Was ist Cloud-Computing-Sicherheit?
- IAM-Glossar
- Was ist Cloud-Computing-Sicherheit?
Cloud-Computing-Security oder Cloud-Security ist ein Überbegriff für Technologien, Prozesse und Überprüfungen zur Sicherung von Cloud-Infrastruktur, -Diensten und -Anwendungen sowie für die in der Cloud gespeicherten und verarbeiteten Daten.
Was ist cloud-computing?
Bevor wir näher auf die Besonderheiten von Cloud-Security eingehen, ist es hilfreich, erst einmal zu verstehen, was Cloud-Computing überhaupt ist.
In traditionellen Datenumgebungen besitzt und betreibt eine Organisation eigene Hardware und andere Infrastruktur, entweder vor Ort an Unternehmensniederlassungen oder in einem Rechenzentrum (Letzteres wird als "private Cloud" bezeichnet). Dabei ist die Organisation verantwortlich für die Einrichtung, den Betrieb und die Sicherheit aller Bestandteile, einschließlich der Server und anderer Hardware.
Beim Cloud-Computing mietet eine Organisation im Prinzip Serverinfrastruktur von einem Cloud-Dienst-Anbieter. Die Cloud-Dienst-Anbieter besitzen und betreiben die Rechenzentren mit allen Servern, anderer Hardware und die zugrunde liegende Infrastruktur wie Unterseedatenkabel. Dadurch müssen Organisationen nicht mehr selbst für den Betrieb und die Sicherheit der Cloud-Infrastruktur sorgen und können weitere Vorteile genießen, etwa bessere Skalierbarkeit und Zahlungsmodelle, die am tatsächlichen Bedarf der Organisation angepasst sind.
Nicht alle Cloud-Computing-Dienste sind dabei gleich. Es gibt drei Haupttypen bei Cloud-Diensten und moderne Organisationsstrukturen nutzen in der Regel eine Kombination dieser:
Software-als-Dienstleistung (Software-as-a-Service, SaaS) ist der geläufigste Cloud-Dienst. Fast jeder nutzt SaaS-Anwendungen (Apps), auch wenn das den meisten Menschen nicht klar ist. Ein SaaS-Produkt wird über das Internet bereitgestellt und die Nutzer greifen über mobile Apps, Desktop-Apps oder einen Internetbrowser darauf zu. SaaS-Apps sind unter anderem Endkunden-Apps wie Gmail oder Netflix, aber auch Unternehmenslösungen wie Salesforce und die Bürosoftwarelösung Google Workspace.
Infrastruktur-als-Dienstleistung (Infrastructure-as-a-Service, IaaS) ist ein Cloud-Dienst, der sich primär an Organisationen richtet, aber auch Technologieenthusiasten können sich IaaS-Dienste für die persönliche Nutzung kaufen. Die Cloud-Dienst-Anbieter stellen Infrastrukturdienste bereit (Server, Speicher, Netzwerklösungen, Virtualisierungslösungen usw.) und Kunden kümmern sich um Betriebssysteme, Daten, Anwendungen, Dienstsoftware und Laufzeitumgebungen. Wenn man von einer "öffentlichen Cloud" spricht, bezieht man sich häufig auf IaaS. Beispiele für Anbieter öffentlicher Clouds sind die drei Branchenplatzhirsche Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Entra ID (Azure).
Plattform-als-Dienst (Platform-as-a-Service, PaaS) sind Lösungen speziell für Entwickler. Die Kunden kümmern sich nur um Anwendungen und Daten und die Cloud-Anbieter übernehmen sämtliche anderen Aspekte, einschließlich Betriebssysteme, Dienstsoftware und Laufzeitumgebungen. Anders gesagt: PaaS-Lösungen stellen Entwicklern einsatzbereite Arbeitsumgebungen zur Verfügung, mit denen sie Anwendungen programmieren, verwalten und veröffentlichen können, ohne sich Gedanken über Betriebssystemaktualisierungen oder andere Software machen zu müssen. PaaS-Beispiele sind unter anderem AWS Elastic Beanstalk, Heroku und Google App Engine. Üblicherweise werden PaaS- und IaaS-Dienste zusammen genutzt. Eine Organisation kann beispielsweise AWS zum Hosten und AWS Elastic Beanstalk zur Entwicklung von Anwendungen einsetzen.
Ein genaues Verständnis dafür, welche Verantwortlichkeiten der Cloud-Anbieter und welche der Cloud-Kunde hat, ist essenziell für das Verständnis der Funktionsweise von Cloud-Sicherheit.
Was ist cloud-sicherheit?
