- Anzeige -


Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann

- Anzeigen -





Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • IT-Sicherheit ist kein "Off-the-shelf"-Produkt

    Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheits-Tools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen für MSS im eigenen Unternehmen zu stellen? Andreas Mayer, Founder & Business Development bei indevis, gibt sechs Tipps. Unternehmen sind heute grundsätzlich dazu bereit, in ausgefeilte Security-Technologien zu investieren - dies ist jedoch nur der erste Schritt, um ein angemessenes Schutzniveau aufzubauen. Denn auch Top-Lösungen muss man konfigurieren und in Betriebsprozesse eingliedern. Security ist ein Drittel Technik, ein Drittel Prozesse, Organisation und Schnittstellen sowie ein Drittel Benutzer-Awareness. Nur wenn Unternehmen alle drei Bereiche gleichermaßen berücksichtigen, kann es gelingen, sich bestmöglich gegen Cyberangriffe zu schützen.

  • Zwingend das Thema Cloud-Datenschutz

    Microsoft 365 zählt zu den führenden Software-as-a-Service (SaaS)-Diensten weltweit. Doch der Einsatz - zum Beispiel an Schulen - steht derzeit hinsichtlich Datenschutz und Informationssicherheit teilweise in der Kritik. Die Carmao GmbH rät unter anderem dazu, dass Unternehmen die in Microsoft 365 gespeicherten Daten verschlüsselt und damit geschützt ablegen sollten. Bei Microsoft 365 handelt es sich um eine Komplettlösung, die Online-Dienste, Office-Web-Anwendungen und Office-Software-Abonnements kombiniert. Viele Firmen und auch öffentliche Einrichtungen wie z.B. Schulen und Universitäten setzen auf die Lösung.

  • Security aus der Steckdose gibt es nicht

    Der Trend zu Managed Security Services (MSS) zeichnet sich immer mehr ab. Der Grund: Viele IT-Abteilungen kommen in puncto Sicherheit mittlerweile an die Grenzen ihrer Leistungsfähigkeit, da Angriffsszenarien sich ständig wandeln und das Handling von Sicherheits-Tools immer komplexer wird. Unternehmen ziehen daher Spezialisten hinzu, um Risiken zu vermeiden. Doch was ist nötig, um die Weichen für MSS im eigenen Unternehmen zu stellen? Andreas Mayer, Founder & Business Development bei indevis, gibt sechs Tipps.

  • Die Welt des Kunden verstehen

    Standardisierung und Automatisierung haben das IT Service Management in den letzten Jahren stark geprägt. Klassische Frameworks wie ITIL, CoBit, ISO-Normen und Software-Tools trugen auf der einen Seite wesentlich dazu bei, das Dienstleistungsmanagement zu professionalisieren. Auf der anderen Seite führten sie jedoch dazu, dass sich Abläufe und Prozesse zunehmend bürokratischer gestalten. Die Folge: Starre Vorgänge prägen den Arbeitsalltag der Mitarbeiter. Ihre Aufmerksamkeit entfernt sich nach und nach vom Kunden, weil sie ganz von Verfahren, Richtlinien und Strukturen eingenommen wird. Kein Wunder, dass solche Aufgaben nach und nach automatisiert werden. Die Stärke von Automaten besteht darin, Verfahren stumpf nach Regeln abzuarbeiten. Trotz des Vormarsches von künstlicher Intelligenz, auch im Service, sind es gerade die besonderen Kundensituationen, die nach wie vor Menschen erfordern.

  • Automatisierung der Workflows

    Seit dem Ausbruch der Corona-Pandemie stehen Unternehmen unter einem enormen wirtschaftlichen Druck. Damit sie weiterhin wettbewerbsfähig bleiben können, müssen sie in den digitalen Wandel investieren. Schließlich ermöglicht die Digitalisierung eine Reihe von Verbesserungen in Form von neuen Aufträgen, schnelleren Prozessen, geringeren Kosten oder vereinfachten Workflows. So haben die Ereignisse des Jahres 2020 in zahlreichen Unternehmen eine beispiellose Automatisierungswelle ausgelöst. Laut Forrester Research hat die Pandemie dazu geführt, dass mehr denn je in die Automatisierung von Geschäfts- und IT-Prozessen investiert wurde. Remote-Arbeit, technologische Fortschritte und die Notwendigkeit eines effektiven Krisenmanagements trugen maßgeblich dazu bei, dass es in einigen Unternehmen zu hektischen Aktionen kam - dieser Trend wird sich 2021 voraussichtlich fortsetzen.

