ICT & Technik

Datenmanagement Cloud Computing und Sicherheit V

Aspekte für das Verständnis von Cloud-Security

Die Bedenken vieler KMU darüber, wie sicher die Unternehmensdaten in der Public Cloud wirklich sind, gehören zu den Hürden, von der hauseigenen IT-Infrastruktur in die Cloud zu wechseln. Dabei ist Cloud-Security kein Hexenwerk. Bereits mit wenigen Massnahmen lässt sich die Sicherheit deutlich erhöhen.
PDF Kaufen

Reflexartige Ängste wegen Sicherheits­defiziten in Public Clouds mögen naiv sein, dennoch bieten Public- und Hybrid-Clouds Anlass für Risiko- und Compliance-Überlegungen. Es lauern Heraus­forderungen, die sich vom Ausmass her – und manchmal auch der Art nach – von einem traditionellen, internen Serverpark unterscheiden.


Sicherheitsaspekte 

Ein klarer Projektbeschrieb mit Massnahmen und Zielen ist wichtig. Gut geplant und konsequent umgesetzt können ins­besondere auch KMU das «Abenteuer» Cloud angehen. Firmen sollten folgende sieben Aspekte berücksichtigen:

Gemeinsam Verantwortung übernehmen

Es ist wichtig zu verstehen, für welche Bereiche einer Public Cloud eine Orga­nisation zuständig ist. Vor allem die Art der genutzten Services definiert den Verantwortungsbereich. Bei Infrastructure-as-a-Service ist bei der Beschaffung und der Pflege von Betriebssystem und Ap­plikationen dieselbe Sorgfalt geboten  wie beim Betrieb auf dem eigenen Server – selbst wenn ein externer Partner die Rechner, Speichersysteme und das Netzwerk betreibt. Beim Bezug von Software-as-a-Service übernimmt der Anbieter mehr Verantwortung. Daten und Dienst­leistungen werden in Zukunft immer öfter hybrid verteilt sein oder sogar aus unterschiedlichen Public Clouds bezogen. Das KMU als Auftraggeber ist aber nach wie vor für den gesicherten Zugriff sowohl auf organisationsinterne Informationen als auch auf die vertraulichen Kundendaten zuständig und verantwortlich. 

Ein Verständnis für alle potenziellen Risiken entwickeln

Auf dem Markt ist eine Vielzahl von Frameworks verfügbar, die IT-Führungskräfte und -Architekten bei der Evaluation und der Abwehr von Risiken unterstützen, welche mit der Nutzung von Public Clouds verbunden sind. Diesbezügliche KMU-Projekte sind ähnlich gelagert, somit muss das Rad nicht jedes Mal neu erfunden werden und die Frameworks bieten eine nützliche Hilfestellung. Ein gutes Beispiel dafür ist die Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA). Die CSA CCM bietet ein Rahmenwerk für 16 IT-Betriebsbereiche, einschliesslich Sicherstellung des kontinuierlichen Geschäftsbetriebs und Ausfallsicherheit im Betrieb, Verschlüsselung und Schlüssel-Management, Identitäts- und Zugriffsmanagement, mobile Sicherheit sowie den Umgang mit Bedrohungen und Sicherheitsrisiken. CCM Version 3.0.1 de­finiert insgesamt 133 Steuerelemente und stellt einen Zusam­men-
hang zwischen diesen und anderen in der Industrie anerkannten Sicherheitsstandards, Regelungen und Rahmenwerken wie ISO 27001/27002, ISACA COBIT oder PCI her.

Bestehende Best-IT-Practices anwenden

Die Bereitstellung von Services im Rahmen hybrider Architekturen lässt sich auch über eher traditionelle IT-Metho­dologien regeln. Die ITIL-Service-Stra­tegy beispielsweise ist eines von fünf ITIL-Lifecycle-Modulen. Sie bietet Leitlinien für den Entwurf, die Entwicklung sowie die Einführung einer Service-Provider-Strategie und orientiert sich an der Unternehmensstrategie des KMU. Unternehmen können damit die ITIL-Verfahren bei der Konzeption geeigneter End-to-End-Services für eine Hybrid IT heranziehen. Obwohl ITIL-Implementierungen oft als übermässig bürokratisch und aufwendig gelten, lassen sich dennoch viele der grundlegenden Prinzipien auch bei modernen Cloud-nativen Architek­turen anwenden. 

