und -Daten zugreifen, so dass Zugriffskontrollen, die auf der traditionellen Netzwerkgrenze des Rechenzentrums basieren, nicht mehr wirksam sind. Der Benutzerzugriff kann von jedem beliebigen Standort oder Gerät aus erfolgen, einschließlich der Bring-your-own-device (BYOD)-Technologie. Darüber hinaus könnte der privilegierte Zugriff von Mitarbeitern des Cloud-Anbieters Ihre eigenen Sicherheitskontrollen umgehen.
• Compliance - Die Nutzung von Cloud Computing-Diensten fügt der Einhaltung gesetzlicher und interner Vorschriften eine weitere Dimension hinzu. Ihre Cloud-Umgebung muss möglicherweise gesetzliche Vorschriften wie HIPAA, PCI und Sarbanes-Oxley sowie Anforderungen von internen Teams, Partnern und Kunden einhalten. Die Infrastruktur des Cloud-Anbieters sowie die Schnittstellen zwischen internen Systemen und der Cloud sind ebenfalls in die Compliance- und Risikomanagementprozesse einbezogen.
• Cloud-nativeEinbrüche - Einbrüche in die Cloud unterscheiden sich von Einbrüchen vor Ort dadurch, dass der Datendiebstahl oft über native Funktionen der Cloud erfolgt. Bei einem Cloud-nativen Einbruch handelt es sich um eine Reihe von Aktionen eines Angreifers, bei denen er seinen Angriff "landet", indem er Fehler oder Schwachstellen in einer Cloud-Bereitstellung ausnutzt, ohne Malware zu verwenden, seinen Zugriff über schwach konfigurierte oder geschützte Schnittstellen "ausweitet", um wertvolle Daten ausfindig zu machen, und diese Daten an seinen eigenen Speicherort "exfiltriert".
• Fehlkonfiguration - Verstöße gegen die Cloud-Norm fallen oft in die Verantwortung des Cloud-Kunden für die Sicherheit, wozu auch die Konfiguration des Cloud-Dienstes gehört. Untersuchungen zeigen, dass nur 26 % der Unternehmen ihre IaaS-Umgebungen derzeit auf Konfigurationsfehler überprüfen können. Eine Fehlkonfiguration von IaaS ist oft die Eingangstür zu einem Cloud-nativen Einbruch, der es dem Angreifer ermöglicht, erfolgreich zu landen und dann weiterzuziehen, um sich auszudehnen und Daten zu exfiltrieren. Untersuchungen zeigen auch, dass 99% der Fehlkonfigurationen bei IaaS von Cloud-Kunden unbemerkt bleiben. Hier ist ein Auszug aus dieser Studie, der dieses Ausmaß an Fehlkonfigurationen zeigt:

• Disaster Recovery - Die Planung der Cybersicherheit ist erforderlich, um die Auswirkungen erheblicher negativer Verstöße zu schützen. Ein Disaster-Recovery-Plan umfasst Richtlinien, Verfahren und Tools, die die Wiederherstellung von Daten ermöglichen und es einer Organisation erlauben, den Betrieb und die Geschäfte fortzusetzen.
• Insider-Bedrohungen - Ein abtrünniger Mitarbeiter ist in der Lage, Cloud-Dienste zu nutzen, um ein Unternehmen einem Verstoß gegen die Cybersicherheit auszusetzen. Ein kürzlich veröffentlichter McAfee Cloud Adoption and Risk Report zeigt, dass 85 % der Unternehmen unregelmäßige Aktivitäten aufweisen, die auf Insider-Bedrohungen hindeuten.

Cloud-Sicherheitslösungen

Unternehmen, die nach Cloud-Sicherheitslösungen suchen, sollten die folgenden Kriterien berücksichtigen, um die primären Cloud-Sicherheitsprobleme der Sichtbarkeit und Kontrolle über Cloud-Daten zu lösen.

