Sicherheit in, mit und durch die Cloud
Viele Unternehmen sind gegenüber Cloud-Modellen zwar skeptisch, doch zwingt sie der digitale Wandel, sich mit dem Thema auseinanderzusetzen. Im Zentrum steht dabei nicht nur die Datensicherheit, sondern es müssen auch betriebliche Aspekte berücksichtigt werden.
Die Daten in der Cloud sind mindestens so sicher wie bei ihren Kunden. Die Cloud kann sogar dazu beitragen, die Daten noch besser zu schützen, als ihre Kunden das je selbst sicherstellen können. Doch die Sorgen in den Unternehmen sind immer noch gross und das Vertrauen in das neue Betriebsmodell "Cloud" noch nicht überall gefestigt. Sicherheit bedeutet auch nicht für alle das Gleiche. Die einen meinen Datenschutz und damit die Einhaltung gesetzlicher Normen, die anderen sehen darin ganz grundsätzlich die Gewährleistung von Vertraulichkeit, Verfügbarkeit und Integrität, und wieder andere sehen Sicherheit gleichbedeutend mit digitaler Souveränität und wollen damit jeder Zeit in der Lage sein, selbst zu bestimmen, was wann mit den Daten geschieht und wohin sie fliessen. Was auch immer Sicherheit für den Einzelnen bedeutet, sie kann nur gewährleistet werden, wenn man selbst die Kontrolle darüber hat. Dann sind die technischen Möglichkeiten fast grenzenlos.
Alte Sicherheitsarchitekturen haben ausgedient
In vielen typischen Unternehmen hat sich über die vergangenen Jahren die IT-Infrastruktur drastisch verändert und ist massiv komplexer geworden. Der digitale Wandel und die Notwendigkeit im Business, von den neuen Technologien wie künstliche Intelligenz oder Internet of Things zu profitieren, haben die meisten Organisationen gezwungen, hybride Betriebsmodelle mit Cloud in den Rechenzentren zuzulassen. Der Druck nimmt weiter zu, möglichst bald alle bestehenden Systeme und Applikationen dereinst aus der Cloud zu betreiben, weil die Unternehmen immer weniger bereit sind, grosse Investitionssummen für eigene Infrastrukturen bereitzustellen. Da die Daten und Ressourcen eines Unternehmens mittlerweile über die lokale Umgebung und mehrere Clouds verteilt sind, wird es immer schwieriger, sie zu schützen. Viele Benutzer müssen von jedem Ort, zu jeder Zeit und von jedem Gerät aus zugreifen können, um die Aufgaben des Unternehmens zu unterstützen. Die perimeterbasierten Netzwerkdienste mit Firewalls und VPNs sind nun völlig überholt und können den Schutz nicht gewährleisten. Die alten Sicherheitsarchitekturen fallen in sich zusammen, was die Sorge und Ängste vieler Sicherheitsverantwortlichen grösser werden lässt.
Sicherheit in der Cloud muss neu gedacht werden
Während früher die internen Infrastrukturen stark von der Internetwelt abgeschottet waren und man sich so unbehelligt frei bewegen konnte, ist dies heute nicht mehr der Fall. Jeglicher Zugriff von innen und aussen, von Applikationen, Systemen oder Benutzern ist grundsätzlich als gefährlich und nicht vertrauenswürdig zu betrachten. Das Prinzip des "Zero Trust" gewinnt immer mehr an Bedeutung, weil es einen sicheren autorisierten Zugriff auf jede einzelne Ressource erfordert, unabhängig davon, ob sie sich vor Ort oder in der Cloud befindet. Bei jeder Zugriffsanforderung überprüft so ein Konzept explizit den zum Zeitpunkt des Zugriffs verfügbaren Kontext, das heisst die Identität und Rolle des Anfragenden, den Zustand und die Anmeldedaten des anfragenden Geräts sowie die Kritikalität der Ressource. Wenn die Anforderungen allesamt positiv geprüft sind, wird eine sichere Sitzung erstellt, um alle zur und von der Ressource übertragenen Informationen zu schützen.
Dieses Modell der Zero-Trust-Sicherheit muss insbesondere intern erstellt und die zu befolgenden Governance-Richtlinien erarbeitet werden. Dies beginnt nicht erst, wenn eine Cloud operativ in Betrieb genommen wird. Vielmehr umfasst die Cloud den gesamten Lebenszyklus eines Services, vom Entwurf über die Erstellung bis hin zur Ausführung und zur laufenden Verbesserung.
