Immer mehr Unternehmen sind in die Cloud gestartet. Gleichzeitig wird die Sicherheit immer wichtiger, durch stets neue Gefahren, die im Internet lauern. Wir erklären Ihnen, wie eine Public Cloud funktioniert, wie der Status Quo aussieht und wie Sie Ihre Sicherheit verbessern können.
Autor: Roman Isheim, 27.11.2018, Thema: Public Cloud Sicherheit
Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot zum Artikel
Seite 4 Expertenzugriff in unserem langjährigen Netzwerk
Was ist überhaupt eine Public Cloud?
Unter einer Public Cloud wird der frei zugängliche und öffentliche Teil des Cloud Computings verstanden. In einer Public Cloud sind also abstrahierte IT-Infrastrukturen über das öffentliche Internet zugänglich. Viele Public Cloud Programme sind günstig oder kostenlos, wie beispielsweise Google Docs, Microsoft Azure oder Microsoft OneDrive. Bei einem Public Cloud Programm sind meist Services wie Speicherplatz, Rechenleistung, Infrastruktur oder Anwendungen verfügbar. Eigene Investitionen in Hard- und Software sind nicht notwendig. Dadurch lassen sich hohe Investitionskosten vermeiden.
Die Cloud-Dienstleistungen, die meist zur Verfügung gestellt werden, können in drei unterschiedliche Arten von Services eingeteilt werden:
-Software as a Service (SaaS)
-Platform as a Service (PaaS)
-Infrastructure as a Service (IaaS)
Letzteres bietet den Anwendern virtualisierte Ressourcen von Computerhardware, wie virtuelle Rechner, Speicher oder Netze. Bei dem Platform as a Service (PaaS) bekommt der Kunde Laufzeit- und Programmierumgebungen, deren Rechen- und Datenkapazitäten flexibel anpassbar sind. Einen direkten Zugang zu Anwendungen oder zu einer bestimmten Software hingegen bietet Software as a Service (SaaS). Hier nutzt der Anwender lediglich die Software und den Betrieb der Software verantwortet der Cloud-Provider.
Damit eine Cloud-Umgebung als Public Cloud bezeichnet werden kann, muss sie verschiedene Kriterien erfüllen. Der Zugang zur Cloud sollte über öffentliche Netzwerkstrukturen wie über das Internet für eine große Anzahl an Usern möglich sein. Außerdem sind die Ressourcen den Anwendern bedarfsgerecht bereitzustellen. Zudem sollen sich die Ressourcen bei ändernden Anforderungen flexibel anpassen. Des Weiteren zahlen Kunden meist nur die vom Provider bereitgestellten Leistungen, die sie tatsächlich in Anspruch nehmen. Bedingung hierbei ist, dass die Nutzung für den Anbieter und Kunden messbar ist.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Sicherheitsbedenken bei einer Public Cloud
Ein Unternehmen sollte wissen, wer für die Sicherheit in der Public Cloud verantwortlich ist. Wir zeigen Ihnen einige Sicherheitsaspekte, die beachtet werden sollten.
Herkömmliche Sicherheit ist billiger als Cloud-Sicherheit?
Wie bei anderen Tätigkeiten in einem Unternehmen muss auch bei der Cloud-Sicherheit eine Kosten-Nutzung-Rechnung durchgeführt werden. Hierbei lässt sich allerdings kein fester Preis für die Cloud Sicherheit bestimmen. Im Allgemeinen steigen die Kosten für die Sicherheit, wenn Firmen ihre Umgebungen erweitern. Auch eine Verbesserung der Sicherheitslage durch Investitionen in neue Features erhöhen die Kosten. Beide Punkte sind nicht cloudspezifisch, sondern geschäftsspezifisch. Die Sicherheit in der Cloud kann teurer werden, wenn ein Unternehmen neue Technologie- oder Automatisierungsplattformen einsetzen muss. Jedoch werden meist vorhandene Ressourcen genutzt.
Wie sieht allgemein die Sicherheit auf den Seiten der Cloud-Abieter aus?
