Was versteht man unter Cloud-Sicherheit?
Cloud-Sicherheit ähnelt der traditionellen IT-Sicherheit, konzentriert sich jedoch auf Richtlinien und Kontrollen, die zum Schutz von Daten, Softwareanwendungen und der zugehörigen Cloud-Computing-Infrastruktur verwendet werden.
Cloud Computing geht auf die 1960er Jahre zurück. Die heute weit verbreitete Akzeptanz von Cloud-Diensten im geschäftlichen und privaten Leben hat die Notwendigkeit solider sicherer Praktiken und Kontrollen bedingt.
Was ist ein Cloud-Sicherheitsmodell?
Cloud Computing gibt es in mehreren Bereitstellungsoptionen (so genannten Modellen), darunter öffentliche, private und hybride Cloud. Im folgenden Diagramm finden Sie die spezifischen Cloud-Managementinformationen, die mit jedem Bereitstellungsmodell verbunden sind:
| Bereitstellungsmodell | Beschreibung | Zielbenutzer | Anwendungsfall | Vorteile |
|---|---|---|---|---|
| Öffentliche Cloud |
Cloud-Dienstleister von Drittanbietern (wie Microsoft, Amazon und Google, die drei beliebtesten) besitzen diese Ressourcen (d. h. Hardware, Software und Infrastruktur). Unternehmen teilen sich diese Ressourcen mit anderen Organisationen. |
Softwareentwickler und -tester | Häufig für E-Mails, Büroanwendungen und Speicher verwendet |
|
| Private Cloud | Ein einzelnes Unternehmen besitzt diese Ressourcen, die ein externer Dienstleister oder das Rechenzentrum des Unternehmens hosten kann. | Behörden und Finanzinstitute | Häufig für kritische Arbeitslasten in stark regulierten Branchen verwendet |
|
| Hybrid Cloud | Dieses Bereitstellungsmodell verteilt Arbeitslasten auf die öffentliche und private Cloud-Infrastruktur. Anwendungen teilen sich Ressourcen und sind zwischen der öffentlichen und privaten Cloud interoperabel, je nach Sicherheits- und Leistungsanforderungen. | Entitäten, die mehrere Organisationen mit unterschiedlichen Vorschriften und Sicherheitsanforderungen bedienen | Häufig verwendet von Startups mit inkonsistenten und unbekannten Anforderungen und IT-Dienstleistern mit einer Vielzahl von Kunden |
|
Für diejenigen, die verschiedene Clouds für verschiedene Aufgaben verwenden, sind auch Multi-Cloud-Modelle verfügbar. Anders als bei der Hybrid Cloud dienen Multi-Cloud-Lösungen Unternehmen, die eine Vielzahl verschiedener Public-Cloud-Dienste verschiedener Anbieter nutzen. Ein Unternehmen kann auch über eine private Cloud-Infrastruktur und sogar über eine lokale Infrastruktur verfügen. Sie verwenden jede dieser Umgebungen für ihren eigenen unabhängigen, isolierten Zweck. Die Hybrid Cloud hingegen umfasst immer eine Public-Cloud- und private Cloud-Infrastruktur, die zusammenarbeiten und interagieren.
Einzelpersonen oder Organisationen aus bestimmten Wirtschaftszweigen, die ähnliche Bedenken in Bezug auf Datenschutz, Sicherheit und Compliance haben, teilen sich die so genannte Community Cloud. Zu solchen Organisationen gehören Banken, Krankenhäuser und Regierungsbehörden.
Der Unterschied zwischen Cloud-Sicherheit und herkömmlicher IT-Sicherheit
Traditionelle IT- und Cloud-Technologien sind Datendiebstahl, Datenlecks und Störungen gleichermaßen ausgesetzt. Der Hauptunterschied zwischen den beiden Technologien besteht darin, dass Cloud-Computing-Ressourcen abstrakter sind als herkömmliche Hardware, Server und Software vor Ort.
