Security in the cloud

Eine kleine Einführung

in die Cloud Security

Eine kleine Einführung in die Cloud Security

Ein Grund für die zunehmende Verlagerung aller Anwendungen in die Cloud ist die Handhabung, die in  vielerlei Hinsicht bedeutend einfacher ist, als On-Premises: In der Cloud gibt es weder Hardware noch die Notwendigkeit der rund um die Uhr Betreuung. Mit Cloud Computing brauchen Unternehmen keine eigenen Server und IT-Umgebungen mehr zu betreiben, sondern können Daten, Anwendungen oder IT-Infrastrukturen auslagern.
Gleichzeitig ergeben sich jedoch zusätzliche Sicherheitsrisiken und - themen. Diese liegen in der gemeinsamen Nutzung der Cloud-Umgebungen und dem Zugang zu den Cloud Services über das öffentliche Internet begründet. Dadurch kann es zu Problemen mit vertraulichen Daten oder sogar deren Verlust kommen. Unternehmen drohen bei Pannen in der Cloud-Umgebung Strafen und vor allem Image-Schäden. Dieser Blog listet die Grundlagen zum Thema auf und fragt nach geeigneten Lösungen.

 

Datenschutz

Datenschutz ist das Schlüsselelement, wenn es um Cloud-Security geht. Insbesondere dann, wenn Daten in eine öffentliche oder hybride Cloud verschoben werden und diese Aufgabe weder dem Unternehmen Organisation als „Dateneigentümer“ noch dem Cloud-Provider als „Datenhost“ eindeutig und zweifelsfrei zugewiesen werden kann: Bei der Verwendung von Cloud-Services besteht für den Kunden das Risiko, dass die Instanzen verschiedener Kunden nicht getrennt werden. Die Folge kann sein, dass nicht autorisierte Personen in Daten entweder Einsicht nehmen oder diese sogar bearbeiten können, da die Instanzen in der Cloudgegebenenfalls nicht physisch getrennt sind.

 

Gesetzliche Bestimmungen

Nun kann es beispielsweise aufgrund gesetzlicher Bestimmungen erforderlich sein, Daten sicher zu löschen. In einer Cloud-Umgebung, in der Daten, Anwendungen und die IT-Infrastruktur von einem externen Cloud-Anbieter gehostet werden, besteht möglicherweise das Risiko, dass Daten unzureichend oder unvollständig gelöscht werden. Da es für ein Unternehmen schwierig ist, den Ort genau zu verfolgen, an dem die Daten gespeichert sind, ist auch der Löschvorgang für sie möglicherweise nicht transparent und damit vollständig nachvollziehbar. Das gilt besonders nach einer Kündigung eines Cloud-Dienstes: Gerade in diesem Fall können Unternehmen das vollständige Löschen aller Daten nicht selbst kontrollieren und müssen sich auf Dritte verlassen.

Sichern von Cloud-Services und Cloud-Umgebungen

Bei der Cloud-Security geht es um die Sicherung von Cloud-Services und der dabei in Cloud-Umgebungen gehosteten Daten. Hier sind eine Vielzahl individueller Maßnahmen erforderlich, um vor Risiken wie Datenverlust, Service-Ausfall, Hackerangriffen oder unbefugtem Zugriff auf Daten geschützt zu sein! 

Bei der der Implementierung solcher Maßnahmen muss Folgendes berücksichtigt wird:

  • Der Zugriff auf die Daten;
  • die physische Sicherheit des Rechenzentrums;
  • die logische Sicherheit der Server;
  • die Sicherheit der Netzwerkstrukturen und des Zugangs;
  • die Sicherheit der Plattform und Anwendungen;
  • Datensicherheit allgemein sowie
  • die sichere Verwaltung von Keys und Zugangscodes.

Einer der wichtigsten Faktoren für erfolgreiche Cloud-Security ist die Gewährleistung, dass alle auf derselben Seite sind. Das klingt zuerst merkwürdig, beschreibt aber die vielfach zu beobachtende Tatsache, dass Kunde und Cloud-Provider nicht an einem Strang ziehen, sondern auf Grund unterschiedlicher Interessen sich in Fragen der Security auch in unterschiedliche, bis hin zu entgegengesetzten Richtungen bewegen. Beim Thema Cloud-Security Sicherheit ist es aber entscheidend, dass sowohl der Kunde, wie auch der Cloud-Lösungsanbieter, für den man sich entschieden hat, die Bedürfnisse, Verantwortlichkeiten und jeweiligen Rollen des jeweils anderen im Prozess verstehen.

