Security Best Practices für die Cloud

Sieben Tipps zur Cloud-Security

| Autor / Redakteur: Gordon Haff / Peter Schmitz

Bereits mit wenigen Maßnahmen lässt sich die Sicherheit bei Public und Hybrid-Cloud-Systemen deutlich erhöhen.
Bereits mit wenigen Maßnahmen lässt sich die Sicherheit bei Public und Hybrid-Cloud-Systemen deutlich erhöhen. (© vectorfusionart - stock.adobe.com)

Public und Hybrid Clouds eröffnen Unternehmen neue Möglichkeiten und erlauben mehr Kontrolle über die Kosteneffizienz der IT, bieten aber gleichzeitig Anlass für Risiko- und Compliance-Überlegungen. Der wichtigste Schritt dabei: Cloud-Security darf nicht nur aus einem Häkchen in einer Checkbox bestehen.

Reflexartige Ängste wegen Sicherheitsdefiziten in Public Clouds mögen vielleicht naiv sein. Dennoch bieten Public und Hybrid Clouds Anlass für Risiko- und Compliance-Überlegungen sowie Herausforderungen, die sich vom Ausmaß – und manchmal auch der Art nach – von traditionellen unternehmenseigenen Rechenzentren unterscheiden. Unternehmen sollten folgende sieben Aspekte berücksichtigen:

1. Gemeinsam Verantwortung übernehmen

Es ist wichtig zu verstehen, für welche Bereiche ein Unternehmen verantwortlich ist, wenn es eine Public Cloud einsetzt. Vor allem ist es abhängig vor der Art der genutzten Services. Bei Infrastructure-as-a-Service gilt bei der Beschaffung und der Pflege von Betriebssystem und Applikationen die gleiche Sorgfalt wie beim Betrieb im eigenen Rechenzentrum – selbst wenn ein anderer die Server, Speichersysteme und das Netzwerk betreibt. Beim Bezug von Software-as-a-Service übernimmt der Provider mehr Verantwortung. Das Unternehmen als Auftraggeber ist aber nach wie vor für den gesicherten Zugriff sowohl auf die unternehensinternen Informationen als auch auf die vertraulichen Kundendaten zuständig.

2. Ein Verständnis für alle potenziellen Risiken entwickeln

Auf dem Markt ist eine Vielzahl von Frameworks verfügbar, die IT-Führungskräfte und -Architekten bei der Evaluation und der Abwehr von Risiken unterstützen, die mit der Nutzung von Public Clouds verbunden sind. Ein gutes Beispiel dafür ist die Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA).

Die CSA CCM bietet ein Rahmenwerk für 16 IT-Betriebsbereiche, einschließlich Sicherstellung des kontinuierlichen Geschäftsbetriebs und Ausfallsicherheit im Betrieb, Verschlüsselung und Schlüssel-Management, Identitäts- und Zugriffsmanagement, mobile Sicherheit sowie den Umgang mit Bedrohungen und Sicherheitsrisiken. CCM Version 3.0.1 definiert insgesamt 133 Steuerelemente und stellt einen Zusammenhang zwischen diesen und anderen in der Industrie anerkannten Sicherheitsstandards, Regelungen und Rahmenwerken wie ISO 27001/27002, ISACA COBIT und PCI her.

3. Bestehende Best-IT-Practices anwenden

Die Bereitstellung von Services im Rahmen hybrider Architekturen lässt sich auch über eher traditionelle IT-Methodologien regeln. Die ITIL Service Strategy beispielsweise ist eine von fünf ITIL-Lifecycle-Modulen. Sie bietet Leitlinien für den Entwurf, die Entwicklung sowie die Einführung einer Service-Provider-Strategie und orientiert sich an der Unternehmensstrategie. Unternehmen können damit die ITIL-Verfahren bei der Konzeption geeigneter End-to-End-Services für eine Hybrid IT heranziehen. Obwohl ITIL-Implementierungen oft als übermäßig bürokratisch und aufwendig gelten, lassen sich dennoch viele der grundlegenden Prinzipien auch bei modernen Cloud-nativen Architekturen anwenden.

4. Einen geschäftszentrierten Ansatz für IT-Sicherheit einführen

Sicherheit ist nicht allein ein Technologieproblem, sondern muss auch vor dem betriebswirtschaftlichen Hintergrund betrachtet werden. Dazu gehört beispielsweise eine Definition der Geschäftsrisiken im Hinblick auf die Verlusttoleranz. Ein Kreditkartenunternehmen weiß, dass es Verluste aufgrund von Betrug geben wird. Die Alternative wäre, die Verwendung von Kreditkarten so beschwerlich zu gestalten, dass sie kaum einer mehr nutzt. Das Ziel sollte es aber sein, Kontrollmechanismen einzuführen, die den Einsatz von Kreditkarten so einfach wie möglich gestalten und gleichzeitig die Verluste so gering wie möglich halten.

5. Sicherheit regelbasiert steuern

Wichtig ist, dass Unternehmen mit Tools wie einer Cloud-Management-Plattform für Transparenz und Kontrolle über komplexe hybride und heterogene Umgebungen sorgen. Die Echtzeitüberwachung und die Durchsetzung von Regeln sollten sich nicht nur mit der Performance und Verfügbarkeit befassen und zwar bevor es zu gravierenden Problemen kommt, sondern sie sollten auch potenzielle Compliance-Verstöße frühzeitig aufspüren und verhindern. Darüber hinaus bietet eine Cloud-Management-Plattform die Möglichkeit, Prozesse zu dokumentieren und die Zahl fehleranfälliger manueller Verfahren zu reduzieren. Menschliche Fehler werden immer wieder als eine wesentliche Ursache für Sicherheitsverstöße und Ausfälle genannt.

6. Einen vielfach geprobten Notfallplan erstellen

Kommt es zu einem Unglück, zählt jede Minute, gleich ob Brand oder Unfall. Aufgaben, Zuständigkeiten und Prozesse müssen dann eindeutig geregelt sein. Es kommt sowohl auf das technische Fachwissen als auch auf einen klaren Kommunikationsplan an, um die direkt Betroffenen, aber auch die breite Öffentlichkeit über die Presse, zu informieren. Unternehmen können sich hier beispielsweise die Best Practices von Rettungsdiensten und anderen sicherheitskritischen Einrichtungen ansehen und vieles davon übernehmen.

7. Sicherheit standardmäßig einbauen

Bei den herkömmlichen langlebigen Applikations-Instanzen bedeutet die Aufrechthaltung einer sicheren Infrastruktur die Analyse und automatische Korrektur von Konfigurationsänderungen, um den gewohnten Endzustand beibehalten zu können. Das ist noch immer eine zentrale Anforderung. Mit der wachsenden Bedeutung einer steigenden Zahl kurzlebiger, invariabler Instanzen in Cloud-nativen Umgebungen ist es ebenso wichtig, sich auf den standardmäßigen Einbau von Sicherheit zu konzentrieren. Daher sollten für die Services in einem containerisierten Software-Stack regelbasierte Verfahren definiert und implementiert werden.

Eine zeitgemäße Sicherheit bedeutet einen Wandel der Strategie, die bislang auf möglichst wenige Änderungen abzielte, hin zu einer für Änderungen optimierten Strategie. Ein auf Erfahrungen basierter Workflow sollte Einblicke in mehrere Umgebungen gewährleisten, Informationen aggregieren und Sicherheitsprobleme selbst bei Komponenten, die nur eine Lebensdauer von einigen Minuten haben, sofort lösen. Sicherheit muss zu einem integralen Bestandteil der Softwareerstellung und -auslieferung werden und darf nicht nur aus einem Häkchen in einer davon abgekoppelten Checkbox bestehen.

Über den Autor: Gordon Haff ist Cloud Evangelist bei Red Hat.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44815104 / Cloud und Virtualisierung)