• Sichtbarkeit von Cloud-Daten - Ein vollständiger Überblick über Cloud-Daten erfordert einen direkten Zugriff auf den Cloud-Service. Cloud-Sicherheitslösungen erreichen dies durch eine API-Verbindung (Application Programming Interface) zum Cloud-Service. Mit einer API-Verbindung ist es möglich, Daten einzusehen:
  • Welche Daten in der Cloud gespeichert werden.
  • Wer nutzt Cloud-Daten?
  • Die Rollen der Benutzer mit Zugriff auf Cloud-Daten.
  • Mit wem die Cloud-Benutzer Daten teilen.
  • Wo sich die Cloud-Daten befinden.
  • Von wo aus auf Cloud-Daten zugegriffen wird und welche Daten heruntergeladen werden, einschließlich von welchem Gerät.
• Kontrolle über Cloud-Daten - Sobald Sie Einblick in die Cloud-Daten haben, wenden Sie die Kontrollen an, die für Ihr Unternehmen am besten geeignet sind. Diese Kontrollen umfassen:
  • Datenklassifizierung - Klassifizieren Sie Daten auf mehreren Ebenen, z. B. als sensibel, reguliert oder öffentlich, während sie in der Cloud erstellt werden. Sobald die Daten klassifiziert sind, können sie daran gehindert werden, in den Cloud-Service zu gelangen oder ihn zu verlassen.
  • Data Loss Prevention (DLP) - Implementieren Sie eine Cloud-DLP-Lösung, um Daten vor unbefugtem Zugriff zu schützen und den Zugriff und Transport von Daten automatisch zu deaktivieren, wenn verdächtige Aktivitäten festgestellt werden.
  • Kontrollen für die Zusammenarbeit - Verwalten Sie Kontrollen innerhalb des Cloud-Dienstes, z. B. Herabstufung von Datei- und Ordnerberechtigungen für bestimmte Benutzer auf Editor oder Betrachter, Entzug von Berechtigungen und Widerruf von freigegebenen Links.
  • Verschlüsselung - Die Verschlüsselung von Daten in der Cloud kann verwendet werden, um einen unbefugten Zugriff auf Daten zu verhindern, selbst wenn diese Daten exfiltriert oder gestohlen werden.
• Zugriff auf Cloud-Daten und -Anwendungen- Wie bei der internen Sicherheit ist die Zugangskontrolle eine wichtige Komponente der Cloud-Sicherheit. Typische Kontrollen umfassen:
  • Benutzerzugriffskontrolle - Implementieren Sie System- und Anwendungszugriffskontrollen, die sicherstellen, dass nur autorisierte Benutzer auf Cloud-Daten und -Anwendungen zugreifen. A Cloud Access Security Broker (CASB) kann zur Durchsetzung von Zugriffskontrollen verwendet werden
  • Gerätezugriffskontrolle - Sperren Sie den Zugriff, wenn ein persönliches, nicht autorisiertes Gerät versucht, auf Cloud-Daten zuzugreifen.
  • Identifizierung von bösartigem Verhalten - Erkennen Sie kompromittierte Konten und Insider-Bedrohungen mit User Behaviour Analytics (UBA), damit es nicht zu einer bösartigen Datenexfiltration kommt.
  • Malware-Prävention - Verhindern Sie, dass Malware in Cloud-Dienste eindringt, indem Sie Techniken wie Datei-Scanning, Anwendungs-Whitelisting, auf maschinellem Lernen basierende Malware-Erkennung und Analyse des Netzwerkverkehrs einsetzen.
  • Privilegierter Zugriff - Identifizieren Sie alle möglichen Formen des Zugriffs, die privilegierte Konten auf Ihre Daten und Anwendungen haben können, und richten Sie Kontrollen ein, um die Gefährdung zu verringern.
• Compliance - Bestehende Compliance-Anforderungen und -Praktiken sollten erweitert werden, um Daten und Anwendungen in der Cloud einzubeziehen.
  • Risikobewertung - Überprüfen und aktualisieren Sie Risikobewertungen, um Cloud-Dienste einzubeziehen. Identifizieren Sie Risikofaktoren, die durch Cloud-Umgebungen und -Anbieter entstehen, und gehen Sie darauf ein. Risikodatenbanken für Cloud-Anbieter sind verfügbar, um den Bewertungsprozess zu beschleunigen.
  • Compliance-Bewertungen - Überprüfen und aktualisieren Sie die Compliance-Bewertungen für PCI, HIPAA, Sarbanes-Oxley und andere regulatorische Anforderungen für Anwendungen.