1. Cloud-Sicherheit im Überblick
Was ist Cloud-Sicherheit?
Cloud-Sicherheit ist ein Cybersecurity-Fachgebiet und umfasst sämtliche Tools, Ressourcen, Prozesse und Richtlinien zum Schutz Ihrer Cloud-Infrastruktur, einschließlich Daten, Systemen, Anwendungen und Ressourcen, die in der Cloud gespeichert bzw. bereitgestellt werden. Verfahren der Cloud-Sicherheit lassen sich auch auf Elemente einer Hybrid-Umgebung anwenden, in denen ein Mix aus On-Prem- und cloudbasierten Systemen vorhanden ist.
Mit einem Cloud-Sicherheitsprogramm können Sie alle Assets in Ihrer Cloud-Infrastruktur bewerten und sind dadurch in der Lage, sämtliche Schwachstellen, Sicherheitslücken, Fehlkonfigurationen und anderen Sicherheitsprobleme zu erfassen, zu entschärfen und zu beheben, damit Ihre Cloud-Infrastruktur jederzeit geschützt ist.
Cloud-Sicherheit ist auch als Cloud Computing-Sicherheit bekannt. Ziel ist es, all Ihre Daten in der Cloud zu schützen und Sie dabei zu unterstützen, regulatorische und gesetzliche Bestimmungen, Compliance-Anforderungen und andere Standards zu erfüllen.
Verfahren für die Cloud-Sicherheit können außerdem eingesetzt werden, um den Zugriff auf Cloud-Systeme zu beschränken und zu kontrollieren sowie andere Sicherheits- und Konfigurationsregeln für Cloud-Umgebungen zu verwalten.
Die Verantwortung für Cloud-Sicherheit hängt von der gewählten Infrastruktur ab, doch im Allgemeinen sollte Ihr Unternehmen mit dem Anbieter Ihrer Cloud-Sicherheitslösung zusammenarbeiten, um Ihre Cloud-Umgebung gemeinsam zu schützen.
Wie funktioniert Cloud-Sicherheit?
Im Zusammenhang mit Cloud-Sicherheit werden verschiedene Kontrollen, Prozesse und Richtlinien angewendet, um Ihre Cloud-Umgebung zu schützen und unbefugten Zugriff auf all Ihre Systeme, Daten und Anwendungen zu verhindern, die sich darin befinden.
Für effektive Cybersecurity benötigen Sie vollständigen Einblick in Ihre gesamte Cloud-Infrastruktur, einschließlich Serverless Computing, Containern und Microservices. Zudem sollten Sie über eine Cloud-Sicherheitslösung verfügen, die es Ihnen ermöglicht, all Ihre Cloud-Assets kontinuierlich zu überwachen und zu analysieren.
Sie können Ihren Ansatz für Cloud-Sicherheit individuell gestalten – basierend auf einer Reihe von Faktoren, die sich speziell auf die besonderen Merkmale und Anforderungen Ihres Unternehmens beziehen. Beispielhaft sind hier einige Strategien aufgeführt, die Sie im Zusammenhang mit Cloud-Sicherheit einsetzen können:
- Netzwerk-Monitoring und Next-Generation-Firewalls, um eingehende und ausgehende Daten in Ihrer Cloud-Umgebung zu kontrollieren. Das Ziel besteht darin, eine Verteidigung aufzubauen, die den Zugriff auf Ihre Daten durch unbefugte Benutzer aus einem externen Netzwerk verhindert.
- Kontinuierliche Asset-Erfassung, Bewertung sowie Threat-Intelligence, um Schwachstellen, Sicherheitslücken und andere Sicherheitsprobleme aufzudecken. Das Ziel besteht darin, Schwachstellen zu erfassen, damit Sie sie priorisieren und Pläne zu ihrer Behebung erarbeiten können.
- Identitäts- und Zugriffsverwaltung, um sicherzustellen, dass nur autorisierte Benutzer auf Daten in der Cloud zugreifen können.
- Verschlüsselung, um Ihre Daten bei der Übertragung und im Ruhezustand zu verschlüsseln.
- Segmentierung, um bestimmte Datenbestände oder Systeme zu isolieren, damit Angreifer bei einem erfolgreichen Angriff weniger umfangreichen Zugriff haben.
- Penetrationstests, um zu ermitteln, ob unbefugter Zugriff auf Ihre Cloud-Umgebung erlangt werden kann, sodass Sie die entsprechenden Probleme beheben und einem Übergriff verhindern können.
