Cloud First bedeutet auch Security First – hier sind die Schritte, um dorthin zu gelangen
ZUSAMMENFASSUNG
Die Cloud-Sicherheit wird für Unternehmen zunehmend zu einem unausweichlichen Bestandteil. Dafür sorgen die Mitarbeiter von Unternehmen, die die Cloud ohne Sicherheit nutzen. Wenn Sie in die Cloud wechseln, müssen Sie der Sicherheit Priorität einräumen – ID-Föderation, Benutzerzugriffsrichtlinien, WAF, Datenzugriff und Datenschutzrichtlinien. In diesem Artikel geht es um den neuesten Stand der Vorbereitung sowie eine solide langfristige Strategie für die Portabilität für den Fall, dass Sie erneut umziehen müssen.
5 Min. LESEN
Die Cloud ist aus der Geschäftswelt nicht mehr wegzudenken – und das gilt auch für die Cloud-Sicherheit.
Das Verschieben einer Application in die Cloud oder die Einführung eines neuen Cloud-Dienstes kann ein zweischneidiges Schwert sein. In den meisten Fällen sorgen Cloud-Dienstanbieter dafür, dass ihre Applications sicherer sind, als dies bei den Sicherheitsteams einzelner Unternehmen der Fall wäre. Statistiken deuten jedoch darauf hin, dass die meisten von Mitarbeitern genutzten Cloud Applications (schätzungsweise 94,8 Prozent ) nicht völlig unternehmensbereit sind. Vielen Unternehmen fehlen die nötigen Richtlinien, um größtmögliche Sicherheit zu gewährleisten.
In vielen Unternehmen ohne Cloud-Richtlinien bringen die Mitarbeiter ihre eigenen Mobilgeräte mit und nutzen ihre bevorzugten Dienste. Eine zunehmend mobile Belegschaft und die Entstehung vernetzter Geschäftsgeräte, von Druckern über die Heizungsanlage Ihres Unternehmens bis hin zum Kühlschrank im Pausenraum – das Internet der Dinge – werden durch On-Demand-Dienste ermöglicht, wodurch die Cloud am Arbeitsplatz noch wichtiger wird. Laut dem Cloud-Access-Security-Broker Netskope nutzten die Mitarbeiter eines durchschnittlichen Unternehmens im dritten Quartal 2016 1.031 Cloud- Applications .
Da die Angreifer immer raffinierter werden, müssen Sie Ihre Cloud Applications absichern und kluge Entscheidungen darüber treffen, wie Sie Ihre Ressourcen für die Sicherheit einsetzen. Während bei der Cloud-Sicherheit ein Großteil des Augenmerks auf besseren Entwicklungspraktiken der App-Entwickler liegt, müssen bei vielen Unternehmen, die nicht Entwickler, sondern Konsumenten von Apps und Cloud-Diensten sind, die Applications oft gesichert werden, ohne dass Einblick in ihre Funktionsweise besteht: die sprichwörtliche „Black Box“. Aus diesem Grund sollte die Sicherung von Apps in der Cloud ähnlich behandelt werden wie die Sicherung von Geräten vor Ort.
Hier sind drei grundlegende Schritte zur Erweiterung Ihrer Sicherheit in der Cloud:
1. Sichtbarkeit schaffen
So wie ein Unternehmen wissen muss, was mit seiner eigenen Infrastruktur passiert, sollten Ihre Sicherheitsteams auch Einblick in die Nutzung und Sicherheit aller Cloud-Dienste haben. Sie müssen nicht nur wissen, wie Mitarbeiter auf Cloud-Dienste zugreifen, sondern auch, welche Mitarbeiter auf sie zugreifen.
Sie sollten alle Protokollierungsfunktionen nutzen, die Ihr Cloud-Anbieter anbietet. Ihr Anbieter sollte außerdem transparent sein, wie er seine Infrastruktur sichert, und Informationen zu Sicherheitskontrollen bereitstellen.
1,031
In einem durchschnittlichen Unternehmen werden von den Mitarbeitern 131 Cloud Applications genutzt.
2. Verschlüsseln Sie alle Daten und Identitäten
In Applications gespeicherte Geschäftsdaten und die für den Zugriff auf diese Applications erforderlichen Daten (z. B. Identitäten) werden immer wichtiger, wenn sie in die Cloud verschoben werden.
Cyberkriminelle machen sich Inkonsistenzen zwischen Rechenzentrum und Cloud zunutze.
Dieselben Daten können auch Datenschutzgesetzen unterliegen, beispielsweise ab 2018 der Datenschutz-Grundverordnung der Europäischen Union. Daher ist es wichtig, dass Sie sicherstellen, dass alle Daten sicher verschlüsselt sind.
Da der Fernzugriff auf Cloud-Dienste die neue Normalität ist, hängt die Sicherheit der in der Cloud gespeicherten Daten auch von der Fähigkeit ab, Benutzer zuverlässig zu identifizieren. Sicherheitsteams sollten nicht davon ausgehen, dass ein Benutzer mit den richtigen Anmeldeinformationen autorisiert ist. Andere Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung, Anomalieerkennung und Geolokalisierung können dazu beitragen, den Zugriff auf Cloud-Dienste sicherer zu machen und sollten verwendet werden, wenn sie den Arbeitsablauf nicht übermäßig belasten.
3. Erstellen Sie Richtlinien und schulen Sie Benutzer
Durch das Verschieben von Applications in die Cloud erhalten Sicherheitsteams die Möglichkeit (manche würden sogar sagen, die Verpflichtung), ihre Richtlinien über das Unternehmensnetzwerk hinaus auszuweiten. Da jeder Mitarbeiter mit einer Kreditkarte einen neuen Cloud-Dienst bereitstellen kann, benötigen Sie flexible Richtlinien und Technologien zum Erkennen nicht genehmigter Dienste (besser bekannt als Schatten-IT).
Unabhängig davon, ob Daten vor Ort oder in der Cloud gespeichert werden, sollten grundsätzlich dieselben Richtlinien gelten. Während die Einhaltung von Vorschriften ein offensichtlicher Ausgangspunkt ist, müssen Ihre Cloud-Richtlinien nicht nur die Konformität, sondern auch Sicherheit gewährleisten.
Robert Haynes ist ein Lösungsarchitekt mit über zwanzig Jahren Erfahrung in der IT. Er begann ganz unten als Helpdesk-Analyst und seine glanzlose Karriere führte ihn durch die UNIX-Systemadministration, Backup und Speicherung und schließlich zur Application . Robert hat in zahlreichen Branchen und auf mehreren Kontinenten komplexe IT-Systeme unterstützt, entwickelt und verkauft. Dabei liegt sein Fokus stets auf der praktischen Implementierung und dem Einsatz der Technologie in der realen Welt. Dies scheint zwar in keinerlei Widerspruch zu seiner aktuellen Rolle im Marketing von F5 Networks zu stehen, doch er ist der Ansicht, dass seine Hauptaufgabe darin besteht, für das Gleichgewicht der Macht zu sorgen.
Robert besitzt einen B.Sc. in Angewandter Biologie vom University of Wales College Cardiff und ein Zertifikat zum Thema „Kollisionsvermeidung beim Rückwärtsfahren und Einparken“ von der Driving Dynamics Interactive Advanced Driving School, wobei sich das Zertifikat als wesentlich nützlicher als das Zertifikat erwiesen hat.