"Wie Cloud Sicherheit funktioniert" - Ein Gastbeitrag von Bechtle Cloud-Security zu Technologien, Protokollen & Best-Practices für eine passende Cloud-Sicherheitsstrategie...
„Die Cloud bietet fraglos immense Vorteile für Unternehmen praktisch aller Branchen: Speicher und Rechenleistung bzw. ganze Anwendungen können dort sehr komfortabel outgesourct werden. Betriebe profitieren insbesondere von bester Kosteneffizienz, einer maximal flexiblen Verfügbarkeit über alle erdenklichen Standorte sowie Devices hinweg, einer hohen Geschwindigkeit und der kompletten Abgabe der Wartung entsprechender Technik. Demzufolge haben mittlerweile bereits tausende Firmen große Teile Ihrer IT-Infrastruktur in die Cloud verlagert.
Einer der wenigen Nachteile von Cloud Computing besteht darin, dass kritische Anwendungen, personenbezogene Daten und andere vertrauliche Informationen fortan nicht mehr im eigenen Rechenzentrum, sondern bei einem oder mehreren Dienstleistern liegen. Letztere sorgen natürlich bereits für grundlegende Cloud Sicherheit. Ausreichend sind die Maßnahmen jedoch zumeist nicht. Da Cloud Services weitgehend geschlossene Umgebungen darstellen, bedeutet es besondere Herausforderungen, den Schutz zu optimieren.
Was ist eine Cloud?
Der Begriff „Cloud“ beschreibt eine internetbasierte Bereitstellung von Speicher- und/oder Rechenressourcen bzw. konkreter Anwendungen als Dienstleistung. Entsprechende Infrastrukturen werden in aller Regel über spezielle Programme oder herkömmliche Webbrowser, die sich auf den zugreifenden Devices befinden, genutzt.
So funktioniert Cloud Sicherheit
Der Ausdruck „Cloud-Security“ oder eben „Cloud Sicherheit“ umfasst sämtliche Technologien, Protokolle, Best-Practices etc., mit denen Cloud Computing bzw. entsprechende Daten oder Anwendungen geschützt werden. Die Sicherung von Cloud Services beginnt bereits damit, zu verstehen, was überhaupt zu sichern ist und welche Anforderungen einzelne Systemeinrichtungen mit sich bringen.
Die Backend-Sicherung liegt im Allgemeinen weitgehend in den Händen der Cloud-Anbieter. Abgesehen von der Auswahl eines sicherheitsbewussten Dienstleisters müssen sich interessierte Unternehmen vor allem um die richtige Konfiguration ihrer Cloud, bewusste Nutzungsgewohnheiten und sichere Zugriffsgeräte sowie –netzwerke kümmern.
Das sind Cloud-Services
Beim Cloud Computing können die Verantwortlichkeiten entsprechender Komponenten sehr unterschiedlich sein. Das wirkt sich natürlich auch darauf aus, in welchem Umfang schließlich selbst für Sicherheit gesorgt werden muss - oder überhaupt kann. Je nach Service und Umgebung bestehen verschiedene Autoritäten. Für die Schaffung eines optimalen Schutzes ist es also wichtig, zu verstehen, welche Voraussetzungen Services und Umgebungen mitbringen.
Generell werden die Cloud Services in drei Kategorien eingeteilt:
Infrastructure-as-a-Service (IaaS): Kunden wird hier eine Infrastruktur zur Installation und Nutzung von Software, wie beispielsweise Betriebssystemen oder Apps, bereitgestellt. Inkludiert sind unter anderem Speicher, CPUs und Netzwerke. Nutzer haben keinerlei Kontrolle über solche Cloud-Infrastrukturen. Darin befindliche Betriebssysteme, Apps, Speicherkomponenten etc. können und sollten aber individuell geschützt werden.
Platform-as-a-Service (PaaS): Hier werden Hardware sowie Anwendungssoftwareplattform vom Cloud-Anbieter bereitgestellt und verwaltet. Die Nutzer organisieren die Apps, welche auf der Plattform ausgeführt werden, samt betreffender Daten. Diese Apps können/sollten individuell gesichert werden.
Software-as-a-Service (SaaS): Bei diesem Dienst werden ganze Applikationen als Cloud Services angeboten. Nutzer haben keinen Zugriff auf die zugrunde liegende Infrastruktur/Plattform und höchstens eingeschränkte Optionen, um die App anhand ihrer Konfigurationsmöglichkeiten sicherer zu machen.
Quelle / Link > https://www.bechtle.com/it-loesungen/security-loesungen/cloud-security
Cloud-Umgebungen – die Unterschiede
Neben den Cloud-Services sollten für das Verständnis typischer Sicherheitsmaßnahmen und betreffender Verantwortungsverhältnisse auch die unterschiedlichen Cloud-Umgebungen bekannt sein.
Public-Cloud: Die Public-Cloud wird als Umgebung typischerweise aus IT-Infrastrukturen erstellt, welche nicht dem Endnutzer gehören.
Private-Cloud: Eine Private-Cloud lässt sich grob als Cloud-Umgebung definieren, welche nur einem Endkunden oder einer bestimmten Nutzergruppe zugeteilt und normalerweise hinter deren Firewall ausgeführt wird.
Hybrid-Cloud: Eine Hybrid-Cloud ist eine anscheinend einzelne Umgebung, welche aber aus mehreren Umgebungen zusammengesetzt wird, die wiederum über LANs, WANs, VPNs und/oder APIs verbunden sind.
Multi-Cloud: Beim Multi-Cloud-Ansatz wird mehr als ein Cloud Service von mehr als einem Public- oder Private-Cloud-Provider verwendet.
Risikominimierung dank Cloud-Security
Cloud-Security ist in ihrem Aktionsradius deutlich eingeschränkter, als es entsprechende Sicherheitsvorkehrungen bei der Nutzung eigener Server sind. Da die meisten Cloud-Anbieter bereits von sich aus sehr strikte Schutzmaßnahmen voraussetzen, stellt eine mangelnde Verschlüsselung in aller Regel keine Schwierigkeit dar. Tatsächlich zählen Anwenderfehler zu den größten Bedrohungen - und auch der Datenschutz kann problematisch sein.
Wenn Sie folgende Punkte beachten bzw. umsetzen, verfügen Sie in Sachen Cloud-Security über eine gute Ausgangslage.
DSGVO-Konformität gewährleisten: Nicht wenige Cloud-Dienstleister arbeiten mit multiplen, teilweise internationalen Serverstandorten. Hier sollte gewährleistet sein, dass Daten gemäß der DSGVO behandelt werden.
Einstellungen optimieren: Häufig bedeutet die schnelle Verwendung der Standardeinstellungen mehr Angriffspotenzial für Hacker. Es gilt also unbedingt individuell zu konfigurieren.
Geräteschutz schaffen: Alle Geräte, mit denen auf Cloud-Daten, -Anwendungen etc. zugegriffen wird, sollten ideal geschützt sein.
Starke Passwörter: Es sollten ausschließlich komplexe Passwörter verwendet werden. Je zufälliger und kontextfreier die Zeichenfolgen sind, desto besser.“
Anzeige: Gerne unterstützt Bechtle Cloud-Security Sie bei der Erarbeitung und Umsetzung einer passenden Cloud-Sicherheitsstrategie, die alle Ihre Anforderungen durch adäquate Mittel bedient und Ihre Cloud-Risiken effektiv sowie (kosten-)effizient minimiert.