Was ist Cloud-Sicherheit (Cloud Security)?
Sechs Jahre in Folge Nummer 1 im Cloud-Native Application Protection Platform Market Share
Cloud-Sicherheit verstehen
Cloud-Sicherheit umfasst eine Reihe von Verfahren, Richtlinien und Technologien zur Absicherung von Cloud-basierten Computing-Umgebungen gegen potenzielle Bedrohungen der Cybersicherheit. Cloud-Sicherheitsmaßnahmen sind eine entscheidende Komponente der Cloud-Architektur und zielen darauf ab, Cloud-Daten, Anwendungen und Services über geeignete Kontrollen und Lösungen vor neuen und bestehenden Bedrohungen abzuschirmen. Cloud-Sicherheit kann über das Modell der gemeinsamen Verantwortung erreicht werden, wobei sowohl Cloud Service Provider (CSPs) als auch Cloud-Kunden ihre eigenen Aspekte haben, die sie verwalten und sichern müssen.
Cloud Computing – Cloud Service-Modelle
Cloud Computing ist die Praxis, über das Internet auf Software, Datenbanken und Computerressourcen zuzugreifen, anstatt sich ausschließlich auf lokale Hardware zu verlassen. Dieser Ansatz ermöglicht es Unternehmen, effizient zu skalieren, indem sie ihre Infrastrukturverwaltung teilweise oder vollständig an externe Cloud-Anbieter auslagern.
Zu den am häufigsten verwendeten Cloud-Computing-Diensten gehören:
Infrastructure as a Service (IaaS)
Das IaaS-Modell ermöglicht es einem Unternehmen, ein eigenes virtuelles Rechenzentrum (virtual Data Center, vDC) aufzubauen. Ein virtuelles Rechenzentrum liefert Cloud-basierte Ressourcen statt der physischen Vorteile, die herkömmliche Rechenzentren bieten. Die regelmäßige Wartung, Aktualisierung oder Instandhaltung physischer Geräte entfällt bei einem virtuellen Rechenzentrum.
Platform as a Service (PaaS)
Das PaaS-Modell bietet eine Vielzahl an Optionen, über die Kunden Software bereitstellen, implementieren und erstellen können.
Software as a Service (SaaS)
Das SaaS-Modell ermöglicht Kunden den Zugriff auf Software, ohne dass ein Computer oder Server für ihre Erstellung erforderlich wäre. Dazu gehören beispielsweise Microsoft 365 (früher Office 365) und Gmail. Bei diesen Optionen benötigen Kunden nur einen Computer, ein Tablet oder ein Smartphone, um auf die Anwendungen zuzugreifen. Unternehmen verwenden eine Vielzahl von Begriffen, um ihre spezifischen Produkte zu bewerben. Beispiele sind: DRaaS (Disaster Recovery), HSMaaS (Hardware Security Module), DBaaS (Database) und XaaS (Diverses). Abhängig von den Lösungen, die ein Unternehmen vermarktet, kann schwierig festzustellen sein, ob es sich um eine SaaS- oder eine PaaS-Lösung handelt. Letztendlich ist es jedoch wichtiger, die vertraglichen Verpflichtungen des Cloud-Anbieters zu verstehen. Cloud-Anbieter erweitern ihre Verträge häufig um Sicherheitsfunktionen für die Cloud, die über Services wie HSMaaS (Hardware Security Module) oder DRMaaS (Digital Rights Management) bereitgestellt werden.
Cloud-Bereitstellungsmodelle
Cloud-Bereitstellungsmodelle definieren, wie Cloud-Services verwaltet und auf die basierend auf den Anforderungen eines Unternehmens zugegriffen werden. Jedes Modell verfügt über verschiedene Kontroll-, Skalierbarkeits- und Sicherheitsstufen, sodass es wichtig ist, das richtige Modell basierend auf den Geschäftszielen auszuwählen.
Die vier Bereitstellungsmodelle:
Public cloud
Eine Infrastruktur, die für die Öffentlichkeit oder eine große Industriegruppe offen ist und auf einem mandantenfähigen Modell betrieben wird; mehrere Benutzer aus verschiedenen Organisationen greifen gleichzeitig auf den Dienst zu
für jeden zum Kauf verfügbar. Die besten Beispiele hierfür sind Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP).
Private cloud
speziell für ein Unternehmen geschaffen, die Hardware wird mit niemandem sonst geteilt. Das private Modell könnte auf einer öffentlichen Cloud oder in Ihrem eigenen Rechenzentrum oder in einem Unternehmen aufgebaut werden, das sich auf den Aufbau privater Clouds spezialisiert hat, d. h. einem Managed Service Provider, und ist für Personen außerhalb des Unternehmens nicht zugänglich, da es auf einem Single-Tenant-Modell betrieben wird; nur die Mitarbeiter eines Unternehmens können auf die private Cloud für verschiedene betriebliche Anforderungen zugreifen.
