Anpassung der Cloud-Sicherheit an das Modell der geteilten Verantwortung
Der Betrieb eines Unternehmens hauptsächlich in der Cloud ist für viele Unternehmen kein fremdes Konzept mehr, sondern wird immer mehr zur Norm. Cloud Computing öffnet Unternehmen eine Vielzahl von Türen und hilft ihnen, ihren Betrieb schnell zu erweitern, während sie mehr Kunden unterstützen und unvergleichliche Flexibilität mit Markenanwendungen und -diensten bieten.
Wenn es jedoch um die Datensicherheit in der Cloud geht, gibt es oft Missverständnisse darüber, wer dafür verantwortlich ist - das Unternehmen oder der CSP (Cloud Service Provider).
In diesem Fall sollten die Unternehmen das Modell der geteilten Verantwortung verstehen und wissen, wie es sich auf ihre Bemühungen auswirken sollte, die Prioritäten für die Cloud-Sicherheit anzupassen.
Aufgliederung des Modells der geteilten Verantwortung
Ein Modell der geteilten Verantwortung - insbesondere in Bezug auf vernetzte Cloud-Operationen - hilft dabei, wichtige sicherheitsrelevante Aufgaben zwischen Unternehmen und den Anbietern, mit denen sie zusammenarbeiten, aufzuteilen.
Das Wichtigste, das man bei Modellen der geteilten Verantwortung ist, dass es sich nicht um eine harte Linie handelt, die festlegt, wer für was verantwortlich ist. Vielmehr handelt es sich um ein Spektrum, mit dessen Hilfe sichergestellt werden kann, dass beide Parteien in einer Beziehung, die die Nutzung sensibler Kundendaten beinhaltet, auf unterschiedliche Weise zusammenarbeiten, um die Cloud-Sicherheit anzugleichen und die Integrität der Daten zu gewährleisten, wenn sie sowohl vor Ort als auch in cloudbasierten Umgebungen erfasst, gespeichert und übertragen werden.
Was sind die Pflichten des Cloud-Anbieters?
Cloud-Anbieter haben in der Regel Zugang zu allen Arten von Unternehmensdaten, wenn sie über Abonnementdienste beauftragt werden. Um diese Beziehung zu erleichtern, haben CSPs eine Reihe von Verantwortlichkeiten, die sie im Namen ihrer Partner wahrnehmen müssen, um die Cloud-Sicherheit anzupassen:
Schutz der zugrunde liegenden Infrastruktur
Wenn Daten in verschiedenen Rechenzentren gespeichert werden, sind die CSPs verpflichtet, sowohl die physische als auch die digitale Sicherheit dieser Zentren zu gewährleisten. Dazu gehören angemessene Maßnahmen zur Sicherung von Serverräumen und Speichersystemen vor Ort sowie andere notwendige Schutzmaßnahmen wie Überwachungskameras und Umweltkontrollen.
Die gesamte zugrundeliegende Infrastruktur, die durch Firewalls oder Intrusion Detection Systeme unterstützt wird, sind ebenfalls notwendige Vorkehrungen, die CSP treffen müssen, um die Wahrscheinlichkeit von Cyber-Angriffen zu minimieren.
Implementierung verschiedener Netzschutzmaßnahmen
Die meisten CSPs verfolgen bei ihren Netzschutzstrategien einen mehrschichtigen Ansatz. Je nach den Möglichkeiten des Anbieters verfügen viele von ihnen über verschiedene Systeme zur Überwachung des ein- und ausgehenden Netzverkehrs sowie zur Segmentierung ihrer Netze, um sich besser vor groß angelegten Datenverletzungen zu schützen.
Zu diesem Schutz gehört auch die Umsetzung von Richtlinien für die Datensicherung und Notfallwiederherstellung, um sicherzustellen, dass erfolgreiche Cyberangriffe schnell eingedämmt und Ausfallzeiten sowie der Verlust sensibler Daten minimiert werden können.
Sicherheit der Virtualisierungsschichten
Die Schaffung von virtualisierten Computerumgebungen ist ein weiterer gängiger Dienst, der von CSPs angeboten wird. Die Anbieter sind jedoch dafür verantwortlich, dass die Software, die zur Verwaltung der virtuellen Bereitstellung von Computerressourcen verwendet wird, mit den neuesten Sicherheitspatches ausgestattet ist.
CSPs müssen unter Umständen auch virtuelle LAN-Umgebungen (VLANs) und spezielle Sicherheitsgruppen einrichten, um die Möglichkeit zu minimieren, dass virtuelle Maschinen auf Informationen von anderen Clients zugreifen können, die auf demselben Server unterstützt werden.
Was sind die Pflichten eines Unternehmens bei der Gewährleistung der Cloud-Sicherheit?
Als Cloud-Kunde haben Sie ein gewisses Maß an Kontrolle über den Umfang der Sicherheitsverpflichtungen, für die Sie direkt verantwortlich sind und die von der Art des von Ihnen genutzten Cloud-Service-Modells abhängig sind. Um die Cloud-Sicherheit anzugleichen, sollten Sie Folgendes beachten:
- IaaS (Infrastruktur-as-a-Service): Die Infrastructure-as-a-Service-Modelle geben dem Unternehmen mehr Kontrolle über verschiedene betriebliche Elemente, aber sie bedeuten auch mehr Verantwortung. Die Unternehmen haben die direkte Kontrolle über die verschiedenen Betriebssysteme, Anwendungen und Datennetze, während das CPS die Speicherung, das Netzwerk, die Server und die Virtualisierung bereitstellt.