Die traditionelle IT-Infrastruktur umfasst den eigenen Einkauf, die Installation und das Management dedizierter Hardware, Software und anderer Infrastrukturelemente. Mit der traditionellen IT-Infrastruktur haben Sie die volle lokale Kontrolle über die Daten, Anwendungen und Infrastruktur Ihres Unternehmens und schaffen ein scheinbar sicheres System. Wenn Ihr Unternehmen wächst und die Anforderungen an die Datenspeicherung steigen, kaufen Sie zusätzliche Hardware, um Ihre Kapazitätsanforderungen zu erfüllen. Traditionelle IT-Umgebungen ermöglichen eine Verbindung zwischen Hardwaregeräten und den Servern in Ihrem lokalen Rechenzentrum und verlassen sich auf Umkreissicherheitsmodelle.
Cloud Computing ist im Vergleich zur traditionellen IT-Infrastruktur abstrakt. Cloud Computing-Ressourcen sind weder physisch noch lokal zugänglich. Die Cloud bietet eine virtuelle Lösung, die es Unternehmen ermöglicht, externes Hosting durchzuführen, indem sie Serverplatz von einem Cloud-Dienstleister mieten. Mit dieser Vereinbarung ist der Cloud-Dienstleister für die Sicherheit verantwortlich. Sie greifen auf Cloud-Computing-Umgebungen zu, indem Sie Anwendungsprogrammierschnittstellen (APIs) verwenden. APIs ermöglichen die Kommunikation zwischen Ihren Geräten und den Cloud-Servern. Die Cloud-Umgebung ist nur so sicher wie diese APIs. Obwohl traditionelle und Cloud-Sicherheit auf ähnliche Methoden zurückgreifen, erzwingen immer komplexere Cloud-Infrastrukturen und immer ausgefeiltere Sicherheitsbedrohungen eine Abkehr von der Umkreissicherung hin zu Cloud Computing, das stärkere Authentifizierungs- und Verschlüsselungsmethoden verwendet.
Die Kontraste zwischen Cloud Computing und traditionellem Computing lassen das Cloud Computing als unglaublich unsicher erscheinen. Aber mit den richtigen Vorsichtsmaßnahmen und dem richtigen Cloud-Service-Anbieter überwiegen die Vorteile von Cloud Computing die Risiken, was die Cloud-Sicherheit für die meisten Unternehmen zum Nonplusultra macht.
Wie sicher ist die Cloud?
Cloud-Dienste sind heutzutage Gang und Gäbe, aber Sicherheitsbedenken stehen nach wie vor an erster Stelle. Die Aufrechterhaltung von Sicherheit, Verfügbarkeit und Datenschutz ist für Unternehmen von entscheidender Bedeutung. Cloud-Rechenzentren sind in der Regel mit Cloud-Sicherheitsexperten besetzt, sie werden von Drittanbietern geprüft und es gelten strenge Richtlinien und Standards. Viele dieser Zentren sind HIPAA- (Health Insurance Portability and Accountability) und PCI-konform (Peripheral Component Interconnect) und befolgen die SSAEs (Statements on Standards for Attestation Engagements). Diese Cloud-Dienstleister haben sich robusten Sicherheitsanforderungen verpflichtet und ihre Fähigkeit zum Schutz sensibler Informationen unter Beweis gestellt.
Warum ist die Cloud-Sicherheit so wichtig?
Da die Ausgaben für Cloud Computing weiter steigen, ist Cloud-Sicherheit wichtiger denn je. Laut RightScale's State of the Cloud Survey nutzen 96 Prozent der IT-Profis die Cloud. Es wird erwartet, dass die Ausgaben für die öffentliche Cloud in Unternehmen schnell und erheblich wachsen werden.