Die Cloud Sicherheit besteht aus zwei Bereichen. Zum einen wäre da die Sicherheit in der Cloud und zum anderen ist da die Sicherheit der jeweiligen Cloud. Es gelten strenge Sicherheitsstandards bei den großen Public Cloud Anbietern, wodurch sichergestellt wird, dass Verstöße sehr unwahrscheinlich sind. Jedoch liegt die Sicherheit innerhalb der Public Cloud beim Endnutzer. Deshalb müssen Unternehmen dafür sorgen, dass sie ihre eigenen Verantwortlichkeiten für die Sicherheit innerhalb der Cloud erfüllen, indem sie beispielsweise Berechtigungen und Standards für Anwendungen vergeben.
Ist mehr Personal notwendig?
Dieser Gesichtspunkt lässt sich nicht pauschal beantworten, genauso wie es bei der Kostenfrage der Fall ist. Bei diesem Aspekt kommt es darauf an, über welche Ressourcen ein Unternehmen bereits verfügt. Ist bereits ein Sicherheitsteam im Unternehmen vorhanden, kann dies ausreichend sein. Anders sieht es aus, wenn ein Unternehmen noch keinen ganzheitlichen Sicherheitsansatz verfolgt. In diesem Fall wären zusätzliche Ressourcen notwendig.
Wie sieht die Integration der Cloud Sicherheit in den bestehenden Sicherheitsstatus aus?
Ein gewisses Verständnis hinsichtlich der genutzten Plattform ist notwendig, um zu verstehen, wie sich neue Implementierungen auf die bestehende Sicherheitslage im Unternehmen auswirken. Bei jeder Cloud Plattform gibt es einen eigenen einzigartigen Access Point. Dieser muss bekannt und entsprechend gesichert sein. Viele Unternehmen machen den Fehler und glauben, dass sie eine ganz neue Strategie für Cloud Sicherheit benötigen. Beim Wechsel in die Cloud sind unterschiedliche Aspekte zu berücksichtigen. Werden bisherige Strategien weiter eingehalten, kann dies zu einer unsicheren Umgebung führen, da Inkonsistenzen zu Fehlern führen oder die Oberfläche angreifen können. Einige Tools bieten die Möglichkeit, verschiedene Anforderungen an die Plattformsicherheit zu erfüllen. Dadurch lässt sich die Sicherheit einfacher an neue Clouds und verschiedene Access Points anpassen.
3 Tipps für Ihre Public Cloud Sicherheit
1) Die eigene Anfälligkeit kennen
Es ist sehr einfach ein Cloud-Konto einzurichten. Daher wird die Nutzung der öffentlichen Cloud meist als „Schatten-IT“ bezeichnet. Sicherheitslücken können unwissentlich von Mitarbeitern geschaffen werden. Deswegen ist es wichtig, den Überblick zu haben, wer im Unternehmen eine öffentliche Cloud nutzt. Anschließend ist sicherzustellen, dass die Umgebung fachgerecht konfiguriert wird.
2) Abwehr ist alles
Es gibt einige, die denken, dass die Angreifer bereits gewonnen haben und daher ein Erkennungs- und Wiederherstellungskonzept implementieren. Mit einer umfassenden Übersicht über die Umgebung ist eine effektive Abwehr jedoch tatsächlich möglich. Hierfür sind vier Funktionen erforderlich. Eine geringe Angriffsfläche, vollständige Transparenz, die Abwehr bekannter Bedrohungen und die Abwehr unbekannter Bedrohungen.
3) Automatisierung
Eine schnellere und präzisere Aktualisierung von Sicherheitsregeln ermöglicht den Betrieb mit der Geschwindigkeit der Cloud. Hierbei wären folgende Automatisierungstools erwähnenswert: Berührungslose Bereitstellungen (z. B. Bootstrapping), bidirektionale Integration in Ressourcen von Drittanbietern via API und Richtlinienaktualisierungen mithilfe von Automatisierungsfunktionen wie XML API und DAG.