- Protokollierung sämtlicher Aktivitäten und entsprechende Berichterstattung.
- Data Loss Prevention, um den Zugriff auf Daten zu unterbinden, wenn verdächtige Aktivitäten festgestellt werden.
- Prüfungen und Hardening der Konfiguration.
- Antivirus-Programme, um eine Infektion mit Malware sowie deren Verbreitung zu verhindern.
Worin unterscheidet sich Cloud-Sicherheit von klassischer IT-Cybersecurity?
Cloud-Sicherheit und klassische IT-Cybersecurity verbinden einige gemeinsame Zielsetzungen, wie etwa der ständige Schutz von Daten, Systemen und Anwendungen. Doch zwischen den beiden Verfahren gibt es zahlreiche Unterschiede.
Herkömmliche Verfahren der IT-Sicherheit funktionieren in Cloud-Umgebungen nicht besonders gut und führen zu blinden Flecken, die Ihr Unternehmen gefährden können. Der Grund dafür: Im Gegensatz zu vielen traditionellen IT-Umgebungen (etwa Server und Computer in einer kontrollierten Umgebung), die sich durch einen Sicherheitsperimeter einfacher schützen lassen, ist die Cloud dynamisch und ändert sich häufig. Im Allgemeinen lassen sich Zugangspunkte innerhalb einer kontrollierten On-Prem-Umgebung leichter schützen als in einer dynamischen Cloud.
Zudem nimmt das Ausmaß an Vernetzung der Cloud immer weiter zu, sodass Sicherheitsprobleme, die ihren Ausgangspunkt in der Cloud haben, in Ihre On-Prem-Umgebung gelangen könnten und umgekehrt. Hinzu kommt, dass Sicherheitsprobleme, die ihren Ursprung in einer gemeinsam genutzten oder einer Public Cloud-Umgebung haben, bei unzureichendem Schutz ohne Ihr Wissen in Ihre Systeme oder Daten gelangen können. Wenn sich ein böswilliger Akteur Zugang zu einer Komponente in einer gemeinsam genutzten Umgebung verschafft, könnten Sie gefährdet sein.
Cloud-Sicherheit bietet zahlreiche Vorteile. Doch dieselben Faktoren, die Cloud-Sicherheit kostengünstig, skalierbar und zugänglich machen, können zu Sicherheitsproblemen beitragen. Die Cloud ist durch zahlreiche Probleme Gefahren ausgesetzt – angefangen bei einer schwachen Identitäts- und Zugriffsverwaltung bis hin zur Nutzung von Standard-Passwörtern, Lateral Movement nach einem Übergriff, Schwächen in Anwendungscode, Schwachstellen und anderen Sicherheitsproblemen.
Außerdem zählen Cloud-Umgebungen zu den Hauptangriffszielen, weil Bedrohungsakteure wissen, dass darin riesige Datenmengen gehostet werden.
Und obwohl es eine Reihe von Unterschieden zwischen Cloud-Sicherheit und traditioneller Informationssicherheit gibt, was die Risiken betrifft, so bringen Cloud-Sicherheit und herkömmliche Cybersecurity auch unterschiedliche Vorteile mit sich.
Hier einige Beispiele:
- Cloud-Sicherheit kann einfacher und schneller bereitgestellt werden. Mit einem SaaS-Modell (Software as a Service) müssen Sie keine zusätzliche Hardware oder andere Appliances zum Schutz Ihrer Cloud-Infrastruktur erwerben. Umgekehrt erweist sich vor Ort installierte Informationstechnologie häufig als kostspielig und zeitaufwendig: Sie müssen Hardware und Software evaluieren, kaufen, liefern lassen, einrichten und konfigurieren und Ihre Mitarbeiter entsprechend schulen.
- Cloud-Sicherheitslösungen sind kostengünstiger als komplexe On-Premises-Lösungen, mit denen zusätzlich zum Kaufpreis oftmals weitere Kosten wie etwa Wartungs- und Upgrade-Gebühren einhergehen. Hinzu kommen die Zeit und Ressourcen, die Ihre IT- und Sicherheitsteams zur Implementierung und Verwaltung aufwenden. Mit einem Subscription-Modell für Cloud-Sicherheit beispielsweise können diese Kosten beträchtlich gesenkt werden. Außerdem lässt sich ein solches Modell problemlos anpassen, um mit dem Wachstum Ihres Unternehmens Schritt zu halten.