Einen geschäftszentrierten Ansatz für IT-Sicherheit einführen 

Sicherheit ist nicht allein ein Technologieproblem, sondern muss auch vor dem betriebswirtschaftlichen Hintergrund betrachtet werden. Dazu gehört beispielsweise eine Definition der Geschäftsrisiken im Hinblick auf die Verlusttoleranz. Ein Kreditkartenunternehmen weiss, dass es Verluste aufgrund von Betrug geben wird. Eine Alternative wäre, die Verwendung von Kreditkarten so beschwerlich zu gestalten, dass sie kaum einer mehr nutzt. Das Ziel sollte es aber sein, Kontrollmechanismen einzuführen, die den Einsatz von Kreditkarten so einfach wie möglich gestalten und gleichzeitig die Verluste so gering wie möglich halten. Jedes Unternehmen sollte die Balance zwischen der kundenfreundlichen Dienst­leistung und dem Sicherheitsrisiko ausba­lancieren.

Sicherheit regelbasiert steuern

Wichtig ist, dass Unternehmen mit Tools wie einer Cloud-Management-Plattform für Transparenz und Kontrolle über komplexe hybride und heterogene Umgebungen sorgen. Die Echtzeitüberwachung und die Durchsetzung von Regeln sollten sich nicht nur mit der Performance und Verfügbarkeit befassen – bevorzugterweise bevor es zu gravierenden Problemen kommt – sondern sie sollten auch potenzielle Compliance-Verstösse frühzeitig aufspüren und verhindern. Darüber hinaus bietet eine Cloud-Management-Plattform die Möglichkeit, Prozesse zu dokumentieren und die Zahl fehleranfälliger, manueller Verfahren zu reduzieren. Der Faktor Mensch ist häufig Ursache für Sicherheitsverstösse und Ausfälle. Gut geregelt ist halb umgesetzt: Es gilt, Mensch und Maschine so abzustimmen, dass keine Engpässe entstehen und die Fehlerquote auf ein Minimum reduziert wird.

Einen vielfach geprobten Notfallplan erstellen

Kommt es zu einem Unglück, zählt jede Minute; egal ob Brand, Unfall oder IT-Zwischenfall. Aufgaben, Zuständigkeiten und Prozesse müssen für diesen Fall eindeutig geregelt sein. Dies gilt für alle Involvierten, sodass jeder genau weiss, was in diesem Moment die korrekt zu ergreifenden Massnahmen sind. Dies nicht nur mit der eigenen Infrastruktur, sondern auch in der Cloud. Es kommt sowohl auf das technische Fachwissen als auch auf einen klaren Kommunikationsplan an, um die direkt Betroffenen, das unternehmerische Umfeld und auch die breite Öffentlichkeit zu informieren. Unternehmen können sich hier beispielsweise die Best Practices von Rettungsdiensten und anderen sicherheitskritischen Einrichtungen ansehen und vieles davon übernehmen.

Sicherheit standardmässig einbauen

Bei den herkömmlichen, langlebigen Applikations-Instanzen beinhaltet die Aufrechterhaltung einer sicheren Infrastruktur sowohl die Analyse als auch die automatische Korrektur von Konfigurationsänderungen. Mit der wachsenden Bedeutung einer steigenden Zahl kurzle­biger, invariabler Instanzen in Cloudnativen Umgebungen ist es ebenso wichtig, sich auf die Implementation von Sicherheitsfeatures zu konzentrieren. Daher sollten für die Services regelbasierte Verfahren definiert sein.

Eine zeitgemässe Sicherheit aufrechtzuerhalten, ist mit einem Strategiewechsel verbunden. Bislang zielte dieser auf möglichst wenige Änderungen ab. Neu gilt eine für Änderungen optimierte Strategie. Ein auf Erfahrungen basierter Workflow sollte Einblicke in mehrere Umgebungen gewährleisten, Informationen aggregieren und Sicherheitsprobleme selbst bei Daten, die nur eine Lebensdauer von einigen Minuten haben, so­fort lösen. Sämtliche Komponenten, die automatisiert agieren oder gar Self-healing- Funktionen aufweisen, helfen Fehler zu minimieren und schaffen somit eine stabile Umgebung.