Cloud-Dienstleister sind ein Ziel für Hacker. Im Folgenden finden Sie die wichtigsten Cloud-Sicherheitsbedrohungen, mit denen diese Anbieter konfrontiert sind, laut der Cloud Security Alliance® (CSA):
- Datenschutzverletzungen
- Unzureichende Identitäts-, Anmelde- und Zugriffsverwaltung
- Unsichere Schnittstellen und APIs
- Systemschwachstellen
- Kontendiebstahl
- Interne Angreifer
- Advanced Persistent Threats (APTs)
- Datenverlust
- Unzureichende Due Diligence
- Missbrauch und schändliche Nutzung von Cloud-Diensten
- Denial-of-Service-Angriffe (DDoS)
- Probleme mit gemeinsamen Technologien
Weitere Sicherheitsbedrohungen:
- Ransomware, wie BadRabbit
- Coin Mining
- Cryptojacking
- Trojaner wie Dridex, Trickybot, Zbot und Emotet
- Windows-Sicherheitsprobleme wie EternalBlue
- Grayware
- Hacker leben wie im Schlaraffenland
- Malware wie Petya/NotPetya nutzt Software-Updates, CPU-Fehler und den Zusammenbruch von Sicherheitsmaßnahmen wie Meltdown, Spectre sowie Single-Point-of-Failure-Probleme
- Würmer, wie Ramnit
- Spear-Phishing
- Sicherheitslücken bei ungepatchter Software (bekannt als Zero Days)
- Social-Engineering-Angriffe
- Lauschangriffe auf Netzwerke
- Menschliches Versagen
- Gestohlene Anmeldedaten
- Missbrauch durch Mitarbeiter
- Fahrlässigkeit
- Nicht autorisierte Nutzung
- Nicht gelöschte Daten
- Verlust von Daten, der auftritt, wenn ein Cloud-Service-Provider sein Geschäft aufgibt
- Ungelernte oder überlastete IT-Mitarbeiter
- Schatten-IT
Vorteile der Cloud-Sicherheit
Wenn Sie bewährte Vorgehensweisen für die Cloud-Sicherheit verfolgen und angemessene präventive Maßnahmen implementieren, können Sie sicher sein, dass Ihre Daten und Systeme sicher sind, Transparenz bei Sicherheitsmaßnahmen gewährleisten, Alarme liefern und sich auf ungewöhnliche Aktivitäten vorbereiten. Die Verpflichtung zu diesen Praktiken kann Ihnen auch helfen, sicherzustellen, dass Sie über die Verfügbarkeit, Zuverlässigkeit und Sicherheit verfügen, um ohne Unterbrechungen zu arbeiten.
Verantwortung von Cloud-Sicherheitsanbietern
Mit der rapide steigenden Nachfrage nach Cloud-Computing-Diensten tauchen Serviceanbieter überall auf und bieten eine Vielzahl von Annehmlichkeiten, darunter Cloud-Ebenen, Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), Cloud-Speicher, Tests, Integration und Cloud-native Anwendungen. Die beliebtesten Cloud-Dienste stammen von bekannten Namen wie Amazon, Microsoft, Google und IBM.
Die wachsende Nachfrage nach Cloud-Computing-Diensten erhöht die Nachfrage nach Cloud-Sicherheit. Die meisten Cloud-Dienstleister haben sehr strenge regulatorische Standards, zugängliche Sicherheitswerkzeuge, Praktiken zur Wahrung der Vertraulichkeit von Daten und Schutz vor DDoS-Angriffen. Bei der Bewertung von Cloud-Dienstleistern sollten Sie jeden Anbieter nach den folgenden Sicherheitsmaßnahmen fragen:
- Identitätsmanagement
- Physische Sicherheit
- Training des Personals
- Datenschutz, Vertraulichkeit, Datenintegrität und Zugriffssteuerung
- Business Continuity und Notfallwiederherstellung
- Verschlüsselungsverfahren, z. B. attributbasiert (ABE), Ciphertext Policy-ABE (CP-ABE), Key Policy-ABE (KP-ABE), voll homomorphe (FHE) oder durchsuchbare Verschlüsselung (SE)
- Protokolle und Audit-Trails
- Einzigartige Compliance-Anforderungen wie HIPA
Sicherheitsprobleme, die mit der Bereitstellung von Cloud-Lösungen verbunden sind
Wie bereits erwähnt, sind Hacker, Malware und Ransomware Bedrohungen, die mit dem Cloud Computing einhergehen. Neben den üblichen Sicherheitsproblemen in der Cloud kommen rechtliche und haftungsrechtliche Herausforderungen hinzu.
