- Anzeige -


Sie sind hier: Startseite » Markt » Tipps und Hinweise

In fünf Schritten zu mehr Sicherheit in der Cloud


Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen?
Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann

- Anzeigen -





Der beschleunigte Wandel der technischen Infrastruktur, die digitale Transformation und die zunehmende Cloud-Nutzung verändern die Herausforderungen für Unternehmen, ihre kritischen Vermögenswerte zu sichern, erheblich. Cloud-Security gewinnt somit immer mehr an Bedeutung.

Die Dynamik der Public Cloud schafft dazu eine komplexe Steuerungsebene, in der zu schützende Daten in einer Umgebung wahrgenommen werden, die das Sicherheitsteam nicht kontrollieren oder überwachen kann. Die großen Plattformen Amazon, Google und Microsoft nehmen einen immer größeren Anteil des Cloud-Markts ein. Grund genug für Hacker, diese Plattformen aktuell sehr genau ins Visier zu nehmen, um deren Schwachstellen zu finden. Welche Maßnahmen können Unternehmen ergreifen, um ihre Cloud-Umgebung besser zu schützen?

1. Zero Trust
Um Unternehmenssysteme in dieser grundsätzlich offenen Struktur der Cloud abzusichern, sollte die Haltung Zero Trust (Kein Vertrauen) gelten. Sie bedeutet in diesem Zusammenhang, dass der Nutzer sowohl seine Identität als auch die Sicherheit des Standorts und der Umgebung seines Geräts nachweisen muss, ehe er die Cloud nutzt. Je nach Kontext kann das Sicherheitsniveau variieren, von der einfachen Identifizierung und Verschlüsselung für risikoarme SaaS-Lösungen bis hin zur umfassenden Verifizierung der Geräte. Diese höchste Sicherheitsstufe bietet sich bei risikoreichen Anwendungen, die eine lokale Datenspeicherung oder einen administrativen Zugang benötigen, an. Dabei werden alle Zugriffe vom Security Operations Centre (SOC) protokolliert und geprüft, damit es keine Sicherheitsrisiken gibt.

2. Verschlüsselung
Alle in der Cloud gespeicherten Daten sollten verschlüsselt werden. Zwar sichern die Cloud-Anbieter ihre Systeme bestmöglich ab. Dennoch: Die Cloud ist ein offenes System, das viele verschiedene Kunden – wenn auch in ihrem eigenen Bereich – gemeinsam nutzen. Kommt es im schlimmsten Fall zum kompletten Systemversagen, können Unternehmensdaten zu anderen Kunden oder auch in die Öffentlichkeit gelangen. Umso essenzieller ist hier die Verschlüsselung. Dies gilt nicht nur für die Speicherung, sondern auch während der Übertragung von Daten. Sie sollten nur dann entschlüsselt werden, wenn dies für die Verarbeitung unbedingt nötig ist. Nur so lässt sich gewährleisten, dass Daten nicht mit einem Man-in-the-Middle-Angriff abgefangen werden, für den derzeit 95 Prozent der HTTPS-Server anfällig sein sollen.

3. DevSecOps
Entwickeln Unternehmen Anwendungen für die Cloud, stoßen sie oft auf das Konzept von DevOps und CI/CD-Pipelines. Aber wie gehen Sicherheit und DevOps zusammen? Zusätzlich zu Akzeptanztests sollten Unternehmen automatisierte Sicherheitstests, Sicherheitsupdates mit Patches für bekannte Schwachstellen, Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) in ihren CI/CD-Prozess einführen. Hinzu kommen standardmäßig in die Container integrierte Sicherheitsscanner. Durch diese Schritte können sie den Prozess verbessern, um die Sicherheit zu erhöhen und Schwachstellen schneller zu erkennen.

4. Runtime Application Self-Protection (RASP)
Die Selbstvalidierung über eine effektive RASP-Lösung erweitert die Prinzipien von Zero Trust bis in den Anwendungscode und verhindert die böswillige Nutzung der Applikation. Sie prüft, was jeder Prozess oder jede Funktion produzieren soll und vergleicht dies mit dem tatsächlichen Output der Anwendung. Es gibt viele RASP-Produkte, die so konzipiert sind, dass sie eine herkömmliche Web Application Firewall durch die Analyse des tatsächlichen Anwendungscodes ergänzen. Sie können entweder in einen Monitor- und Alarmmodus oder alternativ in einen Blockiermodus versetzt werden, der einen automatischen Schutz der Anwendung ohne menschliches Zutun ermöglicht. RASP-Lösungen sind in den Anwendungscode integriert und können somit in containerisierten und serverlosen Lösungen eingesetzt werden – und das ohne Kompatibilitätsprobleme.

