Jump to section

Was ist das Besondere an der Cloud-Sicherheit?

Veröffentlicht 19. März 2018
URL kopieren

Überblick

Cloud-Sicherheit bezieht sich auf den Schutz von Daten, Anwendungen und Infrastrukturen im Rahmen von Cloud-Services und Cloud Computing. Viele Aspekte der Sicherheit für Cloud-Umgebungen (egal ob Public, Private oder Hybrid Cloud) sind mit denen der lokalen IT-Architektur identisch.

Mehr Sicherheit in der Hybrid Cloud

Die wichtigsten Merkmale der Cloud-Sicherheit

Die wichtigsten IT-Sicherheits- oder Cybersicherheitslücken betreffen sowohl traditionelle IT- als auch Cloud-Systeme: unbefugte Datenoffenlegungen und -lecks, schwache Zugangskontrollen, Anfälligkeit für Attacken, Verfügbarkeitsunterbrechungen usw. Wie bei anderen Computing-Umgebungen geht es auch bei der Cloud-Sicherheit darum, einen effizienten Präventivschutz zu gewährleisten, damit Sie:

  • sicher sein können, dass Ihre Daten und Systeme geschützt sind,
  • den aktuellen Sicherheitsstatus überwachen können
  • sofort wissen, wenn etwas Ungewöhnliches passiert
  • unerwartete Ereignisse überwachen und auf diese reagieren können

Viele Menschen kennen die Vorteile von Cloud-Computing-Umgebungen, lassen sich aber durch potenzielle Sicherheitsbedrohungen abschrecken. Das ist verständlich. Es ist schwer, sich etwas vorzustellen, das sich irgendwo zwischen amorphen Ressourcen im Internet und einem physischen Server befindet. Wir haben es hier mit einer dynamischen Umgebung zu tun, in der sich Dinge − wie auch Sicherheitsbedrohungen − ständig ändern. Dennoch ist es so, dass Cloud-Sicherheit größtenteils mit IT-Sicherheit identisch ist. Und sobald Sie die spezifischen Unterschiede erst einmal verstanden haben, werden Sie die „Cloud" nicht mehr so schnell mit dem Konzept des Sicherheitsrisikos verbinden.

Die Auflösung des Netzwerkrands

Icon of rectangle going from solid stroke to dashed

Sicherheit hat in erster Linie mit Zugriffskontrolle zu tun. Bei traditionellen Umgebungen wird der Zugriff üblicherweise über ein Sicherheitssystem für den Netzwerkrand gesteuert. Cloud-Umgebungen sind extrem vernetzt und erleichtern so dem Datenverkehr, die traditionellen Verteidigungsmaßnahmen zu umgehen. Unsichere APIs, ein schwaches Identitäts- und Berechtigungsmanagement, Hacks sowie bösartige Insiderhandlungen können Bedrohungen für System und Daten darstellen. Um einen unbefugten Zugriff auf die Cloud verhindern zu können, brauchen Sie einen datenzentrierten Ansatz. Verschlüsseln Sie Ihre Daten. Verstärken Sie den Autorisierungsprozess. Machen Sie starke Passwörter und die Zwei-Faktor-Authentifizierung obligatorisch. Integrieren Sie Netzwerksicherheitsmaßnahmen auf allen Ebenen.

Software-Defined Everything

Icon of datacenter wrapped in a dashed stroke representing virtualization

Unter dem Begriff „Cloud" versteht man gehostete Ressourcen, die Nutzerinnen und Nutzern über Software bereitgestellt werden. Cloud Computing-Infrastrukturen sowie alle verarbeiteten Daten sind dynamisch, skalierbar und portierbar. Cloud-Sicherheitskontrollen müssen sich an Umgebungsvariablen anpassen lassen und Workloads und Daten bei der Speicherung und Übertragung begleiten, entweder als inhärenter Bestandteil der Workloads (z. B. Verschlüsselung) oder dynamisch über ein Cloud-Management-System und APIs. Auf diese Weise lassen sich Cloud-Umgebungen vor Systembeschädigungen und Datenpannen schützen.

Ausgefeilte Bedrohungslandschaft

Icon with exclamation point inside triangle

Unter ausgefeilten Bedrohungen versteht man all das, was das moderne Computing und mit ihm die Cloud beeinträchtigt. Immer ausgeklügeltere Malware und andere Attacken wie APTs (Advanced Persistent Threats) sind darauf ausgelegt, die Netzwerkverteidigung über Schwachstellen im Computing-Stack zu umgehen. Datenpannen können in einer unbefugten Offenlegung und Verfälschung von Daten oder in Datenverlust resultieren. Für diese Bedrohungen gibt es keine Standardlösung. Sie können und sollten jedoch die aktuellen Cloud-Sicherheitspraktiken implementieren, die sich mit neuen Bedrohungen ständig weiterentwickeln.