- Der Zustrom von Informationen, die von Cloud-Dienstleistern gespeichert werden, macht sie zu beliebten Zielen böswilliger Aktivitäten.
- Cloud-Lösungsanbieter sind für geistiges Eigentum und die Bedingungen im Hinblick auf Datenverlust oder kompromittierte Daten verantwortlich.
- Die Anforderungen an die Aufbewahrung oder sogar Bereitstellung öffentlicher Aufzeichnungen auf Anfrage können Cloud-Dienstleister in eine unbequeme Situation bringen.
- Die Anzahl der Cloud-Implementierungen kann leicht aus dem Ruder laufen, da die Anforderungen an die Datenspeicherung die Möglichkeiten der Stilllegung einschränken können.
Der einfache Zugriff auf Cloud-Lösungen und die große Verfügbarkeit von Cloud-Lösungen stellen Unternehmen und Organisationen vor Herausforderungen. Mitarbeiter können die Vorteile von Cloud-Lösungen und -Apps leicht nutzen, wodurch interne IT-Abteilungen die Kontrolle über IT-Dienstleistungen verlieren. Die Schatten-IT gefährdet ein Unternehmen – das Unternehmen befindet sich im Dunkeln, was die zu nutzenden Dienste, den Speicherort der Informationen, die Personen, die Zugriff haben, und Sicherheitsrichtlinien betrifft. Diese Faktoren machen es schwierig, Sicherheitsrichtlinien durchzusetzen, sodass ein Unternehmen Gefahr läuft, dass die gesetzlichen Vorgaben nicht eingehalten werden.
Sicherheitsarchitektur für Cloud-Lösungen
Das Hauptziel aller etablierten Cloud-Service- und Lösungsanbieter ist es, proprietäre und vertrauliche Daten zu schützen. Anbieter entwerfen und erstellen Lösungen, die auf den Anforderungen und Protokollen basieren, die Ihre Daten schützen, sowie auf der Notwendigkeit, Flexibilität zu bieten. Sowohl der Cloud-Service-/Lösungsanbieter als auch der Kunde sind für die Sicherheit verantwortlich. Service-Level-Vereinbarungen des Anbieters sollten die Verantwortung des Kunden angeben. Der Cloud-Dienstleister hat eine Cloud-Sicherheitsarchitektur entwickelt, die zeigt, wie seine Cloud gesichert ist.
Was sind Cloud-Sicherheitsstandards?
Cloud-Sicherheitsstandards sind sicherheitsbezogene Standards, Kontrollen und spezifische Anleitungen, die verschiedene Branchenorganisationen, darunter die Internationale Organisation für Normung (ISO), die CSA und andere, für Cloud-Dienstleister und Cloud-Service-Kunden umreißen und definieren.
Sicherheitskontrollen und -standards in der Cloud
Die CSA widmet sich der Definition und Sensibilisierung für bewährte Methoden im Cloud Computing. Neben der Definition der oben genannten wichtigsten Sicherheitsbedrohungen haben sie auch die Cloud Security Alliance Cloud Controls Matrix (CCM) entwickelt, um Orientierung über Governance- und Betriebsdomänen zu bieten. Zu diesen Domains gehören die folgenden:
- Anwendungs- und Schnittstellensicherheit
- Audit-Sicherheit und Compliance
- Business-Continuity-Management und Ausfallsicherheit
- Änderungskontrolle und Konfigurationsmanagement
- Datenschutz- und Informationsmanagement
- Sicherheit von Rechenzentren
- Verschlüsselung und Schlüsselmanagement
- Governance und Risikomanagement
- Sicherheit im Personalwesen
- Identitäts- und Zugriffsmanagement
- Infrastruktur und Virtualisierung
- Interoperabilität und Portabilität
- Mobile Sicherheit
- Management von Sicherheitszwischenfällen, E-Disk- und Cloud-Forensik
- Lieferkettenmanagement, Transparenz und Rechenschaftspflicht
- Thread- und Schwachstellenmanagement
Das CCM bietet einen Rahmen aus 133 Kontrollen, die mit den 16 Domains abgestimmt sind und sich auf die Abschreckung, Prävention, Erkennung und Korrektur von Sicherheitsproblemen konzentriert.