 

Vertrauen ist gut – institutionalisierte Nachweise sind besser

Im oben angeführten Beispiel zum Datenschutz etwa müsste der Cloud-Provider nachweisen, dass er die Datenschutzanforderungen erfüllt und über geeignete Notfall- und Wiederherstellungsprozesse verfügt. Auf der anderen Seite muss auch der Kunde über einen dokumentierten Prozess verfügen, der die Benutzerrechte und das Änderungs-Management steuert. Weitere vertraglich vereinbarte Regelungen können beispielsweise Service Level Agreements (SLAs) sein, die den Kunden über bestimmte Verfügbarkeiten informieren und im Falle von Fehlfunktionen die jeweiligen Reaktions- und Wiederherstellungszeiten, Alarmketten oder Eskalationsstufen definieren. Darüber hinaus könnten Vereinbarungen etwa über regelmäßige Übungen zu sicherheitsrelevanten Ereignissen getroffen werden. Die richtige Wahl eines Cloud-Dienstanbieters hängt von der eigenen Ausrichtung der Strategien für Compliance, Sicherheit und im schlimmsten Falle davon ab, ob sichergestellt ist, dass die Daten des Kunden auch dann verfügbar und wiederherstellbar bleiben, wenn der Provider sein Geschäft aufgibt.

So kann man Cloud-Sicherheitslücken proaktiv schließen

Abgesehen von den Sicherheitsaktivitäten sollte der Cloud-Provider sicherstellen, dass es dem Kunden möglich ist, Maßnahmen ergreifen zu können, um seine Daten in der Cloud selbst zu sichern. Dazu gehören:

  • Verschlüsselung: Stellen Sie zunächst sicher, dass die Daten, die Sie in die Cloud hochladen, nur auf verschlüsselten Medien gespeichert sind und nicht von unbefugten Personen, einschließlich solchen Ihres Cloud-Providers, entschlüsselt werden können. Bewahren Sie Ihre Keys intern auf, um unbefugten Zugriff zu vermeiden. Stellen Sie drittens den Datenschutz während des Transports sicher (z. B. über HTTPS-Verbindungen), insbesondere dann, wenn über unsichere oder öffentliche Netzwerke auf die Cloud zugegriffen wird.
  • Endpoints: Alle Geräte, über die auf Ihre Cloud zugegriffen werden kann, müssen sicher sein. Infizierte Geräte ermöglichen beispielsweise Hackern den Zugriff auf Ihre Daten auch dann, wenn Server und Übertragungswege gesichert sind.

  • Authentifizierung: Nur Mitarbeiter, die die Daten für ihre tägliche Arbeit wirklich benötigen, sollten Zugriff auf die Cloud haben. Dies erfordert einen fundierten sicheren Authentifizierungsprozess, besser jedoch noch eine Zwei-Faktor-Authentifizierung mit einem Kennwort und einem Sicherheitstoken. Sicherheitsrichtlinien, die ausschließlich auf einem Password basieren, kann man inzwischen als veraltet bezeichnen. Stellen Sie außerdem sicher, dass ein starkes Identity and Access Management (IAM) vorhanden ist, damit Benutzer nur Rechte für die von ihnen benötigten Datenabschnitte erhalten und Administratorrechte so wenig wie möglich vergeben werden.

  • Backup: Stellen Sie sicher, dass immer ein zusätzliches Sicherungssystem vorhanden ist, unabhängig davon, ob Dateien oder Datenbanken gespeichert werden. Die Datensicherung und -speicherung in der Cloud wird von den Cloud-Providern häufig zeitlich begrenzt. Zusätzliche Backup-Lösungen wie BackupSimple von SoftwareONE können Ihnen zusätzlich helfen, stets die Kontrolle über Ihre Daten zu behalten.

  • Monitoring: Ein Frühwarnsystem und eine konsistente Überwachung helfen Ihnen, Sicherheitslücken und Vorfälle zu erkennen, bevor sie Ihrem Unternehmen wirklich schaden.

Viele Aufgaben: Wo sollen Unternehmen beginnen?

