Bei der Cloud-Security geht es um die Sicherung von Cloud-Services und der dabei in Cloud-Umgebungen gehosteten Daten. Hier sind eine Vielzahl individueller Maßnahmen erforderlich, um vor Risiken wie Datenverlust, Service-Ausfall, Hackerangriffen oder unbefugtem Zugriff auf Daten geschützt zu sein!
Bei der der Implementierung solcher Maßnahmen muss Folgendes berücksichtigt wird:
- Der Zugriff auf die Daten;
- die physische Sicherheit des Rechenzentrums;
- die logische Sicherheit der Server;
- die Sicherheit der Netzwerkstrukturen und des Zugangs;
- die Sicherheit der Plattform und Anwendungen;
- Datensicherheit allgemein sowie
- die sichere Verwaltung von Keys und Zugangscodes.
Einer der wichtigsten Faktoren für erfolgreiche Cloud-Security ist die Gewährleistung, dass alle auf derselben Seite sind. Das klingt zuerst merkwürdig, beschreibt aber die vielfach zu beobachtende Tatsache, dass Kunde und Cloud-Provider nicht an einem Strang ziehen, sondern auf Grund unterschiedlicher Interessen sich in Fragen der Security auch in unterschiedliche, bis hin zu entgegengesetzten Richtungen bewegen. Beim Thema Cloud-Security Sicherheit ist es aber entscheidend, dass sowohl der Kunde, wie auch der Cloud-Lösungsanbieter, für den man sich entschieden hat, die Bedürfnisse, Verantwortlichkeiten und jeweiligen Rollen des jeweils anderen im Prozess verstehen.
Vertrauen ist gut – institutionalisierte Nachweise sind besser
Im oben angeführten Beispiel zum Datenschutz etwa müsste der Cloud-Provider nachweisen, dass er die Datenschutzanforderungen erfüllt und über geeignete Notfall- und Wiederherstellungsprozesse verfügt. Auf der anderen Seite muss auch der Kunde über einen dokumentierten Prozess verfügen, der die Benutzerrechte und das Änderungs-Management steuert. Weitere vertraglich vereinbarte Regelungen können beispielsweise Service Level Agreements (SLAs) sein, die den Kunden über bestimmte Verfügbarkeiten informieren und im Falle von Fehlfunktionen die jeweiligen Reaktions- und Wiederherstellungszeiten, Alarmketten oder Eskalationsstufen definieren. Darüber hinaus könnten Vereinbarungen etwa über regelmäßige Übungen zu sicherheitsrelevanten Ereignissen getroffen werden. Die richtige Wahl eines Cloud-Dienstanbieters hängt von der eigenen Ausrichtung der Strategien für Compliance, Sicherheit und im schlimmsten Falle davon ab, ob sichergestellt ist, dass die Daten des Kunden auch dann verfügbar und wiederherstellbar bleiben, wenn der Provider sein Geschäft aufgibt.