Neben dem CSA ist das National Institute of Standards and Technology (NIST) eine Nicht-Regulierungsbehörde, die vom US-Handelsministerium eingerichtet wurde, um Branchenstandards zu entwickeln, die Innovationen fördern. Die NIST-Cloud-Computing-Richtlinien werden unter der Sonderpublikation (SP) 800 veröffentlicht und gelten für Bundesbehörden.
NIST liefert einen Bericht (NIST SP 500-322), der hilft, einen Cloud-Service im Einklang mit der NIST-Definition von Cloud Computing (NIST SP 800-145) zu qualifizieren. Dieser Bericht bietet Anleitungen, um die wesentlichen Merkmale von Cloud Computing, Cloud-Service-Modellen und Cloud-Bereitstellungsmodellen zu analysieren.
Bewährte Vorgehensweisen für die Cloud-Sicherheit
Cloud Computing bietet Unternehmen viele Vorteile, aber Unternehmen müssen Schutzmaßnahmen ergreifen, um sich vor Bedrohungen zu schützen. Neben der Implementierung der bewährten Praktiken von CSA und NIST können Unternehmen zusätzliche Sicherheitskontrollen wie die folgenden einführen:
- Ausschließliches Verwenden bekannter und vertrauenswürdiger Software.
- Verstehen von Compliance-Vorschriften.
- Verwalten des Lebenszyklus von Cloud-Instanzen, durch Patches und Upgrades.
- Kontinuierliche Überwachung auf Cloud-Sicherheitsverletzungen.
- Auswählen qualifizierter Cloud-Anbieter; Bewertung der Anbieter anhand strenger Anforderungen.
- Sicherstellen der Übertragbarkeit der Arbeitslast an einen anderen Anbieter bei Bedarf.
- Bereitstellen zusätzlicher Sicherheitsmaßnahmen (zusätzlich zu den Angeboten des Cloud-Dienstleisters), um sich vor einer kompromittierten Cloud-Infrastruktur zu schützen.
- Verwenden von CASB-Software (Cloud Access Security Broker) und Durchführen von Cloud-Schwachstellentests mit Scan- und Penetrationstests.
- Erstellen eines Plans für die Reaktion auf Cloud-Vorfälle.
- Ersetzen aller älterer Sicherheitslösungen, einschließlich Computer- und Netzwerksicherheit.
- In Betracht ziehen von DevOps und DevSecOps, um Sicherheit in die Projekte des Entwicklungsteams zu integrieren.
- Vereinheitlichen und zentralisieren von Sicherheitspraktiken über alle Cloud-Dienste hinweg.
- Führen einer vollständigen Liste aller Cloud-Ressourcen.
- Verstehen bewährter Vorgehensweisen für die Cloud-Sicherheit.
- Schulen von Mitarbeitern in Cloud-Sicherheit.
- Befolgen bewährter Vorgehensweisen für die Sicherheit.
- Automatisieren zur Vermeidung menschlicher Fehler.
- Korrektes Sichern von APIs.
Bei der Festlegung von Cloud-Sicherheitsstandards können Sie einen Datensicherheitsplan für Ihr Unternehmen erstellen. Diese anpassbare Vorlage bietet Anleitungen zum Umgang mit Daten vor Ort und in der Cloud.
Vorlage für einen Datensicherheitsplan herunterladen
Was ist die Cloud?
