Cloud Computing
Cloud-Computing
Cloud Security ▷ Sicher mit Bechtle in der Cloud unterwegs
Bechtle unterstützt Sie bei der Sicherung Ihres Know-hows –
Egal, ob Private-Cloud, Public-Cloud oder Hybrid-Cloud-Architektur.
Viele Sicherheitsaspekte von Cloud-Umgebungen, unabhängig davon, welche Cloud-Lösung zugrunde liegt, haben die gleichen Security-Anforderungen wie bei jeder anderen IT-Architektur vor Ort. Sicherheitsbedenken auf hohem Niveau – wie unbefugte Offenlegung von Daten und Datenlecks, schwache Zugangskontrollen, Anfälligkeit für Angriffe und Verfügbarkeitsunterbrechungen – betreffen traditionelle IT- und Cloud-Systeme gleichermaßen. Wie bei jeder On-Premise-Lösung vor Ort müssen auch bei der Sicherheit in der Cloud angemessene präventive Schutzvorkehrungen getroffen werden.
Während viele Menschen die Vorteile von Cloud Computing verstehen, werden sie von den Sicherheitsbedrohungen gleichermaßen abgeschreckt. Bechtle versteht die Sicherheitsanforderungen an eine Cloud und hat gleichermaßen die entsprechenden Security-Lösungen im Blick.
Aufgrund der neuartigen IT-Architektur ist es schwierig, sich vorzustellen, wie man Anwendungen, Applikationen und IT-Infrastruktur in einer Cloud absichert. In einer dynamischen Umgebung, wo sich Anforderungen aufgrund von Skalierbarkeit und Flexibilität ständig ändern, ist es notwendig, die Sicherheit in der Cloud über Technologien schnell anpassen zu können.
Die Antwort: Bechtle reagiert mit innovativen Konzepten und Lösungen auf diese Anforderungen. Damit fühlt sich die Cloud als IT-Infrastruktur für Unternehmen und Organisationen auch nicht mehr unsicher an. Wir unterstützten Sie dabei, Risiken im Cloud Computing zu minimieren.
Hybrid Cloud: So gefährdet Cloud Computing die IT-Sicherheit
In den vergangenen Jahren hat die Nutzung von Cloud-Services stark zugenommen, und dieser Trend beschleunigt sich weiter. Eine Studie des Marktforschungsunternehmens Gartner vom April 2021 prognostiziert, dass die weltweiten Ausgaben für Public-Cloud-Dienste in diesem Jahr um 23 Prozent steigen werden.
Neue Technologien rund um Containerisierung, Virtualisierung und Edge Computing setzen sich rasant durch und treiben die Cloud-Ausgaben weiter in die Höhe, heißt es in dem Bericht. Das Hybrid-Cloud-Modell als Mischform unterschiedlicher Bereitstellungsmodelle verspricht Unternehmen ein hohes Maß an Flexibilität. Sie können zwischen Public- und Private-Cloud-Diensten variieren und Kapazitäten, Daten und Arbeitslasten flexibel verteilen. Die Hybrid Cloud birgt allerdings auch besondere Risiken für die Cybersicherheit.
Hohe Komplexität, geringe Transparenz
Da Unternehmen ihren IT-Umgebungen tendenziell immer mehr Public- und Private-Cloud-Funktionen hinzufügen, steigt aus IT-Management- und Security-Sicht die Komplexität. Es gilt, die heterogene IT-Welt genau zu überwachen. Geschieht das nicht, verlieren Anwender schnell den Überblick darüber.
"Eine hybride IT-Umgebung bringt mehr Komplexität mit sich. Es gibt einfach viel mehr Fenster und Türen, die verschlossen werden müssen. Außerdem nehmen die Maintenance-Aufgaben zu, beispielsweise das Einspielen von Patches", sagt Chris Kanaracus, Forschungsdirektor für dedizierte und hybride Cloud-Infrastrukturen und -Dienste beim Marktforschungsunternehmen IDC. "Wir haben in den Medien zuletzt viele Berichte über Datenlecks gesehen, die durch menschliches Versagen verursacht wurden - eben auch durch falsch konfigurierte Speicherbereiche in öffentlichen Clouds."
Die Cloud Security Alliance (CSA), eine Organisation, die Standards, Zertifizierungen und Best Practices rund um sichere Cloud-Umgebungen vorantreibt, hat 2020 die größten Sicherheitsprobleme identifiziert. Fehlkonfigurationen und unzureichende Änderungskontrollen gehören dazu. Außerdem stelle die oft unzureichende Transparenz über die Cloud-Nutzung ein Problem dar.
Der Einsatz von Cloud-Diensten erfordert also einen veränderten IT-Sicherheitsansatz im Unternehmen. "Die Entscheidung für eine Hybrid-Cloud-Umgebung bietet Unternehmen zwar mehr Wahlmöglichkeiten und Flexibilität, sie bedeutet aber auch, dass IT-Verantwortliche ihre Sicherheitspraktiken neu bewerten und gegebenenfalls anpassen müssen", sagt Mandy Andress, CISO von Elastic, einem Anbieter von Online-Suchprodukten. "Das Sprichwort 'Was man nicht sehen kann, kann man auch nicht schützen' gilt besonders für hybride Cloud-Architekturen." Die Vermischung von öffentlichen und privaten Clouds und Infrastrukturen erhöhe die Komplexität und das Risiko für Unternehmen. Deshalb seien Transparenz und Kontrolle für eine verteilte IT-Welt besonders wichtig.
