Kitabı oku: «Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing», sayfa 4
4.2 Cloud-Technologie und Governance
Auch die Cloud selbst und deren Dienste verändern die Bedrohungslage. Die führenden Anbieter von Cloud-Lösungen bieten schon heute auf ihren Plattformen viele verschiedene Dienste. Diese sind erst einmal einfach zu nutzen, erfordern jedoch immer auch eine individuelle Sicherheitsbetrachtung. So kann, selbst wenn der Kunde abgeschottete Netze in der Cloud erzeugt hat, ein PaaS- oder SaaS-Dienst diese Vorgabe umgehen, da dieser Dienst ggf. direkt über öffentliche Endpunkte kommuniziert und explizit ein privater Service-Endpunkt definiert werden muss. Ein weiteres Problem sind die notwendigen Berechtigungen und Zugriffsbeschränkungen auf verschiedenen Ebenen. Speziell über die Jahre können so schnell komplexe Berechtigungsstrukturen entstehen, die nur noch schwer zu kontrollieren sind. Weiterhin können auch Dienste technische Rollen bekommen (z. B. Berechtigungen an einer virtuellen Maschine), die, sofern nicht ausreichend limitiert, im Falle eines Angriffs ausgenützt werden können.
Grundsätzlich sind auch die auf der Cloud-Ebene genutzten Lösungen zur Isolation von unterschiedlichen Kunden ein möglicher Schwachpunkt. Logische Fehler in der Programmierung des Hypervisors oder Fehler auf Hardwareebene (z. B. in der CPU oder im Speicher) können die Daten eines Kunden offenlegen. Dieses Problem existiert auch schon in klassischen Virtualisierungslösungen auf der Ebene der Hypervisoren, es wird jedoch durch den faktisch beliebigen Benutzerkreis eines Cloud-Anbieters weiter verstärkt.
Für viele Cloud-Kunden ändert sich zudem etwas im Hinblick auf die Transparenz der Sicherheitsmaßnahmen. Während im klassischen Umfeld oder auch beim Outsourcer meist ein erweitertes Audit-Recht besteht, ist dies bei einem großen Cloud-Anbieter nicht der Fall. Hier muss der Kunde sich allein auf Testate und Zertifikate wie z. B. ISO27001/ISO27017, ISAE3402 oder Ähnliches verlassen. Eine eigene Prüfung, z. B. vor Ort in einem Rechenzentrum des Cloud-Anbieters, ist aufgrund der dort vorliegenden strengen Sicherheitsvorkehrungen und Zugangsbeschränkungen typischerweise nicht möglich. Komplexität der Infrastruktur, verteilt auf verschiedene Standorte und der jeweiligen Cloud-Organisation, vereinfachen diese Prüfung durch die typischen Dienstleister zudem nicht.
Um diesen Bedrohungen zu begegnen, sind eine sorgfältige Planung und klare Strukturen insbesondere beim Identitäts- und Zugriffsmanagement notwendig. Ebenfalls hilfreich sind Systeme zur Erstellung kurzlebiger Zugangsinformationen oder Just-in-Time Access. Durch geeignete Policies, welche die Nutzung von Diensten limitieren (z. B. auf spezifische Regionen) und Sicherheitsvorgaben überprüfen, können Abweichungen von der Sicherheitskonfiguration verhindert bzw. erkannt werden. Die daran angehängte Sicherheitsüberwachung inklusive einer schnellen (automatisierten) Reaktion muss Sicherheitsprobleme zeitnah adressieren. Diese und andere Bausteine bilden so eine sichere Gesamtarchitektur in der Cloud. Hierbei sollte der Kunde immer das Ziel einer kontinuierlichen Sicherheit im Auge haben. Durch sicheres Design, die sichere Implementierung und eine kontinuierliche Überwachung der Sicherheit kann dies auch erreicht werden. Wesentliche Schlüsselelemente sind Automatisierung und agile Prozesse.