Einfach gesagt, die Cloud ist das Internet. Die Cloud stellt Ressourcen, Softwareprogramme, Informationen und Dienste über das Internet und nicht über Ihren lokalen Computer zur Verfügung. Diese Ressourcen werden auf physischen Servern irgendwo in einem Rechenzentrum gespeichert, aber die Cloud macht Hardware-Infrastruktur vor Ort überflüssig. Im Folgenden finden Sie einen Vergleich der Cloud-Technologie mit traditioneller Technologie
| Cloud | Traditionell |
| Anwendungen und Daten werden in Rechenzentren von Drittanbietern gespeichert (weniger Administration). | Anwendungen und Daten werden auf lokalen Computern oder in hauseigenen Rechenzentren gespeichert. |
| Minimale Infrastrukturinvestitionen | Hohe Infrastrukturinvestitionen |
| Einfach und schnell skalierbar | Langsame Skalierung |
| Nutzungsbasierte Gebühren (die kostengünstiger sein können) | Gebühren unabhängig von der Nutzung |
Wie funktioniert die Cloud?
Die Cloud funktioniert dadurch, dass Benutzer über das Internet auf Daten und Anwendungen zugreifen können, unabhängig von ihrem Standort und Gerät.
Sind öffentliche Clouds sicher?
Öffentliche Clouds sind sicher, wenn der Dienstanbieter sicher ist. Sie können die Sicherheit eines Cloud-Anbieters bewerten, indem Sie sich dessen Compliance-Audits ansehen, ihm auf der Grundlage der oben beschriebenen bewährten Vorgehensweisen Fragen stellen und seine Einrichtungen besichtigen.
Die Zukunft der Cloud-Sicherheit
Für viele Unternehmen sind Cloud-Dienste von einem Luxus zu einer strategischen Priorität geworden. Die große Menge an Daten, die in der Cloud gespeichert wird, macht sie zu einem enormen Ziel für Hacker, Betrüger und Cyberkriminelle. Die kolossalen Auswirkungen dieser potenziellen Bedrohungen haben die Sicherheit zu einer der wichtigsten Branchenprioritäten gemacht. Wir haben bereits robustere Authentifizierungsmethoden in Form von Multifaktor- und biometrischer Authentifizierung.
Mit Smartsheet verbessern Sie die Informations- und Datensicherheit
Befähigen Sie Ihr Team, über sich selbst hinauszuwachsen – mit einer flexiblen Plattform, die auf seine Bedürfnisse zugeschnitten ist und sich anpasst, wenn sich die Bedürfnisse ändern. Mit der Plattform von Smartsheet ist es einfach, Arbeiten von überall zu planen, zu erfassen, zu verwalten und darüber zu berichten. So helfen Sie Ihrem Team, effektiver zu sein und mehr zu schaffen. Sie können über die Schlüsselmetriken Bericht erstatten und erhalten Echtzeit-Einblicke in laufende Arbeiten durch Rollup-Berichte, Dashboards und automatisierte Workflows, mit denen Ihr Team stets miteinander verbunden und informiert ist. Es ist erstaunlich, wie viel mehr Teams in der gleichen Zeit erledigen können, wenn sie ein klares Bild von der geleisteten Arbeit haben. Testen Sie Smartsheet gleich heute kostenlos.
Alle von Smartsheet auf der Website aufgeführten Artikel, Vorlagen oder Informationen dienen lediglich als Referenz. Wir versuchen, die Informationen stets zu aktualisieren und zu korrigieren. Wir geben jedoch, weder ausdrücklich noch stillschweigend, keine Zusicherungen oder Garantien jeglicher Art über die Vollständigkeit, Genauigkeit, Zuverlässigkeit, Eignung oder Verfügbarkeit in Bezug auf die Website oder die auf der Website enthaltenen Informationen, Artikel, Vorlagen oder zugehörigen Grafiken. Jegliches Vertrauen, das Sie in solche Informationen setzen, ist deshalb ihr eigenes Risiko.
Diese Vorlagen werden nur als Beispiel bereitgestellt. Diese Vorlagen sind in keiner Form als rechtliche oder Compliance-Beratung gedacht. Benutzer dieser Vorlagen müssen feststellen, welche Informationen notwendig und erforderlich sind, um ihre Ziele zu erreichen.