Cloud-Sicherheit basiert auf dem Modell der geteilten Verantwortlichkeiten. In diesem Modell:
- ist der Cloud-Anbieter verantwortlich für die Sicherheit der Cloud, also der physischen Rechenzentren und anderer Bestandteile wie der Unterseedatenkabel und der Recheninfrastruktur.
- ist Ihre Organisation verantwortlich für die Sicherheit in der Cloud, also der Anwendungen, Systeme und Daten, die sich in der Cloud befinden.
Das ist vergleichbar mit dem Mieten eines Lagercontainers. Sie sind verantwortlich für den Schutz und die Sicherheit Ihres Eigentums im Container. Dazu müssen Sie die Türen ordentlich verriegeln und den Schlüssel zum Schloss sicher aufbewahren. Die Lagercontainerfirma ist verantwortlich für die Sicherheit des gesamten Komplexes mittels Eingangskontrollen, Kameras, angemessene Beleuchtung und Wachpersonal. Das Unternehmen ist verantwortlich für die Sicherheit des ganzen Lagerkomplexes. Sie sind verantwortlich für die Sicherheit Ihrer gemieteten Einheit.
Wie funktioniert cloud-sicherheit?
Unabhängig davon, ob wir nun von einer SaaS-App, einer IaaS-Lösung (öffentliche Cloud) oder einer PaaS-Entwicklerplattform reden, einer der wichtigsten Bausteine der Cloud-Sicherheit ist die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAS) und die Verhinderung von Datenverlusten. Mit anderen Worten: Die Verhinderung, dass nicht autorisierte Elemente Zugriff auf Ihren Cloud-Dienst und damit Ihre Daten erlangen.
Bleiben wir beim Lagercontainerbeispiel: Wenn Sie den Schlüssel zu Ihrem Lagercontainer unbeaufsichtigt herumliegen lassen und ihn jemand stiehlt und somit Zugang zu Ihrem Container erlangt, dann haben nicht die Sicherheitsvorkehrungen des Anbieters versagt, sondern Ihre eigenen. Ähnlich verhält es sich, wenn Sie ein einfach zu erratendes Passwort verwenden, um etwa Ihr Gmail-Konto oder Ihre GCP-Admin-Konsole zu schützen. Wenn es Angreifern dadurch gelingt, Ihre Systeme zu infiltrieren, dann hat nicht die Sicherheit von Google, sondern Ihre eigene Sicherheit versagt.
Neben der Verhinderung des unautorisierten Zugriffs auf Daten und Datendiebstahl ist ein weiterer Aspekt der Cloud-Sicherheit die Verhinderung des unbeabsichtigten Datenverlusts durch menschliche Fehler oder Fahrlässigkeit und die Gewährleistung, dass Daten bei einem Verlust wiederhergestellt werden können. Dazu kommt die Einhaltung von Datenschutzrichtlinien wie HIPAA, welche den nicht autorisierten Zugang zu privaten Gesundheitsdaten verbietet. Die Cloud-Sicherheit ist ein fundamentaler Bestandteil bei Reaktionen auf Sicherheitsverstöße, Datenwiederherstellung in Notfällen und der Geschäftskontinuitätsplanung.
Typische Cloud-Sicherheitsvorkehrungen sind:
- IAM-Kontrollen sind zum Beispiel rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und das Mindestzugriffsrechteprinzip. Bei diesem Prinzip haben Mitarbeitende nur Zugriff auf die Anwendungen und Daten, die sie für die Ausübung ihrer Tätigkeiten benötigen.
- DLP-Programme identifizieren sensible Daten, klassifizieren diese, überwachen deren Verwendung und beugen Datenmissbrauch vor, indem sie Endbenutzer daran hindern, sensible Informationen außerhalb des Unternehmensnetzwerks zu verbreiten.
- Verschlüsselung gespeicherter Daten und wenn sie übertragen werden
- Sichere Systemkonfiguration und Wartung
Welche risiken gibt es bei cloud-sicherheit?
Das sind einige der größten Herausforderungen und Risiken bei Cloud-Sicherheit:
- Die Cloud vergrößert die Angriffsfläche enorm und es gibt kein Netzwerkperimeter mehr. Ein großer Fehler, den viele Organisationen bei der Migration in die Cloud begehen, ist die Annahme, dass sie ihre aktuellen Sicherheitsprogramme und -verfahren einfach übertragen können. Viele Aspekte der Cloud-Sicherheit gleichen den Sicherheitsvorkehrungen für lokale Infrastruktur, aber der Schutz einer Cloud-Umgebung unterscheidet sich sonst maßgeblich von Schutzvorkehrungen für lokale Infrastruktur, da die Cloud kein definitives Netzwerkperimeter hat.
