Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann


Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Jeder ist seiner Cloud-Sicherheit eigener Schmied

    Der Network-Detection-and-Response-Spezialistin ForeNova erweitert ihr Portfolio um einen eigenen MDR-Service. Der auf der diesjährigen Cloud Expo Europe in Frankfurt am Main vorgestellte neue Service bietet kleinen und mittelständischen Unternehmen sowie Organisationen angesichts einer ständig wachsenden Gefahrenlandschaft eine breit aufgestellte Cybersicherheit.

  • Bei der Migration viele Aspekte beachten

    Immer mehr Unternehmen verlagern Workloads und Prozesse in die Cloud. Oft wird von den Zuständigen dabei vergessen, dass die Entscheidung dafür kein einfacher Produktwechsel ist. Mit der Migration kritischer Unternehmensfunktionen gehen üblicherweise auch Anpassungen der Betriebsabläufe einher. Somit ändert sich für die Mitarbeiter nicht nur das tägliche Arbeiten, auch die Betriebsorganisation muss die neuen Prozesse abbilden. "Mit dem Weg in die Cloud verlegen Unternehmen im Grunde einen wesentlichen Teil ihres technischen Betriebs.

  • In zehn Schritten in die Cloud

    Die Cloud-Nutzung ist mit verschiedenen Herausforderungen verbunden. Dabei geht es keineswegs nur um technische Fragestellungen. Ebenso wichtig ist ein strategisches und stufenweises Vorgehen auf dem Weg in die Cloud. Markus Eisele, Developer Strategist bei Red Hat, zeigt auf, wie Unternehmen in zehn Schritten die erfolgreiche Cloud-Reise antreten können.

  • UCaaS & CCaaS: Systeme ergänzen sich

    Der Wettlauf zwischen On-Premise- und Cloud-Diensten ist bereits entschieden. Die Cloud hat sich klar durchgesetzt und wird ihren Siegeszug auch in Zukunft fortsetzen. Das belegt beispielsweise der Cloud-Monitor 2021 von Bitkom Research und KPMG: Demnach setzen inzwischen 82 Prozent der deutschen Unternehmen vereinzelt auf Cloud-Anwendungen. 2025 könnte gar die Hälfte aller Applikationen und Dienste aus der Cloud kommen.

  • Die Cloud richtig zu nutzen ist schwer

    Die Vorteile der Cloud, darunter geringere Investitionskosten, größere IT-Flexibilität, geschäftliche Effizienz oder Wettbewerbsvorteile, sind durchaus überzeugend. Vor nicht allzu langer Zeit wurde sogar prophezeit, dass Unternehmen ihre gesamte IT-Infrastruktur in die Cloud verlagern würden und nichts vor Ort belassen. Erwartungsgemäß ist das nie passiert. Stattdessen haben sich viele Unternehmen für einen hybriden Ansatz entschieden, eine Kombination, die sowohl Cloud als auch On-Premises vereint.

  • Fünf Vorteile des Cloud-Backups

    Wenn ein Unternehmen den Großteil seiner Workloads online verwaltet, warum sollte es dann nicht auch das Backup in der Cloud speichern? Größere Skalierbarkeit, mehr Autonomie, verschlüsselte und geschützte Daten, einfachere Dateifreigabe und die Möglichkeit, jeden beliebigen Standort zu nutzen, sind die Hauptvorteile von Cloud-Backups für Unternehmen.

  • Herausforderungen für MSPs

    Das Jahr 2022 birgt für MSPs viele Chancen, allerdings auch allerhand Herausforderungen, das zeigen die Ergebnisse der MSP Benchmark Survey von Kaseya. Viele Unternehmen hatten während der Pandemie noch nie dagewesene Probleme. "Angesichts der Tatsache, dass COVID-19 weiterhin alles, von der globalen Logistik bis hin zur Work Environment, beeinflusst, ist es keine Überraschung, dass 76 Prozent der MSPs angaben, dass die Pandemie ihre Fähigkeit beeinträchtigt hat, ihre Dienstleistungen innerhalb ihres Kundenstamms zu erweitern.", sagt Mike Puglia, Chief Strategy Officer bei Kaseya.

  • Geringe Cloud- und CDN-Kosten

    Die Verwaltung von Endgeräten gehört zu den grundlegenden IT-Aufgaben und sollte keine umfangreichen Ressourcen verschlingen. Adaptiva erklärt, wie ein modernes Endpoint-Management hilft, Budgets und Personal für wichtige Digitalisierungsprojekte freizumachen.

  • Cloud-Fehlkonfigurationen ein Problem

    Die Sicherheitsforscher von Check Point Research (CPR), der Spezialisten-Abteilung von Check Point Software Technologies, fanden im Laufe von drei Monaten 2113 mobile Anwendungen, die Firebase nutzten und ihren Weg zu VirusTotal fanden, wodurch die Opfer ungeschützt und für Hacker leicht zugänglich waren. Zu den offengelegten Informationen gehören Chat-Nachrichten in beliebten Spiele-Apps, Familienfotos, Daten von Gesundheitsanwendungen, Daten von Austauschplattformen für Krypto-Währungen und vieles mehr.

  • Langfristiger Erfolg der Cloud-Initiativen

    Hyland erklärt, auf was Unternehmen bei der Bewertung ihres bestehenden Tech-Stacks achten sollten, um mit einem Cloud-First-Ansatz optimal auf die Herausforderungen flexibler, ortungebundener Arbeitsmodelle vorbereitet zu sein. Von KMU bis hin zu Konzernen: Immer mehr Unternehmen setzen für ihre IT-Infrastruktur auf einen Cloud-first-Ansatz. Eine regelmäßige Bewertung des Technologie-Stacks ist dabei entscheidend für den langfristigen Erfolg der Cloud-Initiativen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen