Leitfaden für die Praxis

So lassen sich Cloud-Apps schützen

Cloud-Nutzung findet man mittlerweile in vielen Unternehmen vor. Doch laut einer aktuellen Studie ist die überwiegende Mehrheit um die Sicherheit in der Datenwolke besorgt. Das allgemeine Sicherheitsrisiko, die Sorge um Datenverlust und fehlendes Fachwissen sind demnach die stärksten Einwände gegen die Nutzung einer Cloud.

Symbolbild Datenschutz in der Cloud

Protokollierung und Überwachung ist der Schlüssel für bessere Kontrolle über die Daten in einer Cloud in (nahezu) Echtzeit.

Neben der Sicherheit müssen die Verantwortlichen auch zahlreiche betriebswirtschaftliche und rechtlich-regulatorische Faktoren berücksichtigen. Der Spagat zwischen zu realisierenden Kostenvorteilen auf der einen und Sicherheitsbedenken auf der anderen Seite setzt den IT-Betrieb zusätzlich unter Druck.

Vor diesem Hintergrund sollten Unternehmen, die einen Wechsel in die Cloud in Betracht ziehen, daher bewusst neue organisatorische Richtlinien, Kompetenzen und Maßnahmen planen und umsetzen. Um einen umfassenden Schutz zu gewährleisten, müssen die Verantwortlichen nicht nur die Applikation selbst, sondern auch die zugrunde liegende Infrastruktur auf Schwachstellen prüfen. Gleichzeitig steht auch der jeweilige Cloud-Anbieter in der Verantwortung.

Software-Sicherheitsinitiative in der Cloud

In Infrastructure-as-a-Service-Modellen (IaaS) stellt der Cloud-Anbieter die Infrastruktur (Server, Virtualisierung, Speicher, Netzwerk) als Dienstleistung zur Verfügung und der Kunde führt virtuelle Maschinen auf dieser Infrastruktur aus. Einige Provider erlauben den Zugriff auf Sicherheitsfunktionen wie Datenbankkonfiguration, Firewall, Clustering oder Gruppenrichtlinien. Damit ist klar, wo die Verantwortung des Providers endet. Denn wie diese Bausteine eingerichtet werden, ist Sache des Kunden. Sind sie fehlerhaft konfiguriert, kann das die Sicherheit erheblich gefährden. Selbst wenn nur ein Teil der sensiblen Daten und Anwendungen in der Cloud gehostet ist, kann schnell das gesamte Portfolio gefährdet sein.

Dies ist ein Artikel aus unserer Print-Ausgabe 6/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Gartner weist in diesem Zusammenhang darauf hin, dass mindestens 95 Prozent der Sicherheitsvorfälle durch die Kunden selbst verschuldet werden. Auch laut den Top-10-Risiken für die Anwendungssicherheit des Open Web Application Security Project (OWASP) gehören Fehlkonfigurationen seit Jahren zu den Hauptbedrohungen. Folgende Punkte sollten zur Gewährleistung der Sicherheit der Cloud-Architektur befolgt werden:

  • Die IT-Abteilung auf dem neuesten Stand halten. Fachlich geschulte Cloud-Sicherheitsexperten wissen, wie man potentielle Bedrohungen identifiziert und darauf richtig reagiert.
  • Software-Sicherheits-Tools und die Sicherheitsfunktionen des Cloud-Service-Providers verwenden.
  • Sicherheit in Container-/VM-Umgebungen implementieren.

Containerisierung wird oft als Virtualisierung der nächsten Generation bezeichnet. Cloud-native Technologien wie Docker ermöglichen dabei die kontinuierliche Skalierbarkeit der Infrastruktur und damit eine hohe Anpassungsfähigkeit. Vor allem Docker wird jedoch häufig wegen der mangelnden Sicherheit kritisiert. Doch eine Container-Infrastruktur lässt sich ähnlich sicher betreiben wie traditionelle Setups. Die sichere Verwendung von Cloud-Sicherheitskontrollen und deren Integration in sogenannte CI/CD-Pipelines (Continuous Integration/Continuous Delivery) sind die Voraussetzungen für Transparenz, Agilität und Geschwindigkeit in der Software-Bereitstellung. Im Rahmen der Cloud-Nutzung ist es ratsam, die Entwicklung einer ausgereiften Software-Sicherheitsinitiative zu verfolgen. Eine solche Initiative sollte laut Florian Thurmann, Director Software Security Operations bei Synopsys Software, diese sechs Maßnahmen umfassen:

1. Identitäts- und Zugriffsverwaltung

Diese bildet das Rückgrat der Cloud-Sicherheit. Sie sollten deshalb:

  • Audits für Authentifizierungs- und Autorisierungsquellen durchführen.
  • Sicherheits- und Zugriffsrichtlinien einrichten.
  • Eine strikte Verwaltung der Identitäten inklusive unverzüglicher Änderung oder Aufhebung von Zugriffsrichtlinien etablieren.

2.Datenschutz

Die Verantwortlichen sollten:

  • Den Datenbestand inventarisierenund klassifizieren.
  • Richtlinien und Verfahren zum Schutz der Daten sowohl bei der Übertragung als auch bei der Speicherung einrichten.
  • Compliance-Anforderungen bewerten.
  • Möglichkeiten zur Verschlüsselung und verantwortungsvollen Speicherung identifizieren.

3.Infrastruktursicherheit

Die grundlegende Infrastruktur für die Cloud  sollte sicher sein. Von daher sollte man auf Folgendes achten:

  • Netzwerk-, Computer- und Speicheranforderungen
  • Anforderungen an die Zugriffskontrolle
  • Bereitstellungsbedarf für Automatisierungs- und Orchestrierungsmöglichkeiten.

4.Protokollierung und Überwachung

Der Schlüssel zu besserer Kontrolle über die Daten in einer Cloud in (nahezu) Echtzeit. Empfohlene Maßnahmen:

  • Ermittlung von Inventarlisten der Protokollierungsobjekte, um Aggregations-, Korrelations- und Analysemöglichkeiten zu identifizieren.
  • Richtlinien und Verfahren zur Benachrichtigung und Alarmierung festlegen.
  • Angemessene Grenzwerte für wichtige Geschäftsprozesse bestimmen.
  • Angemessene Tools zur Protokollierung und Überwachung von Aktivitäten identifizieren.

5. Notfallplanung

Die Verantwortlichen benötigen einen soliden Vorfallreaktionsplan, auch als Incident Response Plan (IRP) bezeichnet, um die Auswirkungen eines Vorfalls einzudämmen. Wichtig sind:

  • Durchführung von Audits zur Kategorisierung kritischer Geschäftsfunktionen, um diese einem Risikoprofil zuzuordnen.
  • Überprüfung der Richtlinien und Verfahren hinsichtlich Vorfallsreaktionen, Warnmeldungen und Benachrichtigungen.
  • Bestimmung von Verfahren, um den Schweregrad eines Vorfalls zu bestimmen und eine angemessene Reaktion zu hinterlegen.

6. Schwachstellen- und Konfigurationsanalyse

Die Verwendung eines automatisierten Sicherheitsmechanismus kann ein kostengünstiger Ansatz für Cloud-Umgebungen sein.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok