- Anzeige -


Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann

- Anzeigen -





Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Bedrohungen für die Datensicherheit

    Das Internet of Things (IoT) setzt niedrige Latenzzeiten und eine sichere Datenübertragung voraus. Herkömmliches Cloud Computing ist aufgrund seiner zentralisierten Struktur allerdings anfällig. Opengear, Anbieter von Out-of-Band-Managementlösungen zum Schutz kritischer Infrastrukturen, erklärt, welche Gefahren hier lauern können. Medizinische Geräte, Industrierobotik oder autonome Fahrzeuge. Die Zahl der mit dem Internet verbundenen Geräte wächst täglich und ein Ende ist nicht in Sicht. Neben den vielen Vorteilen, die diese zunehmende Vernetzung mit sich bringt, stellt IoT Unternehmen aber auch vor einige Herausforderungen. Gerade wenn sie wegen der Einfachheit und schnellen Skalierbarkeit einen Teil ihrer Daten in die Cloud verlagern. Denn bei herkömmlichen Cloud-Architekturen wird die Datenverarbeitung in riesigen Rechenzentren zentralisiert. Dadurch kommt es in drei Punkten zu erheblichen Nachteilen.

  • Was an den Mythen über die Cloud dran ist

    Kostengünstig, aber datenschutztechnisch heikel: Über die Cloud existieren zahlreiche Mythen. IT-Dienstleister Avision klopft fünf gängige davon ab und zeigt auf, was an ihnen dran ist. Viele Unternehmen spielen mit dem Gedanken, Anwendungen künftig in der Cloud zu betreiben. Dabei sind sie mit zahlreichen Mythen konfrontiert, die sich rund um die Cloud ranken. Der auf Software Revival spezialisierte IT-Dienstleister Avision klärt auf, was es mit fünf weit verbreiteten Cloud-Mythen auf sich hat. Jede Cloud basiert auf Hardware, die betrieben werden muss. Außerdem wollen die Anbieter Geld verdienen und haben nichts zu verschenken. Deshalb ist es nicht per se kostengünstiger, eine Anwendung in der Cloud zu betreiben. Die Migration in die Cloud ist aus Kostensicht meist nur dann sinnvoll, wenn auch wirklich alle Cloud-spezifischen Stärken wie etwa Skalierbarkeit genutzt werden. Ansonsten kommen Alternativen wie etwa die Migration auf modernere Server oder virtuelle Systeme im eigenen Rechenzentrum in aller Regel günstiger.

  • Multi-Cloud-Unternehmen mit große Datenmengen

    Cloud Computing-Dienste existieren mittlerweile wie Sand am Meer: Unternehmen sehen sich bei der Auswahl passender Lösungen ihres Technologie-Stacks einer sehr breiten Angebotspalette verschiedener Anbieter gegenüber. Doch nicht jeder Cloud-Service hält die gleichen Funktionen bereit, weshalb sich bei 85 Prozent der Unternehmen mittlerweile ein Multi-Cloud-Konzept durchgesetzt hat. John O'Keeffe, Director EMEA bei Looker, spricht über die Vorteile einer Multi-Cloud-Umgebung und darüber, wie Business Intelligence (BI)-Plattformen die Effizienz bei der Verarbeitung von Daten in komplexen Multi-Cloud-Umgebungen verbessern.

  • Cloud-Migration auf eine Migrationsstrategie

    Laut Gartner bezahlen Unternehmen, die keine oder nur wenig Kostenoptimierung in der Cloud betreiben, bis zu 70 Prozent zu viel. Eine scheinbar paradoxe Situation, denn eines der stärksten Argumente für die Cloud ist die Kostensenkung. Die Migration vom eigenen Rechenzentrum in die Cloud führt also nicht automatisch zu den minimalsten Kosten. Unternehmen zapfen das Einsparpotenzial nur dann an, wenn sie Kostenoptimierung betreiben (lassen). Die Ursachen für zu hohe Cloud-Kosten sind vielfältig, genau wie die Lösungsmöglichkeiten. Um Kosten zu sparen, ist viel Verständnis dafür nötig, wie die Kosten überhaupt entstehen. Unternehmen oder ihre Partner müssen die Art und Weise verstehen, wie ihr Cloud Computing-Anbieter die verschiedenen Services abrechnet. Bei AWS beispielsweise lauten die Dimensionen Zeit, Speicher, Transfer, Anfragen, Hersteller (Marketplace) und erweiterte Services. Die inzwischen über 175 Services haben in der Regel ein bis zwei Kostendimensionen. Zum einfachen Verständnis eignet sich daher eine Analogie: Eine Beleuchtung wird mit Strom betrieben und generiert Stromkosten. Wie könnte man sparen?

  • Vorsicht beim Sprung in die Cloud

    COVID-19 hat nicht nur innerhalb vieler Unternehmen eine Neue Normalität kreiert - sie hat zudem dem Internetversandhandel einen großen Boom verschafft und hat zu einem enormen Anstieg des Online-Shoppings geführt: Adobes Bericht über den Digital Economy Index zeigt, dass die Online-Ausgaben in den USA im Mai dieses Jahres 82,5 Milliarden US-Dollar erreichten, was einem Anstieg von 77 Prozent gegenüber dem Vorjahr entspricht. Um die eigene Existenz auch während weiterer potenzieller Lockdowns gewährleisten zu können, greifen auch immer mehr Einzelhändler zum Werkzeug der Digitalisierung und ziehen ihre Services in die Cloud um. Ganz vorne mit dabei bei der Auswahl einer Plattform sind die großen Adressen Amazon, Azure und Google Cloud. Selbst dabei warten jedoch verschiedene technologische Herausforderungen und digitale Fallstricke auf die Einzelhändler. Der Umschwung auf neue Technologien und Plattformen bedeutet neue Risiken, besonders, wenn man mehrere Cloud Computint-Anwendungen miteinander kombiniert. Wird eine solche Multi-Cloud nicht gut konzeptioniert und nicht ganzheitlich abgesichert, so ergeben sich gefährliche Lücken in der Sicherheit. Der Verizon Data Breach Investigations Report 2020 unterstreicht die Dringlichkeit der Absicherung: Die meisten digitalen Angriffe auf den Einzelhandel erfolgen in der Cloud.