Bei der Entwicklung einer Cloud-Governance-Richtlinie ist es wichtig, den Umfang der Anforderungen des Unternehmens festzulegen und zu planen, wie sie umgesetzt werden. Da Cloud Computing verschiedene Interessengruppen innerhalb der Organisation beeinflusst und viele nichttechnische Aspekte betrifft, ist es wichtig, den Anwendungsbereich so festzulegen, dass kein Bereich unreguliert bleibt. Ein häufiger Fehler ist die Annahme, dass bei der Einführung einer Cloud-Anwendung in einer Organisation der Governance-Bereich nur die Cloud-Anwendung selbst abdeckt. Dabei geht oft vergessen, dass jeder Cloud-Provider mit Bestimmtheit weitere Provider im Hintergrund beauftragt. Jede Software-as-a-Service-Cloud wird auf einer anderen Cloud-Infrastruktur betrieben. Im Allgemeinen reicht der Umfang der Cloud-Governance von strategischen Aspekten über taktische Aspekte erfolgreicher Implementierungen bis hin zu Details des laufenden Betriebs.
Sicherheit ist dabei nicht die einzige Anforderung. Auch betriebliche Aspekte müssen beachtet werden. Die betrieblichen Anforderungen konzentrieren sich eher auf die Ausrichtung an den Unternehmenszielen und die Festlegung und Überwachung von SLAs. Betriebs- und Sicherheitsanforderungen können sich an einem bestimmten Punkt überschneiden. Dies geschieht in der Regel, wenn Unternehmen die Anforderungen an die Verfügbarkeit von Cloud-Anwendungen festlegen oder die Bewertung des Risikos auf der Grundlage der SLA und die Pläne für Backup und Disaster Recovery bewerten.
Wichtig ist, sich über die spezifischen Anforderungen an die Sicherheit der Cloud und damit auch an den Provider klar zu sein. Es gibt viele Anbieter mit unterschiedlichem Reifegrad. Wie sehr ist ein Anbieter bereit, transparent über seine internen Kontrollen und Sicherheitsmassnahmen Auskunft zu geben. Stellt er ein Sicherheitsaudit- oder Penetrationtest-Bericht zur Verfügung, um über die Fähigkeiten zu informieren? Erfahrene Provider wissen um die Notwendigkeit dieser Transparenz und stellen diese bereitwilliger zur Verfügung als andere.
Sicherheit ist aber auch eine gemeinsame Arbeit zwischen Provider und Unternehmen. Eine "geteilte Verantwortlichkeit" bedingt klare Abmachungen, welche Kontrollen von wem wahrgenommen werden. Für jede Cloud-Migration oder Cloud-Anwendung muss das Unternehmen die anwendbaren Kontrollen definieren und festlegen, wer für deren Einrichtung verantwortlich ist. So gilt es beispielsweise, klar festzulegen, wo der Speicherort des Kryptografie-Schlüssels ist, wie die Integration von SIEM Security Information Event Management definiert sind und vieles mehr.
Dabei gibt es heute viele technische und organisatorische Möglichkeiten, die verschiedenen Sicherheitsbedürfnisse der Unternehmen in und mit der Cloud abzudecken. Wichtig dabei ist jedoch, den unsichtbaren Schleier rund um die Cloud zu lüften und sich mit dem Potenzial ernsthaft auseinanderzusetzen.
Viele Unternehmen haben mittlerweile die vollständige Migration ihrer Applikationen und Infrastrukturen in die Cloud als Strategie festgelegt, da die Vorteile des Cloud Computings die Nutzung traditioneller Betriebsmodelle bei Weitem überwiegen. Wer jedoch kein Vertrauen in die Cloud-Technologie und deren Betreiber hat, tut sich grundsätzlich schwer mit so einem radikalen Schritt. Risiken insbesondere im Bereich Sicherheit bleiben im Nebel und stellen erhoffte Chancen immer wieder infrage.
Das muss nicht sein. Cloud-Sicherheit ist heute eine etablierte Disziplin und Praxis des Schutzes von Cloud-Computing-Umgebungen, Anwendungen, Daten und Informationen und umfasst die Absicherung von Cloud-Umgebungen gegen unbefugte Zugriffe, verteilte Denial-of-Service-Angriffe (DDOS), Hacker, Malware und viele andere Risiken. Cloud-Sicherheit ist viel mehr als Datenschutz und es bestehen verschiedene Konzepte wie etwa Zero-Trust, die den Cloud-Nutzern die beinahe vollständige Kontrolle ermöglichen.
Im Rahmen des Herbstevents von Eurocloud Swiss gehen wir der Frage nach, wie sich ein Cloud-Kunde vorbereiten kann und wie eine solche geteilte Verantwortlichkeit funktioniert. Gibt es einen Greenfield-Approach? Und wie sieht dieser aus?
Herbstevent von Eurocloud Swiss: "Cloud-Sicherheit – mehr als nur Vertrauen"
Wann: Donnerstag, 24. November 2022, 16.00 – 18.00 Uhr
Ort: Marriott Hotel, Neumühlequai 42, 8006 Zürich
Anmeldung: www.eurocloudswiss.ch