Cloud-Sicherheit geht uns alle an

Sie sind für den Schutz Ihrer Instanz in der Cloud verantwortlich – unabhängig davon, welche Art der Cloud Sie verwenden. Nur weil Sie eine Cloud eines speziellen Anbieters nutzen, heißt das nicht, dass Sie sich zurücklehnen und entspannen könnten oder sollten. Ein Mangel an gebührender Sorgfalt ist einer der häufigsten Gründe für Sicherheitslücken. Cloud-Sicherheit geht jeden an und dazu gehört:

Zuverlässige Software

Die Komponenten Ihrer Cloud spielen eine wichtige Rolle. Wie bei jedem anderen Code, den Sie von einer externen Quelle herunterladen, müssen Sie wissen, woher die Pakete ursprünglich stammen, wer sie entwickelt hat und ob sie bösartigen Code enthalten. Beziehen Sie Software nur von bekannten und vertrauenswürdigen Quellen und implementieren Sie Maßnahmen, die eine zeitnahe Bereitstellung und Installation von Updates gewährleisten.

Compliance

Persönliche, finanzielle und andere sensible Cloud-Daten können strikten Compliance-Richtlinien unterliegen. Je nachdem, wo (und mit wem) Sie Geschäfte machen, gelten dabei unterschiedliche Vorschriften und Gesetze wie etwa die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Prüfen Sie Ihre Compliance-Anforderungen, bevor Sie sich für ein Cloud-Deployment entscheiden.

Lifecycle-Management

Mithilfe cloudnativer Umgebungen kann man im Handumdrehen neue Instanzen implementieren, aber auch schnell die alten vergessen. Vernachlässigte Instanzen können so zu Cloud-Zombies werden, die zwar aktiv sind, aber nicht überwacht werden. Dazu veralten diese vergessenen Instanzen recht schnell und weisen auch keine aktuellen Sicherheits-Patches auf. Hier können Lifecycle-Management und Governance-Richtlinien helfen.

Portierbarkeit

Lassen sich Ihre Workloads auf einfache Weise zu einer anderen Cloud verschieben? SLAs (Service Level Agreements) sollten eindeutig definieren, wann und wie der Cloud-Anbieter Kundendaten oder -anwendungen zurückgibt. Auch wenn Sie kurzfristig keine Migration planen, sollten Sie diese trotzdem als mögliches Zukunftsszenario ansehen. Denken Sie jetzt schon an den Aspekt der Portierbarkeit, um eine Anbieterbindung dauerhaft zu vermeiden.

Kontinuierliche Überwachung

Durch eine Überwachung der Ressourcen in Ihren Arbeitsumgebungen können Sie Sicherheitsverletzungen entweder ganz vermeiden oder zumindest ihre Auswirkungen minimieren.

Auswahl des richtigen Cloud-Anbieters

Wählen Sie qualifizierte und zuverlässige Beschäftige und Partner, die die Komplexität von Cloud-Services und Cloud-Sicherheit verstehen. Manchmal kann die Infrastruktur eines Public Cloud-Anbieters sicherer sein als die Private Cloud eines bestimmten Unternehmens, weil ersterer ein besser informiertes und ausgerüstetes Sicherheitsteam besitzt.

Sind Public Clouds sicher?

Eine gute Frage. Lassen Sie uns dieses Thema genauer betrachten. Wir könnten Ihnen jetzt die sicherheitstechnischen Unterschiede der drei Cloud-Deployments (Public Cloud, Private Cloud und Hybrid Cloud) erklären, aber wir wissen ja, welche Frage Sie eigentlich interessiert: „Sind Public Clouds sicher?" Nun, das kommt darauf an.

Public Clouds wie Amazon Web Services (AWS), Microsoft Azure und Google bieten ausreichende Sicherheit für viele Typen von Workloads, sind aber nicht für alles die ideale Lösung. Das liegt in der Hauptsache daran, dass sie nicht so isoliert sind wie Private Clouds. Public Clouds sind mandantenfähig, d. h. Sie und andere „Mandanten" mieten Computing-Leistung oder Speicherplatz im Rechenzentrum des Cloud-Serviceanbieters. Dazu unterzeichnen Sie ein SLA (Service Level Agreement) mit dem Cloud-Anbieter, also einen Vertrag, der dokumentiert, wer für was verantwortlich und haftbar ist. Das ist ungefähr so wie beim Mieten einer Immobilie. Die oder der Vermietende (Cloud-Anbieter) verspricht, das Gebäude (Cloud-Infrastruktur) in gutem Zustand zu halten, die Schlüssel (Zugang) zu verwalten und die Mietenden (Mandanten) im Allgemeinen in Ruhe zu lassen (Datenschutz). Als Gegenleistung versprechen die Mietenden (Mandanten), nichts zu unternehmen (z. B. die Ausführung unsicherer Anwendungen), was die Integrität des Gebäudes oder andere Mietende (Mandanten) beeinträchtigten könnte. Leider können Sie sich wie im richtigen Leben Ihre Nachbarinnen und Nachbarn nicht aussuchen, und es besteht die Möglichkeit, dass diese die falschen Personen ins Haus lassen. Während sich das für die Infrastruktursicherheit zuständige Team des Cloud-Anbieters auf unerwartete Ereignisse konzentriert, können andere Mandanten trotzdem durch heimliche oder aggressive Bedrohungen wie bösartige DDoS-Attacken (Distributed Denial-of-Service) geschädigt werden.

