Sichern Sie Ihre Cloud: Was Sie wirklich wissen müssen

5 Min. LESEN

Fast jedes Unternehmen migriert in irgendeiner Form in die Cloud, sei es durch geplante Maßnahmen oder weil Mitarbeiter nicht genehmigte Cloud-Dienste nutzen. Mitarbeiter nutzen in der Regel Cloud-Dienste, um ihre Arbeit effizienter zu erledigen, berücksichtigen dabei jedoch nicht die Sicherheitsauswirkungen – ein Problem für die Unternehmensleitung.

Leider machen sich Unternehmen beim Thema Cloud-Sicherheit oft über die falschen Dinge Sorgen. Im Großen und Ganzen schützen Cloud-Anbieter ihre Dienste viel besser als der Durchschnitt der Unternehmen. Sie müssen sich also keine allzu großen Sorgen um die Sicherheit Cloud-Anbieter oder darum machen, ob Ihr Cloud-Anbieter gehackt wird.

Stattdessen sollten Sie sich um die Teile der Cloud kümmern, die Sie kontrollieren. Diese Bedenken sind je nach der Art der Cloud, die Ihr Unternehmen einsetzt, unterschiedlich. Infrastructure as a Service (IaaS) gibt Ihnen viel mehr Kontrolle über die Sicherheit, aber auch viel mehr Verantwortung dafür. Bei Software as a Service (SaaS) haben Sie die geringste Kontrolle über die Sicherheit und überträgt einen Großteil dieser Verantwortung auf Ihren Dienstanbieter. Platform as a Service (PaaS) ist eine Mischung aus beidem.
Aus diesen Gründen bestimmt das von Ihnen gewählte Cloud-Dienstmodell den Grad der Verantwortung Ihres Anbieters in Bezug auf die Sicherheit. Hier ist, was Sie wissen müssen.

1. Verstehen Sie die Bedrohungen für Cloud Applications und -Infrastruktur

Die größte Gefahr für die Cloud-Infrastruktur besteht wie für jede andere Infrastruktur auch in Form von Sicherheitsverletzungen, die ganz unterschiedliche Ursachen haben können. Es ist wichtig zu erkennen, dass es unterschiedliche Schweregrade von Sicherheitsverletzungen gibt. Ein Angreifer, der Zugriff auf ein Administratorkonto erhält, hat weitaus mehr Kontrolle als einer, der auf ein eingeschränktes Benutzerkonto zugreift.

Aus diesem Grund sollten Sie sich mehr um die administrativen und privilegierten Benutzer kümmern und diese Konten über das normale Maß hinaus überwachen, das für alle Benutzerkonten erforderlich ist. Dieses Sicherheitsrisiko gilt für alle Arten von Clouds, da Unternehmensmitarbeiter über eine Art Administratorzugriff auf die SaaS-, PaaS- und IaaS-Infrastruktur verfügen.

2. Identität und Zugriff sicher verwalten

Darüber hinaus sollten Sie der Bedeutung der Identität und des Zugriffs auf die Sicherung von Cloud-Diensten besondere Aufmerksamkeit schenken. Der Speicher für Identitäts- und Zugangsdaten sollte geschützt und genau überwacht werden. Da ein durchschnittliches Unternehmen jedoch mit 1.031 von seinen Mitarbeitern genutzten Cloud- Applications zu tun hat, lässt sich dies ohne eine föderierte Identitätsverwaltungs- oder Single-Sign-On-Infrastruktur nicht erreichen.

3. Bedrohungen der Verfügbarkeit ausgleichen

Distributed-Denial-of-Service-Angriffe (DDoS) sind ausgefeilter und einfacher zu starten geworden. DDoS-for-Hire-Dienste, auch als Booter oder Stresser bekannt, stehen jederzeit zur Verfügung, um Netzwerke oder Websites lahmzulegen. Und mit der zunehmenden Verbreitung von Cloud-Diensten haben auch DDoS-Angriffe größere Auswirkungen gewonnen, da die Angreifer mit einem einzigen Angriff wichtige Geschäftsdienste vieler Unternehmen stören können.