Community
Von verschiedenen Unternehmen geteilt. Es ist möglich, einen Service oder Daten in diesem Service gemeinsam zu nutzen. Ein Beispiel hierfür sind Clouds, die von der Regierung erstellt und von mehreren Behörden gemeinsam genutzt werden.
Hybrid cloud
verwendet mindestens zwei der oben genannten Bereitstellungsmodelle. Zum Beispiel sowohl bei Private als auch bei Public ermöglicht es, die Zuverlässigkeit der Private Cloud und die On-Demand-Kapazität der Public Cloud zu analysieren.
Ideal für Unternehmen, die Dienstleistungen anbieten oder Produkte anbieten
Cloud-Sicherheit: Gemeinsame Verantwortung verstehen
Im Großen und Ganzen wurden die Konzepte „Sicherheit der Cloud“ im Vergleich zu „Sicherheit in der Cloud“ von Amazon entwickelt, um die gemeinsame Verantwortung von Anbietern und Kunden in Bezug auf Cloud-Sicherheit und Compliance zu klären. Anbieter sind hauptsächlich für die physische und Netzwerkinfrastruktur verantwortlich, aus der der Cloud-Service besteht. Anschließend wird eine Gleitskala in Abhängigkeit vom jeweiligen erworbenen Cloud-Service angewendet, die dann die direkte Sicherheitsverantwortung des Kunden bestimmt.
Genauer gesagt, wie in diesem Artikel besprochen: „The Cloud: Was es ist und wofür es ist“, sind die verschiedenen Cloud-Servicemodelle – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) – dafür verantwortlich, welche Komponenten – von der physischen Infrastruktur, in der die Cloud gehostet wird, bis hin zu den darin erstellten, verarbeiteten und gespeicherten Daten – vom Anbieter oder Kunden und somit von deren Sicherung zu bestimmen.
Die Sicherheit der Cloud ist Teil des Angebots von Cloud-Anbietern. Dies wird durch vertragliche Vereinbarungen und Verpflichtungen sichergestellt, einschließlich Service Level Agreements (SLAs) mit dem Anbieter und dem Kunden. Leistungsmetriken wie Betriebszeit oder Latenz sowie Erwartungen hinsichtlich der Lösung von auftretenden Problemen, dokumentierte Sicherheitsfunktionen und möglicherweise sogar Strafen für unzureichende Leistung können in der Regel von beiden Parteien durch die Festlegung akzeptabler Standards verwaltet werden.
Für die meisten Cloud-Nutzer behandelt der Rest dieses Primers die Herausforderungen, Bedrohungen und andere Bereiche, die von „Sicherheit in der Cloud“ abgedeckt werden.
Herausforderungen der Cloud-Sicherheit
Herausforderungen der Cloud-Sicherheit
Cloud-Einführung erweitert die Angriffsfläche eines Unternehmens, indem mehr Einstiegspunkte für Angreifer eingeführt werden. Beispielsweise kann die Verwendung mehrerer SaaS-Anwendungen schwache Verbindungen aufdecken. Unternehmen sollten Zero-Trust-Prinzipien anwenden, Ressourcen segmentieren und ihre Sicherheitslage regelmäßig bewerten, um die Exposition zu minimieren.
Fehlkonfigurationen
Falschkonfigurationen sind eine der Hauptursachen für Cloud-Schwachstellen und setzen vertrauliche Daten häufig einem unbefugten Zugriff aus. Zum Beispiel könnte ein falsch konfigurierter Amazon S3-Bucket vertrauliche Dateien für die Öffentlichkeit zugänglich machen. Organisationen können Fehlkonfigurationen verhindern, indem sie das Konfigurationsmanagement automatisieren, regelmäßige Audits durchführen und Mitarbeiter zu Best Practices schulen.
Gemeinsame Verantwortungsmodelle
Cloud-Anbieter sichern die Infrastruktur, während Kunden für die Sicherung ihrer Daten und Anwendungen verantwortlich sind. Wenn Sie diese gemeinsame Verantwortung missverstehen, können kritische Bereiche gefährdet werden. Zum Beispiel kann die Nichtverschlüsselung gespeicherter Daten zu Verstößen führen. Klare Rollendefinitionen, gründliche SLA-Prüfungen und laufende Überwachung sind der Schlüssel zur Minderung dieses Risikos.
Compliance-Komplexitäten
Die Navigation durch Compliance-Anforderungen wie DSGVO, HIPAA und PCI-DSS kann in Cloud-Umgebungen eine Herausforderung darstellen. Während Cloud-Anbieter häufig Tools und Frameworks anbieten, um Compliance zu unterstützen, liegt die letztendliche Verantwortung für Datenschutz und Sicherheit bei den Unternehmen, die die Cloud nutzen. Organisationen müssen eng mit Anbietern zusammenarbeiten, um sicherzustellen, dass Compliance-Standards eingehalten werden, Verschlüsselungs- und andere Sicherheitsmaßnahmen einsetzen, um sensible Daten zu schützen, und über sich entwickelnde Vorschriften informiert bleiben, um potenzielle Verstöße zu vermeiden.