Auch wenn der Cloud-Anbieter grundsätzlich Schwachstellen in den unterliegenden Komponenten adressiert, kann es für einzelne, kritische Systeme sinnvoll sein, diese auf besonders abgesicherten, dedizierten Instanzen zu betreiben. Dies bietet insbesondere Schutz gegen Schwachstellen in der Compute Hardware (z. B. CPU).
4.3 Vertrauen in den Cloud Provider
Eine weitere Bedrohung ist der Cloud-Anbieter selbst bzw. die Jurisdiktion, welcher er unterliegt. Dadurch kann ggf. ein Zugriff auf Daten durch staatliche Stellen erfolgen, auch wenn der Kunde diesen nicht unmittelbar unterliegt und der Kunde darüber gegebenenfalls auch nicht unterrichtet wird bzw. werden darf. Ein weiterer möglicher Aspekt ist Wirtschaftsspionage. Auch wenn der Cloud-Anbieter zahlreiche Maßnahmen wie Verschlüsselung oder Ähnliches als Schutzmaßnahmen anbietet, sind diese meist nur eingeschränkt wirksam als Schutz gegen den Cloud-Anbieter selbst. Dies ist einerseits darin begründet, dass der Cloud-Anbieter die Hardware, auf welchen die Datenverarbeitung erfolgt, kontrolliert und anderseits auch das Benutzermanagement, welche alle Zugriffe auf Systeme und Komponenten, inkl. der Key-Management-Systeme, kontrolliert. Dieses Bedrohungsszenario ist insbesondere für Cloud-Kunden, die in einem regulierten/staatlichen Umfeld agieren, problematisch. Es kann aber auch für andere Kunden, die einen Zugriff durch staatliche Stellen aus wirtschaftlichen Gründen unterbinden wollen, relevant sein.
Bei den von Cloud-Anbietern genutzten Komponenten, wie z. B. Key-Management-Systemen, Identity- und Access-Management-Systemen, aber auch Systeme-Management-Systemen, handelt es sich meist um Eigenentwicklungen. Dies gilt oft auch für die eingesetzte Hardware, z. B. Verschlüsselungsmechanismen im Provider-eigenen Storage-Controller. Eine Prüfung der Qualität dieser Komponenten aus IT-Security-Sicht findet daher meist auch nur eingeschränkt statt. Für den Kunden selbst ist dies am Ende eine Blackbox: Er muss dem Cloud-Anbieter letztlich vertrauen.
Die grundsätzliche Bedrohung kann daher technisch nicht abschließend adressiert werden. Auch wenn Ansätze wie homomorphe oder proxy-basierte Verschlüsselung eine Lösung versprechen, sind diese für den breiten und universellen Einsatz zurzeit nicht geeignet. Die vom Cloud Provider angebotenen Verschlüsselungsoptionen, sowohl auf Storage- als auch auf Compute-Ebene, können das Problem abmildern. Durch eine reine Nutzung von IaaS, einer Substitution von Cloud Provider Tools durch eigene Tools sowie einer Verschlüsselung auf Betriebssystemebene, mit eigenem Key-Management-Service, kann ein Zugriff auf das System und dessen Daten weitestmöglich ausgeschlossen werden. Vollständig ist dieser Schutz jedoch nicht, und der Kunde erkauft sich dies in der Regel mit Komfortverlust und höheren Kosten.
Weitere mögliche Ansätze sind hybride Cloud-Modelle, bei welchen besonders schützenswerte Daten weiterhin im eigenen Rechenzentrum vorgehalten werden, wie auch die Nutzung von Instanzen mit Confidential-Compute-Fähigkeiten. Da der Anbieter aber die Hardware und das IAM-System kontrolliert, ist ultimativ kein vollständiger Schutz möglich. Hier zeigt sich einmal mehr, dass eine Analyse, wie in 2.1 aufgeführt, zwingend notwendig ist.
Der integrierte Ansatz bei der Migration in die Cloud: Security by Default
Christian Lechner und Andreas Schindler
1 Einführung
In Zeiten fortschreitender Digitalisierung verlagert sich die Wertschöpfung in Unternehmen weiter in den virtuellen Raum. Damit wird das Thema IT-Sicherheit immer bedeutender. Die Relevanz von IT-Risiken steigt für Unternehmen jeder Größenordnung und unabhängig vom Geschäftsmodell. Unternehmen beschäftigen sich heute mit der Frage, wie Geschäftsprozesse der Zukunft aussehen und sicher sind vor Angriffen, ob von außen oder immer öfter von innen.
Unabhängig vom Projektthema – ob Cloud-Migration oder New Work – muss das Ziel sein, immer die IT-Sicherheit von Beginn an mit zu betrachten. Die Mehrzahl der Unternehmen hat verstanden, dass Cyberangriffe keine Eintagsfliegen sind und jedes Unternehmen treffen. Gerade in Cloud-Projekten nehmen wir in unserer täglichen Arbeit bei Kunden oft Bedenken und Vorbehalte wahr. Ängste aber sind unbegründet, die Cloud ist keine „Böse“.
Was kann passieren, wenn Unternehmen auf eigene Faust entlang eines IT-Sicherheits-Frameworks wie zum Beispiel NIST loslegen? Oft entstehen Flickenteppiche, deren Komplexität kaum noch zu managen ist. Deshalb entwickeln wir mit unseren Kunden eine vollständig integrierte Sicherheitsarchitektur, die dem Leitgedanken „Security by Default“ folgt. Damit sind Unternehmen, die den Schritt in die Cloud gehen, auf der sicheren Seite.
2 Hacks and Attacks: Cloud versus On-Premises
Hacker greifen aus unterschiedlichen Motivationen heraus Unternehmen, Staaten und immer häufiger kritische Infrastrukturen an. Die Ziele sind vielfältig. Meist geht es darum, sensible Informationen, Daten und Identitäten zu stehlen oder durch unbefugtes Eindringen Veränderungen vorzunehmen. Dabei spielt es keine Rolle, wo die begehrten Daten gehostet werden: On-Premises im eigenen Rechenzentrum oder in der Cloud.
Da Hacker in der Regel über ein umfangreiches Wissen verfügen und sich Trends schnell anpassen, konzentrieren sie heute ihre Angriffe auch verstärkt auf Cloud-Services, um sich Zugriff auf sensible Daten zu verschaffen. Laut dem Verizon Data Breach Investigation Report 2020 wurden in mehr als 80 Prozent der Fälle gestohlene oder mit der Brute-Force-Methode geknackte Passwörter verwendet. Heißt das, die Cloud ist doch böse? Nein, Unternehmen müssen nur gut vorbereitet sein.
3 Gefahren abwehren: Wir gehen in die Cloud!?
Fatal ist die Einschätzung vieler Unternehmen, wenn es um die Gewährleistung der Sicherheit für die eigenen Unternehmenswerte in Form von Daten geht. Wir gehen in die Cloud und sind alle Sorgen um die IT-Security los? Irrtum, wenn man einen Blick auf die Verantwortlichkeiten von Cloud Provider und Cloud-Kunde wirft. Für Cloud Security sind beide Parteien verantwortlich. Das heißt, Cloud-Kunden müssen auf der Client-Seite für umfassende Sicherheit sorgen.
So ist der Cloud-Kunde für die Datensicherheit und Einhaltung gesetzlicher Vorgaben verantwortlich, steuert den Zugriff, schützt Identitäten und Daten und entwickelt auf Basis der Konfiguration von beispielsweise Microsoft Cloud-spezifische Sicherheitsrichtlinien.
Hand in Hand: Im Gegenzug lässt sich Microsoft als Provider regelmäßig auditieren und zertifizieren, stellt Reports zur Verfügung, betreibt und wartet die physischen Ressourcen wie Hosts, Netzwerk, Rechenzentrum. Wichtig zu wissen: Je nach Bereitstellungsmodell – SaaS, PaaS oder IaaS – ändern sich die Verantwortlichkeiten. Vertragliche Regelungen zwischen Anbieter und Kunde schaffen hier Klarheit.
