Blog

Die Digitalisierung der Unternehmen schreitet voran und damit auch der Wandel weg von der klassischen Infrastruktur hin zur Cloud. Kaum ein Unternehmen verzichtet heute vollständig auf die Vorteile der Cloud. Allerdings vollzieht sich dieser Wandel häufig nicht in einem Schritt, sondern es entsteht sukzessive ein Ökosystem von Anwendungen und Cloudspeichern von verschiedenen Cloudanbietern. Deshalb verfügen die meisten Unternehmen auch über Multi-Cloud-Umgebungen. Dagegen ist grundsätzlich nichts einzuwenden. Vergessen werden darf dabei aber nicht, dass ein Unternehmen auch in der Cloud für die Sicherheit seiner Daten und die Erfüllung seiner regulatorischen Anforderungen verantwortlich ist. Die Umsetzung dieser Sicherheitsanforderungen unterscheidet sich jedoch teilweise erheblich von Sicherheitskonzepten, welche wir bisher in traditionellen Rechenzentren angewendet haben. Die folgenden fünf Tipps sollen dabei helfen, den Blick für die Sicherheitsaspekte in Multi-Cloud-Umgebungen zu schärfen.

1. Visibilität Ihres Cloud Workloads herstellen
   Es ist schon fast ein Mantra, aber dennoch die Grundlage jeder Security Strategie: Ich kann nur Assets schützen, die ich kenne. Im Zusammenhang mit Cloud- und Multi-Cloud-Umgebungen betrifft dies insbesondere die Anwendungen sowie die entsprechenden Informationsspeicher. Deshalb ist der erste Schritt immer, festzustellen, welche Art von Informationen und Anwendungen in der Cloud genutzt werden und von wem. In vielen komplexen Organisationen ist aber gerade das eine der ersten Hürden, weil die Nutzung verschiedener Cloud-Dienste häufig historisch entstanden ist. Hier bieten sich technische Hilfsmittel oder Services an, wie zum Beispiel die Cloud Workload Services von ISPIN, mit denen diese Datenströme sichtbar gemacht werden können.
    
2. Identität ist der neue Perimeter
   Wir sind gewohnt, in einem traditionellen Perimeter-Sicherheitsumfeld zu denken. Was ausserhalb unseres Perimeters ist, ist böse. Was innerhalb liegt, ist gut. Sobald Cloud-Dienste im Spiel sind, funktioniert dieses Konzept nicht mehr. Unsere Daten liegen nicht mehr innerhalb eines klar definierten Perimeters, sondern sind theoretisch von überall her zugänglich. In Native-, Hybrid- und Multi-Cloud-Umgebungen ist deshalb die Identität der neue Perimeter, den es zu schützen gilt. Dies kann einerseits durch die Anwendung von Zero-Trust Architekturen sichergestellt werden. Andererseits gelingt dies durch die technische Implementierung von sicheren Authentifizierungsverfahren, wie Multi-Factor-Authentication (MFA). Wichtig bei der Ausgestaltung dieser Methoden sind Anwendbarkeit und die Benutzerfreundlichkeit. Auch ISPIN bietet mit Identity & Access Management Services entsprechende Lösungen für verschiedene Szenarien an.
    
3. Schwachstellen erkennen
   Es ist ein häufiger Irrglaube, dass man durch die Verlagerung in die Cloud auch gleichzeitig die Schwachstellen loswird, bzw. diese nun primär ein Problem des Cloudanbieters werden. Das stimmt nur bedingt. Zwar schützen seriöse CSP (Cloud Service Provider) die Schwachstellen in ihrer eigenen Infrastruktur meist sehr zuverlässig, gleichzeitig aber steigt die Zahl der Data Breaches bei Drittanbietern, wie Cloud Services Providern, stark an. So meldet etwa «Swiss Cloud Computing» erst vor wenigen Tagen, Ende April, einen Hacker-Angriff. Das Unternehmen musste umgehend verschiedene IT-Systeme herunterfahren und isolieren, um die Ausbreitung der Ransomware zu verhindern. Der Angriff hatte einen Systemausfall bei Swiss Cloud Computing zur Folge.
   
   Der Grund für die vermehrten Angriffe auf Cloud Service Provider sind in der Regel nicht deren lasche Sicherheitsvorkehrungen (wobei auch das durchaus vorkommt). Vielmehr liegt die Ursache häufig bei den fehlerhaften oder sorglosen Sicherheitseinstellungen durch die Cloudnutzer. Ein Beispiel dafür, wie so etwas entstehen kann, ist die temporäre Nutzung von Services, wie es oft für Marketingkampagnen passiert, bei welchen u.a. Kundendaten verwendet werden. Werden die Dienste nach der Nutzung nicht sorgfältig wieder aufgeräumt, können solche verwaisten Datenbestände rasch zu einer tickenden Zeitbombe werden, die ein Unternehmen später teuer zu stehen kommen kann. Um das zu verhindern, bieten sich einerseits Cloud Access Security Broker (CASB), andererseits auch Dark Web Monitoring Lösungen an, welche ungewollt exponierte Datenbestände, z. B. bei Drittanbietern, erkennen können.
    
4. Verschlüsselung schafft Vertrauen
   Wenn ich sensitive Daten auf einen Datenträger speichere, dann werde ich einen Datenträger wählen, der in der Lage ist, meine Informationen sicher zu verschlüsseln. Das gleiche Prinzip gilt auch für Cloudspeicher. Das hat nicht zwingend mit Misstrauen gegenüber einem Cloudanbieter zu tun. Aber, wir müssen davon ausgehen, dass ein Cloudanbieter grundsätzlich den gleichen Risiken ausgesetzt ist, wie jede andere Organisation. Es gibt Menschen, die Fehler machen, manchmal sogar Menschen, die bewusst einer Organisation schaden wollen. Deshalb ist es vernünftig, diesen Risiken grundsätzlich vorzubeugen, indem man seinen Workload in der Cloud verschlüsselt.
    
5. Vertrauen ist gut, Kontrolle ist besser
   Alle präventiven Massnahmen, wie Zugriffsbeschränkungen, Authentifizierungsverfahren und Datenflusskontrollen, seien sie noch so ausgeklügelt, können mit genügend Zeit und den richtigen Methoden früher oder später umgangen oder ausgehebelt werden. Dagegen hilft ein Security-Monitoring, welches die sicherheitsrelevanten Vorgänge laufend beobachtet und bei Abweichungen die IT-Security-Verantwortlichen alarmiert. Innerhalb der eigenen vier Wände ist das problemlos, weil alle notwendigen Informationen wie Netzwerk-, System- und Anwendungslogs direkt zugreifbar sind. Wenn nun aber diese Informationen in der Umgebung eines oder mehrerer Cloudanbieter anfallen, versagt dieser traditionelle Ansatz. Deshalb ist es wichtig, bereits bei der Auswahl des entsprechenden CSPs darauf zu achten, dass dieser die entsprechenden Funktionen für ein Security Monitoring bereitstellt. Bei den Enterprise-fähigen Anbietern ist das heute bereits weitgehend der Fall.