Glücklicherweise gibt es einige branchenweit anerkannte Sicherheitsstandards, -richtlinien und -kontrollmechanismen wie die Cloud Controls Matrix der Cloud Security Alliance. Oder Sie grenzen sich in einer Umgebung mit mehreren Mandanten mit zusätzlichen Sicherheitstools ein (wie Verschlüsselung und DDoS-Risikominderungsstrategien), die Ihre Workloads vor einer infizierten Infrastruktur schützen. Und wenn das auch nicht ausreicht, können Sie CASBs (Cloud Access Security Broker) einsetzen, um Aktivitäten zu überwachen und Sicherheitsrichtlinien für Unternehmensfunktionen mit geringem Risikofaktor durchzusetzen. Allerdings kann es sein, dass dies für Branchen mit strikten Datenschutz-, Sicherheits- und Compliance-Anforderungen immer noch zu wenig ist.

Cloudnative Sicherheit mit DevSecOps

DevSecOps bezieht sich auf die Kombination von DevOps-Praktiken und Sicherheitsstrategien als Mittel für Unternehmen, die IT-Sicherheit zu erhöhen und das Risiko für ihre Softwareumgebungen zu verringern. Cloudnative Technologien wie Kubernetes, Container, Microservices und Service Meshes werden immer beliebter. Sie bieten die erforderlichen Bausteine, mit denen Unternehmen Cloud-Anwendungen dynamischer, zuverlässiger und in größerem Umfang erstellen, bereitstellen und ausführen können, als dies bisher möglich war. 

Die durch cloudnative Technologien eingeführten Änderungen erfordern, dass Unternehmen sich beim Thema Sicherheit in Richtung eines DevSecOps-Modells weiterentwickeln. Sicherheits- und Engineering-Teams müssen zusammen Strategien ausarbeiten, die Unternehmen bei der Entwicklung und Ausführung moderner, skalierbarer Anwendungen unterstützen – und zwar mithilfe von Praktiken, die Sicherheit in die frühen Phasen des Softwareentwicklungs-Lifecycles vorverlagern (Shift Left), und Workflows, die Sicherheit als Code implementieren.

Mehr über DevSecOps erfahren

Risikominderung mit der Hybrid Cloud

Multiple icons forming a circle around a business man icon

Bei sicherheitstechnischen Entscheidungen geht es in erster Linie um Risikotoleranz und die Kosten-Nutzen-Analyse. Wie wirken sich potenzielle Risiken und Vorteile auf die Gesamtgesundheit Ihrer Organisation aus? Welche Aspekte sind hier wichtig? Nicht alle Workloads erfordern die höchste Verschlüsselung und Cybersicherheit. Sie können sich das so vorstellen: Sie verriegeln Tür und Tor, um Ihren Besitz zu schützen, aber sichern Ihre Wertsachen dennoch separat in einem Tresor. Es hat Vorteile, über mehrere Optionen zu verfügen.

Darum nutzen Unternehmen vermehrt Hybrid Clouds, da diese die Vorteile der einzelnen Cloud-Optionen kombinieren. Eine Hybrid Cloud ist eine Kombination aus zwei oder mehr verbundenen Public oder Private Cloud-Umgebungen.

Bei einer Hybrid Cloud können Sie entscheiden, wo Workloads und Daten je nach Richtlinien, Compliance-, Audit- oder Sicherheitsanforderungen platziert werden sollen. So lassen sich besonders sensible Workloads in einer Private Cloud schützen, während weniger kritische Workloads in der Public Cloud verbleiben können. Auch wenn die Hybrid Cloud einige besondere sicherheitstechnische Herausforderungen (wie Datenmigration, höhere Komplexität und eine größere Angriffsfläche) bietet, sorgt allein das Vorhandensein mehrerer Umgebungen schon für einen besseren Schutz vor Sicherheitsrisiken.

Cloudnativen Pfad auswählen

Das Sicherheits- und Compliance-Konzept von Red Hat

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Verwandte Artikel

Ressourcen

E-Book

Vereinfachen Sie Ihr Security Operations Center

Red Hat Blog

Finden Sie mehr zum Thema Sicherheit im Red Hat Blog

Video

Sicherheit und Compliance mit Red Hat: Die Arbeit ist nie getan

Mehr erfahren

WHITEPAPER

Ein mehrschichtiger Sicherheitsansatz für Container und Kubernetes

E-BOOK

State of Kubernetes Security Report 2023

Mehr Sicherheit, bessere Compliance

ÜBERSICHT

Wie Sie eine umfassende DevSecOps-Lösung bereitstellen

Verbesserung der Cyber-Compliance mit Infrastrukturautomatisierung

CHECKLISTE

Wichtige Aspekte der IT-Modernisierung: Sicherheit und Compliance

Sechs Methoden zur Optimierung Ihrer IT-Umgebung

DATENBLATT

Red Hat Insights: Prädiktive Analysen für Red Hat Enterprise Linux