- Klassische IT-Cybersecurity strapaziert interne Ressourcen, was heutzutage durch den Mangel an qualifizierten Fachkräften für wichtige Positionen noch verschlimmert wird. Je nachdem, ob Sie ein Public Cloud-, Private Cloud- oder Hybrid Cloud-Modell nutzen, können Aufgaben im Zusammenhang mit Cloud-Sicherheit zwischen Ihrem IT-Team und Cloud-Provider aufgeteilt oder an einen externen Anbieter übertragen und von diesem verwaltet werden.
- Lösungen für Cloud-Sicherheit sind besser geeignet, um umfassende Transparenz über Ihre Cloud-Infrastruktur und On-Premises-Umgebungen zu erlangen. Klassische IT-Cybersecurity ist auf Monitoring vor Ort und in Ihrem Netzwerk beschränkt.
Warum ist Cloud-Sicherheit wichtig?
Da immer mehr Unternehmen auf Cloud Computing-Lösungen setzen, nimmt Cloud-Sicherheit an Bedeutung zu. Der Grund dafür ist, dass viele traditionelle Sicherheitsverfahren, die für On-Prem-Infrastrukturen eingesetzt werden, nicht den umfassenden Einblick bieten, der für sich schnell verändernde Cloud-Umgebungen erforderlich ist.
Aufgrund der dort gespeicherten Datenvolumen befinden sich Cloud-Umgebungen im Fadenkreuz der Cyberangreifer – und folglich entwickeln sich Bedrohungen kontinuierlich weiter. Deshalb benötigen Sie Cloud-Sicherheit, wenn Sie ein Public Cloud-, Private Cloud- oder Hybrid Cloud-Modell nutzen.
Hier einige der zahlreichen Gründe, warum Cloud-Sicherheit wichtig ist:
- Sicherheitsbedrohungen nehmen zu und verändern sich ständig.
- Integrierte Sicherheitsverfahren können einfacher an zentraler Stelle verwaltet werden.
- Cloud-Sicherheit liefert Ihnen Erkenntnisse, die traditionelle IT-Sicherheit nicht bieten kann, einschließlich Einblick in kurzlebige und temporäre Assets wie Serverless Computing, Container und Microservices.
- Cloud-Sicherheit ist skalierbar und kann mit der Weiterentwicklung und Veränderungen in Ihrem Unternehmen Schritt halten.
- Cloud-Sicherheit kann dazu beitragen, Kosten zu senken und die Belastung für ohnehin schon ausgelastete IT-Mitarbeiter zu senken.
- Sie können viele Ihrer gängigen Sicherheitsverfahren automatisieren und zeitaufwendige, sich wiederholende manuelle Aufgaben eliminieren.
- Sie können die Sicherheit Ihrer Daten gewährleisten und dafür sorgen, dass eine Vielzahl von autorisierten Geräten und Benutzern von jedem Standort aus darauf zugreifen können.
- Sie können allen Benutzern, die auf Ihre Cloud zugreifen, das gleiche Maß an Sicherheit und User Experience bieten, unabhängig davon, wo sie sich befinden – im Gegensatz zur klassischen IT, die häufig Security-Stacks für Remote- und andere Standorte erfordert.
Was ist der Unterschied zwischen Public Cloud und Private Cloud?
Public und Private Clouds haben einige Gemeinsamkeiten, sind aber dennoch unterschiedlich. Der Hauptunterschied besteht darin, dass eine Public Cloud von mehreren Unternehmen gemeinsam über das Internet genutzt wird. Eine Private Cloud hingegen ist nur für ein einziges Unternehmen bestimmt und wird über ein privates Netzwerk genutzt.
Einige Unternehmen entschließen sich dazu, ein Hybrid Cloud-Modell mit Public Cloud- und Private Cloud-Services zu nutzen. Die wichtigsten Daten und Anwendungen für den Betrieb befinden sich dann oftmals in einer Private Cloud und der übrige Teil in einer Public Cloud.
Hier einige weitere Merkmale, in denen sich Public Clouds und Private Clouds unterscheiden:
- Private Clouds sind dediziert, sicher und in diesem Zusammenhang häufig mit Wartungskosten verbunden.