Wo soll man beginnen, wo in die Cloud-Security einsteigen? Welcher der oben genannten Bereiche ist für die Cloud-Sicherheit der Wichtigste? Die Frage wird oft gestellt. Dabei ergibt sich die Antwort im Bereich Security eigentlich von selbst: Alle diese Bereiche sind gleich wichtig und für alle müssen ausreichend starke Lösungen gefunden werden.

Will man sein Auto davor bewahren, gestohlen oder leer geräumt zu werden, nützt es schließlich nichts, sich auf ein Schloss für die Fahrertür zu konzentrieren und die übrigen drei unverschlossen zu lassen. Und auch eine massive Schließanlage für alle vier Türen erfüllt ihren Zweck nur unzureichend, wenn man das Faltdach mit einem simplen Taschenmesser öffnen kann – und so weiter. Ganz klar, sind zehn Maßnahmen erforderlich und es werden nur neun durchgeführt, sind die Ausgaben und der Aufwand für diese neun Maßnahmen sinnlos und umsonst gewesen!
Der Vielzahl der Herausforderungen stetig und konsistent zu begegnen, bindet jedoch wichtige Ressourcen – die überdies fachlich speziell qualifiziert sein müssen. Stehen diese Ressourcen überhaupt zur Verfügung?

Unternehmen sollten daher prüfen, ob Cloud Security nicht vielleicht ein Thema für einen Managed Service sind? So wie Managed 365 Security von SoftwareONE.

 

Security als Managed Service

Managed 365 Security von SoftwareONE unterstützt Sie aktiv bei der Absicherung der Microsoft 365 Umgebung und ermöglicht es Ihnen, Sicherheitsprobleme oder böswillige Aktionen frühzeitig zu erkennen und blitzschnell darauf zu reagieren. Ihre Geschäftsabläufe profitieren damit vom Potenzial, das Microsoft 365 bietet, während alle verbundenen Nutzer, Geräte, Anwendungen und Daten bestens abgesichert sind. Vom Design über die Implementierung bis hin zur kontinuierlichen Überwachung und Verwaltung, deckt Managed 365 Security von SoftwareONE den Schutz der drei wichtigsten sicherheitsrelevanten Bereiche ab: Identitäts- und Zugriffsverwaltung, Absicherung von Endgeräten, Schutz vor Bedrohungen.

Mehr Informationen zum Managed 365 Security von SoftwareONE erhalten Sie hier:

Webinar: Managed 365 Security im Detail

Im Webinar geben wir Ihnen einen detaillierten Überblick zu den Leistungen unseres Managed Services. Wir stellen unser mehrstufiges Sicherheitskonzept und die Implementierung in Ihrer Umgebung vor, damit Ihre Unternehmen von der aktiven Unterstützung unserer Experten profitiert.

Jetzt anmelden

Managed Cloud

Jetzt passenden Cloud Service finden. Wir haben passendes Know-how, Manpower und Technologien für den Aufbau, die Automatisierung und die Verwaltung Ihrer Cloud-Initiativen.

Mehr

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Florian Walling

Solution Sales Specialist (Services)

Verwandte Artikel

Reset and Thrive 

Neustart und Erfolg für Ihr Unternehmen - Teil 5: Sicherhitsrisiken in Zukunft vermeiden

Bei der digitalen Transformation ist Sicherheit das A und O. In Teil 5 unserer Blogserie erfahren Sie wie Sie Ihre Mitarbeiter zuverlässig schulen, die Cloud schützen und erfolgreich in die „Neue Normalität“ zurückkehren.

Reset and Thrive Your Business Part Four

Neustart und Erfolg für Ihr Unternehmen - Teil 4: Management und Optimierung Ihrer Remote-Umgebung

Nachdem Sie eine Remote-Arbeitsplatzumgebung geschaffen haben, gilt es Maßnahmen zu ergreifen um diese aufrechtzuerhalten. Erfahren Sie in Teil 4 unserer Blogserie mehr darüber.

An Introduction to Microsoft Office 365 Security
  • 08 September 2020
  • Florian Walling
  • Managed Security
  • Security

Eine kleine Einführung in Microsoft 365 Security

Welche eigenen Cloud-Sicherheitsmaßnahmen Sie in der Absicherung der Microsoft 365 Umgebung einleiten müssen, lernen Sie hier.