Datenschutzverletzungen
Die mandantenfähige Natur von Cloud-Umgebungen, in denen mehrere Kunden dieselbe Infrastruktur teilen, erhöht das Risiko einer Datenschutzverletzung, da Schwachstellen im System eines Mandanten sich potenziell auf andere auswirken können. Angreifer können schwache Anmeldedaten, ungesicherte APIs oder Schwachstellen innerhalb gemeinsam genutzter Ressourcen nutzen, um unbefugten Zugriff zu erhalten.
Schlüsselaspekte der Cloud-Sicherheit
Alle Aspekte einer individuellen Cloud-Sicherheitsrichtlinie sind von Bedeutung, aber jeder Anbieter sollte bestimmte Grundpfeiler bieten. Diese gelten als unverzichtbar und sind einige der wichtigsten Aspekte der Cloud-Sicherheitsinfrastruktur. Sicherzustellen, dass der Anbieter Ihrer Wahl alle dieser Grundpfeiler absichert, ist für Ihre Cloud-Sicherheitsstrategie entscheidend, unabhängig von deren Umfang.
Always-on-Überwachung: Cloud-Sicherheitsanbieter erstellen Protokolle (Logs) und haben dadurch zu jeder Zeit Einblick, was auf Ihren Cloud-Plattformen vor sich geht. Bei einem Zwischenfall kann Ihr Sicherheitsteam interne Protokolle mit denen Ihres Anbieters vergleichen und so Erkenntnisse zu potenziellen Angriffen und Veränderungen gewinnen. Dies beschleunigt die Erkennung und Reaktion auf Zwischenfälle.
Änderungsverwaltung: Ihr Cloud-Sicherheitsanbieter sollte Protokolle zur Änderungsverwaltung (Change Management) bieten. Diese dienen dazu, Compliance-Kontrollen zu überwachen, wenn Änderungen angefordert, Ressourcen geändert bzw. verschoben oder neue Server bereit- oder außer Dienst gestellt werden. Dedizierte Change-Management-Anwendungen können eingesetzt werden, um ungewöhnliches Verhalten automatisch zu überwachen, damit Sie und Ihr Team schnell eingreifen und Korrekturen vornehmen können.
Zero-trust-Sicherheitskontrollen: Isolieren Sie kritische Ressourcen und Anwendungen abseits Ihres Cloud-Netzwerks. Sichere Workloads privat und unzugänglich zu halten, vereinfacht die Durchsetzung von Sicherheitsrichtlinien zum Schutz Ihrer Cloud-basierten Umgebung.
Allumfassende Datensicherheit: Ihr Anbieter sollte erweiterte Datensicherheit bieten, außerdem Verschlüsselung auf allen Transportebenen, gute Datenhygiene, kontinuierliche Überwachung des Risikomanagements, sicheres Filesharing und undurchlässige Kommunikation. Kurz gesagt sollte Ihr Anbieter beim Schutz Ihrer Unternehmensdaten in keinem Belang irgendwelche Schwächen aufweisen.
Fragen Sie sich: Was sind meine Bedenken? So können Sie selbst entscheiden, welche Fragen Sie Ihrem Cloud-Anbieter stellen sollten, um die wichtigsten Aspekte im Blick zu behalten.
Gründe für Trend Vision One™ – Cloud Security
Cloud Security erweitert den Schutz von Rechenzentren auf Cloud-Workloads, Anwendungen und Cloud-native Architekturen. Die Lösung bietet plattformbasierenden Schutz, Risikomanagement, Multi-Cloud-Erkennung und -Reaktion.
Steigen Sie von isolierten Einzelprodukten auf eine Cybersicherheitsplattform um, die eine beispiellose Fülle an hochwertigen Funktionen bietet, darunter CSPM, CNAPP, CWP, CIEM, EASM und mehr. Viel mehr.
Die stückweise Erkennung und Inventarisierung ist Schnee von gestern. Eine Konsole mit nativen Sensoren und Drittanbieterquellen bietet umfassende Transparenz in Hybrid- und Multi-Clouds. So lässt sich bestimmen, welche Assets bei Angriffen ausgenutzt werden können.
Die erste Cybersicherheitsplattform, die dazu dient, das Risikos in On-Premises- und Cloud-Assets anhand der Wahrscheinlichkeit der potenziellen Auswirkung von Angriffen zu bewerten und zu priorisieren. Ordnen Sie das Risiko mehrerer Datenquellen einem einzelnen Index zu, um Ihre Verbesserungen zu überwachen.
Weiterführende Artikel
Weiterführende Forschung