- In der Cloud kann der Überblick leicht verloren gehen, insbesondere in den heutigen extrem komplexen Datenumgebungen. Es ist sehr selten, dass eine Organisation nur eine öffentliche Cloud nutzt. Die meisten Organisationen verwenden wenigstens zwei öffentliche Clouds (auch als multiple Clouds bezeichnet). Andere Organisationen kombinieren öffentliche Clouds mit lokaler Infrastruktur (auch als hybride Cloud-Umgebung bezeichnet). Leider hat jede Cloud-Umgebung individuelle Überwachungsvorkehrungen, was es für IT-Admins und DevOps-Teams schwierig macht, einen allgemeinen Überblick über die Geschehnisse in der ganzen Datenumgebung zu behalten.
- Unkontrollierte Arbeitsverteilung ist ein weiteres Problem, wo der Überblick schnell verloren geht. Das kann sogar Organisationen betreffen, die nur eine öffentliche Cloud nutzen. Virtuelle Maschinen (VM) und Container lassen sich leicht einrichten, wodurch ihre Verwendung schnell unüberschaubare Ausmaße annehmen kann. Neben wachsenden Sicherheitsproblemen erhöhen ungenutzte VM und Container auch Ihre Rechnungen vom Cloud-Dienstleister.
- Schatten-IT bezeichnet einen Zustand, in dem Mitarbeitende Anwendungen nutzen, die vom Sicherheitspersonal noch nicht überprüft und genehmigt wurden. Das ist ein weiteres Cloud-Problem.
- Unternehmen können Kompatibilitätsprobleme mit veralteter Software und Hardware bekommen, was insbesondere bei alten Anwendungen, die unabdingbar für den Geschäftsbetrieb sind, problematisch wird. Solche Anwendungen lassen sich nur schwer ersetzen oder für die Cloud fit machen.
- Die falsche Cloud-Konfiguration kann ebenfalls Probleme auslösen, wenn zum Beispiel Cloud-Ordner mit sensiblen Daten fälschlicherweise als öffentlich zugänglich eingestellt werden.
Bewährte praktiken für die cloud-computing-sicherheit
Stellen Sie sicher, dass das Sicherheitsmodell der geteilten Verantwortlichkeiten genau verstehen, damit Sie wissen, wofür Ihre Organisation verantwortlich ist und wofür nicht. Das mag offensichtlich klingen, aber die genaue Festlegung wer wofür die Verantwortung trägt, ist insbesondere in hybriden Cloud-Umgebungen ein komplexes Unterfangen.
Ein Vorteil von Cloud-Computing ist, dass von überall her und von beliebigen Geräten aus auf Ressourcen zugegriffen werden kann. Aus Sicht der IT-Sicherheit sorgt das aber für neue Probleme, da viel mehr Zugriffspunkte gesichert werden müssen. Der Programme für den Schutz der Zugriffspunkte und von Mobilgeräten versetzen Sie in die Lage, Zugriffsbeschränkungen umzusetzen und Zugriffsverifizierungsverfahren, Firewalls, Anti-Viren-Programme, Speicherverschlüsselung und andere Sicherheitsprogramme einzuführen. Weitere bewährte Praktiken für Cloud-Computing sind:
- Verschlüsseln Sie alle Daten, die in der Cloud gespeichert und verarbeitet werden, sowohl im gespeicherten Zustand als auch bei der Datenübertragung.
- Überprüfen Sie die IT-Umgebung regelmäßig auf Schwachstellen und beheben Sie diese so rasch wie möglich.
- Führen Sie regelmäßige Datensicherungen aus, um für mögliche Ransomware-Angriffe oder Katastrophenfälle vorzusorgen.
- Überwachen und erfassen Sie alle Benutzer- und Netzwerkaktivitäten in der gesamten Datenumgebung.
- Konfigurieren Sie die Cloud-Einstellungen sehr sorgfältig. Eine gute Faustregel ist, dass Sie Standardeinstellungen nur sehr selten einfach übernehmen sollten. Nutzen Sie die Sicherheitseinstellungsmöglichkeiten und Programme Ihres Cloud-Anbieters optimal aus und informieren Sie sich stets über neue Programme und Verbesserungen.
- Implementieren Sie Zero-Trust-Sicherheitsrichtlinien und ergänzen Sie diese mit Netzwerksegmentierung, starker Identitäts- und Zugriffsverwaltungsanwendungen (IAM), rollenbasierter Zugriffssteuerung, Mindestzugriffsrechteprinzip, komplexen Passwörtern, Gerätebestätigung und Mehr-Faktor-Authentifizierung (MFA).