Wissens- und Kompetenzlücke
Dass es vielen Unternehmen an Cybersecurity-Kenntnissen fehlt, ist kein Geheimnis. Sie tun sich vor allem schwer, geeignete Mitarbeiter für die IT-Sicherheit zu finden - erst recht von solchen, die sich mit Cloud Computing auskennen.
Interne und externe Schulungen können helfen, das Problem einzudämmen. Dazu empfiehlt Vikram Kunchala, Risk and Financial Advisory Cyber Cloud Leader und Principal beim Beratungsunternehmen Deloitte, eine enge Zusammenarbeit zwischen den Geschäftsbereichen und den Cybersecurity-Verantwortlichen. Es habe sich bewährt, gemeinsam einen Lehrplan zu entwickeln und multimodale Schulungsprogramme aufzusetzen, um gerade im Umfeld komplexer Hybrid-Cloud-Umgebungen für einen kontinuierlichen Kompetenzzuwachs zu sorgen.
"Halten Sie sich vor Augen, dass viele Unternehmen und Dienstleister um denselben Cloud-Talentpool werben", sagt Kunchala. Es sei eine große Herausforderung, Mitarbeiter zu finden und einzustellen. Für Unternehmen sei es unverzichtbar, vorhandene Mitarbeiter weiterzubilden.
Kunchala verweist darauf, dass eine starke Governance eine Schlüsselkomponente in einer hybriden Cloud-Umgebung darstelle. Klar definierte Verantwortlichkeiten und Betriebsmodelle könnten helfen, Probleme früh zu erkennen und zu beseitigen. "Klare Metriken im Bereich des Monitoring geben Aufschluss über die Effizienz der eingesetzten Sicherheitsteams und über die Wirksamkeit der implementierten Kontrollen".
CISOs und andere Sicherheitsverantwortliche müssten die Qualifikationen und die Effizienz ihrer Teams zudem richtig einschätzen können, ergänzt Elastic-CISO Andress. In einer hybriden Cloud-Umgebung müssten die Sicherheitsexperten die Security-Funktionen der genutzten Cloud-Dienste unbedingt genau kennenlernen.
Verlagern der Sicherheitsverantwortung
Die Verantwortung für Perimeter-Sicherheit, Infrastruktur und Virtualisierung verlagert sich in einer Public-Cloud-Umgebung auf deren Anbieter. Laut Kunchala ist es daher umso wichtiger zu verstehen, wie die Verantwortlichkeiten neu definiert werden. "Unternehmen tendieren dazu, die Sicherheitskontrollen und -technologien aus ihrem Private-Cloud-Umfeld auf die Public Cloud zu übertragen. Das funktioniert nicht immer."
Das Fehlen von klar definierten Verantwortlichkeiten und Zuständigkeiten lasse in einem hybriden Cloud-Ökosystem Raum für Sicherheitsrisiken. Obwohl es beim Nutzen von Cloud-Diensten wichtig ist, die Verantwortung zwischen Cloud-Provider und dem eigenen Unternehmen deutlich zu benennen und aufzuteilen, wird das längst nicht überall umgesetzt. "Das Modell der geteilten Verantwortung, das Public-Cloud-Anbieter oft voraussetzen haben viele Unternehmen noch nicht im Griff", bestätigt IDC-Analyst Kanaracus.
Unstimmigkeiten beim Netzwerkschutz
Nach Meinung von Deloitte-Berater Kunchala ist die Netzwerksicherheit ein Schlüsselbereich, der viele Unternehmen vor Herausforderungen stellt. Anbieter-Tools, die Private Clouds unterstützen, seien oft nicht für den Einsatz in Public-Cloud-Umgebungen geeignet. "Unternehmen nutzen Container für den nahtlosen Übergang und das Management in der Hybrid Cloud. Wenn sie aber Feinheiten wie Service Mesh und API-Sicherheit nicht verstehen, kann das zu einer Kompromittierung von Containern führen und weitere Sicherheitslücken schaffen."
Die meisten Anbieter von Sicherheitstools für Public-Cloud-Umgebungen unterstützen auch Privat-Cloud-Installationen, so Kunchala. "Andererseits reichen aber traditionelle Tools, die für On-Premises- oder Private-Cloud-Zwecke entwickelt wurden, für Public-Cloud-Umgebungen nicht immer aus."
Cloud-Computing
Cloud Computing
Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. Dank Cloud Computing können heute viele Arbeitsprozesse standortübergreifend ausgeführt und effizient gesteuert werden. IT-Sicherheit im Bereich Cloud-Computing ist eine Grundvoraussetzung für erfolgreiche Digitalisierung. So hat das
BSI den Kriterienkatalog Cloud Compting C5 entwickelt, der international als Standard gilt. Diese und weitere Informationen finden Sie auf der BSI Seite zu diesem Thema, zu der wir Sie weiter verlinken.