5. Security Operations Center (SOC)
Ein rund um die Uhr aktives SOC ist für Unternehmen von entscheidender Bedeutung. Automatisierte Tools bilden eine gute Basis, stellen aber nur einen Teil der Security-Strategie dar. Ein gut ausgestattetes SOC erkennt Sicherheitsvorfälle sofort und kann auf erfahrene Analysten zurückgreifen, die ein Unternehmen jederzeit schützen. Mit ihrer Unterstützung können auch fortgeschrittene und anhaltende Bedrohungen identifiziert und abgewehrt werden. Das SOC-Team hat Zugriff auf alle Datenfeeds aus Authentifizierungen und kann die Informationen aggregieren und analysieren. Mit Hilfe von Sicherheitstechnologien schützt ein SOC-Team die Anwendungen in Echtzeit und verhindert somit Datendiebstahl.

Dennoch: Ein durchschnittliches SOC-Team erhält täglich 10.000 Warnungen. Umso wichtiger sind qualifizierte Personen mit ausgezeichneten Analysefähigkeiten. Nur wenige Unternehmen können einen solchen Service aus eigener Kraft stemmen. Ein Managed Security Partner wie Rackspace mit seinem Service Rackspace Managed Security (RMS) kann Organisationen hier auf operativer und finanzieller Ebene entlasten und dabei unterstützen, die Komplexität des Themas Cloud-Security zu reduzieren. Unabhängig von der entsprechenden Cloud Computing-Umgebung erkennt dieser Bedrohungen, reagiert darauf und minimiert die Risiken durch Bereitstellung von Expertise und zukunftssicheren Tools. (Rackspace: ra)

eingetragen: 16.10.19
Newsletterlauf: 26.11.19

Rackspace Technology: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Tipps und Hinweise

  • Industrie 4.0 und Software-defined WAN

    Die Cloud- und Edge-Technologien sowie die Verbreitung von IoT-Geräten stellen einen großen Schritt in Richtung Smart Factories in der Fertigungstechnik dar. Smart Factories verlassen sich auf autonome Geräte, die einen konstanten Datenstrom aus vernetzten Betriebs- und Produktionssystemen erzeugen und interpretieren. Die Geräte dieses Systems lernen und passen sich selbstständig an neue Anforderungen an. Dabei kommunizieren sie sowohl über den Netzwerk-Edge als auch in die Cloud. Die Bedeutung dieses Übergangs wird dadurch unterstrichen, dass die Veränderungen, die diese technologische Entwicklung mit sich bringt, als so dramatisch angesehen werden, dass sie als Industrie 4.0 oder die "vierte industrielle Revolution" angekündigt wurden.

  • Das Zero-Trust-Security-Modell

    Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es Cyberkriminellen, sich Zugang zum Netzwerk zu verschaffen, gibt es oft sehr wenig, was sie daran hindert, sich dort frei zu bewegen und sensible Daten hinauszuschleusen. Das Zero-Trust-Konzept schlägt deshalb vor, dass der gesamte Zugriff blockiert bleiben sollte, bis das Netzwerk den Benutzer verifiziert und den Grund für seinen Aufenthalt im Netzwerk bestätigt hat.

  • ERP: Acht Gründe für den Umstieg

    Viele Entscheider im Mittelstand tun sich noch immer schwer, ihr ERP-System auf den Cloud-Betrieb umzustellen. Individuelle Fragen in Bezug auf Sicherheit, Kontrolle und Kosten lassen manche noch zögern, sich konkret mit ERP aus der Cloud auseinanderzusetzen. Dabei spricht einiges dafür: Der ERP-Hersteller proAlpha kennt die acht wichtigsten Gründe, die mittelständische Unternehmen für ERP aus der Cloud begeistern: Beim Umzug in die Cloud können betriebsspezifische Erweiterungen am ERP-Standardsystem problemlos übernommen werden. Das erlaubt es, Geschäftsprozesse im Unternehmen adäquat abzubilden. Zudem lässt sich ERP aus der Cloud meist schneller implementieren als eine On-Premises-Lösung, da es auf einer vorhandenen Infrastruktur aufbaut.