- PaaS (Plattform-as-a-Service): Bei Platform-as-a-Service-Modellen müssen sich CSPs nicht mehr um die Verwaltung und das Patchen von Schwachstellen in ihren Betriebssystemen und der zugrunde liegenden Infrastruktur kümmern. Unternehmen müssen jedoch weiterhin sicherstellen, dass ihre Zugangskontrollen ordnungsgemäß konfiguriert sind und bestimmte Anwendungen geschützt werden.
- SaaS (Software-as-a-Service): Bei Software-as-a-Service-Modellen liegt die meiste Verantwortung in den Händen der CSPs, da sie alle notwendigen Komponenten für die Bereitstellung eines bestimmten Geschäftsdienstes direkt verwalten. Dennoch kann es verschiedene Sicherheitsprotokolle geben, die ein Unternehmen als Teil seiner gemeinsamen Verantwortung konfigurieren und verwalten muss, einschließlich der Implementierung bestimmter rollenbasierter Zugriffsberechtigungen.
Standardverpflichtungen, die erfüllt werden sollten
Unabhängig davon, welches Cloud-Bereitstellungsmodell Sie für Ihr Unternehmen wählen, gibt es immer noch grundlegende Verantwortlichkeiten, die jedes Unternehmen übernehmen sollte, um die Cloud-Sicherheit weiter zu verbessern und die mit dem Betrieb in der Cloud verbundenen Risiken zu reduzieren:
Sichere Daten
Unternehmen sollten ihrer Verantwortung, alle Arten von Unternehmensdaten sicher zu halten, Priorität einräumen. Dies kann eine Kategorisierung der Daten nach ihrem Vertraulichkeitsgrad und die Einführung zusätzlicher Sicherheitsmaßnahmen beinhalten, um sicherzustellen, dass die Daten nur von den richtigen Personen eingesehen werden können.
Eine wichtige Strategie zum Schutz von Unternehmensdaten, ob im Ruhezustand oder bei der Übermittlung, ist der Einsatz von Verschlüsselungsmethoden für sensible Dokumente, wo immer dies möglich ist. Dieses Schutzniveau ist von entscheidender Bedeutung, wenn es darum geht, strenge Compliance-Standards zu erfüllen, wie sie bei der HITRUST-Zertifizierung Protokollen und anderen branchenspezifischen Sicherheitsrahmenwerken verwendet werden.
Die Einrichtung von Datensicherungs- und Notfallwiederherstellungsverfahren kann ebenfalls ein effektiver Weg sein, um die Sicherheitsprotokolle eines Unternehmens zu stärken. Diese Initiativen können auch unterstützt werden durch die Zusammenarbeit mit Penetrationstests die Unternehmen dabei helfen können, Schwachstellen in ihren Netzwerken und Geschäftssystemen zu erkennen, und die ihnen wichtige Hinweise darauf geben, wo sie ihre Sicherheitsanstrengungen priorisieren sollten.
Implementierung von Zugangskontrollen
Die Implementierung von IAM-Kontrollen (Identitäts- und Zugriffsmanagement) ist eine weitere Möglichkeit für Unternehmen, ihre Sicherheitsprotokolle zu stärken, unabhängig davon, ob sie hauptsächlich vor Ort oder in der Cloud geöffnet sind.
IAM-Lösungen stellen sicher, dass Einzelpersonen nur die Mindestzugriffsrechte erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen. Sie helfen auch dabei, unternehmensweit eine einheitliche Übersicht darüber zu schaffen, wer bestimmte Zugriffsrechte hat und welche Art von Aktivitäten sie auf verbundenen Systemen und Netzwerken durchführen.
Schutz von Systemanwendungen
Softwareanwendungen sind oft ein Hauptziel für Angreifer. Daher sollten Unternehmen detaillierte Aufzeichnungen über die verschiedenen Softwarelösungen führen, die sie in allen Abteilungen einsetzen.
Für Unternehmen, die eine große Anzahl von Anwendungen verwalten, können Tools zum Scannen von Schwachstellen ein wertvolles Mittel sein, um proaktiv alle zugrundeliegenden Schwachstellen in einem ganzen Stapel von Unternehmenstools und -lösungen zu identifizieren. Dies trägt dazu bei, den manuellen Zeitaufwand zu reduzieren
Identifizierung von Schwachstellen und ermöglicht es Organisationen ihre Patching-Bemühungen zu priorisieren.
Nehmen Sie Ihre Sicherheitsverantwortung wahr
Sowohl CSPs als auch ihre Kunden haben eine wichtige Rolle zu spielen, wenn es darum geht, die Sicherheit der Kundendaten zu gewährleisten. Wenn Sie sich die Zeit nehmen, die Feinheiten der gemeinsamen Verantwortung zu verstehen, effektiv mit verschiedenen Anbietern zusammenzuarbeiten und wichtige Sicherheitsvorkehrungen zu treffen, können Sie sicherstellen, dass Sie in der Lage sind, Ihre Cloud-Sicherheitsbemühungen aufeinander abzustimmen, Ihr Unternehmen zu skalieren und die Wahrscheinlichkeit von Sicherheitsverletzungen und Compliance-Problemen zu minimieren.
Informationen zur Autorenbiografie
Autor Bio:
Nazy Fouladirad ist Präsidentin und COO von Tevoraeinem weltweit führenden Beratungsunternehmen für Cybersicherheit. Sie hat ihre Karriere der Schaffung einer sichereren Geschäfts- und Online-Umgebung für Organisationen im ganzen Land und weltweit gewidmet. Sie engagiert sich leidenschaftlich für ihre Gemeinde und ist Vorstandsmitglied einer lokalen gemeinnützigen Organisation.
Linkedin: https://www.linkedin.com/in/nazy-fouladirad-67a66821