  • Tipps für das Cloud Security Posture Management

    Cloud Security ist ein viel diskutiertes Thema. Immer relevanter wird hierbei das Cloud Security Posture Management (CSPM). Gartner definiert CSPM als eine Gruppe von Sicherheitsprodukten und -diensten, die sich auf das Compliance Monitoring, dynamische Cloud- und DevOps-Integration, gründlichere Incident Response-Möglichkeiten bei Vorfällen sowie Risk Assessment und Reporting für die Cloud Control-Ebene konzentrieren. Viele Sicherheitsbedürfnisse in Cloud-Umgebungen ergeben sich aus einem Mangel an Übersicht darüber, welche Kontrollen vorhanden sind, wie diese Kontrollen konfiguriert sind und welche Änderungen in Cloud-Umgebungen vorgenommen werden. Einige dieser Kontrollen sind von zentraler Bedeutung für die gesamte Cloud-Account-Umgebung, während andere spezifisch für eine oder mehrere Arten von Cloud-Diensten oder -Assets sind.

  • Die fünf größten Mythen der ERP-Integration

    Ausweg aus dem Datendschungel: Agile und datengetriebene Geschäftsprozesse sind der Schlüssel zum erfolgreichen Projektmanagement in digitalisierten Märkten. Vor diesem Hintergrund werden ERP-Systeme als moderne Innovationsplattformen zu Treibern für Wachstum und Wertschöpfung. Die erfolgreiche Integration eines neuen ERP-Systems in die IT-Landschaft eines Unternehmens ermöglicht es, zukünftig die richtigen Daten zum richtigen Zeitpunkt bereitzustellen. "Ein modernes ERP ist für die geschäftliche Weiterentwicklung heute unerlässlich, denn nur damit lassen sich schlüssige Entscheidungen in Echtzeit treffen und Wettbewerbsvorteile generieren", erklärt Matthias von Blohn, VP EMEA Insight & Customer Strategy bei Oracle. "Leider halten sich rund um das Thema der ERP-Integration eine Reihe hartnäckiger Mythen, die Digitalisierungsprojekte oft kräftig ausbremsen oder sie sogar verhindern."

  • Data-Fabric-Strategie entwickeln

    Kostenoptimierung und Prozessoptimierung zählen nach wie vor zu den größten Geschäftsherausforderungen von Unternehmen in Deutschland, Österreich und der Schweiz - gleich nach dem Problem, qualifizierte Mitarbeiter zu finden. Das zeigt eine aktuelle Studie von IDC. Diese Herausforderungen spiegeln sich auch in den IT-Prioritäten der Befragten wider. Hier stehen Kosteneinsparung, Kostentransparenz und Kostenkontrolle ganz oben auf der Agenda. Die Cloud unterstützt Unternehmen maßgeblich dabei, ihre Ziele zu erreichen. Public Clouds verwandeln Investitionsausgaben (CAPEX) in Betriebsausgaben (OPEX), und durch Consumption Based Services lassen sich auch die Kosten der Private Cloud optimieren. Zudem fördert die Cloud eine agile Entwicklung, stellt innovative Technologien bereit und ermöglicht, neue Produkte schneller auf den Markt zu bringen.

  • Optimale Prophylaxe gegen Datenlecks

    Die Corona-Pandemie meldet sich in ganz Europa mit Wucht zurück. Viele Firmen haben bereits wieder die Rückkehr von der Rückkehr ins Büro angeordnet - das Home-Office wird wieder bezogen. Durch die Wiederaufnahme der Arbeit in den eigenen vier Wänden kehren auch die vielen Cyber-Risiken an den heimischen Arbeitsplatz zurück. Doch auch wenn der Mitarbeiter vom heimischen Rechner aus arbeitet, obliegt der Großteil der Verantwortung für die Datensicherheit des Unternehmens alleine dem Arbeitgeber. Viele Unternehmen liebäugeln deshalb mit dem Abschluss einer dedizierten Cyber-Versicherung. Immer mehr Versicherer führen eine solche Versicherung in ihrem Portfolio, um die Bedürfnisse ihrer Kunden bedienen zu können. Diese suchen nach einem umfassenden Schutz gegen die Folgen eines erfolgreichen Cyberangriffs.

  • In fünf Schritten Richtung Hyperskalierbarkeit

    Der IT-Dienstleister Syntax hat einen Leitfaden veröffentlicht, der Unternehmen den erfolgreichen Weg in die Public Cloud weist. Dafür definiert Syntax fünf elementare Aspekte, die CEOs, CIOs und Entscheider beachten sollten, wenn sie ihre IT ganz oder teilweise über einen der Public Cloud Hyperscaler, wie AWS oder Microsoft Azure, betreiben wollen. Die Frage nach der Zukunft des IT-Betriebs steht bei vielen Unternehmen derzeit weit oben auf der Prioritätenliste. Die Public Cloud ist inzwischen zu einem ernst zu nehmenden Modell avanciert - auch für unternehmenskritische Daten. Die Migration von Daten und Workloads in die Cloud ist allerdings kein Projekt auf Knopfdruck, sondern erfordert eine intensive und individuelle Herangehensweise.