  • Enterprise Data Cloud aufbauen

    Unternehmen sehen sich nach wie vor mit der Aufgabe konfrontiert, sensible Daten zu identifizieren und zu klassifizieren, um sich im Rahmen des Datenschutzes abzusichern. Bei Verstößen gegen diese Regelungen drohen hohe Bußgelder. Im Jahr 2020 wurden laut DLA Piper 159 Millionen Euro an Bußgeld wegen Verstößen gegen die DSGVO verhängt - über 40 Prozent mehr als in den Monaten seit Inkrafttreten der Verordnung. Dazu kommt, dass im Corona-Jahr die Menge der Daten, die erzeugt werden, stark angestiegen ist. Dazu trägt der Zuwachs an Home Office-Arbeitsplätzen ebenso bei wie die deutliche Zunahme an Video-Konferenzen. Auch durch den Click-and-Collect-Ansatz werden deutlich mehr Daten generiert als beispielsweise durch Kunden, die direkt im Geschäft vor Ort einkaufen. Hier werden kontinuierlich Daten generiert, die alle verwaltet werden müssen. Gleichzeitig steigen die Risiken in Bezug auf die Datensicherheit, denn die Informationen gelangen auf private Endgeräte in eine potenziell unsichere Umgebung, die außerhalb der Unternehmensnetzwerke liegt.

  • Wie die sichere Nutzung der Cloud funktioniert

    Cloud Computing-Services sind längst gängig - im privaten sowie im geschäftlichen Bereich. Auch wenn die Implementierung von Cloud-Diensten in Unternehmen in Deutschland zögerlicher voranschreitet als in anderen Ländern, gibt es auch hier mittlerweile große Fortschritte bei der Digitalisierung von Geschäftsprozessen. Mitarbeiter und IT-Abteilungen profitieren in vielen Fällen bereits von mehr Flexibilität durch Cloud-Services bei der Datenverarbeitung und -speicherung. So ergibt sich nicht nur ein Leistungsvorteil durch die individuellen Nutzungsmöglichkeiten, sondern auch ein Kostenvorteil dank der Pay-as-you-go-Kostenabrechnung, also einer Anpassung der Zahlungshöhe an den jeweils in Anspruch genommenen Leistungsumfang. Meist fallen dadurch weitaus geringere Kosten an als bei klassischen Hardware-Lösungen. Allerdings fürchten Unternehmer nach wie vor, dass Archivierung, E-Mail- und Dokumentenmanagement über die Cloud nicht sicher genug sind. Robert Rios, Geschäftsführer der RioMar GmbH, erklärt, welche Faktoren die Datenwolken der Kunden vor Hackern schützen und wie sichere Cloud-Nutzung gelingt.

  • Cloud-basiertes SAP Customer Experience

    Das Unternehmen technologisch vorantreiben und gleichzeitig mit starkem Kostendruck leben: CIOs müssen trotz Digitalisierungseuphorie immer darauf achten, dass sich Projekte schnell bezahlt machen. Die Integration von Customer Experience (CX)-Lösungen kann mit der richtigen Strategie dabei helfen, dass IT-Ressourcen nachhaltig besser eingesetzt werden können. Sybit nennt drei Gründe, warum - und widmet dem Thema ein virtuelles Expertenforum Ende Februar. Viele CIOs finden sich im Jahr 2021 in einer äußerst herausfordernden Situation wieder: Auf der einen Seite liegt es an ihnen, technologische Innovationen voranzutreiben, um dem rasanten Wandel in Gesellschaft und Märkten Rechnung zu tragen. Auf der anderen Seite treffen sie oft auf verkrustete, interne Silostrukturen und vor allem auf Budgets, die auch in diesem Jahr nicht in den Himmel schießen. Zwar hat Capgemini in der IT-Trends Studie 2021 herausgefunden, dass 87 Prozent aller Behörden und Unternehmen im Jahr 2021 stärker in die Digitalisierung investieren möchten. Aber die Prioritäten zwei und drei sind: Kostenreduzierung und Effizienzsteigerung. Für die IT heißt das: jedes Projekt darf nicht nur hypothetische Wachstumsziele haben, sondern muss konkrete Ergebnisse zeigen.

  • Die vier häufigsten Cloud-Mythen

    Die Akzeptanz von Public-Cloud-Services leidet unter einer Reihe von Ängsten und Bedenken. CGI nimmt die hartnäckigsten Ressentiments unter die Lupe und prüft, wie valide sie sind und wie sie überwunden werden können. Die Vorbehalte gegen die Cloud sind so alt wie das Cloud Computing selbst. Auch nach zwanzig Jahren stößt die Nutzung von Cloud Computing-Anwendungen wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) immer noch auf diffuse Ängste und Ablehnung. Das betrifft Unternehmen und deren Mitarbeiter gleichermaßen wie Partner und Kunden.

  • Unternehmen brauchen eine solide Datenkultur

    Vom Einkauf über die interne Logistik bis hin zum Marketing oder in der Produktion - alle Geschäftsbereiche stehen vor der großen Herausforderung, immer größere komplexe Datenmengen zu sammeln und diese auf sinnvolle Weise zu verwerten. Datenanalyse wird in den Köpfen vieler CIOs so zur aufwendigen Investition, deren Früchte man erst spät ernten kann. Dabei verkennen viele Unternehmen, dass Daten ihnen nicht nur helfen können, Prozesse signifikant zu vereinfachen und gewinnbringender zu arbeiten, sondern auch ihre Kunden besser zu verstehen - ein Faktor, der nie so erfolgsentscheidend war wie heute. Peter Stadler, Acting VP Central Europe bei Teradata, ist überzeugt, dass die Fähigkeit, Daten für Unternehmensentscheidungen auszuwerten, ein Schlüssel zum Erfolg von deutschen und österreichischen Unternehmen ist. Im Folgenden erklärt er, wie Unternehmen beginnen können, echten Mehrwert aus ihren Daten zu schöpfen, um auch in Zukunft zu bestehen.

  • Bedrohungen für die Datensicherheit

    Das Internet of Things (IoT) setzt niedrige Latenzzeiten und eine sichere Datenübertragung voraus. Herkömmliches Cloud Computing ist aufgrund seiner zentralisierten Struktur allerdings anfällig. Opengear, Anbieter von Out-of-Band-Managementlösungen zum Schutz kritischer Infrastrukturen, erklärt, welche Gefahren hier lauern können. Medizinische Geräte, Industrierobotik oder autonome Fahrzeuge. Die Zahl der mit dem Internet verbundenen Geräte wächst täglich und ein Ende ist nicht in Sicht. Neben den vielen Vorteilen, die diese zunehmende Vernetzung mit sich bringt, stellt IoT Unternehmen aber auch vor einige Herausforderungen. Gerade wenn sie wegen der Einfachheit und schnellen Skalierbarkeit einen Teil ihrer Daten in die Cloud verlagern. Denn bei herkömmlichen Cloud-Architekturen wird die Datenverarbeitung in riesigen Rechenzentren zentralisiert. Dadurch kommt es in drei Punkten zu erheblichen Nachteilen.

  • Was an den Mythen über die Cloud dran ist

    Kostengünstig, aber datenschutztechnisch heikel: Über die Cloud existieren zahlreiche Mythen. IT-Dienstleister Avision klopft fünf gängige davon ab und zeigt auf, was an ihnen dran ist. Viele Unternehmen spielen mit dem Gedanken, Anwendungen künftig in der Cloud zu betreiben. Dabei sind sie mit zahlreichen Mythen konfrontiert, die sich rund um die Cloud ranken. Der auf Software Revival spezialisierte IT-Dienstleister Avision klärt auf, was es mit fünf weit verbreiteten Cloud-Mythen auf sich hat. Jede Cloud basiert auf Hardware, die betrieben werden muss. Außerdem wollen die Anbieter Geld verdienen und haben nichts zu verschenken. Deshalb ist es nicht per se kostengünstiger, eine Anwendung in der Cloud zu betreiben. Die Migration in die Cloud ist aus Kostensicht meist nur dann sinnvoll, wenn auch wirklich alle Cloud-spezifischen Stärken wie etwa Skalierbarkeit genutzt werden. Ansonsten kommen Alternativen wie etwa die Migration auf modernere Server oder virtuelle Systeme im eigenen Rechenzentrum in aller Regel günstiger.