- Public Clouds weisen im Allgemeinen keine zusätzlichen Wartungskosten auf, da sie gemeinsam mit Dritten genutzt werden.
- Public Cloud-Modelle warten mit einer Vielzahl von Preisoptionen auf und bieten Flexibilität bei Ausgaben.
- Private Clouds lassen sich an die spezifischen Anforderungen Ihres Unternehmens anpassen, was zusätzliche Vorteile in Bezug auf Compliance-Anforderungen und gesetzliche Vorschriften mit sich bringen kann.
- Public Clouds eignen sich gut für Softwareentwicklung, Anwendungsnutzung und Kommunikationsdienste, während eine Private Cloud besser für sensible Daten wie personenbezogene Daten (PII) und geschützte Gesundheitsinformationen (PHI) geeignet sein kann.
- Sie können maßgeschneiderte Sicherheitslösungen für eine Private Cloud einsetzen, was für Compliance-Zwecke von Vorteil sein kann, doch in einer Private Cloud stehen Ihnen möglicherweise weniger Sicherheitsoptionen zur Verfügung.
Was ist eine Hybrid Cloud?
Hybrid Cloud Computing bietet Unternehmen Flexibilität, wenn Lösungen standortfern bereitgestellt werden. Bei einigen Hybrid Cloud-Modellen kommt ein Mix aus Public Cloud und Private Cloud zum Einsatz, andere wiederum können auch einige On-Prem-Ressourcen umfassen.
Ihr Unternehmen kann sich aus vielen Gründen für ein Hybrid Cloud-Modell entscheiden. Oftmals hängt diese Entscheidung von gesetzlichen Vorschriften und Compliance-Anforderungen ab, da einige Daten spezifische Sicherheitsprotokolle erfordern, die zwar in einer Private Cloud, nicht aber in einer Public Cloud umsetzbar sind. Bei anderen Daten und Anwendungen könnte in puncto Sicherheit hingegen größere Flexibilität bestehen, sodass sie für eine Public Cloud gut geeignet sind. Eine Hybrid Cloud-Lösung ist eine gute Option, um die Eindämmung von Risiken zu unterstützen: Ihre sensibelsten Daten können Sie in einer kontrollierten Umgebung aufbewahren und die Public Cloud stattdessen für Workloads verwenden, die weniger strenge Sicherheitsmaßnahmen erfordern.
Hier einige der zahlreichen Vorteile, die für eine Hybrid Cloud-Lösung sprechen:
- Sie behalten die Kontrolle über das gewünschte Maß an Sicherheit, was die Einhaltung von gesetzlichen Vorschriften unterstützt.
- Eine Hybrid Cloud-Lösung könnte kostengünstiger sein, als sämtliche Daten in einer Private Cloud aufzubewahren.
- Eine Hybrid Cloud-Lösung ist eine flexible und skalierbare Alternative, die anpassbar ist und mit der Weiterentwicklung und Veränderungen in Ihrem Unternehmen Schritt hält.
- Eine Hybrid Cloud-Lösung ermöglicht eine geplante, skalierte Migration in die Cloud, ohne dass alles auf einmal verlagert werden muss.
Sind Public Clouds sicher?
Ja, Public Clouds sind sicher. Der feine Unterschied besteht hier darin, welche Art von Sicherheitsmaßnahmen Sie einsetzen müssen – insbesondere im Hinblick auf Compliance-Standards und gesetzliche Bestimmungen, die in einer Public Cloud-Umgebung im Vergleich zu einer Private Cloud unter Umständen schwieriger einzuhalten sind. Public Clouds eignen sich nicht für jedes Unternehmen und jeden Datentyp, bieten aber sichere Alternativen zum Hosting vor Ort.
Keine Umgebung ist zu 100 % sicher, auch nicht Ihre On-Premises-Umgebung. Risiken gibt es immer. Doch die meisten Public Cloud-Anbieter verbessern ihre Sicherheitsverfahren kontinuierlich und lernen aus Exploits, die Daten gefährden.
Wenn Sie eine Geschäftsbeziehung mit einem Public Cloud-Anbieter eingehen, werden Sie vermutlich ein Service Level Agreement (SLA) oder einen sonstigen Vertrag unterzeichnen, aus dem hervorgeht, wer für welche Sicherheitskomponenten verantwortlich ist. Vergewissern Sie sich, dass sich beide Parteien über die Erwartungen im Klaren sind, und stellen Sie sicher, im Zuge der Geschäftsbeziehung sowie bei der Unterzeichnung von weiteren Verträgen oder Verlängerungen regelmäßig nachzufassen. Wenn Sie auf einen Public Cloud-Anbieter setzen, der die für Ihr Unternehmen geltenden gesetzlichen Vorschriften erfüllt, sollten Sie sich die Dokumentation des Compliance-Audits vorlegen lassen.
