Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann


Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • PaaS und SaaS verwenden

    Die Klimakrise zwingt Unternehmen, nachhaltiger zu handeln. Leider steht der hehre Wunsch, die Umwelt zu schützen, oft dem Bedarf an Rechenleistung entgegen. Die Migration in die Cloud kann die Brücke schlagen - wenn Unternehmen diese fünf Best Practices von Business- und IT-Dienstleister CGI beachten.

  • ERP in der Cloud

    Immer mehr Unternehmen entscheiden sich dafür, ihr ERP in die Cloud umzuziehen. Um Risiken zu vermeiden, ist sowohl vor, während als auch nach der Migration eine effiziente und sorgfältige Quality Assurance (QA) und Business Assurance (BA) wichtig. Kann das ohne Testautomatisierung überhaupt noch gelingen?

  • Alternative: Cloud-basierte Drucklösungen

    Cloud Computing-Services setzen ihren Siegeszug fort. Trotzdem nutzen noch viele Unternehmen herkömmliche lokale Printserver, statt auf Software-as-a-Service (SaaS) - für ihr Druckmanagement zu setzen. Apogee erläutert, warum eine Cloud-basierte Drucklösung der bessere Weg ist.

  • Cloud-Lösung für das Lieferkettenmanagement

    Nicht nur die Corona-Pandemie stellt Lieferketten weltweit auf eine harte Probe und Unternehmen vor die Notwendigkeit, den Fluss von Waren und Gütern widerstandsfähiger gegenüber externen Einflüssen zu gestalten. Viele Verantwortliche sind sich der Dringlichkeit bewusst, wie eine Studie von McKinsey zeigt: Fast alle Befragten (92 Prozent) haben in die Widerstandsfähigkeit ihrer Lieferketten investiert, 80 Prozent zudem in digitale Supply-Chain-Technologien.

  • Warum Bloatware immer schlimmer wird

    Unternehmen werden oft mit überflüssiger Software konfrontiert. Um der Softwareflut entgegenzuwirken, sind schlanke und einfach zu bedienenden Software-as-a-Service (SaaS)-Lösungen nötig, die effizient zu verwalten und flexibel zu integrieren sind. "Clippy" - die animierte Büroklammer mit den Kulleraugen von Microsoft, ist vielen gut in Erinnerung geblieben.

  • Stammdaten-Management steht im Fokus

    Nichts hat Bestand, außer der Wandel und Unternehmen müssen heute auf diese permanenten Veränderungen reagieren. Dafür setzen sie auf eine breite Palette an digitalen Prozessen und Anwendungen. Dies führt allerdings zu einem immer höheren Datenvolumen und zu einer Vielzahl von Datentypen, die über viele verschiedene Quellen und Systeme verteilt liegen.

  • Managed Service Provider als Trojanische Pferde

    Warnungen an Managed Service Provider, ihren IT-Schutz aktuell zu halten und neue Sicherheitsrichtlinien einzuführen, häufen sich. Erst kürzlich berichteten staatliche Aufsichtsbehörden, darunter in UK und in den USA, eine Zunahme bösartiger Cyber-Aktivitäten, die explizit auf Managed Service Provider abzielen. Dies sei eine Entwicklung, die sich fortsetzen werde.

  • Datenbank sollte Cloud-agnostisch sein

    Autonome Datenbanken kommen dem Ideal einer sich selbst steuernden Datenbank ein beachtliches Stück näher. Der Datenbank-Spezialist Couchbase erklärt die aktuellen Automatisierungspotenziale. Die beste Datenbank ist für IT-Administratoren immer die, die am wenigsten Arbeit macht. Das stimmt so natürlich nicht, aber letztlich ist es die Summe aus den Funktionsumfängen und den Automatisierungsfunktionen, die eine Datenbank attraktiv macht.

  • Fünf häufige Mythen über Datenvirtualisierung

    Unternehmen verfügen über immer größere Mengen an Daten und es werden täglich mehr. Herkömmliche Datenarchitekturen kommen daher an ihre Grenzen. Die Lösung: Datenvirtualisierung - eine logische Schicht, die Unternehmensdaten über alle Systeme hinweg integriert. Doch noch immer ranken sich einige Mythen um die Datenvirtualisierung.

  • Die IT-Branche will umweltfreundlicher werden

    Der Klimawandel ist eine reale Bedrohung, daran zweifelt fast keiner mehr. Es geht darum, unsere Klimagase zu reduzieren. Doch wenn wir an "Klimakiller" denken, haben wir meist rauchende Schornsteine, massenhafte Abholzung von Wäldern und ähnlich extreme Beispiele vor Augen. Oft sind Klimaschäden sehr auffällig - manchmal sind sie das aber auch nicht. Wie im Fall des IT-Sektors. Rund vier Prozent aller Kohlenstoffemissionen weltweit gehen auf das Konto der IT-Branche. Das ist genauso viel, wie die Luftfahrtindustrie verursacht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen