Gemeinsame Verantwortung für stärkere Cloud-Sicherheit

This post is also available in: Nederlands (Niederländisch) Türkçe (Türkisch) Español (Spanisch) Italiano (Italienisch)

Der Begriff Cloud-Sicherheit bezieht sich auf die Maßnahmen zur Sicherung von Daten, Anwendungen und Infrastruktur, die speziell bei Nutzung von Cloud-Computing erforderlich sind – also Richtlinien, Technologien und Vorrichtungen.

Cloudbasierte Anwendungen und die damit verbundenen Daten liegen heutzutage aus Gründen der Optimierung von Agilität und Kosten immer öfter über verschiedene Umgebungen verteilt vor. Zu diesen Umgebungen gehören private Clouds, öffentliche Clouds (hybrid oder dediziert) und Software-as-a-Service (SaaS)-Anwendungen, von denen jede ihre eigenen Agilitätsvorteile und Sicherheitsprobleme hat.

Die Cloud-Sicherheit ist aufgrund zunehmender Datenlecks ein Top-Thema. Die Herausforderung dabei ist es, eine Balance zwischen dem Bedarf des Unternehmens an Agilität und einer verbesserten Sicherheit von Anwendungen und Daten bei der Übertragung zwischen den verschiedenen Clouds zu finden. Dabei ist eine erhöhte Transparenz und die Verteidigung gegen Datenexfiltration – sowohl von außerhalb als auch durch Horizontalbewegungen – an allen Speicherorten und auf allen Übertragungswegen von Anwendungen und Daten unverzichtbar.

In einem Unternehmen können verschiedene Gruppen für die Cloud-Sicherheit zuständig sein: zu nennen wären Netzwerkteam, Sicherheitsteam, Anwendungsteam, Compliance-Team oder Infrastrukturteam. Die Cloud-Sicherheit ist aber auch eine gemeinsame Verantwortlichkeit von Cloud-Anbieter und Kunde.

Private Cloud: Das Unternehmen ist verantwortlich für alle Aspekte der Cloud-Sicherheit, da sich diese gänzlich innerhalb des eigenen Rechenzentrums befindet. Dazu gehören physisches Netzwerk, Infrastruktur, Hypervisor, virtuelles Netzwerk, Betriebssysteme, Firewalls, Service-Konfiguration, Identifikations- und Zugriffsverwaltung usw. Das Unternehmen ist Eigentümer der Daten und ist zuständig für deren Sicherheit.

Public Cloud: In Public Clouds wie AWS^® oder Microsoft^® Azure™ ist der Cloud-Anbieter Eigentümer der Infrastruktur, des physischen Netzwerks und des Hypervisors. Dem Unternehmen gehören die Anwendungs-Betriebssysteme, die Anwendungen selbst, das virtuelle Netzwerk, der Zugang zu seiner Mandantenumgebung bzw. dem Mandantenkonto und die Daten.

SaaS: SaaS-Anbieter sind hauptsächlich verantwortlich für die Sicherheit ihrer Plattform, also die physische Sicherung sowie die Sicherheit der Infrastruktur und der Anwendungen. Das Eigentum an den Kundendaten sowie die Verantwortung für die Nutzung der Anwendungen liegen weiterhin beim Kunden. Das Kundenunternehmen ist also verantwortlich für ein Sicherheitskonzept, mit dem das Risiko einer absichtlichen Datenexfiltration, versehentlicher Datenlecks oder einer Malware-Infektion minimiert wird.

Beim Übergang von einer privaten Cloud in die öffentliche Cloud oder zu SaaS-Anwendungen geht ein Teil der Verantwortung für die Sicherheit von Daten, Anwendungen und Infrastruktur vom Kundenunternehmen auf den Anbieter über. Unabhängig von der verwendeten Plattform ist jedoch das Unternehmen immer für die Sicherheit seiner eigenen Daten verantwortlich.

Um Anwendungen sicher einbinden zu können, müssen Ihre IT-Sicherheitsverantwortlichen sich darauf verlassen können, dass die Cloud-Anbieter ausreichende Sicherheitsmaßnahmen für Ihre Anwendungen und Daten getroffen haben. Um Ihrem eigenen Teil der Verantwortung gerecht zu werden, brauchen Sie als Unternehmen die notwendigen Werkzeuge zum Umgang mit den Risiken und zum Schutz Ihrer Daten. Diese Werkzeuge müssen die Vorgänge in der SaaS-Anwendung transparent sichtbar machen, detaillierte Analysen der Auslastung und Nutzung ermöglichen, um die Datenströme und die Compliance zu überwachen, eine kontextsensible Richtliniensteuerung beinhalten, um im Falle eines Verstoßes die Durchsetzung und Quarantäne zu gewährleisten und über Echtzeit-Bedrohungsinformationen zu bekannten und unbekannten Bedrohungen verfügen, um neue Malware-Schwachstellen zu verhindern.