Ist die Cloud sicherer als On-Premises-Systeme?
In einer Studie gaben fast 90 % der Befragten an, dass Ihr Unternehmen eine gewisse Art von Public Cloud-Infrastruktur nutzt. Etwa 40 % waren überzeugt, Public Clouds würden mehr Sicherheit bieten, als mit den Sicherheitsvorkehrungen in ihren On-Prem-Umgebungen erreicht werden könnte, während weitere 35 % der Ansicht waren, die Public Cloud sei etwas sicherer als On-Prem-Umgebungen.
Aufgrund dieser Zuversicht und Zuverlässigkeit verlagern immer mehr Unternehmen geschäftskritische Anwendungen in die Cloud: 9 von 10 Unternehmen setzen bereits Software as a Service (SaaS) ein. Weitere 76 % der Befragten nutzen Infrastructure as a Service (IaaS) und 70 % Platform as a Service (PaaS).
Abstimmung der Cloud-Sicherheit auf den Cybersecurity Lifecycle
Durch die Abstimmung auf den Cybersecurity Lifecycle können sich zahlreiche Vorteile für Ihr Cloud-Sicherheitsprogramm ergeben.
Aus der Ponemon-Umfrage „The Economic Value of Prevention in the Cybersecurity Lifecycle“ geht hervor, dass sich sowohl Kosten, Ressourcen und Zeit einsparen als auch Beeinträchtigungen und Reputationsschäden abwenden lassen, wenn Angriffe gar nicht erst in Ihre Umgebung gelangen und Schäden anrichten können.
Prävention ist einer der komplexesten Bestandteile des Cybersecurity Lifecycle, aber dennoch unerlässlich. Durch Prävention eines Zero-Day-Angriffs können Unternehmen beispielsweise fast 1 Million USD sparen (der Durchschnitt beträgt 775.000 USD). Und für fast 20 % der Befragten gehört eine unsichere Cloud-Plattform zu den größten Sicherheitsbedenken.
Im NIST Cybersecurity Framework werden die fünf Kernfunktionen des Cybersecurity Lifecycle bestimmt: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung. Jede Funktion besteht aus Kategorien und Unterkategorien, die diese Funktionen in eine Linie mit Aktivitäten bringen, die Sie für den Aufbau und die Verbesserung Ihrer Cloud-Sicherheitsprozesse einsetzen können.
Die Funktionen und damit verbundene Inhalte werden nachstehend genauer erläutert:
- Identifizierung: Asset-Management, Geschäftsumgebung, Governance, Risikobewertung, Risikomanagementstrategie und Risikomanagement in der Supply Chain
- Schutz: Identitätsmanagement und Zugangskontrolle, Sensibilisierung und Schulung, Datensicherheit, Prozesse und Verfahren zum Informationsschutz, Wartung und Schutztechnologie
- Erkennung: Anomalien und Ereignisse, kontinuierliches Monitoring der Sicherheit und Erkennungsprozesse
- Reaktion: Reaktionsplanung, Kommunikation, Analyse, Risikominderung und Verbesserung
- Wiederherstellung: Wiederherstellungsplanung, Verbesserungen, Kommunikation
Wie lassen sich die Komponenten des Cybersecurity Lifecycle also effektiv auf Ihren Ansatz für Cloud-Sicherheit anwenden? Sehen. Vorhersagen. Handeln.
Die Exposure Management-Plattform von Tenable umfasst eine Reihe von Lösungen und Ressourcen für cloudbasierte Sicherheit und kann Ihnen zusätzliche Einblicke in Ihre Cloud-Assets – einschließlich Gefährdungen – bieten, damit Sie Cyberrisiken priorisieren und die Behebung von Sicherheitsproblemen in Ihrer Cloud-Umgebung planen können. Sie basiert auf dem einzigartigen Ansatz von Tenable, der es Ihnen ermöglicht, alles zu sehen, wichtige Ereignisse vorherzusagen und gezielt zu handeln, um Risiken zu beseitigen.