  • ERP-Lösung modernisieren oder ablösen

    Die Modernisierung eines ERP-Systems oder die Einführung einer neuen ERP-Lösung sind keine einfachen Aufgaben. Viele ERP-Projekte bringen deshalb auch nicht den gewünschten Erfolg. Signavio, ein führender Anbieter von Business-Transformation-Lösungen, nennt fünf Gründe, die eine erfolgreiche ERP-Transformation verhindern. Viele Unternehmen stehen vor der Herausforderung, ihre ERP-Lösung zu modernisieren oder abzulösen. Handlungsbedarf besteht etwa, wenn die Software aktuelle Anforderungen nicht mehr abdeckt. Darüber hinaus machen auch zu hohe IT-Kosten, häufige Systemausfälle oder eine große Anwenderunzufriedenheit häufig eine ERP-Transformation erforderlich.

  • Sicherung von Container-Daten

    Container gibt es zwar schon seit den 1970er Jahren, aber erst 2013 machte die Software-Firma Docker den Container-Ansatz so richtig populär. Mittlerweile haben Container-Lösungen wie Kubernetes die Art und Weise, wie Anwendungen entwickelt, verwaltet und bereitgestellt werden, grundlegend verändert. Sie ermöglichen es Entwicklern, sich ausschließlich auf die Software-Erstellung und die Bereitstellung von Anwendungen zu konzentrieren. Es ist keine Übertreibung zu sagen, dass Container die Softwareentwicklung revolutioniert haben. Entscheidet sich ein Unternehmen für den Einsatz von Container-Lösungen, muss es aber auf jeden Fall auch die Datensicherung berücksichtigen. Warum das so ist wird klar, wenn man sich anschaut, was Container sind und wie sie eingesetzt werden. Ein Container ist eine Anwendung, die alle ihre Abhängigkeiten, Bibliotheken und Konfigurationsdateien in einem einzigen Paket bündelt. Diese Bündelung erleichtert das Aufsetzen neuer Container-Instanzen und das nahtlose Verschieben dieser Container von einer Rechenumgebung in eine andere.

  • Change-Management-Prozesse

    Komplexe Integrationsvorhaben in der Softwareentwicklung sind oft zeitaufwendig. Die IT-Dienstleisterin Consol nennt sieben Best Practices, mit denen Unternehmen Change-Management-Prozesse in Software-Integrationsprojekten beschleunigen können. Die Lead Time for Changes ist der wichtigste Messindikator für ein erfolgreiches Change Management in der Softwareentwicklung. Diese Lead Time beschreibt dabei die Zeitdauer, die erforderlich ist, um eine Source-Code-Änderung ab einem neuen Commit erfolgreich im Produktivbetrieb nutzen zu können. Basierend auf den Erfahrungswerten aus zahlreichen Software-Integrationsprojekten fördern diese sieben Best Practices ein erfolgreiches Change Management.

  • In Multi-Cloud-Zeiten zählt Expertise

    Verschiedene Cloud-Dienste zu einer ganzheitlichen Lösung zu kombinieren, kann für Unternehmen entscheidende Wettbewerbsvorteile bringen. "Wichtig dafür ist, dass Firmen solche Multi-Cloud- und Hybrid-Cloud-Lösungen einwandfrei beherrschen", sagt Christian Werner, CEO der Logicalis Group in Deutschland. Der internationale Anbieter von IT-Lösungen und Managed Services investiert momentan umfassend im Cloud-Umfeld, um Unternehmen hier in ihrer Strategie zu unterstützen. "Oft verschenken Unternehmen beim komplexen Thema Cloud viel Potenzial, weil es ihnen an eigenen Ressourcen und Know-how fehlt", so Werner. Auf Basis starker Partnerschaften mit zum Beispiel Cisco, Microsoft und Oracle kann Logicalis Unternehmen bei der Planung und dem Zusammenspiel unterschiedlicher Cloud Computing-Dienste umfassend unterstützen.

  • Industrie 4.0 und Software-defined WAN

    Die Cloud- und Edge-Technologien sowie die Verbreitung von IoT-Geräten stellen einen großen Schritt in Richtung Smart Factories in der Fertigungstechnik dar. Smart Factories verlassen sich auf autonome Geräte, die einen konstanten Datenstrom aus vernetzten Betriebs- und Produktionssystemen erzeugen und interpretieren. Die Geräte dieses Systems lernen und passen sich selbstständig an neue Anforderungen an. Dabei kommunizieren sie sowohl über den Netzwerk-Edge als auch in die Cloud. Die Bedeutung dieses Übergangs wird dadurch unterstrichen, dass die Veränderungen, die diese technologische Entwicklung mit sich bringt, als so dramatisch angesehen werden, dass sie als Industrie 4.0 oder die "vierte industrielle Revolution" angekündigt wurden.