4 Trotz Maßnahmen und geteilter Verantwortung – können Unternehmen Cloud-Services trauen?
Wir sagen klar: ja! Denn Cloud Security hat heute einen hohen Stellenwert und steht für Kunden als auch für die Provider von Cloud Services an erster Stelle. Die Maßnahmen der Cloud Security bestehen aus einem Set von Regeln, Prozessen und technischen Lösungen, die sicherstellen, dass gesetzliche Vorgaben eingehalten werden. Sie schützen die Infrastruktur der Cloud und deren Anwendungen, damit Daten sicher verarbeitet und gespeichert werden können.
Die Einhaltung der gesetzlichen Vorschriften wird ebenso durch Cloud-Lösungen erleichtert. 35 Prozent der Unternehmen hatten in den vergangenen fünf Jahren mindestens einen Compliance-Verstoß zu verzeichnen, mit fatalen Folgen: Reputationsverluste, finanzielle Schäden, Produkt-/Qualitätsmängel, Kundenverlust. Darüber hinaus gibt es weiterhin großen Handlungsbedarf zur Umsetzung der DSGVO. Bei der Migration in die Public Cloud werden die Unternehmensdaten in einer Compliance-zertifizierten Umgebung geschützt. Das heißt, die Anwendungen in der Cloud, die bereitgestellt werden, entsprechen den gesetzlichen und Compliance-Anforderungen. Das schafft Vertrauen.
Unser Credo bei Cloud-Projekten lautet deshalb: Nie ohne Security. Generell ist es ratsam, bei Cloud-Projekten – unabhängig davon, ob es sich um die Migration in die Public oder Private Cloud handelt – die Security schon in der Planungsphase mit ins Boot zu holen. Der Ansatz „Security by Default“ hat sich längst bei der Entwicklung von IT-Produkten bewährt und ist in IT-Projekten ebenso hilfreich. Das bedeutet in der Praxis: alle Fachbereiche mit ins Projekt einbinden, die Anforderungen definieren und sich entlang eines Fragenkatalogs ein umfassendes Bild machen, wie das Unternehmen aufgestellt ist.
5 Umfassende Sicherheitsanalyse im Vorfeld klärt Handlungsbedarfe
Das Gesamtbild entsteht auf Basis eines IT-Security Assessments, in dem wir gemeinsam mit dem Kunden herausarbeiten, wo die größten Schwachstellen liegen und wo der höchste Bedarf an Sicherheit ist. Auf Basis der CIS Controls werden 20 Bereiche unter die Lupe genommen und genau analysiert. Dazu zählen unter anderem die physikalische Sicherheit des Rechenzentrums, die Klassifizierung und der Zugriff auf die Daten, die Datensicherheit, das Management von Berechtigungen sowie der Schutz des E-Mail-Verkehrs vor Viren, Würmern und Trojanern.
Unsere umfassende Sicherheitsanalyse kurz zusammengefasst: alles zum gegenwärtigen Zustand erfahren, ihn bewerten, konkrete Handlungsfelder aufzeigen und geeignete Maßnahmen für mehr Sicherheit finden. Anhand einer Grafik wird deutlich sichtbar, wo Handlungsbedarf besteht – weil entweder die IT-Sicherheit gravierende Mängel aufzeigt oder die Compliance-Anforderungen der Branche nicht erfüllt werden. Aus den Hausaufgaben im Anforderungskatalog ergeben sich die Handlungsfelder und eine Roadmap, die wir mit den Kunden in seiner individuellen Cloud-Umgebung direkt angehen und umsetzen.
Die Maßnahmen reichen von der Entwicklung der Datenklassifizierung für Dokumente (public, internal, confidential oder nur personenbezogene Einsicht erlaubt) bis zur Vergabe für Zugriffe und Berechtigungen, Reporting, Auditing und Monitoring.
Wenn die Klassifizierung steht, geht es um das Handling in der Cloud: Wo werden Dokumente und Daten abgelegt und wie kann in diesem Zusammenhang die Klassifizierung auch verlässlich umgesetzt werden? Wie wird sichergestellt, dass Dokumente in der richtigen Kategorie abgelegt werden und eine Confidential-Klassifizierung nicht geteilt wird: in der Cloud ablegen ja, aber teilen nein.
6 Conditional Access – nur ein Aspekt für den Schutz von Daten
Ein weiterer Sicherheitsaspekt, der mit dem Kunden gemeinsam erarbeitet wird, ist die Definition einer Architektur für den Zugriff auf Daten, die in der Cloud gespeichert, geteilt und verarbeitet werden. Die wesentlichen Fragen sind: Wer darf zugreifen – nur von intern oder auch von extern, Partner, Lieferanten oder andere Player im Unternehmens-Ecosystem? Von wo aus darf der Zugriff erfolgen – nur vom Laptop oder Smartphone im Firmennetzwerk oder auch von privater Hardware aus dem Homeoffice?
Wenn geklärt ist, wer von wo aus auf welche Daten zugreifen darf und wie diese geschützt werden müssen, kommt das Monitoring und Reporting ins Spiel: Ist es nachvollziehbar, wer auf welche Daten zugegriffen hat? Von wo aus wurde zugegriffen? Stimmen die Berechtigungen oder wurde eine Berechtigung kompromittiert? Beispiel Maschinenbau: In dieser Branche bestehen häufig Exportkontrollen, die vorgeben, aus welchen Ländern ein Zugriff auf bestimmte Daten erfolgen darf. Das bedeutet, dass auch nachvollziehbar sein muss, wer aus einem Land auf Daten zugreift, aus dem der Zugriff nicht erlaubt ist. Hat die Cloud Security einmal Zweifel, ob ein Zugriff legitim erfolgte oder nicht, so kann automatisiert eine weitere Schutzmaßnahme, beispielsweise die Multi-Faktor-Authentifizierung, angefordert werden. Diese sichert den Zugriff zusätzlich ab. Dieser Ansatz des Conditional Access ist für Unternehmen ein Muss, um den Schutz der Unternehmens-Assets, also der Daten, zu gewährleisten.
Zusammengefasst: Die Vorteile der Cloud-Lösung stehen heute außer Frage. Unternehmen können wesentlich schneller agieren und agiler arbeiten als je zuvor. Aber die Sicherheit muss oberste Priorität haben und das heißt, alle relevanten Unternehmensbereiche rechtzeitig ins Boot zu holen, auch die Mitarbeiter! Denn sie müssen die Anwendungen verstehen, ihre Arbeitsweise anpassen und wissen, wie sie diese zu nutzen haben.
7 Migration in die Cloud am Beispiel eines Unternehmens aus dem Maschinenbau
Wir beraten Unternehmen, die sich bereits auf dem Weg in die Public oder Private Cloud befinden oder ganz am Anfang einer Migration stehen, liefern die technischen Lösungen aus der Microsoft Public Cloud und haben dabei die Sicherheit immer im Blick. Die Vorgehensweise in einem Projekt bei einem Kunden aus dem Maschinenbau zeigt, wie ein schneller produktiver Start einer Cloud-Plattform gelingen kann. Ziel des Kunden war es, in internationalen Projektteams neue digitale Produkte schnell entwickeln und bereitstellen zu können. Zur Einhaltung der strengen Sicherheitsanforderungen nahmen Maßnahmen zur Sicherstellung der IT-Sicherheit und des Datenschutzes einen hohen Stellenwert ein.
Unter Anwendung unseres Cloud-Vorgehensmodells entstand eine moderne, hochgradig skalierbare und automatisierte Multi-Cloud-Plattform. Diese berücksichtigt neben IaaS-Designkomponenten die im Vordergrund stehenden PaaS- und SaaS-Lösungskomponenten. Dies folgt der strategischen Vorgabe „SaaS vor PaaS vor IaaS“. Im Zuge des Designprozesses und der initialen Bereitstellung der Plattform lag der Fokus auf elementaren Architekturbausteinen. Dies sollte einen schnellen produktiven Start der Cloud-Plattform gewährleisten. Durch die Anwendung agiler Projekt-, Design- und Implementierungsmethoden erfolgte die Entwicklung des Reifegrads der Plattform sowie das parallele Re-Design der Aufbauorganisation.
Darüber hinaus entstand eine Multi-Cloud-Plattform unter Verwendung strategischer zentraler IT-Dienste, wie beispielsweise dem Verzeichnisdienst Microsoft Azure AD. Dieser „shared IT-Service“ bedient als zentrale Architekturkomponente die Authentifizierungsanfragen aus diversen Cloud-Umgebungen, wie beispielsweise der SAP Cloud Platform. Darüber hinaus sichert diese zentrale Komponente administrative Zugänge und Berechtigungen sowie Authentifizierungsanfragen externer Parteien durch Einsatz moderner B2C- und B2B-Funktionalitäten.
Das Design der Cloud-Architektur berücksichtigt alle erforderlichen Disziplinen einer modernen digitalen Infrastruktur, sowohl im technischen als auch organisatorischen Umfeld. Dies sind Themen wie Kostenmanagement und Betrieb der Cloud-Plattform, die Überwachung von Zugriffen, Performance und Nutzung von Anwendungsarchitekturen sowie die frühzeitige Erkennung von Sicherheitsvorfällen.
Die Bausteine im Überblick:
• Aufbau und Betrieb einer Azure-Cloud-Infrastruktur und Integration in die bestehende On-Premises-Infrastruktur
• Die Cloud-Architektur folgt dem Ansatz „Security by Default“
• Bereitstellung und Verwaltung der IT-Infrastruktur mit Infrastructure as Code und DevOps
8 Fazit
Erfolgreiche Cloud-Projekte erfordern einen ganzheitlichen Ansatz, bei dem hohe Beratungskompetenz gefragt ist. Die Erfahrung zeigt, dass die Designphasen hierbei agil durchgeführt und Security by Default berücksichtigt werden müssen. Das heißt auch, es darf nicht in Säulen gedacht werden. Kompetenzen des Beratungsunternehmens in Cloud-Lösungen sowie IT-Security und Compliance sind der Garant für erfolgreiche Projekte. Die integrierte Sicht und die Abkehr vom Silodenken auch im Unternehmen sowie das Security-Denken von ganz oben her lassen Bedenken und Vorbehalte verblassen.
Bei Projektanfragen von Kunden wird das Cloud-Umfeld beleuchtet, um eine Lösung maßzuschneidern: Wo ist das Unternehmen ansässig – DACH, in Europa oder international? Beschäftigt es sich mit Auftragsdatenverarbeitung? Im Security- und Compliance-Umfeld: Um welche Daten handelt es sich, wo liegen die Daten, wer darf zugreifen in welchem Zeitfenster? Gilt das Vier-Augen-Prinzip, wann werden Rechte entzogen? Diese Fragestellungen haben Auswirkungen auf die Wahl des Bezugsmodells, die Wirtschaftlichkeit und das Kostenmodell und tragen allesamt zu einer erfolgreichen Cloud-Migration bei.
Nach unserer Erfahrung mit Kundenprojekten lassen sich neue Anwendungen und Funktionalitäten auf einem Playground ohne produktive Daten frühzeitig realisieren und testen. Erst dann folgt der Schritt in die Entwicklungsumgebung, wo dann ein erstes MVP (Minimum Viable Product) entsteht. Dadurch ist die Geschwindigkeit der Veröffentlichung in der Public Cloud höher als in einer On-Premises-Umgebung.
Last but not least kommt es auch auf die Menschen an. Das ausgefeilteste Sicherheitskonzept, die besten Test-Tools und die modernsten Entwicklungsumgebungen sind wichtige Facetten – doch erst die permanente Schulung der Anwender im Unternehmen in Achtsamkeit, Aufmerksamkeit und Vorsicht bei der Cyber Security auch im Cloud-Umfeld machen Security by Default rund. Der Schlüssel heißt Awareness.
Ücretsiz ön izlemeyi tamamladınız.