Im Oktober 2016 richtete sich beispielsweise ein großer DDoS-Angriff, der von Zehntausenden digitalen Videorekordern, Kameras und Heimroutern gesteuert wurde, gegen den DNS-Anbieter Dyn , dessen Kunden sich auf den Dienst verlassen, um Online-Benutzer auf ihre Websites umzuleiten. Infolgedessen waren zahlreiche Internetdienste – darunter Netflix, Twitter und PayPal – gestört.

Sie müssen feststellen, ob Ihr Anbieter flexibel genug ist, um einem Angriff standzuhalten. Zwar bieten viele Anbieter von Cloud-Infrastrukturen die Möglichkeit, die Bandbreite zu erhöhen, doch im Falle eines Angriffs berechnen sie für diese zusätzliche Bandbreite häufig Gebühren, was Ihrem Unternehmen enorme Kosten verursacht. Sie müssen beurteilen, ab wann es zu teuer ist, mit dem Ausmaß der Angriffe Schritt zu halten und ob es sinnvoller ist, einen DDoS-Mitigation-Dienst zu beauftragen, um schädlichen Datenverkehr abzufangen, bevor er Ihre Apps erreicht.

4. Verwalten Sie die Bedrohungen durch Schwachstellen

Im Jahr 2015 nutzte ein Hacker eine Schwachstelle in der öffentlichen Cloud des Antivirenunternehmens BitDefender, um eine unbekannte Anzahl unverschlüsselter Benutzernamen und Passwörter zu stehlen. Schwachstellen stellen für die Cloud-Infrastruktur keine geringere Bedrohung dar als für Geräte und Anwendungen vor Ort.

Unternehmen müssen in der Lage sein, Patches flexibel bereitzustellen. Dies bedeutet, dass die Betriebsteams wissen müssen, welche Infrastrukturkomponenten anfällig sind, und über Optionen zum Beheben dieser Schwachstellen verfügen müssen. Die schnelle Bereitstellung von Patches sollte Priorität haben, es sollten jedoch auch virtuelle Patches verfügbar sein, um den Sicherheitsteams genügend Zeit zu geben, Probleme zu beheben, ohne weitere Probleme zu verursachen.

Insgesamt sind Cloud-Dienste und -Plattformen aufgrund von Service-Level-Agreements und regelmäßigen Updates und Patches tendenziell sicherer als die Infrastruktur eines durchschnittlichen Unternehmens. Unternehmen sollten sich daher auf die Aspekte der Cloud konzentrieren, die in ihrer Kontrolle liegen. Für Unternehmen stellt die Cloud eine wesentlich sicherere Option dar, wenn sie sich auf die Kontrolle von Zugriff und Anmeldeinformationen, die Aufrechterhaltung der Diensteverfügbarkeit und die Verwaltung von Schwachstellen in den Teilen der Cloud-Infrastruktur konzentrieren, die unter ihrer Kontrolle stehen.

Als Senior Security Solutions Architect bei F5 Networks konzentriert sich Brian McHenry auf Application und Netzwerksicherheit. McHenry fungiert als Verbindungsmann zwischen Kunden und den F5-Produktteams und bietet eine praktische, reale Perspektive. Er ist regelmäßiger Autor bei InformationSecurityBuzz.com, Mitbegründer von BSidesNYC und Redner unter anderem bei AppSecUSA, BC Aware Day, GoSec Montreal und dem Central Ohio Infosec Summit. Bevor McHenry, ein selbsternannter IT-Generalist, 2008 zu F5 kam, hatte er Führungspositionen in zahlreichen Technologieunternehmen inne, von Startups bis hin zu großen Finanzdienstleistungsunternehmen.